Revue de sécurité: Amazon et le Cloud, ouverture du .co et fraude bancaire en ligne

Une petite sélection des articles marquants de ces derniers jours.

Quand les DSI rencontrent Amazon, un géant du Cloud Computing

Louis Naugès revient sur son blog sur une manifestation du CIGREF (un club de directeur des Systèmes d'Information des grandes entreprises françaises) qui a permis au Chief Technology Officer d'Amazon de présenter les offres d'Amazon Web Services (AWS) en matière de Cloud Computing.

L'article est très développé et présente de façon complète les offres d'AWS sous l'angle de son modèle économique.

"Amazon a été créé il y a une dizaine d’années sur une culture «low cost»pour son site de ventes ; cette même culture se retrouve sur AWS.
AWS fonctionne avec de très faibles marges, mais avec de très gros volumes d’activité. Toute réduction de ses coûts internes se traduit immédiatement par une réduction des prix de vente comme cela vient de se produire pour EC2 ; le prix de base pour une heure de processeur est passé de 10 centimes à 8,5 centimes de dollar."
Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing

Le responsable d'Amazon, le Dr Werner Vogels, insiste également sur les motivations des entreprises à choisir une solution du type Amazon Web Services.

  • "Agilité : Les entreprises peuvent, très vite, déployer de nouvelles applications, tester des usages nouveaux ou faire évoluer leurs offres au gré de demandes fluctuantes. Les clients d’AWS n’ont aucun engagement de durée et peuvent, à tout instant, arrêter d’utiliser les services proposés.
  • Flexibilité vis-à-vis de la charge de travail : une entreprise peut faire monter ou descendre, en quelques heures, les ressources informatiques dont elle a besoin.
  • Dimensions financières : pas d’investissements initiaux, budgets de fonctionnement à la place de dépenses d’investissements, coûts d’usages très compétitifs, dépenses qui évoluent au même rythme que la demande (pay as you go)...
  • Performances : de 1 à 1 000 serveurs, processeurs mono-cœur ou avec 24 cœurs, les entreprises trouvent chez AWS une capacité de calcul «infinie» qui peut varier heure par heure." Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing

Après un peu de blabla commercial, le thème de la sécurité est enfin abordé. Les réponses du Dr Vogels me semblent un peu légères personnellement, surtout la première... "L'intérieur de l'organisation" devient une notion plus complexe quand on utilise des solutions pour stocker et utiliser des données internes à l'extérieur de l'organisation.

  • "La sécurité est plus un problème émotionnel que technique.
  • 90 % des failles de sécurité viennent de l'intérieur des organisations.
  • Tout le système d'Amazon est ouvert sur l'extérieur, depuis le premier jour ; la sécurité est stratégique pour nous.
  • Amazon travaille beaucoup sur des outils d’automatisation des procédures de sécurité, pour éliminer au maximum le facteur humain ; ils utilisent ASPEN, un langage spécifique de gestion de la sécurité.
  • Amazon est «Safe Harbor compliant» pour tout ce qui concerne les données mémorisées aux USA.
  • Les entreprises peuvent choisir dans quelle zone géographique leurs données et leurs processus sont localisés.
  • Il n’a pas occulté la question «Patriot Act», qui permettrait à des organismes gouvernementaux américains d’essayer d’accéder à des données sans l’aval de la justice ; Werner a été très clair : nous luttons contre ces pratiques, mais nous sommes bien sûr respectueux des lois, comme le sont toutes les entreprises." Source : Louis Naugès, Quand les DSI rencontrent Amazon, un géant du Cloud Computing

Et pour conclure, pour Amazon, un Cloud privé n'est pas un Cloud. Et de ce côté là, ils n'ont pas forcément tort.

En résumé, un article très bien développé, on y apprend beaucoup de choses sur Amazon Web Services mais de façon trop peu critique à mon goût tout particulièrement sur la partie sécurité où les différents incidents qu'a connus Amazon n'ont pas été évoqués (panne électrique, infection par un Trojan bancaire...).

Source :

Ouverture du .co, à ne pas confondre avec le .com

L'article de Jurilexblog revient sur l'ouverture, depuis le 1er mars dernier, du .co aux internautes et entreprises du monde entier. Les entreprises pourront profiter d'une phase d'ouverture prioritaire pour réserver leurs marques en .co. En effet, à partir du 20 juin l'ouverture sera accessible à tous les internautes de la planète.

En quoi cette information peut-elle nous intéresser ?

Les pirates et autres cybersquatters ne vont pas se gêner pour déposer des noms de domaines en .co jouant sur la proximité typographique avec le .com. En effet, la probabilité de mal orthographié une adresse Internet reste assez importante pour que les pirates du monde entier s'y intéresse. Le typosquatting est une forme de nuisance qui va détourner illégitimement certains internautes vers des pages de « parking » ou plus dangereux encore vers des sites web malveillants infectés de malwares ou des pages de phishing. Dans tous les cas, c'est l'image de marque de l’entreprise qui sera touchée.

Mais selon une étude (dont on peut remettre en cause la parfaite objectivité), le typosquatting ne ferait pas que des malheureux. Google (mais aussi Microsoft et Yahoo!) serait gagnant en empochant près de 500 millions par an grâce aux erreurs de frappe qui redirigent les internautes vers des pages de "parking" constituées de publicités... Google AdSense.

Source :

The rising risk of online banking fraud

Une étude publiée par l'UK Cards Association montre que les pertes liées à des fraudes bancaires en ligne ont augmenté de 4% en 2009 pour atteindre près la somme de 65 millions d'euros.

Cette forte hausse serait due à une complexification des méthodes d'attaques utilisées par les cybercriminels pour cibler les internautes. Le phishing, avec 51 000 cas recensés, reste une technique privilégiée par les pirates pour abuser leurs victimes. C'est 16% de plus qu'en 2008.

Les malwares et autres virus sont aussi une technique d'attaque appréciée des cybercriminels. Des e-mails accompagnés de pièce-jointe sont utilisés pour infecter les ordinateurs des victimes. Ensuite, un Trojan va se mettre au travail et récupérer les identifiants de sa victime lors de sa connexion sur le site de sa banque.

Comment se protéger ?

On peut déjà se protéger en mettant à jour régulièrement son OS, son navigateur web et ses logiciels de sécurité (antivirus, antispyware, firewall...).

Mais le plus important est de rester prudent et attentif aux sites Internet que l'on peut visiter. Il faut également toujours faire attention aux e-mails reçus et ne pas ouvrir n'importe quelle pièce-jointe, surtout si l'expéditeur est inconnu (et encore plus si c'est un fichier PDF...).

Pour lutter contre le phishing, il faut apprendre à reconnaître les faux e-mails malveillants des vrais envoyés par votre banque, par exemple. Jamais votre banque (et encore moins les Impôts ou la CAF) ne vous demandera par e-mail vos données de connexion ou vos informations bancaires...

Cadeau : un lien pour tester ses connaissances et surtout sa capacité à détecter des e-mails de phishing.

Source :

One thought to “Revue de sécurité: Amazon et le Cloud, ouverture du .co et fraude bancaire en ligne”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.