Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, santé, Téléphonie, Twitter

Vivre et mourir à travers le regard des autres : Suicide en direct sur Périscope

Suicide en direct sur Périscope – Le grand public a découvert l’application Periscope après la médiatisation de la vidéo du footballeur de l’équipe de France Serge Aurier insultant Laurent Blanc en réponse à des questions posées par des internautes. Cette application permet en effet de retransmettre en direct ce qu’on filme et les autres utilisateurs peuvent commenter tout autant en direct ce qu’ils voient, et c’est un suicide ils ont pu assister ce mardi 10 mai.

Après avoir annoncé qu’elle allait faire quelque chose de choquant et demandé aux mineurs de ne pas regarder -ce qui a dû en attirer plus d’un- une jeune femme a annoncé avoir été violée et a désigné nommément de son agresseur. Afin de faire passer selon ses dires « un message », elle s’est ensuite jetée sous un RER C en direct sous les yeux d’une centaine d’utilisateurs. Elle avait moins de 20 ans.

Cela s’est produit vers 16h30 à la gare d’Egly en Essonne. La jeune femme avait quelques minutes auparavant annoncé son geste à l’un de ses proches par sms. Ce dernier comme les ‘’spectateurs’’ n’ont rien pu faire, si ce n’est appeler les pompiers qui ont ramassé le téléphone puis retiré sa batterie pour mettre fin à la vidéo. Le téléphone a été saisi par les enquêteurs d’une brigade de recherche et une enquête a été ouverte par le parquet d’Evry et de nombreuses personnes appellent à la fermeture de l’application via les réseaux sociaux.

Suicide en direct sur Périscope : l’illustration tragique des dérives de l’exposition de soi sur les réseaux
Comment a-t-on pu en arriver là ? Quel a pu être le raisonnement de cette jeune fille ? Elle a affirmé dans une de ses vidéos que « tant qu’on ne tape pas dans la provoc’ les gens de comprennent pas ». Elle a donc estimé que le seul moyen d’exprimer sa détresse due au viol dont elle aurait été victime était de partager son suicide avec des inconnus. Se jeter sous un RER est malheureusement devenu courant chez les jeunes, comme l’avais montré le suicide de deux élèves de Polytechnique en février et mars 2016.

Récemment les médias ont dénoncé une nouvelle mode consistant à tabasser un inconnu dans la rue de manière totalement gratuite et aléatoire, et ce en direct sur Periscope. Cette application tend à devenir le moyen de communication privilégié des comportements les plus noirs de notre société. Est-ce que le suicide de cette jeune femme va être une source d’inspiration pour d’autres personnes ? Nous ne l’espérons pas et plaidons en faveur d’une fermeture préventive de l’application devenue malgré elle malsaine.

L’éthique douteuse de Baidu mise en lumière après la mort d’un internaute
Baidu a été fondé en 2000 et est aujourd’hui le plus grand moteur de recherche Chinois, ce qui en fait le 5ème site le plus consulté au monde. A l’instar de Google avec son système AdWords, Baidu se finance grâce à la sponsorisation des liens internet. Or, les publicités médicales représentent environ 20% des revenus de son moteur de recherche. Début janvier, on a découvert que Baidu avait supprimé les messages négatifs de la part d’internautes de forums de santé sur des contenus sponsorisés de médicaments et hôpitaux. Ce n’était que les prémices d’une dénonciation des pratiques commerciales du groupe par l’autorité de régulation administrant l’internet chinois, la CAC.

Les dérives de l’utra-sponsorisation en matière médicale
Wei Zewi, un étudiant chinois de 21 ans diagnostiqué d’une forme rare de cancer a fait une recherche sur Baidu concernant sa maladie et les premiers résultats ont mis en évidence une immunothérapie expérimentale par un hôpital pekinois. Ce traitement très onéreux s’est révélé totalement inefficace et, avant de mourir, le jeune homme a écrit une lettre accusant Baidu de tromper ses usagers en classant les résultats selon les recettes publicitaires. L’émotion qu’il a suscité sur les réseaux sociaux a attiré l’attention des médias et autorités, jusqu’à faire dégringoler le cours du groupe chinois à la Bourse de New York.

L’enquête du régulateur de l’internet chinois révèle que « le mécanisme utilisé par Baidu pour classer les résultats dépend de façon excessive du prix payé et les contenus sponsorisés ne sont pas clairement signalés ». La CAC insiste sur le fait que ce système « influence l’impartialité et l’objectivité des résultats obtenus et contribue facilement à induire en erreur les internautes ». Ces remarques sont vraies dans tous les secteurs, mais les conséquences peuvent-être particulièrement désastreuses en matière médicale comme l’a montré le cas Wei Zewi. Ainsi, sans être des professionnels de la santé, on peut dire que les moteurs de recherche devraient respecter d’eux-mêmes une forme d’éthique médicale vis-à-vis de ses internautes malades.

Enfin une remise en cause du modèle économique biface des moteurs de recherche gratuits ?
Suite à cette affaire, Baidu a pris divers engagements. Il a assuré avoir supprimé les résultats sponsorisés de la part de plus de 2500 établissement médicaux ou entreprises de santé et a annoncé la mise en place d’un fonds d’indemnisation des usagers victimes de résultats publicitaires trompeurs de l’équivalent de 135 millions d’euros. De manière plus concrète, Baidu s’est engagé à signaler ostensiblement les contenus sponsorisés à l’aide de marqueurs et avertissements et les limitera à 30% de chaque page de résultat affiché.

Le modèle économique de Baidu est dit « biface » car on a d’un côté les internautes, qui ne payent pas et de l’autre coté les annonceurs, qui eux payent pour être mis en avant. Cette seconde face finance le moteur de recherche à concurrence de 84% du chiffre d’affaire. C’est donc de manière indirecte que les usagers de Baidu, Google, Ebay et de la multitude d’autres sites en apparence gratuits peuvent prendre le statut de consommateur. Ce statut permettrait aux internautes d’être protégés plus efficacement contre les abus des moteurs de recherche et de leurs partenaires annonceurs pour les inciter à se tourner vers tel ou tel produit ou service.

Mais le droit de la consommation ne s’est pas encore à proprement parler emparé de la question du modèle biface et de ses conséquences pour les internautes-consommateurs. Par exemple, le cheval de troie des attaquants du service AdWords de Google devant la Cour de justice de l’Union Européenne le 23 mars 2010 a été le droit des marques et la lutte contre la contrefaçon sur internet. Les mésaventures de Baidu catalyseront peut-être une prise de conscience collective des risques liés à l’influence des résultats de recherche sur les choix de consommation des internautes, particulièrement concernant leur santé.

Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM (http://www.acbm-avocats.com)

Argent, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Cybersécurité, Justice, loi

7 ans de prison et 750000€ d’amende pour les réseaux de contrefacteurs en France

Un commentaire

Vêtements, produits de luxe, dvd, films, albums de musique… Les réseaux de contrefacteurs en bande organisée, comme un portail diffuseur de liens torrents reliés à des copies illicites risquent 7 ans d’emprisonnement et 750.000€ d’amende.

L’Union des Fabricants (Unifab), association française de lutte anti-contrefaçon qui œuvre depuis plus de 140 ans pour la protection et la promotion du droit de la propriété intellectuelle, et ses 200 entreprises adhérentes issues de tous les secteurs d’activité, se félicitent de l’adoption en Commission Mixte Paritaire (CMP) de l’amendement concernant l’aggravation des sanctions en matière de contrefaçon en bande organisée, portant les peines encourues pour les contrefacteurs, de 5 ans et 500.000€,  à 7 ans d’emprisonnement et 750.000€ d’amende.

Les discussions dans le cadre du projet de loi lutte contre le terrorisme, entamées à l’Assemblée Nationale et poursuivies au Sénat, ont abouti à une véritable avancée,  dans la protection des œuvres de l’esprit qui sont, il est important de le rappeler, les piliers de la tradition, du savoir-faire, de l’économie, de la création, et de la sécurité des consommateurs.

Réseaux de contrefacteurs

Cette disposition, qui demeure à l’adoption finale et définitive du texte, s’inscrit dans la droite ligne des 10 recommandations formulées par l’Unifab à l’occasion de la sortie de son rapport sur le lien direct entre « contrefaçon et terrorisme » remis officiellement au Ministre des Finances et des Comptes Publics M. Michel Sapin le 28 janvier dernier.

« Aujourd’hui nous célébrons une véritable et authentique victoire, une avancée spectaculaire, qui provoquera une réelle prise de conscience dans l’application des peines à leur plus juste niveau. Je ne peux que féliciter et remercier les acteurs majeurs de cette initiative, et particulièrement le président du Comité National Anti-Contrefaçon (CNAC) et Sénateur des Français à l’étranger M.Richard Yung, qui, grâce à un engagement sans faille a permis de réévaluer le cadre répressif de la propriété intellectuelle pour être en phase avec l’échelle des peines des délits similaires… » déclare Christian Peugeot, Président de l’Unifab.

Alors que la France, leader en matière de protection des droits de propriété intellectuelle, renforce son système répressif concernant les activités liées aux réseaux de contrefacteurs, le tribunal populaire de Putuo, à Shanghai vient de condamner un revendeur, sur une célèbre plateforme chinoise de e-commerce, à fermer sa boutique en ligne et à cesser d’utiliser frauduleusement la marque « Bonpoint ». Le contrefacteur a été condamné à payer 35.000 yuans, et, fait surprenant, à exprimer publiquement ses excuses dans le journal local Xinmin.

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Base de données, Cybersécurité, Entreprise, Mise à jour, santé, Sauvegarde

Google s’ouvre les portes de centaines de milliers de dossiers de santé

Un accord signé entre Google et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux.

Le National Health Service (NHS) est le système de la santé publique du Royaume-Uni. Sa mission, permettre aux britanniques de se soigner dans les meilleures conditions. Quatre NHS régissent le système de santé publique des Écossais, Britanniques, Irlandais et Gallois. Les sujets de sa gracieuse majesté vont adorer apprendre que le NHS a signé un accord avec une filiale de Google, DeepMind. Finalité de ce partenariat, comprendre la santé humaine. Sauf qu’il semble que ce contrat passé en 2014 vient de prendre une nouvelle tournure plus intrusive.

DeepMind a dorénavant un accès complet à 1,6 millions de dossiers de patients britanniques. Des dossiers de patients passés par les trois principaux hôpitaux de Londres : Barnet, Chase Farm, et le Royal Free. En février, la filiale de Google dédiée à l’intelligence artificielle a indiqué avoir mis en place une application appelée Streams. Elle est destinée à aider les hôpitaux à surveiller les patients atteints de maladie rénale. Cependant, il vient d’être révélé que l’étendue des données partagées va beaucoup plus loin et inclut des journaux d’activité, au jour le jour, de l’hôpital (qui rend visite au malade, quand…) et de l’état des patients.

Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. Dans le même temps, DeepMind développe une plate-forme appelée Rescue Patient. Le logiciel utilise les flux de données de l’hôpital. Des informations qui doivent permettre de mener à bien un diagnostic. New Scientist explique que l’application compare les informations d’un nouveau patient avec des millions d’autres cas « Patient Rescue pourrait être en mesure de prédire les premiers stades d’une maladie. Les médecins pourraient alors effectuer des tests pour voir si la prédiction est correcte« .

Chiffrement, cryptage, Cybersécurité, Social engineering

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

Banque, Contrefaçon, Cybersécurité, Mise à jour

Forte hausse de la contrefaçon des billets de banque

La police allemande s’inquiète de la forte hausse de la contrefaçon des billets de banque de 20 et 50 euros. Elle a quasiment doublée en 2015.

Les billets de banques Euros contrefaits ont augmenté considérablement, en 2015, selon un rapport publié par l’Agence fédérale de la police criminelle allemande (BKA). En 2015, 86.500 cas ont été enregistrés par les autorités. Deux fois plus d’affaires qu’en 2011. 42% de plus qu’en 2014. Un total de 112.000 billets Euros falsifiées ont été découverts en Allemagne pour une valeur nominale de 5,5 millions d’euros. Une hausse de 48% par rapport à l’année précédente. 37% des faux étaient des billets de 20 euros. Les billets de 50 montent sur la plus haute marche de ce business de la contrefaçon avec la moitié des euros saisis.

Contrefaçon des billets de banque

Selon le rapport, cette hausse de la contrefaçon des billets de banque serait due au black market, le marché noir des données piratées, contrefaites et illégales. En plus des faux billets, il n’est pas rare de croiser du matériel pour contrefaire des billets de banque : des hologrammes et des modes d’emploi vendus dans les boutiques du dark net, par exemples.

Inquiétant, les contrefacteurs semblent être en mesure d’imiter beaucoup plus de fonctionnalités de sécurité, comme que la micro-impression. Le BKA a noté que la plupart des « contrefaçons de haute qualité » ont été produites en Europe orientale et méridionale. L’Italie est montrée du doigt.

En dépit de l’amélioration de la qualité des contrefaçons, les autorités indiquent que la majorité des billets contrefaits sont détectables sans l’utilisation d’aides techniques. (DW)

Cybersécurité, Justice, loi

Le droit des données personnelles

N’attendez pas que la CNIL ou les pirates vous tombent dessus ! « Le droit des données personnelles » aux éditions Eyrolles.

La seconde édition de « Le droit des données personnelles » de Fabrice Mattatia, aux éditions Eyrolles augmentée et mise à jour, fait le point sur le droit applicable en France aux traitements de données personnelles. Elle intéressera aussi bien les juristes en quête d’un ouvrage de synthèse ou les informaticiens préparant un nouveau développement, que les directeurs informatiques et les dirigeants d’entreprises ou d’administrations désireux de connaître leurs obligations légales. Ils y trouveront un exposé méthodique des lois applicables, ainsi que l’analyse des jurisprudences les plus récentes, afin de pouvoir répondre aux questions concrètes qu’ils peuvent se poser : quelles formalités administratives accomplir ? Quels sont les droits des personnes concernées ? Y a-t-il des données dont le traitement est interdit ou encadré ? Combien de temps peuvent-ils conserver les données personnelles collectées ? Peut-on envoyer des données personnelles hors d’Europe, et notamment aux États-Unis ? Quel risque pénal prennent-ils en négligeant leurs obligations ? Quelles évolutions du cadre européen sont prévues dans les années à venir ? Un livre d’autant plus indispensable que le Parlement européen vient d’adopter définitivement le règlement sur la protection des données personnelles qui sera applicable d’ici 2 ans et dont l’analyse constitue le chapitre 9 de cet ouvrage. « Le droit des données personnelles » Ed. Eyrolles, chez votre libraire depuis le 22 avril 2016. (240 pages / 978-2-212-14298-3 / 35€).

Cybersécurité, Emploi, Entreprise, loi, Propriété Industrielle

Sécurité, conception et outils collaboratifs

Une étude européenne révèle que les décideurs informatiques mettent en priorité la sécurité de leurs équipements. La conception et les outils collaboratifs représentent également une préoccupation grandissante.

Une nouvelle étude révèle que, tandis qu’un quart des entreprises à travers l’Europe affirment avoir subi un incident de sécurité sur leurs équipements au cours des 12 derniers mois, moins d’un tiers d’entre elles (32 %) font entièrement confiance au niveau de sécurité de leur parc informatique. L’étude commandée par HP a été réalisée par Redshift Research dans sept pays européens auprès de 1016 décideurs informatiques, dont 205 en France. Ils ont été interrogés sur l’utilisation des équipements dans leur entreprise et les résultats font apparaître une inquiétude au sujet des technologies actuelles ; 90 % des participants étant particulièrement préoccupés par la sécurité des équipements.

Cependant, si les décideurs informatiques soulignent l’importance de la sécurité des équipements, ils reconnaissent que la conception est également un critère essentiel pour eux. Elle favorise la flexibilité au travail et contribue à la satisfaction des collaborateurs. Plus de deux tiers (69 %) des responsables interrogés estiment que la conception d’un PC est cruciale pour une mobilité optimale, tandis que plus des trois quarts (77 %) pensent qu’un PC bien conçu améliore la satisfaction au travail. Près de la moitié des décideurs informatiques (44 % – 47 % pour la France) admettent l’absence d’une politique de BYOD dans leur entreprise. Les équipements fournis par leur service informatique jouent de ce fait un rôle d’autant plus important pour les collaborateurs, surtout que la génération Y représente une proportion croissante du personnel.

« L’utilisation des équipements professionnels par nos clients ne cesse d’évoluer, se traduisant notamment par une collaboration, une mobilité et une productivité accrues pour les utilisateurs », commente Philippe Chaventré, Directeur de la Catégorie PC pour HP France. « Ces nouvelles méthodes de travail représentent également un véritable défi pour les décideurs informatiques. Ils doivent veiller à préserver la sécurité de leurs équipements tout en fournissant des produits modernes et bien pensés qui répondent aux exigences de leurs collaborateurs en matière de productivité et de design ».

Parmi les motifs les plus courants d’insatisfaction par rapport aux PC professionnels, les décideurs informatiques citent le design peu attrayant (32 %) et la faible autonomie de batterie (25 %). Grâce aux smartphones, les utilisateurs peuvent désormais travailler où et quand ils le souhaitent, à domicile, au bureau ou en déplacement, mais aussi se servir de leur équipement professionnel à des fins personnelles, notamment sur les réseaux sociaux. Cette tendance se reflète dans l’évolution de l’attitude des décideurs informatiques: plus d’un tiers (37 %) d’entre eux déclarent que leur entreprise ne surveille pas les activités extraprofessionnelles sur les PC professionnels. Ils indiquent également que leurs employés deviennent de plus en plus mobiles : 43 % précisent que leurs collaborateurs passent moins de 35 heures par semaine dans un bureau et, en moyenne, 9 heures hebdomadaires dans des réunions en face-à-face et à distance.

Avec un personnel toujours plus mobile, la demande d’outils collaboratifs en entreprise se fait plus pressante. La messagerie instantanée est l’outil collaboratif le plus couramment utilisé : plus de 50 % des personnes interrogées disent l’utiliser chaque jour (cela atteint même 60 % en France). La moitié des décideurs informatiques indiquent que leurs collaborateurs se servent d’outils de vidéoconférence sur leur PC au moins deux fois par semaine (25 % pour la France). Cependant, la connectivité des équipements demeure un défi, et même le principal frein technologique au travail collaboratif pour 29 % des participants à l’enquête. 25 % s’estiment par ailleurs bridés par les logiciels (20 % pour la France).

Les outils collaboratifs : expériences différentes à travers l’Europe
Les résultats de l’enquête mettent également en lumière des différences dans l’utilisation des équipements en entreprise à travers l’Europe. En Allemagne, les décideurs informatiques sont très nombreux à fournir des outils de vidéoconférence à leurs collaborateurs (seuls 7 % ne le font pas), alors qu’au Royaume-Uni ils sont plus d’un quart (27 %) à ne pas offrir cet équipement. De même, l’usage de la messagerie instantanée varie suivant les pays : 84 % des responsables interrogés en Espagne indiquent que leurs collaborateurs l’emploient quotidiennement, contre seulement 27 % en Suisse.

En France, 78 % des décideurs informatiques inscrivent la sécurité des équipements au cœur de leurs préoccupations, contre moins de la moitié de leurs homologues britanniques (49 %). Par ailleurs, en Espagne, plus de trois quarts (78 %) des participants à l’enquête ont subi un incident de sécurité sur les équipements de leur entreprise, contre à peine plus de la moitié (51 %) outre-Manche.

« En France, les décideurs informatiques s’inquiètent encore plus que leurs homologues européens de la sécurité de leurs équipements, dans la mesure où plus de trois quarts (78 %) en font une préoccupation majeure », précise Philippe Chaventré, Directeur de la Division PC pour HP France. « Cela n’est pas surprenant compte tenu de la vague récente de cyberattaques de grande ampleur lancées contre des entreprises françaises au cours des six derniers mois. Chaque responsable informatique a cela en tête et souhaite éviter à tout prix que son entreprise soit la prochaine sur la liste. Cependant, 84 % d’entre eux déclarent avoir confiance dans les solutions ou services de sécurité équipant les outils informatiques ».

Par contre, les décideurs informatiques ne font pas ressortir de différences significatives d’un pays à l’autre pour ce qui est de la satisfaction de leur personnel face à la conception des équipements.

backdoor, Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.