CNIL : Les règles de confidentialité de Google sont "non conformes" aux lois européennes

La Cnil a présenté ses conclusions sur l’analyse des nouvelles règles de confidentialité du géant de la recherche sur Internet.

image

Les nouvelles règles de confidentialité de Google, mises en œuvre depuis le 1er mars 2012, ne sont pas en conformité avec la législation européennes de protection des données personnelles et doivent être modifiées, ont indiqué mardi 16 octobre 2012 les 27 autorités de protection européennes.

Dans un courrier commun, elles demandent à Google de "fournir une information plus claire et plus complète sur les données collectées" et leur "finalité" via 8 recommandations pratiques, estimant que Google doit "prendre des mesures effectives et publiques pour se mettre en conformité rapidement". Invoquant une simplification de sa politique de confidentialité, Google a fusionné quelque 60 règles d’utilisation en une seule, regroupant les informations provenant de plusieurs de ses nombreux services, autrefois séparés, comme la messagerie électronique Gmail ou le réseau social Google+.

En mai, au terme d’une première série d’analyses et d’échanges avec Google, la Commission nationale de l’informatique et des libertés – mandatée par ses 26 homologues européens (le G29) pour analyser ces nouvelles règles – avait déjà indiqué que ces règles "ne respectaient pas les exigences de la Directive européenne sur la protection des données en termes d’information des personnes concernées".

Après un deuxième round d’analyse, basé sur de nouvelles explications de Google, la Cnil a présenté mardi lors d’une conférence de presse à Paris ses conclusions au nom du G29. "Google n’a pas démontré qu’il s’engageait sur les principes de la directive Informatique et Liberté", a indiqué la présidente de la Cnil, Isabelle Falque-Pierrotin, devant la presse. "Notre coopération avec Google a été moyenne. Il a répondu à nos questionnaires, néanmoins d’une façon relativement vague et imprécise", a-t-elle ajouté. "Google ne fournit pas suffisamment d’informations aux utilisateurs sur ses traitements de données personnelles" et "ne permet pas le contrôle par les utilisateurs de la combinaison de données entre ses nombreux services", résume la Cnil.

Le géant de la recherche sur Internet a "également refusé expressément de répondre sur une durée maximale de conservation des données", selon Isabelle Falque-Pierrotin. Dans le courrier adressé à Google, les autorités européennes de protection lui demandent de lui "indiquer comment et dans quel délai il va mettre à jour sa politique de confidentialité et ses pratiques pour intégrer ses recommandations".

FISMA becomes latest security certification for Office 365

Today, we’re pleased to announce Office 365 was granted the authorization to operate under the Federal Information Security Management Act (FISMA) by the Broadcasting Board of Governors. FISMA is important to our customers because it creates a process for federal agencies to certify and accredit the security of their information management systems. IT solutions with FISMA certification and accreditation have federal agency approval for their use in line with the level of security established by that agency.

We take our responsibility to protect customer data very seriously. While we’re pleased to have been granted FISMA authorization, Office 365 already meets the industry’s most rigorous global security and privacy standards.

Office 365 is the first and only major cloud based productivity service to sign EU Model Clauses with all customers. In addition, we added the Data Processing Agreement (DPA) to the EU Model Clauses to address additional requirements from the EU member states. Office 365 also signs the Business Associate Agreement (BAA) to meet the security requirements of the US Health Insurance Portability and Accountability Act (HIPAA). Importantly, Office 365 signs the HIPAA-BAA, DPA and EU Model clauses with all customers regardless of size. Along with EU Model Clauses and HIPAA, Office 365 is ISO 27001 certified.

We understand people have high expectations of any service provider and an interest in understanding where their data resides, who can access it and what we do with it. To that end, we created the Office 365 Trust Center to enable customers to learn more.

With FISMA, it becomes even easier for governments to choose Office 365 and join the ranks of the USDA, the first federal agency to deploy cloud services, the States of California, Minnesota and New York; the cities of San Francisco, Newark, Plano and many others. The move to Office 365 is afoot in government, and the savings and benefits to citizens are considerable. Today’s news should further hasten that transition.

 

Source : http://blogs.office.com/b/microsoft_office_365_blog/archive/2012/05/03/fisma-security-certification-office-365.aspx

Craquer du WiFi pour 4,32€ grâce au cloud

Il y a quelques temps, certains experts en sécurité tiraient la sonnette d’alarme en expliquant que les ressources du Cloud Computing pouvaient être utilisées pour craquer certains mots de passe. Thomas Roth, chercheur en sécurité à l’université de Cologne, vient justement de démontrer qu’une telle chose était possible.

Casser du WPA-PSK

Ce chercheur a en effet mis au point un logiciel utilisant la puissance de calcul du Cloud d’Amazon pour « casser » le protocole de sécurité WiFI WPA-PSK via une attaque de force brute. Le logiciel est ainsi capable de tester jusqu’à 400 000 mots de passe par seconde. En pratique, il n’aura fallu que 6 minutes au programme pour casser le protocole WPA-PSK, ce qui représente un cout de location des services d’Amazon s’élevant à 4,32 euros. A l’heure d’HADOPI et de l’obligation pour M. Tout-le-Monde de sécuriser son accès à Internet, ce type d’attaque démontre clairement que les mots de passe trop simples sont une des faiblesses des réseaux sans fils.

Thomas Roth devrait profiter de la conférence Black Hat qui se tiendra du 16 au 19 janvier à Washington pour présenter son logiciel. Du côté d’Amazon, on explique que ce type d’usage est contraire aux conditions d’utilisation de ses services…

Source : Le Monde Informatique