Archives de catégorie : Justice

Base de données, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Particuliers, Piratage, Sauvegarde, Securite informatique

Un demi million de patients médicaux piratés

Un pirate informatique a mis la main sur 500 000 dossiers appartenant à des patients belges en piratant le site Digitale Wachtkamer.

Le site Digitale Wachtkamer a été piraté ! Ce site dédié à la prise de rendez-vous chez un médecin, par exemple, a été visité et vidé de sa base de données. Selon le journal flamand VTM Nieuws, 500 000 dossiers de patients belges ont été copiés par un pirate informatique. Le pirate informatique me fait penser au maître chanteur Rex Mundi. Après avoir volé les données, il a envoyé un courriel à l’entreprise afin de lui demander de l’argent. Son silence contre 85 000 euros (42 BTCs). Digitale Wachtkamer n’a pas payé et a déposé plainte. Il y a de forte chance que les données de plus de 500 000 utilisateurs finissent sur le web, dans les heures à venir en représailles. D’après Digitale Wachtkamer, aucuns dossiers médicaux n’étaient accessibles, seules les prises de rendez-vous. Digitale Wachtkamera contacté ses utilisateurs afin qu’ils changent leur mot de passe.

Il y a deux ans, un pirate informatique du nom de Rex Mundi avait agit de la sorte à l’encontre de plusieurs entreprises Belges, Suisses et Françaises. En France, le laboratoire de santé Labio avait été la victime de ce type de chantage. Digitale Wachtkamer semble faire parti de ces TROP nombreuses entreprises alertées d’un manque de sécurité, alertée par des hackers et dont les messages sont restées lettres mortes. En 2013, Digitale Wachtkamer avait été alertée d’un manque de sécurité dans son code.

Cybersécurité, Justice, Securite informatique

Un chercheur crée Bitscout afin de faciliter les enquêtes après une cyberattaque

Afin d’éviter aux enquêteurs d’avoir à se déplacer pour rassembler des indices sur des ordinateurs infectés après une cyberattaque, un expert de Kaspersky Lab a développé un outil simple, Bitscout, capable de recueillir à distance des données essentielles sans risque de les contaminer, ni de les perdre. Baptisé BitScout, cet outil est mis gracieusement à la disposition de tous les enquêteurs souhaitant y faire appel.

Bitscout, l’outil de secours ! Dans la plupart des cyberattaques, les entreprises victimes ne connaissent pas leurs attaquants. Elles acceptent généralement de coopérer avec les chercheurs en sécurité afin d’aider ceux-ci à trouver le vecteur d’infection ou d’autres informations sur les auteurs de l’attaque. Cependant, le problème pour ces enquêteurs a toujours été de devoir parcourir de longues distances en vue de recueillir des indices cruciaux, par exemple des échantillons de malware sur les machines infectées, ce qui retardait et renchérissait leurs investigations. Or, le temps mis à comprendre une attaque est autant de temps pendant lequel les utilisateurs ne sont pas protégés ni les auteurs identifiés. Jusqu’à présent, les solutions consistaient à employer des outils coûteux et complexes à mettre en œuvre, ou bien à prendre le risque de contaminer ou perdre des indices en les transférant entre ordinateurs.

Dans le but de remédier au problème, Vitaly Kamluk, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab en Asie-Pacifique, a créé un outil numérique open source capable de collecter à distance les indices essentiels, de récupérer des images disques entières via le réseau ou un périphérique de stockage local, ou encore d’aider tout simplement à distance au traitement d’incidents malveillants. Les indices relevés peuvent être observés et analysés à distance ou localement, tandis que la source de stockage des données demeure intacte grâce à un dispositif fiable d’isolement par conteneur.

« La nécessité d’analyser les incidents de sécurité avec un maximum d’efficacité et de rapidité prend d’autant plus d’importance que les menaces sont toujours plus avancées et sournoises. Cependant la précipitation n’est pas la solution : nous devons veiller à ce que les indices restent intacts de sorte que les investigations soient fiables et que les résultats puissent avoir une valeur légale si nécessaire. N’ayant pas trouvé d’outil qui permette tout cela gratuitement et facilement, j’ai décidé d’en créer un », explique Vitaly Kamluk.

Les experts de Kaspersky Lab travaillent en étroite collaboration avec les forces de police à travers le monde afin de contribuer aux analyses techniques dans le cadre des cyberinvestigations. Cela leur confère une connaissance unique des défis auxquels les enquêteurs sont confrontés dans leur lutte contre la cybercriminalité moderne. Le paysage de la cybersécurité présente aujourd’hui un tel niveau de complexité que les enquêteurs ont besoin d’outils à même de s’adapter à l’évolution des exigences de leur mission. BitScout en est un bon exemple. Il peut s’adapter aux besoins particuliers d’un enquêteur et faire l’objet de perfectionnements et de mises à jour, avec des fonctionnalités supplémentaires et des logiciels personnalisés. Avant tout, cet outil est gratuit, repose sur des solutions open source et offre une totale transparence : au lieu de dépendre d’outils tiers créés à partir de code propriétaire, les experts peuvent partir du code open source BitScout afin de fabriquer leur propre couteau suisse pour leurs cyberinvestigations.

BitScout offre les fonctionnalités suivantes :

  • Récupération d’images disques, y compris par un personnel sans formation spécifique
  • Formation du personnel en situation de mobilité (via une session de terminal partagée en lecture seule)
  • Transfert de données complexes vers le laboratoire pour une inspection plus poussée
  • Analyse Yara ou antivirus à distance de systèmes non connectés (fonction essentielle dans la lutte contre les rootkits)
  • Recherche et visualisation des clés de registre (exécution automatique, services, périphériques USB connectés)
  • Extraction de fichiers à distance (récupération de fichiers effacés)
  • Correction à distance du système si l’accès est autorisé par le propriétaire
  • Analyse à distance des autres postes du réseau (utile pour répondre à distance à un incident)

L’outil est disponible gratuitement sur le référentiel de code GitHub : https://github.com/vitaly-kamluk/bitscout

Pour en savoir plus, rendez-vous sur Securelist.com : https://securelist.com/bitscout-the-free-remote-digital-forensics-tool-builder/78991/

Cybersécurité, Justice, Mise à jour, Patch

Lutte contre le terrorisme, Google montre les dents ?

Le géant américain de l’Internet Google annonce renforcer sa lutte contre le terrorisme… un diffusant des vidéos contre la radicalisation.

Google vient d’annoncer dans le Financial Times, via la bouche de Kent Walker, qu’il allait renforcer sa lutte contre le terrorisme. Google et Youtube ont été montrés du doigt après la diffusion de vidéos de propagande terroriste. Google et Youtube ont donc décidé de renforcer leurs règles, dernièrement, face aux vidéos violentes ou déplaisants à leurs annonceurs. Bilan, des dizaines de Youtubeurs se retrouvent aujourd’hui avec des montants publicitaires divisés par 10. La grande majorité n’ont plus droit à la publicité pour diverses raisons.

Côté « terrorisme », Google a donc annoncé dans le journal économique, donc lu par les annonceurs, quatre nouvelles règles. « Nous ne sommes pas les seuls à procéder depuis des années déjà à l’identification et à la suppression de contenus qui enfreignent notre façon de faire. La vérité embarrassante, c’est qu’il nous faut bien reconnaître que nous devons en faire plus« , confirme Kent Walker dans le Financial Times.

Quatre nouvelles règles donc : d’abord plus d’experts humains qui pourront juger de la pertinence, ou non, d’une vidéo. Google annonce l’embauche de 50 personnes supplémentaires ; les robots, avec l’apprentissage des machines de contrôle ; un « logo » avertissement qui sera accolé aux vidéos de groupes religieux. Les vidéos resteront, mais elles n’auront pas de publicité. Dernier point, des vidéos anti propagande seront diffusées pour combattre la radicalisation.

A noter que la semaine dernière, Facebook a annoncé la création d’une team anti terroristes (150 personnes) et un partenariat avec Google pour participer à cette lutte.

Cybersécurité, Justice, loi

Droit d’accès : Un dentiste n’a pas répondu à la CNIL, le voilà condamné !

La formation restreinte de la CNIL a prononcé une sanction de 10.000 € à l’encontre d’un cabinet dentaire, pour non-respect du droit d’accès et non coopération avec la CNIL.

Droit d’accès : En novembre 2015, la CNIL a reçu une plainte d’un patient ne parvenant pas à accéder à son dossier médical détenu par son ancien dentiste.

Les services de la CNIL ont plusieurs fois interrogé le cabinet dentaire au sujet de cette demande.

En l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le cabinet  dentaire de faire droit à la demande d’accès du patient et de coopérer avec les services de la Commission.

Faute de réponse à cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre du responsable de traitement.

Après examen du dossier, la formation restreinte de la CNIL a considéré :

  • qu’il y avait bien un manquement au droit d’accès du patient prévu par la loi ;
  • que les obligations déontologiques auxquelles sont soumises les professions médicales, notamment celles liées au secret médical, ne pouvaient justifier au cas d’espèce une absence de communication du dossier médical au plaignant.
  • que le cabinet dentaire avait fait preuve d’un défaut manifeste de prise en compte des questions « Informatique et Libertés » et avait méconnu son obligation de coopération avec la CNIL résultant de la loi.

Compte tenu de l’ensemble de ces circonstances propres au cas d’espèce dont elle était saisie, la formation restreinte a donc décidé de prononcer une sanction pécuniaire de 10 000 euros à l’encontre du cabinet dentaire.

En rendant publique sa décision, elle a souhaité rappeler aux patients leurs droits et aux professionnels de santé leurs obligations.

Chaque année, la CNIL reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical. Près de la moitié des demandes d’accès concernent des médecins libéraux.

Dans ce contexte, il est nécessaire de souligner que chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné (article 43).

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois. A lire, le dossier de la CNIL sur « Comment répondre à une demande de droit d’accès ?« 

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Patch

Règlement eiDAS, 2017 année charniére

Règlement eiDAS : 2017, une année charnière pour l’identification et la confiance numérique.

Grâce au règlement eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), l’Union européenne se distingue comme la première région mondiale à disposer d’un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques. Cela constitue un défi autant qu’une promesse dans un marché qui rassemble plus de 500 millions d’habitants. La mise en place de l’eIDAS, qui a débuté en 2015 avec une phase d’accompagnement et de précision des modalités d’application de ce règlement, s’échelonnera sur une période de 5 ans.

2017 sera une année charnière, marquée par les premières notifications des schémas d’identités numériques par des Etats membres au sein de l’Union européenne. C’est aussi une année importante pour le développement des services de confiance numérique qualifiés en Europe, le régime de transition cessant dès juillet prochain.

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d’accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu’elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée. Les entreprises pourront également bénéficier de règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s’appuyant sur un réseau de prestataires de confiance qualifiés, permettant de réduire les barrières aux transactions numériques et d’augmenter l’adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres. Un point important car la volumétrie des échanges numérique à l’intérieur des Etats reste pour l’instant largement supérieure à celle des flux transfrontières de l’UE. Concrètement, le dialogue initié par les acteurs économiques nationaux pour s’adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. 1.   1. Le renforcement d’une identité numérique nationale pour pouvoir s’authentifier avec fiabilité et signer numériquement
  1.  2. La modernisation de l’architecture des échanges numériques
  1. 3.  3.L’accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l’usage des infrastructures numériques entre secteur public et privé.
  1. 4.  4. La mise en place des signes de reconnaissance d’une confiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s’assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

Les entreprises devront donc disposer de solutions compatibles avec le règlement eIDAS et les actes d’implémentation qui en découlent, afin de se mettre en conformité et ainsi bénéficier de solutions éprouvées.

Si vous souhaitez approfondir le sujet, vous trouverez ci-dessous le communiqué complet proposé par Gemalto : Règlement eIDAS : 2017 l’année charnière pour l’identification numérique

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Cybersécurité, Justice, loi, RGPD

Brexit, ou le déclenchement d’un cyber-risque Européen

Un commentaire

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Communiqué de presse, Cyber-attaque, Cybersécurité, Justice, Leak, Piratage, Social engineering

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi

RGPD – Seconde consultation de la CNIL au sujet du règlement européen de protection des données personnelles

RGPD, c’est bientôt ! La CNIL (Commission nationale de l’informatique et des libertés) vient de lancer une 2e consultation nationale auprès des professionnels sur le règlement européen de protection des données personnelles (entrée en vigueur : mai 2018 pour les 28 Etats membres).

Les sujets abordés sont le profilage (« Comment intégrer les principes de privacy by design and by default ? », « Le profilage appliqué à votre secteur d’activité »), le consentement (« Qu’est ce que le consentement ? », « Le retrait du consentement ? »)  et les notifications de violation de données personnelles (« qui a obligation de notifier ? », « à quel moment notifier ? », « comment informer ? »).

Cette consultation se tient jusqu’au 24 mars et viendra alimenter les travaux du G29 (groupe des CNIL européennes) qui se réunissent en avril.

L’année dernière, de juin à juillet 2016, 225 contributeurs avaient posté 540 contributions et émis 994 votes sur les 4 premiers thèmes qui font l’objet de lignes directrices : le délégué à la protection des données, portabilité, études d’impact sur la vie privée, certification).

Du 23 février au 23 mars 2017, la CNIL ouvre la consultation sur 3 nouveaux thèmes : Notification de violation de données personnelles ; profilage et consentement. Ces éléments permettront de clarifier et de rendre pleinement opératoires les nouvelles règles européennes et nourriront les lignes directrices que produira le G29.

La protection des données personnelles doit être pleinement intégrée à l’ensemble de vos activités dès lors qu’elles impliquent un traitement d’informations. En effet, l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD) requiert dès aujourd’hui la mise en conformité de votre organisation, vos processus et votre stratégie. La société iTrust et ZATAZ ont proposé, le 28 février, un rendez-vous dédié à la compréhension de la GRPD. Un Webinaire avec Damien Bancal (ZATAZ.COM) et par ITrust, société d’expertise en cybersécurité française.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Particuliers, Sauvegarde, Social engineering

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Piratage, ransomware, Social engineering

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Cybersécurité, Justice, loi

CITES tape « Ctrl, Alt, Suppr » sur la cybercriminalité

Les cybercriminels sont les derniers perdants de la 17ème Conférence des Parties (COP 17) de la CITES (Convention sur le commerce international des espèces de faune et de flore sauvages menacées d’extinction) suite à la décision de ratifier l’engagement pris par les 183 Parties d’éradiquer le commerce illégal de la faune en ligne.

La décision exige de toutes les Parties qu’elles prennent une série de mesures pour s’assurer de mettre un coup d’arrêt à la criminalité en ligne liée à la faune sauvage et rassembler gouvernements, responsables de l’application des lois et sociétés de technologie en ligne dans la mission commune de sauver la faune. IFAW (le Fonds international pour la protection des animaux – www.ifaw.org) se félicite de cette décision qui constitue un énorme progrès dans la lutte pour bousculer le monde souvent sombre et secret de la criminalité en ligne liée à la faune sauvage.

« Nous sommes ravis de cette décision et remercions particulièrement le Kenya qui a mis le sujet sur la table de la CoP à Johannesburg. La criminalité en ligne liée à la faune sauvage est une menace sérieuse pour les espèces en voie de disparition, comme nos recherches le montrent depuis 2004. Cette décision permettra aux gouvernements du monde entier de prendre les mesures les plus strictes pour lutter contre ce fléau », a déclaré Tania McCrea-Steele, Chef de projet international Criminalité en ligne liée à la faune sauvage d’IFAW.

La décision ratifiée au cours de la dernière séance plénière de la CITES permet aux gouvernements de:
Identifier et partager les meilleures pratiques en matière d’application de la loi, notamment en travaillant avec INTERPOL, pour établir des lignes directrices pour les enquêtes;

Permettre aux gouvernements de s’assurer qu’ils ont la législation la plus stricte possible et encourager un engagement accru et partagé du Secrétariat, des gouvernements et des plates-formes de commerce en ligne et de réseaux sociaux pour lutter contre la criminalité en ligne liée à la faune sauvage;

En outre, il appelle à la mise en place d’un atelier sur la criminalité en ligne liée à la faune sauvage qui rassemble à la fois les pays sources, les pays consommateurs, ceux qui hébergent les grandes entreprises du web, les organisations non-gouvernementales expertes, des avocats et tout autre expert compétent pour faire avancer cette question d’ici à la prochaine CoP.

« Cette décision va conduire à une contre-offensive beaucoup plus cohérente contre les criminels qui ciblent la faune sauvage en ligne en permettant une application plus efficace de la loi et une meilleure collaboration avec le secteur commercial, le tout soutenu par une législation plus stricte pour éradiquer cette forme de criminalité. » a déclaré Tania McCrea-Steele.

La proposition sur la lutte contre la criminalité en ligne liée à la faune sauvage a été soumise par le Kenya et a été soutenue à l’unanimité des 183 Parties à la CITES.

Cybersécurité, Justice, loi

Quand le digital défie l’Etat de droit

La révolution numérique bouleverse profondément la technique, les usages, nos modèles économiques mais aussi… le droit. Cette transformation oubliée n’est pas le fruit du hasard. Elle est le fait d’une alliance entre les libertariens californiens, les grandes entreprises de la Silicon Valley et le Gouvernement américain. Ensemble, ils imposent leurs valeurs et leur droit.

Avez-vous lu les CGU (Conditions générales d’utilisation) des services Google, Facebook, Twitter, WhatsApp et consorts ? Ces CGU désignent le plus souvent le droit de l’Etat de Californie comme applicable et le juge californien comme juge du contrat. Jamais le droit français n’est affiché en clair et de manière explicite. Pourtant, la Cour d’appel de Pau a jugé en 2012, dans une affaire impliquant Facebook, que ce genre de clause est illicite, contraire au droit de la consommation. Or, quatre ans plus tard, Facebook maintient cette clause abusive dans ses CGU au mépris du droit et en toute impunité. Car qui a les moyens d’affronter la puissance financière et juridique des géants américains du numérique ? Les États européens eux-mêmes abdiquent et, au mieux, cherchent à négocier plutôt qu’à faire appliquer la loi.

Mais l’auteur va plus loin. Il analyse quatre concepts fondamentaux du droit. Ces quatre concepts sont : la liberté d’expression, la vie privée, les droits d’auteur et la place de l’Etat et de la Loi. Il constate leur glissement vers le droit anglo-saxon.

Les symptômes de cette évolution non démocratique sont des paroles de haine qui se diffusent sans réponse judiciaire efficace dans une Europe en ébullition, un affaissement de la vie privée, des données personnelles sans contrôle, des citoyens épiés chaque seconde par le partenariat NSA et grandes entreprises de la Silicon Valley, l’affaiblissement de la Loi et la dérégulation au profit du contrat.

L’AUTEUR : Me Olivier Iteanu est avocat à la Cour d’Appel de Paris depuis décembre 1988 et est fondateur et dirigeant de la société Iteanu Avocats. Spécialisé dans le droit d’Internet dès l’origine, il a publié le premier livre de droit français sur ce sujet en 1996 chez Eyrolles (Internet et le droit). Il a été président du chapitre français de l’Internet Society de 2000 à 2003 et un des rares européens ayant eu un rôle actif au sein de l’ICANN (autorité mondiale de gestion des noms de domaines). Il est expert en noms de domaine auprès de l’Organisation mondiale de la propriété intellectuelle. 12,90 € / ISBN 978-2-212-11859-9 / Edition Eyrolles.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Sauvegarde

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.
Cybersécurité, Facebook, ID, Justice, loi, Particuliers, Twitter

Réseaux sociaux : la police utilise une vieille loi obsolète pour arrêter des internautes

Un rapport publié récemment par le Bureau National Crime Records indien indique suggère que la police des différents états se moque ouvertement de la modification d’une loi. Bilan, Plus de 3.000 personnes arrêtées illégalement.

Le problème avec les lois c’est qu’elles changent souvent. Modifications, amendements… Bilan, se mettre à jour n’est pas chose aisée. Si en plus vous rajoutez de la mauvaise foi, vous voilà avec une constatation inquiétante du Bureau National Crime Records.

Cette entité Indienne explique ouvertement que les policiers en charge de L’internet et du Cybercrime font fi de la modification d’une loi « Section 66A of the Information Technology Act » qui permettait d’arrêter des internautes donnant un avis « contraire » que celui prôné, par exemple, par le gouvernement ou des politiques, sur les réseaux sociaux. Bref, râleurs, dissidents politiques… ne doivent plus être inquiétés.

Sauf que les autorités des différents états indiens ont du mal avec cette mise à jour. 3 133 personnes ont été arrêtées arbitrairement par la police pensant que la Section 66A of the Information Technology Act était toujours en activité. Un tribunal avait confirmé, en 2015, le droit de la liberté de parole et d’expression des citoyens indiquant même que « l’article 66A s’attaque de manière arbitraire, excessive et disproportionnée le droit de la liberté d’expression« . En 2015, sur les 3 133 personnes arrêtées, 64 avant moins de 18 ans. 2 avait plus de 60 ans. (BS)

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Cybersécurité, Espionnae, Justice, loi, Particuliers, Vie privée

Drones pirates : 352% de plaintes en plus en 1 an

Les drones sont devenus des objets courants, aujourd’hui. A partir de quelques euros, il est possible d’acquérir un engin volant. Au Royaume-Uni, la crainte grimpe au sujet des drones pirates. 425 plaintes déposées en 2015.

Les drones pirates envahissent les commissariats. Les drones prennent de plus en plus de place dans le ciel. Amateurs de belles images, geek et autres amateurs d’objets high-tech se jettent sur ces objets volants. Il semble que les criminels aussi ! Il n’y a malheureusement pas de raison que ce genre d’engin ne soit pas utilisé, par exemple, pour filmer une zone à cambrioler.

Au Royaume-Uni, les autorités viennent de tirer la sonnette d’alarme. Une méthode pour attirer le regard bien veillant du législateur. Un rapport de la police britannique indique que les plaintes, concernant des drones, ont augmenté de 352 % en un an. En 2014, la police avait reçu 94 plaintes de particuliers et entreprises. En 2015, le chiffre est passé à 425. Pour 2016, semble-t-il, un chiffre encore plus élevé. Depuis mois de mai 2016, déjà 272 dossiers ont été enregistrés par les autorités. A noter que de nombreuses complaintes concernent aussi des drones appartenant à la police.

Des chiffres collectés par le journal The Independent. 21 postes de police du Royaume-Uni, sur 45, ont répondu. Autant dire que le chiffre global de 352% est très certainement en dessous de la réalité. Les chiffres comprennent également des drones ayant mis en danger des avions commerciaux, des transports de drogue vers des cellules de prison. 257 rapports ont été répertoriés comme étant une préoccupation sérieuse pour la sécurité publique… sept faisaient état de drones appartenant à de jeunes enfants.

Chiffrement, cryptage, Cybersécurité, Facebook, Justice, loi, Particuliers

Facebook a répondu à une demande sur deux de la Justice Française

Le portail communautaire sollicité par la justice ne répond pas toujours positivement aux autorités. Une demande sur deux en France trouve écoute.

Les autorités judiciaires souhaiteraient que Facebook répondent plus souvent, positivement, à leurs demandes d’informations sur des utilisateurs ciblés par une enquête policière. Facebook ne répond pas en cas de demande vague ou non correctement formulée.

En 2015, Facebook a fourni des données d’internautes [lire quels types de données Facebook possède sur ses utilisateurs] dans 54% des cas, en France ; 82 % en Grande Bretagne et 42 % en Allemagne. La semaine dernière, les autorités Allemandes avaient montré du doigt Facebook en indiquant que le portail communautaire était réticent à collaborer avec la justice locale. Facebook a rejeté l’accusation en expliquant qu’un grand nombre de demandes reçues d’Allemagne avait été mal formulé.

Facebook a confirmé avoir aidé les services de renseignements Allemands en ouvrant les vannes après les attaques de Munich, Wuerzburg et Ansbach. L’un des terroristes, Ansbach, avait six comptes Facebook, y compris un compte sous une fausse identité. « Les réseaux sociaux sont une méthode de communication pour les djihadistes. Par conséquent, une coopération plus étroite entre les agences de sécurité et les opérateurs de réseaux sociaux est nécessaire » souligne Hans-Georg Maassen, le chef de l’agence de renseignement intérieur Allemande BfV.

Base de données, Cloud, Cybersécurité, Entreprise, Fuite de données, Justice, loi

Protéger votre organisation en appliquant la nouvelle réglementation sur la protection des données

La bataille de la confidentialité sur les données personnelles a franchi un nouveau cap avec l’accord de l’Union européenne sur la nouvelle réglementation sur la protection des données. Cette loi modifie profondément l’approche des entreprises en matière de protection des données clients.

Non seulement elle donne aux citoyens européens un meilleur contrôle sur le moment où les informations personnelles seront recueillies, mais également sur la manière dont elles seront utilisées. Elle prévoit par ailleurs de lourdes pénalités financières en cas d’échec des entreprises à protéger correctement les données collectées. Ces pénalités pouvant représenter jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise, elles serviront ainsi de piqûres de rappel aux équipes dirigeantes.

Bien qu’elle ne s’applique qu’aux données des citoyens européens, cette réglementation s’adresse à toutes les entreprises qui disposent d’une localisation en Europe, ce qui lui confère un véritable rayonnement à l’international. Cette nouvelle loi entraînera des modifications matérielles par rapport aux nouveaux usages et procédés de stockage des données clients, et surtout sur la façon dont les entreprises prévoient de donner l’accès à ces données à leurs employés, à leurs sous-traitants et à leurs partenaires commerciaux.

Cette nouvelle réglementation impose aux entreprises de signaler toute violation de données de ses comptes clients dans les 72 heures, ce qui les poussera à faire évoluer leur système de sécurité de la simple prévention sur le réseau à la détection des intrusions et leur correction en temps réel.

La mise en œuvre du règlement sur la protection des données se traduit par d’importantes implications pour les programmes de gouvernance des identités des entreprises. C’est l’occasion de mettre de l’ordre dans la gestion des identités avant que l’application des pénalités prévues par cette loi n’entre en vigueur. Par anticipation, les entreprises peuvent prendre des mesures significatives, en se reconcentrant sur les priorités de la gouvernance des identités :

·         En premier lieu, répertorier les différents lieux de stockage au sein de l’entreprise dans lesquels figurent les données clients à protéger selon la réglementation sur la protection des données. Elles peuvent se trouver dans des systèmes structurés, tels que les applications ou les bases de données, ou dans des fichiers situés dans des des portails de collaboration (comme SharePoint) ou même dans des systèmes de stockage dans le cloud (comme Box ou GoogleDrive).

·         Ensuite, il convient d’identifier qui doit avoir accès aux données clients et regrouper avec ceux qui y ont déjà accès. Cette démarche doit faire l’objet d’une interrogation permanente, il ne s’agit pas d’un événement ponctuel. Il est important de s’assurer de bien prendre en compte toutes les applications et les plateformes de stockage de fichiers où sont stockées les données clients.

·         Enfin, prévoir des contrôles de gouvernance des identités pour protéger l’accès aux données en accord avec la réglementation sur la protection des données, à mesure que les utilisateurs rejoignent, changent de fonctions ou quittent l’entreprise.

Il n’est pas impossible de se sentir au début un peu dépassé par les exigences de cette nouvelle réglementation sur la protection des données, en particulier concernant les pénalités financières applicables en cas de non-conformité. Toutefois, le fait de placer la gouvernance des identités au cœur de la stratégie de sécurité, dans l’optique de protéger l’accès aux données clients, peut contribuer de manière significative à atténuer le risque d’une potentielle violation des données et d’éviter les pénalités qui en découleraient. (Par Juliette Rizkallah, chief marketing officer, SailPoint)

Cybersécurité, Justice, loi

La reconnaissance d’un « droit du sampling » en faveur de Madonna

Jeudi 2 juin 2016, la chanteuse Madonna a remporté une nouvelle victoire, non pas de la musique mais sur le plan judiciaire. En effet, elle avait été accusée par la maison de disque VMG Salsoul d’avoir abusé de l’art du « sampling » qui consiste à incorporer un très court extrait de la musique d’un autre dans son propre morceau.

En l’espèce, c’est dans sa version pour radio de la chanson « Vogue » sortie en 1990 que la Madonne a repris à cinq reprises un sampling d’une mélodie de cuivres extraite du morceau « Ooh I Love it (Love Break) » du Salsoul Orchestra, une groupe de funk américain qui étais sorti au début des années 80’. C’est le producteur de cette dernière chanson qui avait collaboré avec Madonna pour enregistrer ce qui est ensuite devenu un tube planétaire.

Sampling : la légitimité de l’action contre Madonna en vertu du droit d’auteur
La magistrate Susan Graber n’a pas remis en cause le fait que même de courts extraits de morceaux, qui pourraient donc potentiellement servir à d’autres artistes sampleurs, sont protégées par le droit d’auteur. C’est pourquoi elle est revenue sur la décision des juges du fond qui avaient considéré que les poursuites engagées par la maison de disque étaient déraisonnables.

Cependant, la juge a estimé que « le grand public [ne pouvant pas] de détecter l’origine des cuivres », le groupe Salsoul Orchestra n’avait aucune légitimité à réclamer des royalties, c’est-à-dire des redevances au titre de l’utilisation par Madonna d’une partie de leur morceau.

Des limites apportées au droit d’auteur en faveur de la créativité musicale
C’est donc de manière très concrète que cette affaire a été abordée. On part du postulat que tout artiste peut s’opposer au sample de ses chansons, mais sa demande ne sera accueillie que si le public est en mesure de faire un lien direct entre les deux morceaux. L’atteinte au droit d’auteur n’est donc pas automatique, ce qui est très favorable à la création musicale.

En effet, cette décision montre qu’à partir du moment où un artiste créé une œuvre musicale assez originale pour qu’on ne puisse pas détecter l’utilisation d’un sample, alors il n’a pas à verser de royalties au titulaire des droits d’auteur sur le morceau original. A l’inverse, l’artiste qui en quelques sortes ne camoufle pas assez le sample à travers sa propre création de telle sorte qu’on peut reconnaître l’origine du court extrait repris devra rémunérer l’auteur original.

Sampler n’est pas forcément plagier : Une solution française déjà établie
Cette décision américaine fait écho à une jurisprudence établie en France depuis une affaire qui avait confronté Les inconnus à Maceo Parker en 1993 et qui a été confirmée par un arrêt du 5 juillet 2000 du Tribunal de grande instance de Paris. Les juges français ont en effet considéré que « le caractère reconnaissable de l’emprunt par un auditeur moyen » constitue le critère de qualification de l’acte de contrefaçon quand le sample n’a pas fait l’objet d’une autorisation préalable. Cela permet de concilier les intérêts des artistes samplés comme des artistes sampleurs.

En conclusion, il est à espérer que l’alignement des États-Unis sur la solution française entrainera l’avènement d’un véritable « droit au sample » dans le monde. Les artistes recourent de plus en plus, et ce depuis l’apparition du Hip Hop, à cette technique et les sanctionner à ce titre lorsqu’ils ont fait un sérieux effort de création serait préjudiciable à l’ensemble de l’industrie musicale. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM).

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte contre le cyber-terrorisme : vie privée et sécurité nationale

Une étude révèle des attitudes et des avis différents dans la région EMEA quant à l’utilisation des données personnelles et la lutte contre le cyber-terrorisme.

Une étude initiée par F5 Networks et menée à l’échelle européenne auprès de 7 000 personnes (1) révèle que 75 % des individus n’ont aucune confiance dans les réseaux sociaux et les entreprises marketing, en ce qui concerne la protection de leurs données personnelles. 70 % des individus se disent « préoccupés » lorsqu’ils partagent leurs données avec des entreprises et 64 % inquiets pour leur vie privée. Seuls 21 % sont convaincus que les entreprises peuvent protéger efficacement leurs données contre le piratage.

Lutte contre le cyber-terrorisme : Une confiance sous conditions
Sur l’ensemble du panel, plus de la moitié des individus sont prêts à partager leurs données – date de naissance (53 %), statut matrimonial (51 %) et intérêts personnels (50 %) en échange de l’utilisation gracieuse de services. En France, ils sont 55 % à être prêts à communiquer leurs intérêts personnels (contre seulement 35 % au Royaume-Uni).

Pourtant, près d’un cinquième des répondants (18 %) déclare qu’ils ne partageraient jamais leurs données contre un service, ce qui est le cas de 21 % des français et de 33 % des britanniques. En fait, sur la région EMEA, les habitants du Royaume-Uni sont les moins disposés à communiquer leurs données.

Un degré de confiance différent selon le secteur d’activité de l’entreprise
Les individus considèrent les banques comme les sociétés les plus dignes de confiance (76 %) et leur font davantage confiance pour protéger leurs données (73 %) que les entreprises d’autres secteurs. Il reste toutefois une insatisfaction concernant les méthodes utilisées pour protéger les données. Les utilisateurs trouvent ainsi que les banques (77 %), les organismes de santé (71 %), de même que le secteur public et le gouvernement (74 %), ont besoin de renforcer leurs systèmes d’authentification pour atteindre un plus haut niveau de sécurité.

« Les acteurs traditionnels tels que les banques sont, par leur activité, considérés comme de confiance », commente Antoine Huchez, responsable marketing Europe du Sud chez F5 Networks à DataSecurityBreach.fr. « Pourtant, cela ne nous empêche pas les consommateurs de partager des informations sur les réseaux sociaux, alors qu’ils considèrent ceux-ci comme peu fiables, en matière de protection des données personnelles. Les utilisateurs étant de plus en plus sensibilisés sur les risques, les entreprises doivent mettre en place une infrastructure de sécurité et de protection des données – technologie, éducation et processus – suffisamment rigoureuse pour répondre aux inquiétudes de leurs utilisateurs et garder la confiance de leurs clients ».

Le débat lutte contre le cyber-terrorisme : confidentialité ou protection ?
Le règlement européen sur la protection des données personnelles (General Data Protection Regulation – GDPR), récemment approuvé par le Parlement européen, donne aux citoyens le droit de se plaindre et d’obtenir réparation si leurs données sont mal utilisées au sein de l’UE. Lorsqu’on leur demande ce qu’ils considèrent comme un mauvais usage de leurs données, plus des deux tiers (67 %) des individus mentionnent le partage de leurs données avec des tiers sans leur consentement. A noter que sur les pays Européens si ce partage de données sans consentement est une mauvaise pratique pour 75 % des consommateurs britanniques, les français sont seulement 59 % à le penser – les polonais (71%), les allemands (68 %) et les habitants du Benelux (62 %).

Dans le sillage du débat entre Apple et le FBI concernant le déverrouillage d’un smartphone, 43 % des individus sont d’accord avec l’affirmation selon laquelle les entreprises sur le marché des nouvelles technologies devraient accorder la priorité à la sécurité nationale plutôt que sur la vie privée et fournir aux organismes gouvernementaux l’accès aux périphériques verrouillés. Les chiffres sont encore plus élevés au Royaume-Uni (50 %), au Benelux (49 %) et en France (46%) mais plus faibles en Allemagne (38 %) et en Arabie Saoudite (37 %).

La sécurité nationale passe devant le droit à la vie privée avec une différence de 12 points, mais pour 43% des individus, la responsabilité de protéger les citoyens contre les menaces cyber-terroristes incombe à leur gouvernement et un cinquième (21 %) des personnes interrogées pensent que chacun devrait être responsable de sa protection. « Les individus prennent ainsi conscience qu’ils peuvent jouer un rôle dans la sécurité nationale mais les responsabilités ne sont pas encore clairement établies », conclut à DataSecurityBreach.fr Antoine Huchez, responsable marketing Europe du Sud chez F5 Networks.

(1)L’étude, menée par Opinium Research, a interrogé plus de 7 000 individus à travers le Royaume-Uni, l’Allemagne, la France, le Benelux, les Émirats Arabes Unis, l’Arabie Saoudite et la Pologne, afin de recueillir leur avis quant à la sécurité et l’utilisation des données personnelles.

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi

Empreintes biométriques, le FBI veut sa BDD

Le FBI vient d’annoncer qu’elle trouvait judicieux de pouvoir stocker toutes les informations concernant les empreintes biométriques, dans un espace de stockage qui lui serait propre.

Le FBI propose de sauvegarder toutes les empreintes biométriques, dans ses locaux, que les Américains auront pu soumettre à l’administration de l’Oncle Sam. Les Américains, mais pas seulement. Si vous avez fait une demande de visa, par exemple, vos données pourraient être sauvegardées et stockées dans la base de données du FBI.

Connu comme le système d’identification de prochaine génération (NGIS), la base de données contiendra les enregistrements des passeports, des contrôles de sécurité, et les informations des traitements judiciaires, comme ceux enregistrés lors d’une arrestation. Il n’y aura pas que les empreintes digitales de vos doigts. NGIS prévoit de sauvegarder les scans d’iris, du visage, palmaires, et toute autre information corporelles qui peuvent être recueillies dans le cadre d’une interaction avec l’agence gouvernementale.

Le FBI explique que sa base de données doit être considérée comme sensible, donc exemptée du contrôle effectué par la Loi sur la protection des renseignements personnels. Bilan, personne ne pourra lui demander le moindre compte. Le FBI a ajouté que l’agence pourrait utiliser les données pour arrêter de futurs criminels. On ne sait pas combien de personnes sont dans cette base de données. L’Electronic Frontier Foundation a déclaré en 2014 que le FBI prévoyait d’avoir plus de 52 millions de photos dans cette « BDD » d’ici la fin de l’année 2015. Le législateur à jusqu’au 6 juin pour freiner les hardeurs du FBI. (Zdnet)

Cybersécurité, Justice, loi

Ross : La justice prochainement rendue par une intelligence artificielle ?

Des chercheurs ont mis en place une intelligence artificielle baptisée ROSS qui sera capable, dans les mois à venir, de remplacer un avocat.

Comme si le monde n’était pas assez inquiet à la vue de l’automatisation et de la création d’intelligence artificielle capable de remplacer l’homme dans les taches professionnelles du quotidien. Les avocats vont pouvoir commencer à trembler. La semaine dernière, le cabinet d’avocats Baker & Hostetler a annoncé mettre en place une intelligence artificielle exclusive signée IBM. Une technologie baptisée Ross.

ROSS est le premier avocat artificiellement intelligent du monde. Conçu comme un outil algorithmique d’auto-apprentissage, Ross est capable de la plupart des actions cognitives de base et possède des capacités de recherche « affinées », dont la possibilité de faire des citations complètes. Ross se joindra à l’équipe de 50 avocats du cabinet Baker & Hostetler, des juristes spécialisés dans les affaires de faillite.

Il suffit de poser une question simple à ROSS, et ce dernier fournit l’ensemble des textes de lois, et dirige son interlocuteur vers la lecture de la législation en vigueur concernant l’affaire en cours, la jurisprudence et des sources secondaires. ROSS surveille les jugements afin d’informer les avocats de nouvelles décisions judiciaires qui peuvent influer sur les cas traités.

Ross sera principalement utilisé comme un outil de recherche, à synthétiser rapidement un grand nombre de dossiers et extraire les sources les plus pertinentes. Bref, après l’IA de Google qui a ingurgité des milliers de romans à l’eau de rose et qui est capable aujourd’hui de créer des poésies d’amour [très étranges] ; après le professeur de la Georgia Tech’s School of Interactive Computing qui n’était en fait qu’un bot [les élèves l’ont appris à la fin de l’année scolaire], voici donc venir le robot avocat. Une idée sortie tout droit du nanar de science-fiction Demolition Man ? En 2015, un étudiant britannique de l’université de Stanford avait créé un site internet baptisé « Ne payez pas« . Son site, et le bot programmé à cet effet, est capable de noyer d’arguments juridiques les tribunaux pour permettre aux internautes condamnés à payer une amende à ne pas être condamné.

Cybersécurité, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers, Sauvegarde

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Argent, Base de données, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, loi, Mise à jour, Particuliers, Piratage

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Cybersécurité, Justice, loi

7 ans de prison et 750000€ d’amende pour les réseaux de contrefacteurs en France

Un commentaire

Vêtements, produits de luxe, dvd, films, albums de musique… Les réseaux de contrefacteurs en bande organisée, comme un portail diffuseur de liens torrents reliés à des copies illicites risquent 7 ans d’emprisonnement et 750.000€ d’amende.

L’Union des Fabricants (Unifab), association française de lutte anti-contrefaçon qui œuvre depuis plus de 140 ans pour la protection et la promotion du droit de la propriété intellectuelle, et ses 200 entreprises adhérentes issues de tous les secteurs d’activité, se félicitent de l’adoption en Commission Mixte Paritaire (CMP) de l’amendement concernant l’aggravation des sanctions en matière de contrefaçon en bande organisée, portant les peines encourues pour les contrefacteurs, de 5 ans et 500.000€,  à 7 ans d’emprisonnement et 750.000€ d’amende.

Les discussions dans le cadre du projet de loi lutte contre le terrorisme, entamées à l’Assemblée Nationale et poursuivies au Sénat, ont abouti à une véritable avancée,  dans la protection des œuvres de l’esprit qui sont, il est important de le rappeler, les piliers de la tradition, du savoir-faire, de l’économie, de la création, et de la sécurité des consommateurs.

Réseaux de contrefacteurs

Cette disposition, qui demeure à l’adoption finale et définitive du texte, s’inscrit dans la droite ligne des 10 recommandations formulées par l’Unifab à l’occasion de la sortie de son rapport sur le lien direct entre « contrefaçon et terrorisme » remis officiellement au Ministre des Finances et des Comptes Publics M. Michel Sapin le 28 janvier dernier.

« Aujourd’hui nous célébrons une véritable et authentique victoire, une avancée spectaculaire, qui provoquera une réelle prise de conscience dans l’application des peines à leur plus juste niveau. Je ne peux que féliciter et remercier les acteurs majeurs de cette initiative, et particulièrement le président du Comité National Anti-Contrefaçon (CNAC) et Sénateur des Français à l’étranger M.Richard Yung, qui, grâce à un engagement sans faille a permis de réévaluer le cadre répressif de la propriété intellectuelle pour être en phase avec l’échelle des peines des délits similaires… » déclare Christian Peugeot, Président de l’Unifab.

Alors que la France, leader en matière de protection des droits de propriété intellectuelle, renforce son système répressif concernant les activités liées aux réseaux de contrefacteurs, le tribunal populaire de Putuo, à Shanghai vient de condamner un revendeur, sur une célèbre plateforme chinoise de e-commerce, à fermer sa boutique en ligne et à cesser d’utiliser frauduleusement la marque « Bonpoint ». Le contrefacteur a été condamné à payer 35.000 yuans, et, fait surprenant, à exprimer publiquement ses excuses dans le journal local Xinmin.

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Cybersécurité, Justice, loi

Le droit des données personnelles

N’attendez pas que la CNIL ou les pirates vous tombent dessus ! « Le droit des données personnelles » aux éditions Eyrolles.

La seconde édition de « Le droit des données personnelles » de Fabrice Mattatia, aux éditions Eyrolles augmentée et mise à jour, fait le point sur le droit applicable en France aux traitements de données personnelles. Elle intéressera aussi bien les juristes en quête d’un ouvrage de synthèse ou les informaticiens préparant un nouveau développement, que les directeurs informatiques et les dirigeants d’entreprises ou d’administrations désireux de connaître leurs obligations légales. Ils y trouveront un exposé méthodique des lois applicables, ainsi que l’analyse des jurisprudences les plus récentes, afin de pouvoir répondre aux questions concrètes qu’ils peuvent se poser : quelles formalités administratives accomplir ? Quels sont les droits des personnes concernées ? Y a-t-il des données dont le traitement est interdit ou encadré ? Combien de temps peuvent-ils conserver les données personnelles collectées ? Peut-on envoyer des données personnelles hors d’Europe, et notamment aux États-Unis ? Quel risque pénal prennent-ils en négligeant leurs obligations ? Quelles évolutions du cadre européen sont prévues dans les années à venir ? Un livre d’autant plus indispensable que le Parlement européen vient d’adopter définitivement le règlement sur la protection des données personnelles qui sera applicable d’ici 2 ans et dont l’analyse constitue le chapitre 9 de cet ouvrage. « Le droit des données personnelles » Ed. Eyrolles, chez votre libraire depuis le 22 avril 2016. (240 pages / 978-2-212-14298-3 / 35€).

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.