Android contre les androïdes – Juin 2017

Amélioration de la défense déployée par Google pour protéger les applications développées sous Android des attaques de bots, ou programmes « robots », qui imitent le comportement humain et sont la cause de problèmes de sécurité récurrents (trafic, code malveillant, …)

En intégrant son API baptisée Invisible Recaptcha au package d’API de sécurité SafetyNet proposé aux développeurs de son écosystème dans le cadre des Google Play Services, Google offre désormais la possibilité de s’assurer qu’un humain se tient bien devant l‘écran du terminal Android sans avoir recours à la case à cocher utilisée depuis 2009.

Pour rappel, le service proposé par Google depuis le début d’année 2017 sur l’ensemble de ses services était déjà disponible gratuitement pour les tiers en s’enregistrant via un formulaire. L’API Invisible Recaptcha vient remplacer le RecaptchaV2 et vise à rendre la navigation plus fluide (plus de case à cocher sauf en cas de suspicion) tout en se protégeant de l’usurpation par des bots grâce à l’analyse de risque en arrière-plan basée sur du Machine Learning évolué.

RGPD, il est urgent d’attendre ? … – Juin 2017

Tout le monde en parle depuis plusieurs mois maintenant, difficile de passer à côté du Règlement Européen sur la Protection des Données (RGPD) qui vient remplacer l’ancienne directive et contraint désormais les entreprises à protéger plus efficacement les données à caractère personnel, celles qui permettent d’identifier une personne, sous peine d’amendes dont les montants sont sans commune mesure avec les sanctions jusqu’alors à la disposition de la CNIL.

De multiples chantiers doivent être lancés par les entreprises pour protéger les données concernées, pouvoir en attester et le prouver, mais aussi répondre aux nombreuses obligations : Privacy by design, Privacy by default, Droit à l’oubli, etc…

Toutes ces problématiques ne pourront être correctement traitées sans qu’une analyse de risque ne soit réalisée sur le Système d’Information de l’entreprise afin d’identifier les données et processus traitant d’informations à caractère personnel, évaluer les risques pesant sur ces éléments et enfin déterminer les mesures techniques et organisationnelles à mettre en œuvre en conséquence.

La CNIL propose des guides et méthodes pour gérer les risques dans le contexte de ces nouvelles obligations. S’appuyant sur une méthodologie éprouvée (EBIOS), elle indique sur son site comment mener une étude d’impact sur la vie privée (PIA Privacy Impact Assessment), fournit de l’outillage pour appliquer la méthode ainsi qu’un catalogue de bonnes pratiques permettant d’atteindre l’objectif visé.

Mener l’ensemble des opérations de bout en bout puis appliquer les changements techniques et fonctionnels dans l’entreprise demandent du temps et des ressources, l’échéance d’application du nouveau règlement (Mai 2018) impose de s’y atteler rapidement.