Accueil Le blog

Cisco fait de l’intégration SD-WAN sa priorité

Hits: 6

David Goeckeler, vice-président exécutif et directeur général Networking & Security de Cisco, lors de son intervention sur Cisco Live 2018. (Crédit : Cisco)

Lors de la conférence Cisco Live à Orlando, du 11 au 14 juin, il a été beaucoup question de logiciels et de réseaux intelligents programmables sur lesquels Cisco construit sa stratégie SD-WAN. En particulier, Cisco a expliqué comment elle comptait utiliser et intégrer la technologie SD-WAN acquise l’an dernier avec le rachat de Viptela pour 610 millions de dollars. À ce jour, l’équipementier affirme qu’au cours des derniers mois, cette technologie a intéressé 800 nouveaux clients environ. « Pour une entreprise mondiale, la succursale est une composante très compliquée du réseau, car elle doit gérer différents modes d’interconnexion partout dans le monde. Le choix du WAN défini par logiciel pour cette portion du réseau est de plus en plus envisagé, et c’est un domaine dans lequel nous avons beaucoup investi », a déclaré à nos confrères de Network World David Goeckeler, vice-président exécutif et directeur général Networking & Security chez Cisco, lors d’une interview.

« Nous avions une solution iWAN. Nous avons la solution SD-WAN de Meraki, et nous avons acheté Viptela parce qu’il a apporté des innovations côté cloud. Nous voulions combiner cela avec les routeurs à services intégrés sous franchise que nous avions dans iWAN, et cette intégration est en bonne voie. Ce marché était un peu figé jusque-là parce que les clients s’interrogeaient sur les applications possibles. Mais il y a de grands projets en cours de préparation dans l’espace SD-WAN », a-t-il ajouté.

Sécuriser différents segments de réseaux

D’autres responsables de Cisco ont insisté sur l’importance d’une plus forte intégration de cette technologie dans le portefeuille réseau de l’entreprise. « Viptela fournit une solution simple pour mettre en œuvre une segmentation robuste de bout en bout qui permet aux utilisateurs de construire et de sécuriser différents segments de leurs réseaux », a ainsi déclaré Scott Harrell, vice-président senior et directeur général Enterprise Networking Business de Cisco. Entre autres choses, l’entreprise compte intégrer la technologie Viptela dans sa plateforme de gestion centralisée de réseau DNA Center, ce qui permettra aux clients de profiter des capacités d’automatisation, de contrôle de la qualité, de sécurité, de conformité, d’approvisionnement et de segmentation SD-WAN, basées sur les politiques édictées, depuis un seul endroit. « Le travail d’intégration a été lancé il y a plus d’un an », a déclaré Cisco, ajoutant que « le développement des offres SD-WAN et vManage de Viptela se poursuivait également ».

Une intégration par étape

Cisco a donc précisé que l’intégration de Viptela était en bonne voie et avançait selon les modalités suivantes. Dans une 1ère phase, Cisco continuera à soutenir et à investir dans la solution SD-WAN de Viptela, y compris les routeurs vEdge de Viptela. Dans un 2ème phase, les fonctionnalités de Viptela seront intégrées aux plates-formes de routage Cisco existantes. Enfin, dans une 3ème phase, la plate-forme de gestion cloud de Viptela sera intégrée au DNA Center.

La question de l’intégration a beaucoup intéressé les participants de Cisco Live. Dans un panel d’utilisateurs, Amon Hogue, architecte réseau senior chez Beam Suntory, a déclaré que le géant de la distillerie basé à Chicago pourrait améliorer l’automatisation de ses réseaux distribués et en particulier qu’il pouvait créer des réseaux WAN intelligents et des réseaux définis par logiciel. « Nous cherchons une solution pour intégrer les applications à notre environnement Cisco Application Centric Infrastructure », a déclaré M. Hogue. « Une intégration entre Viptela et les technologies IOS serait bienvenue », a-t-il ajouté.

lemondeinformatique

Voici une bonne raison d’éviter les smartphones Android bon marché

Hits: 8

Vous n’avez que l’embarras du choix lorsque vous décidez d’acheter un smartphone Android. Le nombre de fabricants ne cesse d’augmenter, et il existe des milliers d’opinions sur quel appareil choisir.

Les clients sont tellement submergés par toutes ces possibilités que pour la plupart d’entre eux le prix devient le principal, voire l’unique, argument. C’est là où les smartphones de fabricants moins connus entrent en jeu : ils promettent les mêmes fonctionnalités et la même qualité que les marques connues, mais à moitié prix. On comprend aisément qu’il est difficile de résister à ces offres généreuses.

Saviez-vous que ce n’est pas si simple ? Lorsque vous achetez un smartphone dans ces conditions, vous obtenez assez souvent des éléments supplémentaires cachés ; par exemple, certains malwarespréinstallés. Voici ce qui se passe.

Le principal avantage d’Android est la grande flexibilité de sa plateforme, ce qui la rend très populaire auprès des développeurs. Google développe le logiciel de base, mais chaque fabricant peut le personnaliser, et inclure dans le smartphone toutes les applications natives qu’il souhaite pour différencier son produit.

Certains de ces logiciels natifs sont des systèmes d’applications ; il s’agit d’applications installées par le fabricant dans le fichier /system/app ou /system/priv-app (priv pour « privilégié ») du dispositif Android, et que l’utilisateur ne peut pas désinstaller. Fort bien, mais quand il s’agit de l’appât du gain, les choses ne sont plus aussi claires.

En théorie, le fabricant peut inclure dans le fichier system/app (ou /priv-app) tout ce qui, selon lui, pourrait être utile aux clients. En pratique, les fabricants en profitent pour gagner plus d’argent et demandent, par exemple, aux développeurs d’applications de préinstaller leurs applications. Les fabricants de smartphone mettent parfois un malware dans ce fichier, de façon volontaire ou non.

Les malwares préinstallés affichent des publicités que vous ne pouvez pas éviter, collectent des données personnelles pour les vendre à un tiers, ou combinent les deux techniques d’intrusion en vous montrant des publicités qui utilisent vos données. Un bon modèle économique !

Un cheval de Troie préinstallé avait permis aux criminels de mettre des publicités dans le système d’exploitation d’appareils fabriqués par des développeurs assez importants comme ZTE, Archos, Prestigio ou myPhone. Les résultats d’une autre enquête ont montré qu’un logiciel espion était préinstallé dans les smartphones OnePlus et BLU ; ce logiciel collectait des données personnelles sensibles, et les envoyait aux serveurs des fabricants.

Il est assez ironique de voir que la plupart des fabricants que nous avons mentionnés figurent comme partenaires certifiés sur le site officiel d’Android. Cela signifie que le malware préinstallé devient pratique courante, et que vous ne pouvez pas vous fiez à l’honneur d’un fabricant connu.

Achetez — mais vérifiez

Afin de réduire le risque d’acheter un appareil infecté, ou du moins pour identifier un appareil qui va vous montrer des publicités avec presque toutes les applications et collecter vos données personnelles sans votre autorisation après votre achat, nous vous recommandons fortement de faire ce qui suit :

  • Faites des recherches. Il est fort probable que des utilisateurs aient déjà parlé du téléphone qui vous intéresse sur Internet, surtout si les propriétaires se plaignent d’un malware préinstallé.
  • Comme c’est souvent le cas, quand quelque chose est trop beau pour être vrai, peut-être que c’est vraiment le cas. Il peut être judicieux d’éviter les smartphones qui sont beaucoup moins chers que les modèles comparables. Il n’est pas improbable que les fabricants emploient certaines pratiques douteuses pour récupérer l’argent qui n’apparaît pas dans le prix.
  • Vérifiez l’état de la certification de votre appareil Android pour vous assurer que Google a testé le micrologiciel. La certification ne garantit pas qu’aucun malware soit préinstallé, mais il est beaucoup moins probable que les appareils certifiés aient été infectés avant la vente.
  • Installez un antivirus de confiance qui va vous informer et vous protéger lorsqu’un programme malveillant est découvert. Comme les malwares sont parfois installés avant que l’acheteur ne déballe son nouvel achat, votre smartphone peut être infecté, et ce peu importe votre comportement en matière de sécurité.

kaspersky

Vulnérabilité zero-day : Des mises à jour de sécurité critiques disponibles pour Microsoft et Adobe !

Hits: 18

https://news.sophos.com/fr-fr/cybersecurite-en-entreprise/

Après un break en avril dernier, les vulnérabilités zero-day sont de retour avec une petite bombe de la part de Microsoft dans le Patch Tuesday du mois de mai.

Parmi la plus marquante, on trouve une vulnérabilité zero-day concernant l’exécution de code à distance dans Windows VBScript Engine, affectant toutes les versions de l’OS, dont l’exploitation, par des cybercriminels d’Etat-Nation, a été repérée il y a trois semaines par l’entreprise de sécurité chinoise Qihoo 360.

Surnommée « Double Kill » (CVE-2018-8174), elle peut être déployée de plusieurs façons, notamment en attirant un utilisateur Internet Explorer vers un site web malveillant avec un VBScript incorporé, et en utilisant un contrôle ActiveX labellisé « safe for initialization« , ou encore via un fichier RTF malveillant dans un document Office.

Selon Microsoft, chacun de ces scénarios donne aux cybercriminels le contrôle de l’ordinateur de la victime, permettant ainsi de voler des données, d’écouter clandestinement ou de déployer des ransomwares, d’où la nécessité d’installer un correctif de toute urgence.

Une autre vulnérabilité zero-day (CVE-2018-8120) concerne l’élévation de privilèges dans le sous-système Win32k de Windows 7 32/64-bit et Windows Server 2008 R2.

Un cybercriminel doit déjà être connecté à la cible afin de pouvoir exploiter la faille, c’est pourquoi elle est répertoriée comme «importante» plutôt que critique.

Microsoft n’a pas dit comment elle pouvait être exploitée, mais disposer de ce genre de vulnérabilité zero-day est une véritable aubaine pour les cybercriminels, et c’est pourquoi elle devrait également figurer sur la liste des correctifs à installer immédiatement pour tous ceux qui utilisent Windows 7.

Deux autres qui méritent d’être mentionnées sont : CVE-2018-8141, une vulnérabilité de divulgation d’informations au niveau du noyau, et qui affecte Windows 10 1709 et CVE-2018-8170, une vulnérabilité d’élévation de privilèges dans Windows 1709 et 1703 32 bits.

Les deux sont considérées comme importantes plutôt que critiques, mais d’après certaines informations les concernant, elles semblent être dans le domaine public sans que des exploits aient été détectés.

Le meilleur pour la fin

Le nombre de vulnérabilités CVE de Microsoft pour le seul mois de mai a atteint 68, dont 21 sont critiques, 45 importantes et seulement deux à impact faible.

Parmi les autres considérées comme « critiques », un thème fort concernant les navigateurs ressort nettement, avec une douzaine de défauts du navigateur au niveau d’une corruption de mémoire du moteur de script, affectant Edge et Internet Explorer, auxquels s’ajoutent quatre autres affectant le moteur JavaScript Chakra Edge.

Hyper-V est également corrigé vis-à-vis de CVE-2018-0959 et CVE-2018-0961, tandis que CVE-2018-0961 prend en charge le RCE dans Windows Shim Host Compute Service Shim.

Le site de Microsoft offre beaucoup de détails sur ces vulnérabilités, par plateforme et par produit, mais voici un résumé plus digeste.

Encore des correctifs pour Flash

Microsoft n’est pas le seul à émettre des correctifs, Adobe a aussi corrigé cinq CVEs.

Il convient de souligner qu’il s’agit d’un correctif critique pour Flash Player (CVE-2018-4944) affectant toutes les plateformes, y compris Windows 10 (Edge) et 8.1 et Server 2012/R2 (IE). La version vulnérable est 29.0.0.140, laquelle nécessite une mise à jour vers la version 29.0.0.171.

Flash est sur le point de disparaître, mais il est probable que beaucoup de systèmes le possèdent toujours et qu’il fonctionne pour une raison ou une autre, c’est pourquoi nous le signalons afin d’attirer votre attention sur ce point particulier.

sophos

Données personnelles: la Cnil inflige une amende record à Optical Center

Hits: 19

L’autorité française de protection des données personnelles, la Cnil, a infligé jeudi une amende record de 250.000 euros à la chaîne de magasins d’optique Optical Center, pour une atteinte à la sécurité des données de ses clients. C’est la première fois que la Cnil (Commission nationale de l’informatique et des libertés) impose une amende aussi forte, a-t-on appris auprès de l’autorité.

Après avoir été alertée en juillet 2017, la Cnil a constaté qu’il était possible à un client utilisant le site d’Optical Center  «d’accéder à des centaines de factures» d’autres clients, «en renseignant plusieurs URL dans la barre d’adresse de son navigateur». Ces factures contenaient des données telles que les nom, prénom, adresse postale, et corrections ophtalmologiques, et dans certains cas le numéro de sécurité sociale.

Optical Center avait déjà été sanctionné par la Cnil pour un défaut de sécurité sur son site en 2015, écopant d’une amende de 50.000 euros. Le pouvoir de sanction de la Cnil avait été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes jusque-là fixé à 150.000 euros passant à 3 millions d’euros.

Le nouveau règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai donne un pouvoir de sanction encore accru, puisque celles-ci pourront atteindre jusqu’à 20 millions d’euros et 4% du chiffre d’affaires. Mais seuls les faits constatés après l’entrée en vigueur du règlement seront concernés par ces sanctions.

Selon la Cnil, le site internet d’Optical Center «n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel avant de lui afficher ses factures». «Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société», a souligné l’autorité de protection des données personnelles.

lefigaro

VPNFilter Can Also Infect ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE Devices

Hits: 16

VPNFilter

The VPNFilter malware that infected over 500,000 routers and NAS devices across 54 countries during the past few months is much worse than previously thought.

According to new research technical details published today by the Cisco Talos security team, the malware —which was initially thought to be able to infect devices from Linksys, MikroTik, Netgear, TP-Link, and QNAP— can also infect routers made by ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE.

The list of devices vulnerable to VPNFilter has seen a sharp jump from Cisco’s original report, going from 16 device models to 71 —and possibly more. The full list is embedded at the bottom of this article.

New VPNFilter plugins

Furthermore, researchers have also discovered new VPNFilter capabilities, packed as third-stage plugins, as part of the malware’s tri-stage deployment system.

VPNFilter structure

Cisco experts said they discovered the following two new third-stage plugins.

ssler – plugin for intercepting and modifying web traffic on port 80 via man-in-the-middle attacks. Plugin also supports downgrading HTTPS to HTTP.
dstr – plugin to overwriting device firmware files. Cisco knew VPNFilter could wipe device firmware, but in its recent report pinpointed this function to this specific third-stage plugin.

These two new plugins add to the two already known.

ps – plugin that can sniff network packets and detect certain types of network traffic. Cisco believes this plugin was used to look for Modbus TCP/IP packets, often used by industrial software and SCADA equipment, but in its most recent report claims the plugin will also look for industrial equipment that connects over TP-Link R600 virtual private networks as well.
tor – plugin used by VPNFilter bots to communicate with a command and control server via the Tor network.

Technical details about the VPNFilter malware, in general, are available in Cisco’s first report. Details about the ssler, dstr, and ps third-stage plugins are available in a report published today.

The VPNFilter botnet was found to have infected devices all over the world, but researchers have gone public with their findings when they detected the botnet preparing a cyber-attack on Ukraine’s IT infrastructure. Many believed the cyber-attack was supposed to take place on the day of the UEFA Champions League soccer final, which was held in Kiev, Ukraine, at the end of May.

The FBI intervened to neutralize the botnet by taking over its command and control server. Nevertheless, the group behind the malware, believed to be a unit of the Russian military, has recently begun assembling a new botnet, continuing to focus on infecting devices on Ukraine’s network.

Below is the updated list of routers and NAS devices targeted by the VPNFilter malware. Cisco said last month that VPNFilter does not use zero days to infect devices, meaning all the listed models are vulnerable via exploits against older firmware releases, and updating to the latest firmware version keeps devices out of the malware’s reach.

If users can’t update their router’s firmware, can’t update to a new router, but would still like to wipe the malware from their devices, instructions on how to safely remove the malware are available in this article. Removing VPNFilter from infected devices is quite a challenge, as this malware is one of two malware strains that can achieve boot persistence on SOHO routers and IoT devices. Furthermore, there are no visible signs that a router has been infected with this malware, so unless you can scan your router’s firmware, even knowing you’re infected is a challenge. The best advice we can give right now is to make sure you’re running a router with up-to-date firmware.

Asus Devices:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link Devices:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei Devices:
HG8245 (new)

Linksys Devices:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik Devices: (Bug Fixed in RouterOS version 6.38.5)
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear Devices:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP Devices:
TS251
TS439 Pro
Other QNAP NAS devices running QTS software

TP-Link Devices:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti Devices:
NSM2 (new)
PBE M5 (new)

UPVEL Devices:
Unknown Models (new)

ZTE Devices:
ZXHN H108N (new)

Facebook aurait aussi partagé nos données avec les géants de la technologie

Hits: 9

Cela ne surprendra finalement plus personne, et ne changera sans doute rien à l’immense popularité du réseau social, mais l’information mérite tout de même d’être partagée. Selon le New York TimesFacebook aurait depuis longtemps conclu des partenariats avec des géants de la technologie visant à partager les informations concernant les membres du service.

Au cours des dix dernières années, la compagnie de Mark Zuckerberg aurait signé des accords avec pas moins de 60 fabricants de smartphones, au nombre desquels on trouve ainsi Apple, Amazon, Samsung ou encore Microsoft. Facebook autorisait ainsi l’accès aux données des utilisateurs, mais aussi de leurs amis, sans explicitement demander leur consentement, et après avoir pourtant déclaré que la compagnie cesserait ce genre de pratique.

Au mois d’avril, la compagnie, alors sous le feu des critiques à cause du scandale Cambridge Analytica, avait déclaré que les fonctionnalités permettant d’accéder aux informations de tout un réseau d’amis sur Facebook avaient été retirées. Omettait-elle sciemment de préciser que les fabricants d’appareils mobiles avaient toujours, eux, la possibilité d’obtenir ces informations ? De nombreuses voix s’élèvent déjà contre cette pratique. Parmi les détracteurs de Facebook, on compte de nombreux anciens ingénieurs de la compagnie, mais aussi les législateurs européens et ils partagent tous l’opinion de Serge Egelman, qui étudie la sécurité des applications mobiles à l’Université de Californie : « on pourrait penser que Facebook et les fabricants d’appareils sont dignes de confiance, mais le problème est que de plus en plus de données sont stockées dans l’appareil, et si celles-ci sont accessibles par les applications, cela engendre de graves risques de sécurité ». Mark Zuckerberg n’a apparemment pas fini de demander pardon…

tomsguide

Windows 10 April Update disponible, les ISO et l’outil de mise à jour également

Hits: 16

 

image dediée

L’April Update de Windows 10 commence sa diffusion à travers Windows Update. L’outil de mise à jour, qui déclenche manuellement l’installation, est lui aussi proposé, de même que l’utilitaire chargé de récupérer les ISO.

Avec près de trois semaines de retard sur le plan initial, la nouvelle grande mise à jour de Windows 10 (version 1803, build 17134) est désormais disponible. Sa distribution va se faire au fil des semaines afin de prévenir tout problème, mais vous pouvez tout de même tenter une vérification dans Windows Update dès maintenant.

Si l’April Update n’y apparaît pas, c’est qu’il faut attendre. Microsoft procède en effet toujours par vagues successives : les machines sans incompatibilité ou autre problème d’abord, puis petit à petit, le temps que les remontées façonnent le support technique. Microsoft précise que la distribution globale et automatique commencera le 8 mai.

Solution la plus efficace pour ceux ne souhaitant pas attendre : récupérer l’outil de mise à jour. Il force Windows 10 à récupérer l’April Update et déclenche son installation. Le résultat est strictement le même que si Windows Update s’en était occupé.

L’autre solution est d’opter pour l’outil de création de support (Media Creation Tool). Celui-ci récupèrera la version la plus récente de Windows 10 pour l’enregistrer sous forme d’une image ISO ou la transférer directement sur une clé USB (formatée au passage), qui permet alors une installation neuve. Cette méthode est plus adaptée à une nouvelle machine ou dans le cas d’un formatage.

Le noyau Linux 4.15 est en fin de vie, le statut EOL est annoncé

Hits: 30

 

The Linux Kernel

Les utilisateurs du noyau Linux 4.15 sont invités à adopter une version plus récente. Cette branche est désormais passée en EOL contraction de End Of Life.

Ce statut irréversible n’est pas de bonne augure. Elle implique qu’il n’y aura plus de maintenance. Après un cycle très chargé dû aux vulnérabilités Meltdown et Spectre, la correction de deux bugs matériels dits critiques en janvier dernier ou encore 18 mises à jours, le statut EOL est annoncé. Son support est abandonné.

Noyau Linux 4.15, c’est la fin

Cette situation oblige pour des raisons de sécurité, d’entrevoir assez rapidement l’adoption du kernel 4.16. Ceci concerne par exemple les utilisateurs de distributions GNU/Linux. Ils sont invités à affecter une mise à niveau.

L’annonce a été faite par Greg Kroah-Hartman à l’occasion de la sortie du kernel Linux 4.15.18. Il a expliqué

« Tous les utilisateurs de la série 4.15 doivent se mettre à niveau. Ceci est la dernière version du noyau 4.15. Il est maintenant en fin de vie. Veuillez passer à la branche 4.16. »

Concernant les failles Spectre et Meltdown cette version du noyau a bénéficié d’atténuations pour les architectures matérielles 64 bits et 32 ​​bits.

Linux 4.16 est de son côté entièrement corrigé et propose un support pour l’ARM 64 bits (AArch64) et le matériel IBM System z (s390). Il bénéficie également de nombreux mises à jour de drivers et pilotes tout en ayant une compatibilité matérielle plus riche.

ginjfo

McAfee : une entreprise sur quatre touchée par des vols de données

Hits: 23

 

McAfee.jpgLa sécurité sur le cloud privé constitue un enjeu de taille pour les entreprises. Basé sur un sondage réalisé auprès de 1 400 experts en technologies à travers le monde, le rapport indique que 96 % des entreprises utilisent actuellement des services cloud public ou privé ou une combinaison des deux (NDRL : cloud hybride), contre 93 % un an plus tôt.

Selon l’étude, 83 % des entreprises stockent des données sensibles sur le cloud, mais seulement 69 % d’entre elles font confiance au cloud public pour garder leurs données en sécurité. Bien que 83 % des entreprises aient déjà été victimes d’au moins un incident de sécurité sur le nuage, l’adoption du cloud ne cesse de s’accélérer. Les problèmes courants incluent le manque de visibilité des données dans les applications de cloud computing (30 %), le vol d’applications cloud par un tiers malveillant (26 %), et enfin le manque de contrôle sur l’accès aux données sensibles (25 %). Une entreprise sur cinq aurait subi une attaque critique via le cloud.

La nouvelle loi européenne sur la vie privée rend les entreprises fébriles

« L’étude de cette année montre qu’il y a des entreprises qui accélèrent leur migration sur le cloud et augmentent leurs investissements pour gérer les risques, et d’autres de plus en plus nombreuses qui au contraire adoptent une approche plus prudente », explique dans le rapport Raj Samani, chercheur en chef chez McAfee. Selon le rapport de McAfee, le cloud-first constitue la stratégie informatique privilégiée par de nombreuses entreprises.

La prudence reste toutefois de mise, car le nombre d’entreprises ayant adopté une stratégie cloud-first a baissé de 82 % à 65 % cette année. L’enquête montre également que 10 % des sociétés prévoient de diminuer leurs investissements sur le cloud à cause de la nouvelle loi sur la vie privée (RGPD) de l’Union européenne qui va entrer en vigueur au mois de mai. Avec cette loi, les entreprises pourraient se voir en effet lourdement sanctionnées en cas de vols de données des consommateurs.

lesnumeriques

Le site des impôts force ses visiteurs à regarder une vidéo YouTube pour entrer

Hits: 15

 

image dediée

Si vous avez tenté de déclarer vos revenus pour 2017 sur le site des impôts, vous avez sans doute constaté qu’il était impossible de rentrer à moins de regarder une vidéo.

Cette semaine, la Direction générale des finances publiques (DGFiP) a ouvert le site permettant à chacun d’effectuer sa déclaration d’impôt 2018 sur les revenus de 2017. Une campagne importante et charnière, puisque le prélèvement à la source prendra le relai dès 2019, après un report d’un an.

Pour préparer cette échéance, la DGFiP précise qu’« à partir de mi-avril 2018, si vous déclarez vos revenus en ligne, votre taux de prélèvement à la source, ainsi que vos éventuels acomptes applicables à compter du 1er janvier 2019 seront présentés à la fin de votre déclaration ».

Une nouveauté sur laquelle il faut communiquer. Ainsi, outre les relais habituels dans la presse, de nombreuses ressources ont été mises à disposition des contribuables. Mais en cherchant à s’assurer qu’elles seraient vues par le plus grand nombre, les services fiscaux sont allés un peu trop loin.

Vous pourrez déclarer vos impôts après ce message à caractère informatif

Ainsi, depuis quelques jours, de nombreux utilisateurs se plaignent de voir une fenêtre modale sur le site officiel des impôts. Celle-ci contient une vidéo d’un peu plus de deux minutes présentant le prélèvement à la source, ainsi qu’un bref message et un bouton d’accès à l’espace professionnel. Mais aucune fonction ne permet de fermer le tout.

En réalité, il faut lancer la vidéo et attendre au moins une minute. C’est seulement lorsqu’un compteur de 60 secondes est arrivé à son terme que l’on peut rentrer sur le site. Avant, impossible de rentrer : la fenêtre s’affiche sans possibilité de l’éviter.

Le site sait que vous avez vu cette vidéo grâce à un cookie déposé dans votre navigateur : videoPAS_session, qui contient la valeur nepasreafficher. Ainsi, dès que vous changerez de machine ou de navigateur, il faudra recommencer. Un dispositif plutôt efficace, puisque là où les vidéos de la DGFiP dépassent difficilement les quelques centaines de vues, celle sur le prélèvement à la source en est à 3,9 millions en deux semaines.

Un précédent aux multiples dérives possibles

Mais voilà, le dispositif interroge, tant sur sa moralité que sur sa légalité. Car forcer l’utilisateur à regarder une vidéo pour entrer sur un site est une pratique assez peu appréciée des internautes de manière générale. C’est donc encore plus le cas lorsqu’il s’agit d’un site officiel sur lequel chacun doit se rendre, notamment pour effectuer sa déclaration.

Imaginez par exemple qu’un ministre juge nécessaire que l’on regarde sa dernière allocution avant de rentrer sur le site de son ministère, ou que ceux qui acceptent FranceConnect vous imposent de regarder une vidéo de présentation avant de pouvoir entrer afin de promouvoir le dispositif. Vous allez sur le site de Pôle Emploi ? Le gouvernement vous explique sa refonte du droit du travail avant de vous laisser déclarer votre situation.

La pratique est néanmoins clairement assumée par la DGFiP qui a répondu ce week-end sur Twitter à ceux qui critiquaient le procédé, suite à un message l’expliquant. « C’est une réforme importante qui mérite bien quelques minutes d’attention » précisait le compte, avouant qu’il y a tout de même quelques limites techniques.

Ainsi, un utilisateur n’acceptant pas les cookies « ou si vous êtes derrière un pare-feu ou un Proxy » pourra voir cette vidéo lui être proposée en boucle, sans alternative. On s’interroge aussi sur la prise en compte des personnes aveugles ou malentendantes.

La justification donnée est la volonté d’apporter une réponse aux Français qui s’estiment mal informés sur les réformes. Avec ce petit cours de rattrapage, ils ne pourront plus dire qu’ils n’ont pas eu le message. Une pratique jugée «acceptable », qui ne sera que temporaire :

Le choix de YouTube et l’accès à nos données

Outre cette méthode plus que cavalière, plusieurs questions se posent, notamment sur le choix de YouTube. En effet, la vidéo étant affichée par défaut, les informations de navigation de l’utilisateur sont envoyées au service américain, ce dernier déposant des cookies sur la machine de l’utilisateur, qui n’aura pas donné son consentement.

Pourtant la DGFiP aurait pu utiliser un service de diffusion maison, un service « French Tech », une instance PeerTube, ou même le mode « Confidentialité avancée » de YouTube (domaine youtube-nocookie.com). Cela n’a pas été le cas. D’autant que la page contient ainsi des appels aux services de Google et de la régie publicitaire DoubleClick en plus de Xiti.

Assez ironiquement d’ailleurs, sous la fenêtre contenant la vidéo, on voit le « bandeau cookies » du site s’afficher. Si l’on demande à avoir plus d’informations sur l’utilisation faite de nos données et les méthodes d’expression du consentement, on est redirigé vers une page… qui ne s’affichera pas tant que la fameuse vidéo n’a pas été lue.

DGFiP YouTube ForcingDGFiP YouTube Forcing

Cette page contient de toute façon assez peu d’informations utiles, puisqu’elle se contente de donner le numéro de la déclaration CNIL, sans plus de précisions. On en apprendra par contre beaucoup plus sur les droits de reproduction et les conditions permettant d’effectuer des liens vers les pages du site.

Autant dire qu’à un peu plus d’un mois de l’application du RGPD (voir notre analyse), et en pleine affaire Cambridge Analytica, un tel procédé fait désordre. Espérons que la DGFiP comprendra rapidement les problèmes posés, pour s’expliquer et changer d’avis. Mais aussi que la CNIL en profitera pour faire suivre quelques recommandations aux administrations qui seraient tentées de placer « l’efficacité » avant le respect de droits des citoyens.