Une année de révélations enneigées: qu'est-ce qui a changé?

"Alors que le choc initial a diminué, la confiance fondamentale entre les entreprises et leurs clients a certainement été remise en question par les allégations de coopération entre les agences gouvernementales et certaines sociétés de technologie très connues", a déclaré Dick Williams, PDG de Webroot.

Le cryptage, maintenant et pour toujours

La chose la plus choquante de l’année écoulée n’était pas le fait que la NSA collecte des données (c’est une agence secrète… qu’est - ce que les gens pensent qu’elle était en train de faire?) était privé. Et le fait qu'il existe un cadre juridique permettant à la NSA de le faire sans enfreindre les lois.

"Cela nous a ouvert les yeux sur le fait que ces services que nous connaissons et utilisons, comme Google et Apple, sont surveillés", a déclaré Mikko Hypponen, directeur de la recherche chez F-Secure.

Alors qu'est-ce qui a changé? Les entreprises et les particuliers sont désormais plus réticents à confier leurs informations à des fournisseurs de services tiers. Les entreprises ont répondu en intégrant des fonctionnalités de sécurité des données dans leurs produits et services existants. "Nous verrons certainement davantage l'accent sur la transparence entre les fournisseurs et leurs clients, en particulier en ce qui concerne la confidentialité et la sécurité des données", a déclaré M. Williams.

Les produits de chiffrement tels que TrueCrypt, GnuPG et FileVault ont gagné en popularité au cours de l’année écoulée, les utilisateurs recherchant des outils faciles à utiliser pour chiffrer les fichiers sur leurs appareils. (Notez que si vous utilisez TrueCrypt, il n'est plus pris en charge. Il est temps de changer!) Les gens recherchent des services VPN, des mandataires et des mandataires pour sécuriser leurs activités en ligne. Les utilisateurs et les entreprises exigent de plus en plus le cryptage de leurs logiciels, de leurs services cloud et de leur matériel.

Ce sont toutes de bonnes choses. Nous devons être plus sélectifs quant à la destination de nos données. "Au cours de la dernière année, nous avons vu le cryptage redevenir sexy", a déclaré Sol Cates, CSO de Vormetric.

S'éloigner des pouvoirs "divins"

Il y a beaucoup de discussions pour savoir si Snowden était un patriote ou un traître. Pour la plupart des organisations, "la véritable réaction" réside dans le fait que Snowden a pu accéder à ces informations privées grâce à ce qu'il était, a déclaré Cates. Il n’y avait pas de solution extravagante pour pénétrer dans des bases de données privées ou contourner les pare-feu. Le fait qu'il soit capable de partir avec des documents - et le fait que la NSA ne sait toujours pas exactement ce qu'il a pris - met en évidence la gravité du vol d'initiés.

"Il [Snowden] faisait simplement son travail mais on lui a donné un" pouvoir divin "pour le faire", a déclaré Cates. Les organisations doivent définir des droits de cryptage, déterminer des règles de contrôle d'accès raisonnables et gérer correctement les clés. Ce sont les leçons que les entreprises ont apprises au cours de la dernière année. "Les organisations réalisent enfin que les données sont la cible", a déclaré Cates.

Une mer de changement

Google a travaillé sur divers projets liés au cryptage au cours de la dernière année. Compte tenu de sa taille et de son influence, il est vraiment bon de voir la société prendre les devants dans des projets liés au cryptage.

En mars, le géant de la recherche a annoncé que tout le trafic du centre de données était crypté. Gmail utilise également HTTPS pour sécuriser les e-mails. Le mois dernier, Google a annoncé le cryptage de messagerie Google Apps, un cryptage de bout en bout du courrier électronique optimisé par ZixCorp, destiné aux clients de Google Apps.

Cette semaine, la société a publié la version alpha de l'extension de navigateur Chrome de bout en bout permettant de chiffrer les messages Gmail en transit. L’idée est que personne - pas même Google - ne serait capable d’intercepter et de lire les messages électroniques, et l’extension "facilitera un peu ce type de cryptage", écrit dans un blog Stephan Somogyi, responsable produit de la sécurité chez Google. poster.

Google seul ne peut pas sécuriser Internet, mais d'autres entreprises suivent son exemple. Yahoo et Twitter ont leurs propres projets en cours, par exemple. Google a également publié des informations sur la manière dont différents fournisseurs de messagerie électronique gèrent le chiffrement dans le but de faire honte aux autres entreprises qui souhaitent faire davantage pour la sécurité des données.

Bien que tous les courriers électroniques envoyés à partir de Gmail soient chiffrés à l'aide du protocole TLS (Transport Layer Security), seuls 65% des messages en provenance d'autres clients de messagerie sont chiffrés. Seulement 50% des courriels envoyés par d'autres fournisseurs sont cryptés. Yahoo, AT & T, Yahoo / SBC Global, AOL et Craigslist ont des taux de cryptage compris entre 99% et 100% des courriers électroniques envoyés à Gmail. Et puis, il y a les sites Me.com, Comcast, MSN, Hotmail, Live et Mail.ru d'Apple, qui chiffrent moins de 1% des courriels envoyés à Gmail.

Il est clair que certaines choses n’ont pas changé autant que nous le souhaiterions.

"Lorsque les gens ont appris l'existence de ces révélations, beaucoup ont déclaré qu'ils ne souhaitaient plus stocker leurs données dans de grands services américains. Mais dans la pratique, il n'y a pas eu de changement important parmi les consommateurs. Il faut du temps et des efforts pour quitter les anciens services de nouveaux ", a déclaré Hypponen.

Il reste encore beaucoup à faire pour que les utilisateurs réfléchissent de manière plus centrée sur la sécurité, mais nous avons réalisé des progrès cette année. Ce n'est pas une mauvaise chose.