Archives quotidiennes :

Communiqué de presse, RGPD, Securite informatique

Projet de loi relatif à la protection des données personnelles

La garde des Sceaux, ministre de la justice, Nicole Belloubet a présenté aujourd’hui le projet de loi relatif à la protection des données personnelles qui adapte au droit de l’Union européenne la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce projet de loi est le fruit d’un travail étroit avec le Secrétaire d’État au numérique, Mounir Mahjoubi. Il transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680), qui entrera en vigueur en mai prochain. Il comporte plusieurs avancées majeures.

D’une part, il crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Il instaure également de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles.

D’autre part, conformément à la volonté du Gouvernement de simplifier les normes et d’éviter la sur transposition des textes européens, ce projet de loi simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Il remplace ainsi le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En responsabilisant les acteurs, il consacre également de nouvelles modalités de régulation et d’accompagnement des acteurs, au travers d’outils de droit souple. En contrepartie, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues sont considérablement augmentées et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

La protection des données personnelles

Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les mineurs de moins de 16 ans seront également mieux protégés. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux.

S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Android, Apple, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, ios, Linux, Logiciels, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie

Android et macOS, des cybercriminels s’invitent dans des applications

Découverte de deux nouvelles menaces, l’une agissant sous macOS et l’autre sous Android. Le malware sous macOS a fait 1 000 victimes. Quant à la menace sous Android, plus de 5 500 téléchargements ont été effectués.

Un malware s’invite dans les macOS. Si son impacte est encore légére, la cyberattaque présage un avenir plus mouvementé pour les utilisateurs de Mac et Android. Selon les chercheurs de l’éditeur d’antivirus ESET, une application créée par l’éditeur Eltima a été infiltrée par des pirates. Mission, diffuser un code malveillant. Environ 1 000 utilisateurs, clients de l’éditeur de solutions de sécurité informatique, auraient été infectés par le kit OSX/Proton, disponible sur les marchés underground.

Les applications Elmedia Player (lecteur multimédia) et Folx® (gestionnaire de téléchargement) sont concernées. OSX/Proton est une backdoor qui possède de nombreuses fonctionnalités et permet de récupérer, par exemple, les détails de l’OS comme le numéro de série de l’appareil, nom complet de l’utilisateur actuel ; les informations provenant des navigateurs : historique, cookies, marque-pages, données de connexion. Un outil qui vise à collecter des informations sur les portefeuilles de cryptomonnaie pouvant être disponible sur les appareils infiltrés. Proton exfiltre aussi le trousseau macOS grâce à une version modifiée de chainbreaker ; la configuration du VPN Tunnelblick ainsi que les données GnuPG (chiffrement de mails) et de 1password (gestionnaire de mots de passe).

Cryptomonnaie : une version compromise de Poloniex sur Google Play

Avec plus de 100 cryptomonnaies au compteur, Poloniex est l’un des principaux sites d’échange de cryptomonnaie au monde. Les cyberpirates ont profité du fait qu’il n’y ait pas d’application officielle de Poloniex pour développer deux versions malicieuses. En plus de récolter les identifiants de connexion à Poloniex, les cybercriminels incitent les victimes à leur accorder l’accès à leur compte Gmail. Les pirates peuvent ensuite effectuer des transactions depuis le compte de l’utilisateur et effacer toutes les notifications de connexions et de transactions non autorisées depuis la boîte de réception. La première des applications malveillantes se nomme « POLONIEX » et a été installée 5 000 fois, malgré les avis négatifs. La deuxième application, « POLONIEX EXCHANGE », a été téléchargée 500 fois avant d’être retirée du Google store.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Plus d’une entreprise française sur cinq ne sera pas en conformité avec la réglementation RGPD en mai 2018

Alors que 78% des entreprises françaises redoutent un vol de données dans l’année à venir, une étude révèle un manque de préparation général à 6 mois de l’entrée en vigueur de la réglementation RGPD.

La société Proofpoint, entreprise spécialisée dans la cybersécurité, indique que les entreprises ne seront pas prêtes pour mai 2018 et la mise en place du Règlement Général sur la Protection des Données (RGPD). Une étude paneuropéenne (Royaume-Uni, France, Allemagne) a analysé le niveau de préparation des entreprises en prévision de l’entrée en vigueur du nouveau règlement. Et il n’est pas bon !

Commanditée par Proofpoint et intitulée « RGPD : entre perception et réalité », cette étude révèle un décalage évident entre perception et réalité en ce qui concerne le niveau de préparation des entreprises par rapport au nouveau règlement RGPD. Alors que 44% des entreprises européennes pensent qu’elles sont déjà en conformité avec la réglementation et que 30% pensent qu’elles le seront au moment de son entrée en vigueur, seules 5% auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Vol de données : la nouvelle norme

Les cyberattaques sont malheureusement devenues monnaie courante pour les entreprises qui doivent désormais intégrer pleinement les risques associés à leurs stratégies de sécurité pour se protéger. A l’image du piratage d’Equifax exposant les données personnelles de plus de 145 millions de citoyens américains ou du ransomware Wannacry ayant affecté plus de 200,000 ordinateurs dans 150 pays, tout le monde est concerné.

La France, semble particulièrement affectée, avec 61% des entreprises françaises qui déclarent avoir subi un vol de données personnelles durant les deux années écoulées (54% au Royaume Uni et 56% en Allemagne) et 78% d’entre elles qui redoutent un vol de données dans les 12 mois à venir (54% au Royaume-Uni et 46% en Allemagne).

Niveau de préparation RGPD : un décalage évident entre perception et réalité

Si les décideurs IT français semblent mieux préparés que leurs voisins (51% des répondants français pensent que leur organisation est déjà en conformité avec la réglementation RGPD, contre 45% au Royaume-Uni et 35% en Allemagne), l’étude révèle que plus d’une entreprise française sur cinq (22%) ne sera toujours pas en conformité avec la réglementation lors de son entrée en vigueur en mai 2018 (23% au Royaume-Uni et 34% en Allemagne). Un résultat finalement peu surprenant, considérant que seules 5% des entreprises auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Les décideurs IT semblent pourtant conscients des enjeux, puisque 66% des répondants confient que leur budget a augmenté en prévision de l’entrée en vigueur de RGPD. Plus de sept entreprises sur dix en Europe ont par ailleurs monté des équipes projet dédiées RGPD et plus d’une sur quatre a désigné un responsable de la protection des données. A l’épreuve des faits, et alors que les entreprises avaient deux ans pour se préparer (adoption de la réglementation en avril 2016), seuls 40% des répondants révèlent que leur organisation a rempli un formulaire de mise en conformité RGPD.

Des méthodes de préparation différentes

Le règlement RGPD n’imposant pas de processus standard et uniforme pour se mettre en conformité, l’étude révèle des disparités en ce qui concerne les méthodes de préparation et la mise en œuvre de technologies en ligne avec la réglementation. Par exemple, 58% des décideurs IT français (56% au Royaume-Uni et 47% en Allemagne) confient avoir déjà mis en place des programmes internes de sensibilisation sur la protection des données, 49% ont défini des niveaux d’accès utilisateurs pour les systèmes de traitement des données (44% au Royaume-Uni et 34% en Allemagne), et 44% ont déjà des technologies de cryptage des données en place (46% au Royaume-Uni et 25% en Allemagne).

En outre, seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées (contre 50% au Royaume-Uni et 42% en Allemagne). Ce résultat semble démontrer que même si certaines entreprises mettent en place des stratégies et reconnaissent l’importance de se mettre en conformité avec la RGPD, un nombre significatif d’organisations courent toujours le risque de ne pas savoir où seront leurs données à l’entrée en vigueur de la réglementation.

Conséquences de la non-conformité

Au vu de la complexité de la réglementation RGPD, de nombreuses entreprises envisageraient de se contenter de limiter leur exposition au risque plutôt que de viser une pleine conformité. Pourtant, cette non-conformité pourrait coûter cher aux entreprises. Les amendes prévues peuvent atteindre jusqu’à quatre pour cent du chiffre d’affaires annuel ou 20 millions d’euros. Au-delà des amendes, la non-conformité représente également un risque important de perte de confiance des clients et de perte de revenus.

Certaines entreprises envisagent déjà les risques associés à la non-conformité, puisque 36% des décideurs IT français (48% au Royaume-Uni et 47% en Allemagne) déclarent que leur entreprise est financièrement préparée à couvrir les amendes. D’autres prévoient plutôt un transfert de risque, avec 22% des répondants français révélant que leur entreprise est couverte par une cyber assurance en cas d’attaque informatique (24% au Royaume-Uni et 27% en Allemagne).

« Un vent d’optimisme semble souffler dans les entreprises puisque qu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », explique Vincent Merlin, Directeur Marketing EMEA et APJ chez Proofpoint. « A moins de 6 mois de l’entrée en vigueur du nouveau règlement, il devient pourtant urgent d’investir dans des solutions permettant de savoir précisément où sont les données, de mettre en place les contrôle de sécurité nécessaires et de surveiller et réagir à toute tentative de vol de données ».

Chiffrement, Communiqué de presse, cryptage, Cybersécurité

Wallix signe un partenariat avec Telecom ParisTech

Le partenariat entre WALLIX, éditeur de solutions logicielles de cyber-sécurité et de gouvernance des accès aux systèmes d’informations, et Télécom ParisTech école d’ingénieurs de l’IMT, a été officiellement lancé lors de la soirée du 29 Novembre dernier. C’est en présence des étudiants et de la nouvelle promotion 2020 que WALLIX a présenté aux côtés d’EY, co-parrain de la promotion, son plan d’évolution des année à venir, et la place qu’il comptait y faire aux nouveaux talents dans la cybersécurité.

WALLIX et Télécom ParisTech : pour innover et entreprendre dans un monde numérique

WALLIX, entreprise en hyper croissance et leader dans la gestion des comptes à privilèges, a choisi de parrainer la promotion 2020 de Télécom ParisTech et de proposer des plans de carrières dans la cybersécurité aux jeunes diplomés. WALLIX investit fortement dans l’innovation technologique et au travers de l’excellence de l’école Télécom ParisTech souhaite accélérer le recrutement de talents autour de ses travaux de cryptologie, de Big Data, de micro-services cloud et d’Intelligence Artificielle (IA).

Ce partenariat sur une durée de 3 ans illustre l’engagement de WALLIX à attirer des jeunes recrues issues des meilleures écoles d’ingénieurs françaises aux enjeux et besoins de la cybersécurité qui en a tant besoin. Rappelons qu’il manque à travers le monde près d’1,8 million de personnes dans ce secteur aujourd’hui. Le recrutement constitue en ce sens un défi permanent lancé aux professionnels de la Cybersécurité qui doivent réagir en conséquence.

« En quelques années, WALLIX, éditeur de logiciels de Cybersécurité et spécialiste du PAM (Privileged Access Management), est entré en Bourse à Paris pour devenir un acteur de référence en Europe, Moyen Orient et Afrique. Sur un marché en croissance annuelle de 20%, WALLIX a réalisé 50% de CA en plus au 1er semestre, grâce à la qualité de son offre technologique reconnue au meilleur niveau mondial par les analystes du secteur. Pour continuer à bâtir une offre innovante et accompagner les entreprises en pleine transition numérique à l’heure du RGPD, nous avons besoin d’attirer des talents en permanence. Nous leur offrons également un environnement de travail attractif et dynamique, avec des perspectives de carrières. Parrainer la promotion 2020 de Télécom ParisTech est donc une fierté, en illustrant notre intention de faire grandir l’écosystème et d’attirer les talents pour créer un leader de rang mondial dans la Cybersécurité ». déclare Jean-Noël De Galzain, Président de WALLIX.

Argent, Bitcoin, Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Particuliers, Securite informatique

Cryptomonnaie : le bon, la brute et le truand

Un commentaire

Alors que le Bitcoin s’envole vers des taux records, les crypto-monnaies deviennent des enjeux sociétaux, bien plus que la plupart des gens pourraient s’imaginer.

Avec leur augmentation en nombre et en valeur, ainsi que leur adoption croissante par les marchés financiers, les cryptomonnaies vont devenir de véritables cibles, et voir ainsi le nombre d’outils et techniques avancés, créateurs de profit pour les cybercriminels, croître.

Parallèlement, ces cryptomonnaies deviennent également des cibles de choix pour les pirates. Elles ont ouvert de nouvelles manières de monétiser les activités malveillantes. « 2018 devrait ainsi être l’année des mineurs-web malveillants » souligne Kaspersky. Les attaques de ransomware vont continuer à forcer les gens à acheter de la crypto-monnaie, et ce, à cause de son marché non-régulé et quasi anonyme. On s’attend aussi à une croissance des attaques ciblées sur les entreprises, ayant vocation à installer des mineurs dans les machines. Déjà de nombreuses alertes montrent l’utilisation de ce genre d’attaque ou d’infiltration. Un web-mining qui pourrait remplacer la publicité, souligne l’éditeur.

Une planche à billets made un Thaïlande

Pour fabriquer la cryptomonnaie, certains n’hésitent pas à créer des « planches à billets » numériques de taille industrielle. Bref, ils fabriquent de l’argent avec du vent. De la crypto-monnaie fabriquée par de la puissance machine. C’est comme si la Banque de France tapait, toute les minutes, sur une calculatrice pour créer 1 centime. La valeur apparait après la création orchestrée par la carte graphique de la calculatrice. Une monnaie immatérielle, hors autorité centrale, comme la Banque de France justement.

39 000 dollars de courant par jour !

Pour fabriquer leurs monnaie technologique, les « mineurs » installent des dizaines de machines qui « minent », qui génèrent de la crypto-monnaie. ZATAZ a mis la main sur l’une de ces « mines ». Dans notre cas, une « ferme » basée en Thaïlande. Data Security Breach a accès à un serveur mal sécurisé qui gère la température, la vitesse, les ip … d’une cinquantaine de machines employées dans cette création de cryptomonnaie. Dans ce cas, du Bitcoin. Autant dire que l’intérêt est grande de produire cette monnaie vue la monté en flèche de son cours. Un minage qui permet aussi de valider les transactions et sécuriser le réseau fournisseur de Bitcoin. En Chine, un ferme de 21 000 serveurs basés à Ordos représente à elle seule près de 4% de la puissance de calcul mondiale Bitcoin ! Une ferme qui consomme 40 mégawatts d’électricité. Soit 39 000 dollars de facture par jour. On comprend mieux pourquoi certains pirates n’hésitent pas à détourner l’électricité pour leur consommation ! Des fermes comme Ordos, ou celle découverte par DataSecurityBreach.fr, il en existe des dizaines dans le monde. Le Washington Post présentait l’une d’elle, en 2016.

L’État surveillerait les transactions

En outre, le Ministre des Comptes publics, Gérald Darmanin, est intervenu ce 12 décembre 2017 au sujet des cryptomonnaies. Le ministre a précisé que l’État surveillait l’utilisation du Bitcoin et des autres monnaies virtuelles (Monero, Etherum, …). Le Ministre explique que cette surveillance a pour but d’éviter que las cryptomonnaies ne soient « pas perverties […] permettant les financements du crime organisé, du terrorisme ou du blanchiment ». Le ministre de l’Actions et des comptes publics a rappelé aux Français ayant revendus leurs bitcoins, par exemple, de ne pas oublier de notifier la plus-value  sur leur déclaration de revenus.

En conséquence, ne pas le faire ? La sanction pourrait tomber selon le ministre « le redressement fiscal serait évidemment à la hauteur de la fraude. ».

Pendant ce temps, la crypto-monnaie devenant tellement volatile que certaines entreprises préfèrent stopper son utilisation, comme Steam, fournisseur de jeux vidéo. La filiale de l’éditeur Valve proposait de payer en Bitcoin depuis 2016. Le coût des transaction ayant explosé (20$), l’entreprise a stoppé cette solution.

Et piratage…

Encore un site piraté, cette fois, la plateforme Slovène NiceHash. Plus de 54 millions d’euros en crypto-monnaie y ont été dérobés. Enfin, selon le directeur marketing de l’entreprise, Andrej Kraba, un social engineering particulièrement bien travaillé a permis au pirate de mettre la main sur quelque 4.700 bitcoins. Probablement qu’ils auront retenu la leçon… ou pas !

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Securite informatique

Mots de passe, authentification forte… 5 conseils pour ne plus se faire pirater

Voler un mot de passe est devenu un sport numérique pour les pirates tant les méthodes sont nombreuses. Si rien n’est infaillible, quelques méthodes peuvent permettre de réduire les risques.

Le mot de passe, un précieux trop souvent ignoré. Selon des informations publiées récemment, des pirates se seraient fait passer pour des employés de Microsoft afin de dérober des mots de passe auprès de députés britanniques. La réussite de cette attaque – la plus importante jamais menée à l’encontre du parlement – serait le résultat de l’erreur humaine, et plus précisément de l’utilisation de mots de passe « faibles » ne respectant pas les recommandations du Service numérique parlementaire (Parliamentary Digital Service). Cet incident a montré que même de hauts fonctionnaires pouvaient être vulnérables. L’homme reste souvent le maillon faible de la cybersécurité.

Les employés font généralement preuve d’une méconnaissance en ce qui concerne les questions de sécurité en ligne. Il ne se rendent pas compte qu’ils mettent leur entreprise en danger. Pourtant, bien que les organisations doivent absolument veiller à ce qu’ils ne courent aucun risque, un certain équilibre doit également être trouvé.

Si la sécurité devient une contrainte vis-à-vis de leurs tâches quotidiennes, ils seront moins enclins à observer les meilleures pratiques en la matière. Pire, ils pourraient tenter de contourner les stratégies de sécurité en place, ce qui engendrerait des risques encore plus importants.

Définir des exigences basiques en matière de mots de passe

Lorsqu’il s’agit de créer des mots de passe, on a généralement tendance à se contenter du minimum requis, et le lieu de travail ne fait pas exception sur ce plan. Il est donc important de définir des exigences relatives au nombre minimal de caractères, ou encore de complexité. L’utilisation de mots de passe « simples » (dates de naissance, noms d’animaux de compagnie et autres séquences de chiffres récurrentes, comme 123456) doit également être vivement déconseillée. Enfin, les équipes informatiques doivent exiger que tout nouveau mot de passe soit différent des anciens, et qu’ils soient mis à jour à intervalles réguliers.

Activer l’authentification à deux facteurs sur l’ensemble des comptes

Outre des mots de passe forts, les entreprises devraient également activer l’authentification à deux facteurs (2FA) de façon globale. Leurs utilisateurs seront alors obligés de saisir un élément d’identification supplémentaire. Une empreinte digitale, un mot de passe à usage unique. Des sésames afin de pouvoir accéder à leurs comptes.

Avec cette couche de protection, même si un pirate parvenait à dérober un mot de passe, il ne pourrait pas se connecter au compte. En outre, cette approche protège les identifiants des outils de découverte de mots de passe, et permet de limiter les dégâts en cas de tentative de phishing réussie. De plus en plus d’organisations sont séduites par les avantages de l’authentification 2FA et la mettent en œuvre de façon étendue dans le cadre de politiques de sécurité plus globales.

Gérer les accès des utilisateurs

Que vous ayez 5 ou 500 employés, seules les personnes appropriées doivent avoir accès aux informations adéquates. Les données sensibles devraient également être partagées avec le moins d’individus possible, et un protocole devrait être mis en place pour tout employé souhaitant accéder à un compte dont il n’a pas les identifiants.

Les entreprises devraient également concevoir un système afin d’assurer un suivi des mots de passe des différents comptes et de lister quels employés ont accès à quels comptes. Cette approche permet non seulement de s’assurer de la bonne gestion des mots de passe, mais aussi de savoir lesquels mettre à jour en cas de départ d’un salarié.

Émettre des directives relatives à l’utilisation d’appareils personnels

Le travail à distance étant de plus en plus utilisé par les employés, ces derniers utilisent de plus en plus leurs appareils personnels au travail. En effet, les sphères professionnelles et personnelles sont plus mêlées que jamais, et ils veulent par conséquent pouvoir utiliser leurs services librement. Bien que les bénéfices soient nombreux à la fois pour les employés et pour l’entreprise, cette pratique présente également un risque. Par exemple, s’ils cherchent à accéder à des données d’entreprise via un réseau sans fil public, ils exposeront sans le savoir leurs comptes professionnels. Les organisations doivent donc sensibiliser leurs employés aux risques liés à l’utilisation de leurs appareils personnels dans le cadre professionnel.

Créer une stratégie formelle

Enfin, les entreprises devraient développer une stratégie de sécurité formelle englobant l’ensemble des conseils ci-dessus, ainsi que toute autre information de sécurité dont les employés devraient être au courant. La base de cette stratégie de cybersécurité consisterait à reconnaître que les hommes sont tout aussi importants que les technologies. Qu’ils soient nouveaux ou existants, les employés devraient être formés régulièrement afin d’être sensibilisés aux risques potentiels, et d’apprendre comment contribuer à minimiser l’exposition de leur entreprise aux menaces potentielles. Enfin, la stratégie mise en place ne doit absolument pas être perçue comme une corvée. Pour cela, la gamification peut servir à stimuler l’engagement des employés et rendre la formation amusante et ouverte à chacun.

De nombreux outils permettent de gérer des mots de passe. Ils se nomment LastPass, Keeper, 1Password, Dashlane ou encore ZenyPass. Ce dernier est un nouveau gestionnaire de mots de passe. Comme ses camarades et concurrent, il s’adresse au grand public comme aux entreprises. Il permet de stocker ses mots de passe dans un coffre-fort numérique sécurisé, et de se connecter plus facilement à ses services web, tout en utilisant sur chacun de ces services des mots de passe différents et robustes, pour mieux les protéger. OpenSource, Français, il dispose ses serveurs en Europe (soumis à la réglementation Européenne).

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde, Securite informatique

Identité à vendre : le marché de l’occasion petit bonheur des voleurs de données

2 commentaires

Marché de l’occasion : une récente étude de sécurité montre que trop souvent les gens ne parviennent pas à effacer correctement leurs données personnelles sur les disques usagés, mettant ainsi en péril leur identité et leur vie privée.

Une récente étude mondiale sur la sécurité révèle que vous mettez trop facilement vos informations personnelles en danger. La société de récupération de données Kroll Ontracka analysé des disques durs d’occasion achetés en ligne pour voir s’ils contenaient des traces de données après avoir été vendu par les propriétaires précédents. Parmi les disques examinés par Kroll Ontrack, des traces de données ont été trouvées sur près de la moitié. Malgré les efforts d’un utilisateur pour effacer ses données, la récupération reste simple. Surtout si un effacement n’est pas correctement effectué.

Pour cette étude, 64 disques durs d’occasion de diverses marques ont été achetées sur eBay (vendeurs privés). Les disques avaient été effacés avec succès ou contenaient encore des traces de données. L’étude a révélé qu’il restait des traces de données sur 30 disques (47%). Les 34 disques restants avaient été nettoyés avec succès (53%).

Données sensibles à vendre sur les sites de petites annonces !

La probabilité de trouver des données personnelles n’est pas le résultat le plus inquiétant de l’étude. La sensibilité de cette information l’est plus encore. Pour les utilisateurs imprudents, la vente d’appareils contenant des données personnelles s’apparente à la vente de leur identité.

C’est le cas d’un HD qui appartenait à une entreprise. Elle utilisait un fournisseur de services pour effacer et revendre ses anciens disques. Ce média contenait une mine d’informations très sensibles. Les noms d’utilisateur, adresses de domicile, numéros de téléphone et les détails de carte de crédit ont été retrouvés. Il contenait une liste d’environ 100 noms. Des informations sur leur expérience professionnelle, leur fonction, les téléphones et un carnet d’adresses de 1 Mo sortis du HD.

Marché de l’occasion : le diable est dans les détails

18 des 64 disques examinés contenaient des informations personnelles critiques ou très critiques. Près d’un tiers (21 disques) contenait des photos personnelles, des documents privés, des courriels, des vidéos … Des informations de compte utilisateur ont été découvertes sur huit lecteurs. La récupération de données transactionnelles a été possible sur sept disques durs. Cela incluait les noms de sociétés, les bulletins de salaire, les numéros de cartes de crédit, les coordonnées bancaires, les détails d’investissement et les déclarations de revenus.

Un média contenait toujours l’historique de navigation, tandis que des données explicites étaient présentes sur un autre.

Le risque s’étend au monde des affaires

Le domaine personnel n’est pas le seul à être touché. Des informations de nature professionnelle se retrouvent très souvent sur des appareils privés, comme par exemple les données commerciales. Six disques contenaient des données commerciales critiques telles que les fichiers CAO, PDF, jpgs, clés et mots de passe. Des paramétrages complets de boutiques en ligne, des fichiers de configuration et des vidéos de formation. Cinq autres contenaient d’autres données liées au travail : les factures et les bons de commande, dont une grande partie comprenant des renseignements personnels sensibles ont aussi été découverts.

Kingston Technology, fabricant et expert dans le domaine des disques SSD, souligne que les disques SSD se comportent très différemment des disques durs lorsqu’ils enregistrent ou effacent des données. Ces différences technologiques présentent leurs propres défis techniques lorsqu’il s’agit de supprimer de manière sécurisée les données des supports de stockage Flash. Les disques SSD ont plusieurs fonctions qui affectent l’état des données stockées, comme la fonction FTL (Flash Translation Layer), qui contrôle le mappage des fichiers, ainsi que le niveau d’usure, Trim, Garbage Collection et le chiffrement permanent. Tous ont un impact sur la récupération des données supprimées.

L’informatique et l’occasion, fuite possible

Attention, Data Security Breach rappelle que les données sont aussi récupérables sur les smartphones, consoles, TV connectées ou encore l’ordinateur de bord de votre voiture (GPS, …). La revente doit se faire dans les règles de l’art en vous assurant une destruction totale des données. Enfin, je vais être honnête, il est de plus en plus difficile sans passer par le marteau ou des outils puissants et couteux pour détruire le contenu.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Oracle, Patch, Piratage, Securite informatique

Java est dangereux selon une nouvelle étude

Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !

Vous utilisez java ? Êtes-vous comme 28% des entreprises qui ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur ? CA Technologies a présenté les résultats de sa derniére étude baptisée « Rapport sur la Sécurité des Logiciels en 2017 ». Une étude réalisée par Veracode, sa filiale spécialisée dans la sécurisation des logiciels.

Ce rapport est une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques mniprésents liés à l’utilisation de composants open source vulnérables.

A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.

88% des applications Java seraient dangereuses

Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.

Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements comme le fait que 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production. Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%). Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %.

Les raisons de ces failles majeures

Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.

Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.

Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.

Industrialisation des cyberattaques : une réalité méconnue

Pour Chris Wysopal, les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.

L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.

Le rapport donne 5 conseils à suivre

Tester le plus tôt possible dans le cycle de développement et le plus souvent possible ;
Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue et les procédures de remédiation ;
Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités ;
Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques ;
Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.

En conclusion, il est urgent de réagir et d’agir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses, aujourd’hui le danger ne vient plus de pirates isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.

Base de données, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Facebook collecte-t-il des données étatiques ?

Pour récupérer un compte Facebook, un espace Instagram piraté, le géant de l’Internet réclame une photo de votre visage et une copie de votre carte d’identité. Facebook collecte-t-il des données étatiques sous couvert de cybersécurité ?

Facebook serait-il en train de se constituer une base de données contenant des informations étatiques sous le couvert de ses opérations de cybersécurité ? Voilà la question qui est posée. De nombreux lecteurs de Data Security Breach ont reçu un message de Facebook après le blocage de leur compte sur le réseau social. un piratage, un message douteux, … Facebook exige la photographie du propriétaire et sa pièce d’identité. Un scan de la carte d’identité. Facebook explique qu’il s’agit de s’assurer que le propriétaire légitime pourra récupérer son espace. Cela démontre surtout que les algorithmes biométriques sont efficaces. Facebook compare avec les photos présentes sur le compte. Mais n’est-ce-pas aussi et surtout un moyen de fichier plus efficacement encore les utilisateurs.

Cette « récupération » de données (carte d’identité) permet de prouver aux actionnaires que les comptes sont bien associés à des personnes physiques.

Des majeures et solvables si possible.

Bref, voilà le questionnement sur cette « demande » d’informations. Facebook affirme ne rien sauvegarder sur ses serveurs : « Merci d’envoyer une photo de vous montrant clairement votre visage. Nous la vérifierons puis la supprimerons définitivement de nos serveurs ».

Valider son compte Facebook avec sa carte d’identité

Facebook a annoncé il y a peu vouloir utiliser cette méthode pour valider un nouveau compte ouvert sur sa plateforme. Le nouvel abonné, explique Wired, aura l’obligation de se prendre en photo pour ouvrir un profil. Facebook indique que ce projet de sécurisation sera opérationnel sous peu. Le système est testé depuis avril 2017. Facebook parle d’un système de sécurité. Système qui doit permettre de « détecter les activités suspectes » lors d’une demande d’ami ou pour créer une publicité.

Des algorithmes Facebook qui ne sont pas tous à mettre dans la case « espionnage » (quoique) ! A l’image de son détecteur de suicide. Un code qui apprend par lui même et qui serait capable d’alerter en cas de messages considérés comme « annonçant » un passage à l’acte suicidaire en cours. Un système de détection qui ne sera pas mis en place en Europe en raison des règles en matière de respect de la vie privée (RGPD). Une technologie testée depuis mars 2017.

Pour détecter ce genre de cri de détresse, Facebook a introduit en mars 2017 une technologie apprenant par elle-même.

Un algorithme autodidacte. Il a appris à identifier des modèles dans des données existantes : messages, photos … Il peut être utilisé pour détecter ces modèles dans de nouvelles données. Ces données peuvent être des messages inquiétants, des réactions soucieuses à ceux-ci, voire des appels à l’aide sous la forme de vidéos en direct. Plus l’algorithme de détection s’appliquera, plus il deviendra intelligent. « L’intelligence artificielle nous aidera à reconnaître également les nuances linguistiques plus subtiles et à identifier les tendances suicidaires, le harcèlement« , indique Mark Zuckerberg.

Communiqué de presse, Emploi, Entreprise, ID, Identité numérique, Logiciels, Paiement en ligne, Particuliers, Propriété Industrielle, Vie privée

PeerTube : une alternative libre à YouTube d’ici mars 2018 ?

Après trois années passées à « Dégoogliser Internet », l’association française Framasoft finance actuellement le développement de PeerTube, un logiciel libre qui vise à égratigner le monopole de YouTube… grâce à une conception radicalement différente.

PeerTube

Le principe de YouTube est simple : centraliser et contrôler le maximum de créations vidéos pour mieux capter l’attention et les données personnelles des internautes qui vont les voir. Pour financer de telles plateformes, il faut les moyens d’un Google-Alphabet (qui détient YouTube) ou d’un Vivendi-Universal (qui a acheté Dailymotion).

C’est en partant aux antipodes de ce principe que Chocobozzz a conçu PeerTube : un logiciel libre qui allie fédération d’hébergements vidéo et visionnage en pair-à-pair. Après deux années à développer PeerTube sur son temps libre, Chocobozzz vient de rejoindre l’équipe salariée de l’association Framasoft. Il se consacre à la finalisation du projet, dont une version publiquement utilisable est prévue pour mars 2018.

Un peu de technique…

À l’instar de Mastodon (une alternative libre et fédérée à Twitter), PeerTube utilise le protocole ActivityPub. Il permet de fédérer de petits hébergeurs de vidéos indépendants, ce qui permet à un spectateur qui va sur telle instance de PeerTube d’avoir accès à l’ensemble du catalogue vidéos de sa fédération. Ainsi, il n’est plus nécessaire d’héberger les vidéos de la terre entière pour présenter ses vidéos à un large public.

La diffusion en pair-à-pair permet de partager entre internautes des fragments de la vidéo que plusieurs personnes regardent en même temps. Avec cette technologie basée sur WebTorrent, on diminue fortement le risque qu’une vidéo faisant le buzz fasse tomber le serveur, ce qui évite de payer au prix fort bande passante et trafic vers son serveur.

Allier ces deux principes techniques, qui font partie des fondamentaux d’Internet, permet tout simplement de démocratiser l’hébergement de vidéos, afin que des médias, des associations, des universités et des collectifs d’artistes puissent progressivement gagner leur indépendance face à un YouTube toujours plus contraignant.

Framasoft fait le pari du libre, qui n’est pas gratuit

« Pendant ces trois années passées à Dégoogliser Internet, nous avons cherché une alternative libre à YouTube qui ne demande pas d’avoir les moyens d’un Google-Alphabet… car nous avons fait les calculs : nous sommes 350 000 fois plus pauvres qu’eux ! » plaisante Pierre-Yves Gosset, directeur de Framasoft. « L’intérêt de Google, c’est de centraliser nos créations vidéos et nos attentions, pour mieux capter nos données personnelles et monétiser notre temps de cerveau disponible. Chocobozzz a pensé PeerTube hors des sentiers battus par ces plateformes centralisatrices, et c’est là la véritable innovation. Il était donc évident pour nous de soutenir son projet en finançant son temps de travail. »

Le pari n’est pas anodin pour cette petite association française financée à 90 % par les dons des internautes. Sur les 90 000 € que Framasoft demande au public pour boucler son budget 2018. Un tiers sera consacré au développement de PeerTube, que l’association présente sur le site Framatube.org.

« Dès mars 2018, Framatube ne sera qu’une des portes d’entrée vers la fédération PeerTube. Nous n’hébergerons pas les vidéos de tout le monde. Nous préférerons accompagner des collectifs en les incitant à ouvrir leur propre instance de PeerTube. Bref : plutôt que de copier les géants du Web, nous voulons créer un réseau de fourmilières sur la toile. » conclut Pierre-Yves.

Avec plus de 38 000 € récoltés sur les 90 000 € nécessaires à la continuité de ses actions, Framasoft, espère que ce pari sera relevé.