Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Téléphonie

Encore des prédictions sécurité pour 2014

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1.      Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2.      Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3.      L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4.      Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

Android, Hacking, ios, Sécurité

Pirater un drône, simple comme du sans fil

Un bidouilleur explique comment, en quelques minutes, un pirate pourrait prendre la main sur des drones grand public vendus dans le commerce. Samy Kamkar est un informaticien qui aime mettre son nez dans les bits qui lui passent sous la souris. En 2005, il avait déjà fait parler de lui en dénonçant les informations des GPS des smartphones envoyées, illégalement, aux constructeurs.Il avait aussi joué avec MySpace avec le virus Samy.

Le codeur vient d’expliquer comment, avec un drône vendu dans le commerce, un Raspberry Pi, une petite batterie et deux transmetteurs wifi, il lui est possible de pirater les drones qui lui tournent autour. Pour le moment, se sont les drones de la marque Parrot. Bref, plus de 500.000 engins du leader du drône pour papa geek peuvent se faire pirater. Samy Kamkar a créé une application du nom de SkyJack. Le logiciel déconnecte les autres drones de leur propriétaire. Bilan, les commandes passées normalement par un téléphone portable (iOS ou Android) ne passent plus.

Bref, il a réussi à transformer des drones en zombi. Voilà qui s’annonce… hot dans de mauvaises mains !

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Sécuriser ses données personnelles dans le Cloud

2 commentaires

L’application développée par Prim’X permet de sécuriser, en le chiffrant, n’importe quel document que l’on souhaite garder confidentiel. Nous recevons aujourd’hui de plus en plus de documents administratifs personnels par email : factures (eau, énergie, téléphone etc.), relevés bancaires, etc. comportant des informations confidentielles que nous souhaitons garder secrètes.

Certains s’interrogent même sur le meilleur moyen de protéger leurs papiers administratifs en cas de sinistres. Il peut en effet s’avérer judicieux de préserver sous format électronique des copies de factures d’électroménager, de meubles ou bijoux, de ses différents contrats, etc. Le type même de documents à fournir à son assureur après un incendie ou un cambriolage par exemple. Les différents sites de Cloud bien connus (Dropbox, Google Drive, etc.) offrent gracieusement quelques Giga de stockage pour nos données personnelles. Mais, les récentes affaires d’espionnage, nous freinent dans cette démarche. La peur nous fait hésiter à déposer dans ces drives nos fichiers les plus confidentiels, mais qui pourtant pourraient être indispensables dans les situations les moins heureuses pour espérer être indemnisé.

Grâce à Zed! il est possible de protéger dans l’équivalent d’une valise diplomatique électronique tous ses documents scannés et de les stocker dans le Cloud pour y avoir accès en quelques clics et avec un seul mot de passe. L’application Zed! permet en effet de chiffrer les documents en les plaçant dans la valise diplomatique d’un simple copier/coller. Seul le propriétaire de la valise Zed! a accès au contenu et peut lire les fichiers. Zed! est gratuit en version limitée. La version complète est disponible à 35€. L’application est compatible avec n’importe quel service de Cloud (DropBox, Google Drive, SkyDrive, etc.) et les différents documents protégés peuvent être également ouverts depuis un Smartphone. Le fonctionnement est très simple.

Désormais en application Smartphone pour lire les archives .zed ou les emails chiffrés depuis son mobile. Version gratuite, disponible dès maintenant sur l’Apple Store et pour la fin 2013 sur Google Play Store. Toutes les versions de Zed! sont compatibles entre elles.

Entreprise, Fuite de données, Sauvegarde

Les guides de la confiance de la FNTC

L’art de reconstituer les traces d’événements au sein de Systèmes d’Information ou d’échanges numériques. La Fédération des Tiers de Confiance vient de mettre en ligne son guide intitulé « LA TRACABILITE AU SERVICE DE LA DEMATERIALISATION ». L’idée, garantir le bon fonctionnement des services, prévenir les litiges, mieux servir les clients, gagner en transparence. La traçabilité des échanges et des données appliquée aux Systèmes d’Information et/ou aux échanges numériques, c’est l’aptitude à reconstituer a posteriori un historique fidèle des événements qui se sont déroulés au sein du système. Partant de ce constat, le groupe de travail e-traçabilité de la FNTC a rédigé ce guide afin de définir la notion de « e-traçabilité» et de promouvoir les bonnes pratiques en la matière. Ce guide s’adresse à toutes les parties prenantes (services techniques et informatiques,  directions juridiques, directions métiers…), qui ont besoin de mettre en place une traçabilité efficace.

Au sommaire de ce guide d’une quarantaine de pages :
–      Une approche pragmatique avec des réponses aux questions que peut poser la traçabilité
–      Une définition de la traçabilité et de son périmètre
–      Les bonnes pratiques : bien tracer, c’est quoi ? et définition du cadre juridique de l’e-traçabilité
–      Des illustrations des enjeux de la traçabilité appliquée à divers secteurs (secteur bancaire, secteur français des jeux en ligne, lettre recommandée électronique, vote électronique, opérateurs de communications électroniques et fournisseurs d’accès à Internet et hébergeurs)

Cloud, Cyber-attaque, Cybersécurité, Fuite de données

Cybercriminalité : Quelles tendances pour 2014 ?

Un commentaire

L’année 2013 touche à sa fin, et les chercheurs de FireEye sont déjà tournés vers 2014 et ses tendances en termes de menaces. L’exploitation des vulnérabilités « Zero Day » ciblera moins Java mais davantage les navigateurs web ; les attaques de type «  Watering-hole » devraient supplanter les attaques de spear-phishing ; enfin, avec l’apparition de nouvelles catégories de malwares mobiles, le paysage de la sécurité va se complexifier et étendre ses frontières.

Voici les principales tendances identifiées par les chercheurs de FireEye.
Selon Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels “criminels” traditionnels” afin de compliquer l’identification et l’attribution de leurs attaques, pour les responsables sécurité.

Selon Amanda Steward : Davantage d’attaques vont utiliser des signatures de codes volées ou valides. Celles-ci  permettent aux malwares d’usurper les caractéristiques d’exécutables légitimes pour contourner les défensestraditionnelles (antivirus notamment).

Selon Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroitre la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentificationd’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.

Selon Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java, devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis Février 2013. Cela pourrait s’expliquer par les pop-ups d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faibleproportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.

Selon Dan Caselden : L’exploitation des vulnérabilités des navigateurs web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croitre sur le même rythme.

Selon Thoufique Haq : Les auteurs de malwares vont adopter des techniques furtives pour manipuler et contrôler (command-and-control (CnC)) les communications. Ils utiliseront les canaux des protocoles légitimes et  abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau ; Les attaques de type « Watering-hole » et le ciblage des médias sociauxvont progressivement remplacerles emailsde phishing. Ils offrent en effet,un espace neutreoù les cibles baissent leur garde. Lefacteur de confiancen’est pas unobstacle insurmontable, et cela ne demande qu’un minimum d’effortpourattirerla cible dansun piège.

Selon Bryce Boland : De plus en plus de malwares vont alimenter la chaîne d’approvisionnement. Attendez-vous àdavantage de codesmalveillantsdanslesmises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.

Selon Alex Lanstein : De nouvelles techniques de « corruption mémoire[1] » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash(nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellementmalveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité «click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « docx » et « tiff », par exemple, n’utilisaient pas Flash pour cette raison ; Les pirates vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malwares beaucoup plus de puissance.

Selon Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.

Selon Darien Kindlund et Bryce Boland : De plus en plus de « quartiers numériques » vont alimenter lescampagnesd’attaquesciblées. En d’autres termes, « SunshopDQ »n’est que le début. Plusles auteursdes menacevontindustrialiserle développement de leur attaques et leur diffusion, plus les économies d’échelle seront importantes.

Selon Greg Day : La collaboration croissante entreles victimes d’attaquesà travers le monde, va permettre d’identifier et arrêter les gangs decybercriminels, grâce au croisement des indicesd’attaques distinctesavec ceux des campagnes communes ; Le Cybercrimese personnalise. Pour les hackers,les donnéespersonnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention surdes donnéesà forte valeur.

Selon Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malwares. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.

Cyber-attaque, Hacking, Linkedin, Phishing, Pinterest, Twitter

Une agence américaine sensible infiltrée par du 95D

2 commentaires

Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.

 

Cybersécurité, Emploi, Mise à jour, Patch

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

Justice, Particuliers, Vie privée

Lutte contre la prostitution : la censure privée d’Internet encouragée

Un commentaire

Mercredi 27 novembre, l’Assemblée Nationale s’est prononcée sur la proposition de loi [1] dite contre le « système prostitutionnel ». Comme La Quadrature du Net les y invitait [2], les députés se sont opposés à l’extension de la censure administrative d’Internet. Néanmoins, ils ont entériné les nouvelles obligations qui, mises à la charge des hébergeurs, renforceront les formes de censure privée qui portent d’ores et déjà atteinte à la protection de la liberté d’expression sur Internet. ***

L’article 1er de la proposition de loi débattue aujourd’hui prévoyait de conférer à une autorité administrative le pouvoir de prononcer des mesures de censure du Net, sans l’intervention préalable de l’autorité judiciaire. Reprenant à la lettre les dispositions qu’avait introduites la LOPPSI en 2011 afin de combattre la diffusion de contenus à caractère pédopornographique, la proposition de loi visait à les étendre aux sites contrevenant aux dispositions pénales qui répriment le proxénétisme et la traite des êtres humains. Un tel ajout se révélait en l’espèce particulièrement inefficace et toujours aussi dangereux pour les libertés individuelles (voir la note [3] envoyée aux députés à ce sujet). La Quadrature du Net se réjouit donc que l’Assemblée nationale ait rejeté un telle extension, suite notamment au dépôt d’un amendement [4] de suppression par le gouvernement.

Néanmoins, ce même article 1er prévoit aussi de modifier l’obligation [5] imposée par la loi pour la confiance dans l’économie numérique (LCEN) aux hébergeurs de mettre en place un dispositif permettant à toute personne de signaler certaines catégories de contenus considérés comme particulièrement graves (apologie de crimes contre l’humanité, négationisme, pédopornographie), auxquels viendraient alors s’ajouter ceux considérés comme participant au « système prostitutionnel » [6]. Or, les hébergeurs sont par ailleurs pénalement responsables des contenus qu’ils hébergent dès lors qu’ils ont connaissance de ces derniers. Ainsi, tout dispositif de signalement ne peut que les inciter à retirer les contenus signalés, et ce afin d’éviter tout risque juridique. Une forme de censure privée, hors de tout cadre judiciaire et de toute garantie contre des atteintes injustifiées aux libertés fondamentales des citoyens.

Des amendements [7] présentés par les députés Serge Coronado (EELV) et Lionel Tardy (UMP) visaient à supprimer cette disposition pour limiter le risque de censure de contenus parfaitement licites qui auraient été signalés à tort. En lieu et place, une solution cohérente consisterait à encourager les citoyens à entrer directement en contact avec les services de police pour signaler les contenus leur paraissant constitutifs d’infraction via la plate-forme des pouvoirs publics prévue à cet effet (internet-signalement.gouv.fr). Ils n’ont malheureusement pas été entendus, ni par leurs collègues, ni par le gouvernement.

« Des deux formes de censure contenues dans cette proposition de loi, les députés ont choisi de rejeter celle qui violait de la manière la plus flagrante la liberté d’expression sur Internet. Mais en condamnant la censure administrative tout en s’obstinant à encourager la censure privée des contenus en ligne, les députés font preuve d’une absence de cohérence. Alors que d’autres projets de loi en cours d’examen au Parlement renforcent également la régulation extra-judiciaire du Net [8], le gouvernement et le législateur doivent mettre fin à cette fuite en avant répressive en instaurant un moratoire contre toute nouvelle disposition susceptible de porter atteinte aux droits fondamentaux sur le réseau. À l’image de l’initiative du Marco Civil [9] actuellement en discussion au Brésil, les pouvoirs publics doivent engager un large dialogue avec la société civile afin d’apporter des garanties législatives fortes en faveur des libertés publiques et des droits fondamentaux sur Internet » conclut Félix Tréguer, co-fondateur de l’association La Quadrature du Net.

* Références *
1. http://www.assemblee-nationale.fr/14/dossiers/systeme_prostitutionnel_renforcement_lutte.asp
2. https://www.laquadrature.net/fr/lutte-contre-le-proxenetisme-linacceptable-retour-de-la-censure-administrative-du-net
3. https://www.laquadrature.net/files/PPL%20prostitution%20-%20LQDN%20-%20suppression%20art1.pdf
4. http://www.assemblee-nationale.fr/14/amendements/1558/AN/56.asp
5. Article 6.I.7 alinéa 6 de la loi pour la confiance dans l’économie numérique adoptée en 2004 :
« Compte tenu de l’intérêt général attaché à la répression de l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine, les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et à l’article 227-23 du code pénal. »
6. Article 1er de la proposition de loi renforçant la lutte contre le système prostitutionnel :
« L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° Le 7 du I est ainsi modifié :
a) Au troisième alinéa, après le mot : « articles », sont insérées les références : « 225-4-1, 225-5, 225-6, » ;
[…] »
7. Amendement n°4 présenté par M. Tardy (député UMP de la 2ème circonscription de Haute-Savoie) et amendement n°57 présenté par M. Coronado (député EELV de la 2ème circonscription des Français établis hors de France)
8. Des dispositions en partie similaires à celles contenues dans cette proposition de loi sont également présentes dans le projet de loi sur l’égalité entre les sexes (extension des obligations de signalements incitant à la censure privée) et dans le projet de loi relatif à la consommation (donnant à la DGCCRF le pouvoir de demander au juge le blocage d’un site), tous deux également en cours d’examen à l’Assemblée.
9. https://www.laquadrature.net/fr/internet-a-besoin-dune-marco-civil-sans-compromis-au-bresil

Cybersécurité, Espionnae, Fuite de données, Vie privée

IP-tracking: Le Parlement traque la Commission européenne

Un commentaire

Les eurodéputés demandent que l’IP-tracking soit reconnu comme une pratique commerciale déloyale. La Commission des affaires juridiques du Parlement européen a adopté aujourd’hui un rapport sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans ce rapport, voté à l’unanimité, les parlementaires demandent aux États membres et à la Commission européenne une protection adéquate des consommateurs face à l’IP-tracking [1].

Françoise Castex se félicite que l’ensemble des groupes politiques aient soutenu son amendement visant à reconnaître l’IP-tracking comme une pratique commerciale déloyale. « C’est la preuve que le ras-le-bol est général face à ces pratiques inadmissibles qui touchent des millions de consommateurs européens! » déclare l’eurodéputée socialiste.

« Le Parlement souhaite mettre un terme à l’inaction de la Commission et des États membres« , estime Françoise Castex, qui avait saisi l’exécutif européen un janvier puis en juillet dernier [2]. « Nous demandons à la Commission européenne de se pencher sur ce phénomène bien connu des consommateurs et de proposer enfin un texte qui interdise ces pratiques commerciales sur le net. »

« À défaut, nous demanderons à la Commission européenne une révision de la directive 2005/29« , conclut la Vice-présidente de la Commission des Affaires juridiques du Parlement européen.

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[1] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[2] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

Hacking, Rendez-Vous

Hacknowledge Contest Europa-Africa : L’heure de la finale a sonné

Le Hacknowledge Contest Europa-Africa, compétition de Hacking éthique, s’est déroulé à travers l’Europe et l’Afrique. Il réunira l’ensemble des équipes qualifiées pour une ultime manche les 7 et 8 décembre prochains, à Jeumont dans la région Nord-Pas-de Calais. Les quinze équipes qualifiées viendront se disputer la victoire par pays, lors d’un affrontement intense de douze heures d’affilée, avec l’espoir de se hisser au premier rang de la compétition.

Les challenges ont eu lieu tout au long de l’année, en Algérie, Belgique, Côte d’Ivoire, Espagne, France, Maroc et Tunisie. Les équipes classées en première et deuxième position ont reçu une bourse pour représenter leur pays lors de la finale de la compétition. Cette finale récompensera les vainqueurs en leur offrant un séjour à Las Vegas, où ils pourront participer à la mythique conférence DEFCON, qui rassemble chaque année l’élite mondiale du hacking.

Les participants au challenge tenteront de résoudre 70 épreuves inédites, nécessitant des talents techniques et faisant appel à des qualités de culture, stratégie et logique. Ouverte à tous, la compétition regroupe hackers professionnels, étudiants et plus généralement les passionnés de hacking. Le Hacknowledge Contest est une initiative originale de l’association ACISSI, la compétition est organisée par des membres bénévoles. Les organisateurs sont issus des secteurs académique et professionnel, ils ont pour objectif de promouvoir le hacking éthique et sa diversité.

Franck Ebel, Responsable de la licence professionnelle Ethical Hacking, CDAISI, de l’IUT de Maubeuge et organisateur du concours, déclare : « Les concours nationaux sont terminés, l’accueil dans chaque pays a été exceptionnel. Pour un coup d’essai, ce fut un coup de maître ! Quelle joie et honneur de côtoyer des hackers de tous les horizons, de toutes nationalités, de toutes religions. Le Hacking est un langage universel qui rassemble et uni sans discrimination, il casse les frontières faites par les hommes. C’est un événement hors du commun, nous nous attendons à une finale extraordinaire avec les meilleurs hackers d’Europe et d’Afrique. »

En parallèle de la compétition, le hacknowledge proposera des ateliers et un cycle de conférences. Parmi les sujets abordés : le piratage des systèmes industriels, tester la sécurité en toute légalité, les coulisses de l’attaque DdoS en Tunisie…

A noter que vus pourrez suivre ce rendez-vous en live (streaming vidéo en autres, NDR) sur zataz.com, zatazweb.tv et datasecuritybreach.fr.