Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité

Multiplier les solutions de sécurité, attention, danger !

Cyber protection : multiplier les solutions de sécurité informatiques ne garantit pas une meilleure protection d’après les résultats d’une nouvelle étude Acronis

Alors que 80 % des entreprises disent faire coexister jusqu’à 10 solutions IT différentes de protection des données et de cybersécurité, plus de la moitié d’entre elles ont subi des pertes de données et des temps d’arrêt l’an dernier

Acronis, spécialiste de la cyber protection, présente les conclusions de son étude Cyber Protection Week. Menée auprès de 4 400 professionnels IT et utilisateurs dans 22 pays des six continents (Europe, Afrique, Asie, Afrique, Amérique du Nord et du Sud) cette étude internationale révèle des divergences critiques entre la nécessité de protection des données des entreprises et l’inefficacité des investissements consentis jusqu’ici en ce sens.

En effet, alors que la pandémie de COVID-19 a incité les entreprises à s’équiper de nouveaux systèmes en 2020 en faveur de la sécurité du télétravail, ces investissements ne donnent pas satisfaction. L’étude révèle que 80 % des entreprises dans le monde utilisent simultanément jusqu’à 10 solutions pour la protection de leurs données et leur cybersécurité. Or, plus de la moitié de ces entreprises ont subi des temps d’arrêt inattendus l’an dernier suite à une perte de données.

Un manque de connaissances nuit à l’efficacité IT

A ce constat s’ajoute le fait que les professionnels IT et les utilisateurs ne sont pas nécessairement au fait des fonctionnalités IT et de cybersécurité effectivement disponibles, ce qui conduit à des pertes de temps et d’argent avec une dégradation de la sécurité à la clé.

68 % des utilisateurs IT et 20 % des professionnels IT ignorent si leurs données ont été modifiées car leur solution ne permet pas de le savoir.
43 % des utilisateurs IT ne savent pas si leur solution anti-malware bloque les attaques zéro-day car l’information n’est pas immédiatement disponible. Or la protection des données suppose d’avoir accès à ces informations cruciales de cybersécurité.
Et 10 % des professionnels IT ignorent si leur entreprise doit se conformer aux réglementations en matière de confidentialité des données, ce qui est surprenant. S’ils ne prennent même pas la mesure de leur responsabilité de préservation de la confidentialité des données, comment pourraient-ils appliquer des stratégies efficaces ou évaluer correctement les solutions dont ils ont besoin. Les entreprises concernées se retrouvent donc confrontées au risque de fortes pénalités pour non-conformité en 2021.
Ce manque de transparence et de visibilité est encore plus marqué dans les entreprises qui utilisent plusieurs solutions pour répondre à leurs besoins IT et de cybersécurité. Les équipes doivent se rappeler quelle solution s’applique à tel point de données et jonglent entre plusieurs consoles pour trouver la bonne information, ce qui nuit à leur efficacité.

Les utilisateurs ont une approche trop laxiste de la protection

L’étude souligne également un laxisme important dans l’approche de protection des données des utilisateurs IT.

83 % des utilisateurs IT reconnaissent avoir passé plus de temps sur leurs postes l’an dernier, pourtant seule la moitié d’entre eux a pris des mesures supplémentaires de protection
33 % admettent ne déployer les correctifs disponibles qu’au moins une semaine après en avoir eu connaissance
90 % des utilisateurs IT déclarent effectuer des sauvegardes, pourtant ils sont 73 % à déplorer au moins une perte irrémédiable de données, ce qui laisse penser qu’ils ne savent pas sauvegarder ou restaurer correctement
Top 5 des conclusions de l’étude Cyber Protection Week d’Acronis

Les problématiques de protection et de sécurité des données, des applications et des systèmes vont perdurer et s’aggraver même après la pandémie.

Toujours créer des sauvegardes des données importantes. Conserver plusieurs copies des sauvegardes, une copie locale pour les restaurations urgentes et une copie dans le cloud en secours.
Mettre à jour les systèmes d’exploitation et les applications. Les systèmes et applis anciens ne sont pas suffisamment sécurisés pour bloquer l’intrusion des cybercriminels. Il convient de déployer régulièrement les correctifs disponibles pour protéger les systèmes.
Se méfier des e-mails, des liens et des pièces jointes. La plupart des infections par des ransomwares sont le résultat de techniques d’ingénierie sociale qui trompent des individus peu vigilants et les amènent à ouvrir des pièces jointes ou à cliquer sur des liens vers des sites web infectés par des malwares.
Installer des antivirus, anti-malware et anti-ransomware et autoriser les mises à jour automatiques pour que les systèmes soient systématiquement protégés au mieux.
Envisager de tout réduire à une seule solution de cyberprotection pour centraliser l’administration et bénéficier d’une protection intégrée adaptée aux actuels besoins IT.
« Cette édition de l’étude Cyber Protection Week illustre clairement que ce n’est pas en multipliant les solutions que l’on renforce la protection, au contraire la coexistence d’outils séparés, chacun dédié à un type d’exposition, complique les choses, les rend inefficaces et coûte cher », déclare Serguei « SB » Beloussov, fondateur et CEO d’Acronis. « Ces conclusions confirment notre conviction que l’approche la plus judicieuse est celle de la cyberprotection, qui unifie protection des données, cybersécurité et gestion des terminaux. »

Plus d’informations sur la Cyber Protection Week par Acronis : https://www.acronis.com/fr-fr/promo/world-backup-day/

Cybersécurité

50 vulnérabilités Microsoft dont 5 critiques et 21 vulnérabilités critiques chez Adobe

Microsoft a corrigé 50 vulnérabilités CVE à l’occasion de la publication du Patch Tuesday de juin 2021. 5 d’entre elles sont classées comme critiques tandis que 6 sont la cible d’exploits.
Vulnérabilités critiques Microsoft corrigées

CVE-2021-31985 – Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Defender

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans son produit Defender (CVE-2021-31985). Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et le score de vérité CVSSv3 attribué par l’éditeur est de 7,8.

CVE-2021-31959 – Vulnérabilité de corruption de mémoire dans le moteur de script

Microsoft a publié des correctifs pour résoudre une vulnérabilité critique de corruption de mémoire dans le moteur de script Chakra JScript. Cette vulnérabilité impacte les systèmes d’exploitation Windows RT, Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows Server 2012 (R2) et Windows Server 2016. Un attaquant peut exploiter cette vulnérabilité lorsque l’utilisateur ciblé ouvre un fichier malveillant.

CVE-2021-31963 – Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server

Microsoft a publié des patches pour résoudre une vulnérabilité critique RCE dans SharePoint Server. Cette CVE s’est vue attribuer un score de vérité CVSSv3 de 7,1 par l’éditeur.

Résolution de 6 vulnérabilités Zéro-Day avec des exploits en aveugle

Les vulnérabilités suivantes doivent être corrigées immédiatement dans la mesure où elles font l’objet d’exploits lancés en aveugle :

CVE-2021-33742 – Vulnérabilité d’exécution de code à distance sur la plateforme Windows MSHTML

CVE-2021-33739 – Vulnérabilité d’élévation de privilèges dans la bibliothèque centrale DWM de Microsoft

CVE-2021-31956 – Vulnérabilité d’élévation de privilèges dans le système de fichiers NTFS de Windows

CVE-2021-31955 – Vulnérabilité de divulgation d’informations dans le noyau Windows

CVE-2021-31201 – Vulnérabilité d’élévation de privilèges au sein du fournisseur de services cryptographiques (CSP) amélioré par Microsoft

CVE-2021-31199 – Vulnérabilité d’élévation de privilèges au sein du fournisseur de services cryptographiques (CSP) amélioré par Microsoft

Adobe Patch Tuesday – Juin 2021

Adobe a corrigé 41 vulnérabilités CVE à l’occasion de ce Patch Tuesday dont 21 étaient classées comme critiques et impactaient les produits Acrobat et Reader, Adobe Photoshop, Creative Cloud Desktop Application, RoboHelp Server, Adobe After Effects et Adobe Animate.

Cybersécurité

Les e-mails contrefaits mis en péril : DMARC

Pour lutter contre les fraudes par les e-mails, des technologies d’authentification ont été mises en place. Dans cet article, nous parlerons de l’une des technologies d’authentification les plus utilisées : le DMARC.

Le DMARC : qu’est-ce que c’est ?

DMARC est l’acronyme anglais pour Domain Based Authentication, Reporting, and Conformance. C’est une technologie mise en place afin de lutter contre les fraudes par e-mail. Il s’agit entre autres des e-mails contrefaits, des spams, du phishing, etc.

Petit historique de DMARC : des débuts à nos jours

Sous l’égide de dmarc.org et dmarc.fr, plusieurs organisations se sont mises ensemble pour élaborer le DMARC. On les catégorise en deux groupes : les émetteurs et les destinataires.

Au niveau des émetteurs, nous avons : Facebook, PayPal, Twitter, LinkedIn, Fidelity Investments, American Greetings, Bank of America, JPMorganChase, etc. Quant aux destinataires, il s’agit de Google, Yahoo, Microsoft, Yandex, AOL, Mail.Ru, Netease, Comcast.

Dès son élaboration, le DMARC a mis du temps à décoller. Les grandes entreprises sont longtemps restées réticentes quant à son adoption. Il s’agit notamment de certaines entreprises du Fortune 500, de Chine et bien d’autres à travers le monde.

Cependant, force est de constater qu’on assiste depuis quelques temps à une certaine prise de conscience, certes lente, des entreprises. En effet, le taux d’adoption de DMARC au niveau des entreprises a connu un regain ces deux dernières années.

Le taux d’adoption, aujourd’hui, est nettement supérieur à celui des années antérieures.

DMARC : comment marche ce processus d’authentification ?

DMARC est une spécification qui complète SPF et DKIM. Ainsi, elle entre en œuvre en cas d’échec de ces deux protocoles et permet de déterminer la meilleure politique à appliquer. Il existe 3 politiques parmi lesquelles DMARC identifie les cas de non-correspondance des e-mails :

None/aucun : dans ce cas, aucune action spécifique n’est recommandée. La politique locale est donc appliquée. L’e-mail est reçu et traité comme il le serait s’il n’y avait pas DMARC ;

Quarantine/quarantaine : L’e-mail est reçu par le destinataire, mais n’est pas directement placé dans la boite de réception. Il est plutôt placé dans les spams ou courriers indésirables ;

Reject/rejet : l’e-mail est tout simplement rejeté ou détruit par le serveur destinataire.

Comment configurer DMARC ?

Pour pouvoir configurer les paramètres d’authentification DMARC de votre domaine, il vous faut vous assurer que SPF et DKIM sont bien implémentés. Après cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement.

À ce niveau, il vous faut ajouter ou modifier l’enregistrement DNS auprès de votre fournisseur. Cela se présente sous la forme d’une ligne de texte de format .TXT dans laquelle vous définissez laquelle des 3 politiques doit être appliquée.

DMARC : importance et avantages

Le DMARC est une spécification technique qui fait suite à DKIM et à SPF. En effet, mettre en place le DMARC offre de multiples avantages aussi bien pour les expéditeurs que les destinataires. Il existe plusieurs niveaux de configuration du DMARC, et chaque niveau a ses avantages.

Lorsque DMARC n’est pas configuré sur votre domaine, ce dernier est vulnérable aux attaques des pirates et autres individus malintentionnés. Ils pourront alors facilement s’introduire dans votre réseau pour effectuer leurs méfaits.

Ils pourront, par exemple, se faire passer pour vous ou l’un des membres de votre organisation auprès de vos employés, de vos clients, de vos fournisseurs, etc.

DMARC vous permet de limiter les risques d’hameçonnage, de spams et de faux positifs pour le destinataire. Pour cela, il indique au destinataire la bonne conduite de sécurité à tenir en cas de doute sur la fiabilité du message. De plus, DMARC est gratuit et facile à configurer.

En quoi DMARC permet-il de lutter contre les e-mails contrefaits et les fraudes ?

Contrairement à ses prédécesseurs (SPF et DKIM), DMARC prend en compte dans son processus des informations sur les domaines des destinataires. Cela lui permet d’être plus efficace et de renforcer la sécurité lors des échanges d’e-mails.

L’expéditeur met en place le DMARC tout en précisant au destinataire la réaction à avoir vis-à-vis de tout e-mail qui ne respecterait pas ses normes (l’expéditeur). Il peut s’agir de la destruction ou de la mise en quarantaine de l’e-mail en question.

Cette politique permet également aux destinataires d’envoyer un rapport au domaine de l’expéditeur pour spécifier que les e-mails passent ou non.

Base de données, Propriété Industrielle

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

À la suite de l’arrêt Schrems II, la CNIL a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, plus particulièrement s’agissant de la question des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la CNIL appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles.

La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. Cette demande de conseil s’inscrit notamment dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).

Transformation numérique dans l’enseignement et de la recherche

Cette démarche s’inscrit dans le cadre de l’accélération de la transformation numérique dans l’enseignement et de la recherche, mais aussi plus largement dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies d’informatique en nuage (cloud computing). La CNIL a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne. En outre, le gouvernement a annoncé, le 17 mai 2021, une stratégie nationale pour le cloud, afin d’appréhender les enjeux majeurs de cette technologie pour la France, avec l’objectif de mieux protéger les données traitées dans ces services tout en affirmant notre souveraineté.

LES CONSÉQUENCES DE L’INVALIDATION DU PRIVACY SHIELD

Le 16 juillet 2020, la CJUE a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières).

Si la CNIL et ses homologues continuent d’analyser toutes les conséquences de cette décision, les organismes publics et privés, français et européens, doivent d’ores et déjà respecter ces nouvelles règles en privilégiant des solutions respectueuses du RGPD, notamment quand ils ont recours a des solutions d’informatique en nuage (cloud computing).

En particulier, cet arrêt a notamment eu des conséquences, en France, dans la mise en œuvre de la Plateforme des données de santé (Health Data Hub), qui est actuellement hébergée au sein d’une infrastructure étatsunienne (Microsoft Azure). En effet, le Conseil d’État a reconnu un risque de transfert des données de santé vers les États-Unis, du fait de la soumission de Microsoft au droit étatsunien, et a demandé des garanties supplémentaires en conséquence. Partageant cette inquiétude, la CNIL a réclamé et obtenu de nouvelles garanties du ministère en charge de la santé quant à un changement de solution technique dans un délai déterminé. Cette Plateforme sera ainsi hébergée dans des infrastructures européennes dans un délai de 12 à 18 mois et, en tout état de cause, ne dépassant pas deux ans après novembre 2020.

Les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).

Approfondir le sujet avec les mesures proposées par l’Europe.

Entreprise

Ouverture de l’Ecole 42 Lausanne, le 6 juillet prochain

Ecole 42 Lausanne, un nouveau campus qui accueillera 200 étudiants et étudiantes qui se formeront au développement informatique avec une pédagogie innovante construite sur le Peer-to-Peer Learning et la gamification. Un mois seulement après l’ouverture de la phase d’admission, plus de mille candidats ont déjà tenté leur chance !

Le modèle est innovant tant sur la formation en elle-même que sur le processus de recrutement, 100% mixte. Un enjeu social soutenu depuis plusieurs années par Elodie Djuric, membre de l’équipe fondatrice de 42 Lausanne, alumni de 42 Paris. L’école ouvrira ses portes en juillet 2021 à Lausanne, en Suisse. Préparez donc vos valises et commencez dès maintenant à préparer votre déménagement à Lausanne pour prendre part à la prochaine fournée de futurs développeurs chevronnés.

Huit ans après sa création en France, à l’initiative de Xavier Niel, l’École 42 ouvrira ses portes en Suisse romande le 6 juillet prochain. Dès la rentrée de septembre 2021, le campus 42 Lausanne accueillera 200 étudiants et étudiantes qui se formeront au développement informatique avec une pédagogie innovante construite sur le Peer-to-Peer Learning et la gamification. Un mois seulement après l’ouverture de la phase d’admission, plus de mille candidats ont déjà tenté leur chance.

La parité numérique sera également au cœur du recrutement des nouvelles promotions. Il s’agit là d’un enjeu social soutenu depuis plusieurs années par Elodie Djuric, membre de l’équipe fondatrice de 42 Lausanne, alumni de 42 Paris et fondatrice de Jobset.io, la plateforme de recrutement dédiée aux développeurs.

Welcome, Women !

Les femmes ne se sentent pas toujours les bienvenues au sein du secteur informatique. L’objectif de l’École 42 Lausanne est de permettre une meilleure inclusion des femmes dans les métiers du numérique et in fine d’atteindre une certaine parité. Cette vision s’avère d’autant plus vitale que les métiers de la tech peinent aujourd’hui à recruter.

La mixité dans les équipes est également source d’épanouissement et de performance car elle pousse à réfléchir différemment. Ce constat a ainsi incité de nombreuses institutions à mener des actions à titre individuel afin de briser les plafonds de verre.

La démarche a également été relayée par Elodie Djuric qui propose, par le biais de sa start-up Jobset.io, des bourses d’études allant jusqu’à 50 000€ et une année de mentorat à des femmes en reconversion professionnelle souhaitant intégrer les formations pour devenir ingénieures. En intégrant l’équipe fondatrice de 42 Lausanne, la jeune entrepreneuse espère aujourd’hui bousculer les idées reçues et accroître la proportion de femmes dans le secteur du numérique.

Cyber-attaque, cyberattaque, Cybersécurité

Les pirates ont eu accès à un code source de Rapid7 à la suite du piratage de Codecov

Comme a pu l’indiquer le spécialiste de la cybersécurité Rapid7, des pirates informatiques ont eu accès à une petite partie de ses référentiels de code source à la suite du piratage d’un outil de développement logiciel, Codecov.

« Des personnes non autorisées, en dehors de Rapid7, ont obtenu un accès à un petit sous-ensemble de nos référentiels de code source pour les outils internes de notre service Managed Detection and Response. Ces référentiels contenaient des informations d’identification internes. Des informations remplacées et des données liées aux alertes pour un sous-ensemble de nos clients » indique l’entreprise dans un communiqué de presse.

Le 15 avril 2021, le développeur d’outils d’audit logiciel, la startup Codecov, a averti les utilisateurs que son outil Bash Uploader avait été malmené. Une cyberattaque datant du 31 janvier 2021. Des inconnus avaient modifié l’outil de Rapid7 en y plaçant une porte cachée. Par cette méthode, les attaquants ont pu accéder aux réseaux de centaines de clients Codecov.

Les pirates ont réussi à accéder aux réseaux Codecov en raison d’une erreur de démarrage lors du processus de création d’image Docker, ce qui leur a permis d’extraire les informations d’identification nécessaires pour modifier le script Bash Uploader.

Les pirates ont apporté des « modifications périodiques non autorisées » au code, ce qui leur a permis d’envoyer des informations stockées dans les environnements d’intégration continue (CI) des utilisateurs du script à un serveur tiers.

Selon l’avis de Rapid7, il n’y avait aucune preuve que les malveillants aient pu accéder à d’autres systèmes ou environnements de production, ou que des modifications malveillantes avaient été apportées à ces référentiels.

Entreprise

Un casque de réalité virtuelle, ok, mais lequel ?

Un casque de réalité virtuelle, baptisé aussi sous le nom de casque VR, connait un succès grandissant. L’équipement permet de vivre des aventures, des expériences visuelles numériques uniques. La réalité virtuelle, on ne peut se le cacher est passionnantes. Il existe une pléthore de casque. Choisir devient un véritable problème. D’autant que le prix n’est pas des plus léger. Autant ne pas se tromper !

Casque autonome qui pourra se connecter à votre smartphone ? Matériel qui se branche directement sur votre console de jeux, votre pc ? Le choix est pas des plus simple, d’autant que le prix peut rapidement atteindre des sommets. Deux grandes catégories de casques peuvent être pointés de la souris : le casque de Réalité Virtuelle pour PC, ou encore le casque VR dit « autonome ».

Les casques autonomes sont apparus dernièrement. Le matériel autonome fait partie de la dernière génération. Les « lunettes » sont indépendantes d’un système informatique (console, smartphone, pc …). Du matos de professionnel. La maintenance industrielle, le monde médical commence à s’en servir. Parmi les appareils de cette génération, vous pouvez Acheter vuzix m400. Autonome, équipée d’une caméra (voir dans certains appareils, de plusieurs caméras), avec un contrôle vocal qui permet la gestion « mains libres » dés plus efficace. Pour avoir une analyse complète de ce petit bijou, découvrez le Vuzix M400 Review.

Quelques pistes de choix

Le review va vous donner quelques pistes, dont les critères techniques qui sont indispensables pour choisir votre casque. Les premieres générations n’ont vécu que quelques mois sur le nez des utilisateurs. Les nouvelles générations ont pour mission d’y rester quelques années. Parmi les critères techniques indispensables : l’écran et sa résolution. Un élément capital pour le confort visuel, la précision et l’immersion. La caméra, si ce n’est pas du full HD, il faut oublier ! Un minimum de 30 images par seconde est indispensable. Dans ce confort d’utilisation, le suivi de rotation de la tête, le poids et le confort de « port » du casque virtuel en feront une aide essentielle.

N’hésitez pas à nous donner votre avis sur ce genre de casque en condition de travail. Nous vous préparons une vidéo sur l’utilisation de notre casque dans un contexte de sécurité informatique. Une immersion pouvant être très intéressante lors d’une action qui se veut immersive et discrète.

Base de données, Fuite de données, Hacking

Journée mondiale du mot de passe : célébrons le moyen d’authentification le moins fiable du marché !

Ce jeudi 6 mai est la Journée mondiale du mot de passe, l’occasion depuis plusieurs années de rappeler les bonnes pratiques en matière de cybersécurité et de fiabilité des mots de passe, mais aussi plus largement de questionner leur pertinence globale, à l’heure où la fraude en ligne n’a jamais été aussi répandue.

 La société Nuance Communications est un acteur important dans les solutions de sécurité utilisant la biométrie.

 La Journée mondiale du mot de passe donne l’opportunité aux experts de la cybersécurité et de la lutte contre la fraude de réaffirmer que les codes PIN et mots de passe sont des outils archaïques, dépassés, qui ne correspondent plus à la réalité des usages et des besoins d’aujourd’hui. Les mots de passe se retrouvent vendus sur le dark web, exploités à des fins frauduleuses, et se retournent parfois contre leurs propriétaires, comme on a pu le constater récemment avec des pertes de millions d’euros en cryptomonnaies à cause d’oublis de mots de passe non réinitialisables.

Une récente étude[1] menée par Nuance révèle que 17% des Français utilisent deux ou trois mots de passe différents pour protéger tous leurs comptes utilisateurs, et 12% déclarent même utiliser le même mot de passe partout sans considération de son niveau de fiabilité ou de singularité ! De plus, 30% des répondants ont indiqué oublier leur mot de passe ou code PIN au moins une fois par mois, ce qui montre à quel point ce moyen d’authentification est volatile, peu intuitif et contraignant pour les utilisateurs. Ces derniers se retrouvent exposés à un risque élevé de fraude, et il est de la responsabilité des entreprises de s’attaquer à cette menace en renforçant la sécurité de leurs clients par le biais de solutions modernes. Le site ZATAZ révèle des centaines de fuites de données qui laissent perplexe concernant les utilisateurs et leurs mots de passe.

 « Cette même étude a par ailleurs montré que 18% des Français avaient été victimes de fraude au cours des 12 derniers mois, y perdant en moyenne 995 euros. Il est donc grand temps de tourner la page des mots de passe et codes PIN pour déployer des technologies plus sophistiquées et robustes telles que la biométrie et enfin offrir aux consommateurs le niveau de protection qu’ils méritent. La biométrie permet d’authentifier les individus instantanément en se basant sur les caractéristiques qui leurs sont propres et les rendent uniques. Fini le temps des authentifications basées sur un savoir (mot de passe ou autre information à retenir) trop facile à exploiter, les solutions biométriques sont actuellement le meilleur allié de la lutte contre la fraude et permettent de redonner de la sérénité aux consommateurs. » explique Simon Marchand, Chief Fraud Prevention Officer au sein de la division Sécurité et Biométrie de Nuance.

[1] Etude réalisée par OnePoll pour Nuance en avril 2021 auprès de 10 000 répondants dans les pays suivants : France, Royaume-Uni, Etats-Unis, Allemagne, Espagne, Australie, Italie, Suède, Belgique, Pays-Bas et Mexique. En France, le panel de l’étude est constitué de 1000 répondants.

Fuite de données

Piratage : distribution gratuite de CB ! Avez-vous été piraté ?

Des pirates diffusent gratuitement des données bancaires de français. Le blog ZATAZ permet aux propriétaires d’être alertés pour se protéger le plus rapidement possible.

Chaque jour, sa série de fuite de données personnelles. Le blog ZATAZ vient d’alerter les internautes français d’une diffusion de données bancaires par comme les autres. Le lanceur d’alerte a découvert dans un espace pirate fort de plus de 500 membres, le partage de données bancaires de plusieurs dizaines de français et françaises.

Pour savoir si vous êtes dans la liste, ZATAZ.COM et son Service de veille proposent les informations diffusées par les pirates.

Dans le fichier que ZATAZ a pu découvrir, et en plus des 16 chiffres de la CB, de la date de validité et du pictogramme présent à l’arrière de la carte bancaire, les pirates affichent aussi l’identité du propriétaire légitime, son adresse postale, sa date de naissance et son numéro de téléphone. « Difficile pour ZATAZ de contacter les propriétaires. Dans ce cas, pas d’adresses électroniques comme nous avons déjà pu le montrer dans via d’autres découvertes comme cette méthode pirate pour passer outre la double authentification. » explique le blog.

Avec les informations fournies par ZATAZ, les internautes ont de quoi savoir si, oui ou non, ils sont dans les mains des hackers.

Identité numérique

Google se lance dans le FLoC

Le géant de l’Internet Google vient d’annoncer que le traçage des internautes à des fins marketing, c’était bientôt fini. La firme américaine va lancer ses FLoC.

Les FLoCs, la prochaine invention de Google pour abandonner les cookies à des fins publicitaires. A la base, les cookies permettent d’identifier un ordinateur surfant sur la toile afin de lui proposer des services individualisés : passant de la publicité, à la gestion d’une authentification, à la couleur du site qu’il visite. Google annonce depuis plusieurs mois la fin des cookies. « Nous annonçons explicitement qu’une fois que les cookies tiers supprimés, nous ne construirons pas d’identificateurs alternatifs pour pister les individus quand ils surfent sur la toile, et nous ne les utiliserons pas non plus dans nos produits », indique David Temkin, responsable des produits publicitaires et de la confidentialité chez Google. A la place, Google va utiliser des FLoC, Federated Learning of Cohorts. Ici, on ne vise plus « une » personne, mais un « groupe » de personnes. Le FLoC va permettre de cibler des segments d’audience. Une audience qui sera définie selon la navigation des internautes.

Les Federated Learning of Cohorts (FLoC) proposent une nouvelle façon pour les entreprises d’atteindre les personnes avec un contenu et des publicités pertinents en regroupant de grands groupes de personnes ayant des intérêts similaires. Cette approche masque efficacement les individus «dans la foule» et utilise le traitement sur l’appareil pour garder l’historique Web d’une personne privée sur le navigateur. En créant des simulations basées sur les principes définis dans la proposition FLoC de Chrome, les équipes publicitaires de Google ont testé cette alternative de confidentialité aux cookies tiers.

Les résultats indiquent que lorsqu’il s’agit de générer des audiences basées sur les intérêts, FLoC peut fournir un signal de remplacement efficace pour les cookies tiers.