Archives quotidiennes :

Fuite de données, loi, Particuliers

Un règlement dépouillant les citoyens de leur droit à la vie privée

Une coalition d’organisations internationales et européennes, dont Access, Bits of Freedom, Digitale Gesellschaft, EDRI, La Quadrature du Net, Open Rights Group, et Privacy International, démarre une campagne commune et un site Internet, nakedcitizens.eu. Ce site permet aux citoyens de contacter leurs représentants au Parlement européen pour les appeler à protéger leur droit fondamental à la vie privée.

Un règlement dépouillant les citoyens de leur droit à la vie privée Des organisations citoyennes exigent que les membres du Parlement européen protègent la vie privée des citoyens. Depuis son lancement, la révision de la législation européenne encadrant la protection des données donne lieu à une campagne de lobbying sans précédent de la part d’entreprises privées et de gouvernements étrangers. Le Parlement européen examine en ce moment le texte proposé par la Commission européenne, et envisage d’y faire de dangereux amendements. Selon une coalition d’organisations citoyennes, si ces amendements étaient adoptés, ils dépouilleraient les citoyens de leur droit à la vie privée. Cette affirmation est basée sur l’analyse des 4 000 amendements actuellement examinés par le Parlement européen.

« Sans une protection efficace de nos données, nos vies privées sont mises à nu, pour être utilisées et exploitées abusivement par des entreprises privées et des gouvernements. » déclare Joe McNamee de l’organisation citoyenne European Digital Rights (EDRI) et porte-parole de la coalition. « Nous appelons les membres du Parlement européen à faire primer les droits des citoyens et à rejeter ces propositions dangereuses. »

En prévision du vote final de la commission « libertés civiles » le 29 mai, la coalition de la société civile met en lumière les cinq amendements les plus dangereux proposés par les membres du Parlement européen pour modifier le règlement encadrant la protection des données. Le règlement proposé par la Commission européenne a pour objectif de renouveler et de moderniser le cadre législatif existant pour l’adapter à l’ère numérique, et de conférer aux citoyens un plus grand contrôle sur leurs données personnelles. Le lobbying démesuré venant de grandes entreprises et de gouvernements risque au contraire de réduire à néant ce cadre juridique. Les citoyens doivent pouvoir faire confiance aux services en ligne qu’ils utilisent. Le niveau de confiance exceptionnellement bas rapporté par des études tant européennes qu’américaines n’est tout simplement pas viable, tant pour les citoyens que pour les entreprises. La confiance doit être reconstruite en rendant aux citoyens le contrôle de leurs données grâce aux droits : (1) d’accéder à leurs données personnelles et de les supprimer, (2) de transférer simplement leurs données d’un service à un autre, (3) d’être assurés que leurs données personnelles ne seront utilisées que pour la finalité précise et limitée à laquelle ils ont consenti, (4) d’être assurés que leurs données sont à l’abri des gouvernements étrangers, (5) d’être assurés qu’en cas de faille de sécurité impliquant leurs données, les entreprises responsables les en informeront.

* Références * 1. https://www.accessnow.org/

2. https://www.bof.nl/

3. https://digitalegesellschaft.de/

4. http://www.edri.org/

5. http://www.openrightsgroup.org/

6. https://www.privacyinternational.org/

7. https://nakedcitizens.eu/

8. https://www.laquadrature.net/fr/un-reglement-depouillant-les-citoyens-de-leur-droit-a-la-vie-privee

Logiciels

Dictao Trust Platform première solution de contractualisation numérique certifiée par l’ANSSI

Dictao, éditeur logiciel de solutions de confiance, annonce que sa solution de contractualisation numérique Dictao Trust Platform (DTP) a obtenu la certification CSPN délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Le basculement des grandes organisations vers la contractualisation numérique implique qu’elles puissent disposer de preuves de transactions solides et opposables en cas de litige.

Cette nouvelle certification CSPN (Certification de Sécurité de Premier Niveau) de la solution Dictao vient attester et renforcer la fiabilité du processus de souscription numérique qu’elle met en œuvre. L’entreprise dispose alors des garanties nécessaires à la dématérialisation de la relation client pour développer son activité commerciale en ligne et sur mobile, augmenter son taux de transformation et optimiser le temps de traitement de ses dossiers. Cette entreprise permet ainsi à ses clients de marquer leur engagement sur des contrats grâce à la signature électronique tout en disposant d’un dossier de preuves retraçant exactement le processus de contractualisation (contrat signé, preuve d’authentification, pièces justificatives, parcours et actions du client, etc.).

Laurent Fournié, Directeur Architecture de Dictao déclare à Data Security Breach : « Notre solution de contractualisation numérique Dictao Trust Platform (DTP) est la première à obtenir une certification CSPN, attestant la fiabilité du processus de contractualisation et celle du procédé de constitution de la preuve. Cette certification, en complément de notre démarche globale de certifications internationales EAL3+, confirme notre volonté de développer une gamme de produits respectant les critères de sécurité et de conformité en face des cadres techniques et juridiques les plus exigeants. »

Cyber-attaque, Fuite de données, Leak, Virus

Ministère du Travail piraté par des hackers Chinois

3 commentaires

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.

L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.

Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.

Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.

Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.

Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.