Archives de catégorie : Justice

Banque, Bitcoin, Cybersécurité, Justice

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Les accusations, qui ont été déposées en 2019 mais rendues publiques récemment, affirment que Bilyuchenko et Verner ont volé 647 000 bitcoins à Mt. Gox et les ont utilisés pour soutenir leurs activités illicites sur la plateforme de crypto-monnaie BTC-e entre 2011 et 2017.

En outre, Bilyuchenko est accusé d’avoir dirigé BTC-e en collaboration avec Alexander Vinnik, un autre ressortissant russe qui a été extradé vers les États-Unis en 2022 après son arrestation en Grèce en 2017. Vinnik est accusé d’avoir blanchi plus de 4 milliards de dollars grâce à BTC-e.

Les accusations portées contre Bilyuchenko et Verner comprennent portent sur un certain nombre d’infractions liées au blanchiment d’argent.

Les procureurs affirment que Bilyuchenko a joué un rôle clé dans la création de BTC-e, qui aurait servi de plateforme de blanchiment d’argent pour des criminels du monde entier, notamment des pirates informatiques, des auteurs de rançongiciels, des trafiquants de drogue et des fonctionnaires corrompus.

Selon Ismail Ramsey, un avocat américain, Bilyuchenko et ses complices auraient exploité un bureau de change numérique qui a permis de blanchir des milliards de dollars pendant de nombreuses années. Ces allégations rejoignent celles des enquêteurs qui ont précédemment étudié cette affaire.

Les documents judiciaires déposés auprès du tribunal du district sud de New York révèlent que Bilyuchenko, Verner et d’autres complices non identifiés ont piraté les serveurs de Mt. Gox, basés au Japon, qui contenaient les portefeuilles de crypto-monnaie des clients de la plateforme. Ils ont ensuite transféré les fonds volés vers des adresses bitcoin contrôlées par les voleurs.

Selon le ministère de la Justice, le groupe aurait réussi à détourner les 647 000 bitcoins de Mt. Gox entre septembre 2011 et mai 2014, vidant ainsi les avoirs de la plateforme dans cette devise. Mt. Gox a finalement fermé ses portes en 2014.

En avril 2012, les accusés auraient conclu un accord avec un service de courtage de bitcoins anonyme pour convertir la monnaie volée en virements électroniques importants vers des comptes bancaires offshore. Entre mars 2012 et avril 2013, environ 6,6 millions de dollars ont été transférés sur des comptes bancaires à l’étranger. Ces comptes étaient contrôlés par Bilyuchenko, Verner et d’autres personnes. Il est allégué que Bilyuchenko, Verner et les autres membres de ce piratage ont utilisé cette « lessiveuse » de cryptomonnaie pour blanchir plus de 300 000 bitcoins qui avaient été volés à Mt. Gox. Les détails spécifiques de la façon dont le blanchiment a été effectué ne sont pas mentionnés.

Transfert de fonds volés vers BTC-e

La maison de courtage a effectué des transferts d’environ 6,6 millions de dollars vers des comptes bancaires à l’étranger contrôlés par Bilyuchenko, Verner et leurs complices. En retour, la maison de courtage a reçu un « crédit » sur une autre plateforme de crypto-monnaie contrôlée par le groupe. Il est estimé que plus de 300 000 bitcoins volés à Mt. Gox ont été blanchis via cette lessiveuse non citée.

Pendant de nombreuses années, l’ancien PDG de Mt. Gox, Mark Karpeles, a été accusé d’être à l’origine du vol et de l’effondrement de la plateforme. Cependant, les récentes accusations portées contre Bilyuchenko et Verner ont apporté de nouvelles preuves suggérant leur implication directe dans le piratage de Mt. Gox et le détournement des bitcoins.

En ce qui concerne BTC-e, Bilyuchenko est également accusé d’avoir collaboré avec Alexander Vinnik et d’autres pour diriger cette plateforme de crypto-monnaie jusqu’à sa fermeture par les forces de l’ordre en juillet 2017. Selon le ministère de la Justice, BTC-e était une plaque tournante d’activités criminelles, servant de moyen principal pour les cybercriminels du monde entier de transférer, blanchir et stocker les produits de leurs activités illégales.

La plateforme aurait compté plus d’un million d’utilisateurs dans le monde, facilitant le blanchiment des produits de nombreuses intrusions informatiques, piratages, ransomwares, usurpations d’identité, fonctionnaires corrompus et réseaux de trafic de drogue.

Damian Williams, procureur américain pour le district sud de New York, affirme que Bilyuchenko et Verner pensaient pouvoir échapper à la loi en utilisant des techniques de piratage sophistiquées pour voler et blanchir d’énormes quantités de crypto-monnaie. Cependant, les récentes accusations et les dernières arrestations dans le monde de la cryptomonnaie malveillante démontrent que les autorités ont des outils particulièrement efficaces pour stopper tout ce petit monde.

Cybersécurité, Justice

UFC Que Choisir contre Twitter: la victoire historique des consommateurs !

UFC Que Choisir vient de remporter une grande victoire contre le géant des réseaux sociaux, Twitter Inc. La Cour d’appel de Paris a confirmé une décision antérieure qui a établi que 24 clauses des conditions d’utilisation de Twitter étaient illicites.

24 clauses des conditions d’utilisation, 29 clauses de la politique de confidentialité et 7 clauses de son règlement sont illégales. Twitter vient de découvrir la décision de la Cour d’appel de Parus concernant une série de plainte à l’encontre du réseau sociaux au petit oiseau bleu. Bilan, cette décision a des implications importantes pour les droits des internautes sur les réseaux sociaux.

La Cour a d’abord considéré que les règles du droit de la consommation s’appliquent aux conditions d’utilisation de Twitter, malgré le caractère apparemment gratuit du service. La Cour a souligné que la fourniture de données de l’utilisateur est la contrepartie du service rendu et que, par conséquent, le contrat a un caractère onéreux. Cette décision renforce la célèbre formule « Si c’est gratuit, c’est toi le produit !« .

Consentement des utilisateurs

En outre, la Cour a rejeté deux clauses importantes relatives au consentement des utilisateurs, qui ont été jugées non écrites. Ces clauses ont été rejetées car elles n’étaient pas clairement exposées au moment de la souscription du contrat.

« Chacun saura désormais que les clauses qui ne figurent pas dans l’écrit que le consommateur accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence ne sont pas valables. » souligne Alexandre Lazarègue, Avocat spécialisé en droit du numérique.

La Cour a également sanctionné les clauses qui permettaient à Twitter de modifier les services et les conditions générales de manière unilatérale. Cela a des implications importantes pour les utilisateurs, car cela signifie que Twitter ne peut pas changer les termes du contrat sans l’accord explicite de l’utilisateur, quitte à en boquer son évolution.

Il paraissait pourtant légitime que, si une partie ne doit pas pouvoir modifier unilatéralement l’esprit général d’un contrat, elle puisse faire évoluer celui-ci sans qu’un consommateur puisse, à lui seul, bloquer toute évolution.

Utilisation du service et les contenus publiés

En outre, plusieurs clauses du contrat prévoyaient que l’utilisation du service et les contenus publiés se trouvaient sous la responsabilité de l’utilisateur. Le tribunal a considéré que ces clauses étaient illicites. « S’il est logique que Twitter assure la sécurité des données qu’elle collecte, et qu’elle endosse la responsabilité d’un éventuel piratage, il n’apparaissait pas abusif que l’auteur d’un contenu en soit responsable et que twitter en tant que simple hébergeur en soit déchargé. » explique Alexandre Lazarègue.

Enfin, la Cour a également souligné que la suppression d’un compte Twitter pour violation de de son règlement éthique doit faire l’objet d’un débat contradictoire et de mises en garde préalables. Les utilisateurs de Twitter, y compris tels que Donald Trump et les influenceurs sur le grill, devront désormais savoir précisément sur quel fondement leur compte est supprimé et avoir la possibilité de contester cette décision à l’amiable.

En somme, cette décision est une grande victoire pour les consommateurs et les internautes, car elle renforce leurs droits et leurs protections sur les réseaux sociaux. Elle rappelle également aux grandes entreprises que leurs pratiques commerciales doivent être transparentes et justes envers les utilisateurs.

cyberattaque, Justice, Sécurité

Le développeur de NetWire arrêté

En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.

Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.

L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.

Vendu comme outil pour entreprise

En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.

Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.

Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.

La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.

L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.

Des pirates Nigérians adeptes de Netwire

Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.

Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.

Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.

Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.

L’objectif ultime des attaquants reste inconnu à l’heure actuelle.

Justice

4 étapes pour appliquer le RGPD à son entreprise

L’arrivée du Règlement Général sur la Protection des Données en mai 2018 a bouleversé le quotidien de beaucoup entreprises. Et pour cause, ces quinze dernières années ont été émaillées de nombreux scandales en matière de vol de données. On pense par exemple, le scandale Facebook-Cambridge Analytica (en 2018) avec près de 87 millions d’utilisateurs visés par un vol de données.

La réglementation sur la protection des données a pour objet de garantir la sécurité des données personnelles des individus et plus largement protéger de la vie privée des personnes. Pour cela, le RGPD impose un certain nombre d’obligations aux acteurs de l’économie.

Quelles sont les 4 étapes clés pour se mettre en conformité au RGPD ?

1 – Collectez un minimum de données personnelles

L’un des principes fondateurs du RGPD (article 5) relève du bon sens : moins vous collectez de données plus vous réduisez les risques. Il consiste à s’interroger sur la question suivante : “Ai-je vraiment besoin de collecter ces données ?”.

En effet, le temps où vous collectiez des données pour peut-être vous en servir ultérieurement est révolu. Vous avez l’obligation de ne collecter que les données strictement nécessaires à votre activité (principe de minimisation des données).

Ce principe est directement lié à une seconde obligation : celle de déterminer les raisons pour lesquelles vous collectez des données. Vous devez indiquer la finalité dans un document appelé “registre de traitements” (étape n°3), c’est-à-dire l’objectif de la collecte et l’utilisation des données.

Par exemple : vous livrer votre produit à vos clients, ce dernier renseigne son nom, numéro de téléphone, adresse e-mail, adresse de livraison et informations bancaires. Vous n’avez pas besoin de connaitre le lieu de naissance (principe de minimisation) pour livrer le produit (finalité).

2 – Cartographiez vos données personnelles

Les données personnelles se baladent absolument partout. Faire l’inventaire de ces données est une étape clé. Pour ce faire, partez de vos outils CRM, éditeurs de mailings, boîtes mails etc. et notez les grandes catégories de données.

Pour rappel, une donnée personnelle est toute information directe ou indirectement permettant d’identifier une personne (article 4 RGPD). Les données relatives aux personnes morales ne sont pas protégées par le RGPD. Exemple de données personnelles :

  • Le nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier.

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.

Munissez-vous d’un logiciel RGPD tel que Leto qui met à disposition une brique technologique permettant d’identifier automatiquement toutes les catégories de données personnelles collectées dans les outils de votre entreprise. Faire appel à ce type de solution vous permet de gagner beaucoup de temps.

3 – Documentez ce que vous faites des données personnelles

Cette dernière étape a deux fonctions majeures :

  • Elle permet d’informer vos interlocuteurs de ce que vous faites de leurs données personnelles. Pour ce faire, munissez-vous d’une politique de confidentialité détaillant les données collectées, ce que vous en faites et comment ils peuvent former une demande de suppression, modification ou copie de leurs données.
  • Surtout, documentez l’ensemble des utilisations (appelées “traitements”) opérées sur ces données dans un registre de traitements. Ce registre vous permet à la fois pour montrer pâte blanche à vos partenaires lors d’audit mais également à justifier de votre conformité en cas de contrôle par la CNIL.
  • Lorsque vous travaillez pour le compte d’autres entreprises, vous avez le statut de sous-traitant au regard du RGPD. À ce titre, certaines obligations vous incombent et notamment, de proposer à vos clients un contrat sous-traitant qui respecte les exigences de l’article 28 RGPD. C’est LE document qui prouve à vos partenaires que vous agissez de manière conforme au RGPD.

Politique de confidentialité, registre de traitements et contrats sous-traitants : voilà les documents dont vous avez besoin pour prouver votre conformité auprès des autorités, de vos partenaires et de vos clients.

La construction de ces documents est souvent proposée par des cabinets d’avocats pour un prix très élevé alors que des solutions moins couteuses et plus rapides existent. Ayez plutôt recours à une solution SaaS comme Leto dont la plateforme permet de générer automatiquement votre registre de traitements, registre sous-traitants et vous guide dans la construction de toute votre documentation.

4 – Sensibilisez vos collaborateurs avec Leto

Chaque collaborateur de votre entreprise est amené à collecter et manipuler des données personnelles. La protection des données est donc l’affaire de tous. Penser que ce sujet ne concerne qu’une personne dans votre entreprise est un piège dès lors tout collaborateur peut être une cible de cyber-attaques.

Sensibiliser ses collaborateurs pour qu’ils acquièrent les bons réflexes est un gain de temps immense en matière de conformité. La sensibilisation des équipes est d’ailleurs une des missions obligatoire du délégué à la protection des données (DPO).

Qu’elle soit l’expression d’une obligation légale ou d’une volonté de montée en maturité sur ces sujets, la sensibilisation est votre meilleur outil.

Basé sur son expérience user, le logiciel Leto propose un module de sensibilisation des collaborateurs avec une banque de plus 100 questions pensées pour représenter des cas concrets pour chaque métier (Marketing, RH, Finance, Tech, Data, IT etc.). Vous avez également la possibilité de créer vos propres questions directement depuis l’outil et de lancer des campagnes auprès de vos équipes via votre outil de messagerie interne préféré. Le résultat de ces campagnes vous permet d’identifier les sujets les moins maitrisés, les personnes les moins à l’aise avec ces sujets tout en ayant la documentation associée à chaque question.

Contrairement aux idées reçues, la conformité au RGPD est un levier puissant de développement de votre activité. Aujourd’hui, des solutions SaaS vous permettent d’y parvenir simplement et rapidement.

Cybersécurité, Justice

TikTok s’étouffe en France avec ses cookies

La CNIL a condamné TikTok à une amende de 5 millions d’euros pour avoir enfreint les lois sur les cookies.

Le populaire service d’hébergement de vidéos TikTok a été condamné à une amende de 5 millions d’euros par la Commission Nationale Informatique et des Libertés (CNIL) pour avoir enfreint les règles de consentement aux cookies, ce qui en fait la dernière plate-forme à faire face à des sanctions similaires après Amazon, Google, Meta et Microsoft.

« Les utilisateurs de ‘TikTok ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise des objectifs des différents cookies« , déclare la CNIL.

Le régulateur a déclaré avoir effectué plusieurs audits entre mai 2020 et juin 2022, constatant que la société appartenant à la société Chinoise ByteDance n’offrait pas une option simple pour refuser tous les cookies au lieu d’un seul clic pour les accepter.

L’option de « refuser tous » les cookies a été introduite par TikTok en février 2022. La CNIL a sanctionné, en ce début d’année, Microsoft et Appel pour des manquements aux règles liées au RGPD.

Justice, Mise à jour, Téléphonie

Starlink interdit en France ?

Des associations environnementales françaises font interdire dans l’hexagone le service Starlink d’Elon Musk.

L’affaire pourrait prêter à sourire, mais démontre que les lobbyings de tous poils sont aux aguets dés qu’il s’agit de faire interdire des avancés technologiques qui ne vont pas dans leur sens. Alors que de nombreux français, en zones blanches (sans possibilités de connexion) ne peuvent exploiter le numérique, des services tels que ceux proposés par l’entreprise d’Elon Musk permettent de ne plus être hors du XXIe siècle.

Le 5 avril, le Conseil d’Etat a retoqué une décision de l’ARCEP (le gendarme des fréquences radios en France) datant de janvier 2021 qui permettait à Starlink de proposer ses accès Internet par Satellite. Le Conseil d’État a reproché à l’Arcep de ne pas avoir mis en place « une consultation du public » afin de faire jouer la concurrence. Bilan, il est reproché, non pas des ondes qui pourraient détruire la nature. Il est expliqué que cet accord était « susceptible d’avoir une incidence importante sur le marché de la fourniture d’accès à internet à haut débit, et d’affecter les utilisateurs« .

Les associations Priartem et Agir pour l’environnement vont demander, sept mois plus tard, l’annulation de l’autorisation ARCEP/Starlink. Ils vont mettre en avant un défaut de mise en concurrence pour faire couper Starlink. Les associations s’y prendront à trois fois. Après un refus, en septembre 2021, remise sur le tapis en décembre 2021, puis en mars 2022. La troisième sera la bonne ! Ces associations sont spécialisées dans « la prévention des risques liés aux technologies électromagnétiques ». Elles vont gagner en mettant en avant « Une incidence importante sur le marché de la fourniture d’accès à internet à haut débit […] sans avoir préalablement procédé à une consultation du public. »

Couper, pas couper ?

Couper Starlink Internet Services Limited, en France. Cela va surtout le rendre un peu plus lent. Les informations vont être routées, prendre d’autres chemins, sans passer par les vertes prairies locales. Le hic va surtout être pour les utilisateurs d’aujourd’hui. Vont-ils encore avoir le droit d’utiliser leur matériel et, dorénavant, les fréquences interdites ? J’imagine déjà la tête de nos amis frontaliers en Suisse, Belgique, … passant par la bande fréquence « Made in France » (0,95-12,70 GHz de haut en bas et 14,00-14,5 GHz de bas en haut). Le document du Conseil D’Etat semble préciser que l’interdiction vise les liaisons entre un satellite et le sol, et pas un satellite vers les paraboles Starlink au sol. Bref, c’est capillotractée.

Je suis impatient de voir venir des propositions alternatives françaises pour sortir du noir les zones blanches, avec l’aide de ces associations ! En attendant, Arianespace a signé un contrat avec Amazon pour envoyer vers l’infini et haut delà les satellites Kuiper. Mission, diffuser de l’Internet à haut débit d’ici à 2030.

Cybersécurité, Justice

Les CNIL Européennes montrent les dents face à Google

Les Commissions Informatiques et des Libertés Européennes considèrent que les données collectées par Google sont encore trop mal protégées face à l’espionnage. La France et l’Autriche menacent de nouvelles sanctions contre le géant américain.

Les données utilisées par Google et sa maison mère Alphabet ne seraient pas suffisament protégées, selon plusieurs CNIL Européennes. Pour la France, la Commission Informatique et des Libertés menacent d’interdiction Google Analytics. Enfin pourrions-nous dire. Depuis des années, l’exploitation des informations collectées est illégale. Google Analytics permet d’analyser le comportement des internautes sur internet et la CNIL s’inquiète de la possibilité d’interception par les services secrets américains.

Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux. La Commission estime que les données ne sont pas suffisamment encadrées. Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès (violation des articles 44 et suivants du RGPD) des services de renseignements américains à ces données.

En Autriche, la CNIL locale a déterminé de son côté que Google Analytics violait, lui aussi, le règlement général sur la protection des données. Google Analytics communique les adresses IP des visiteurs de site web aux États-Unis. Les adresses IP représentent des données personnelles car elles permettent de suivre et retrouver une personne.

Autant dire que le défit n’est pas du côté de Google, mais des millions de webmasteurs, administrateurs de site web, utilisateurs de l’outil. Pour continuer à utiliser Google Analytics, tout en se conformant aux exigences du GDPR, la société Cloudflare propose la solution Zaraz (à une lettre prêt sur un clavier, cela fait zataz, comme le blog de référence en cybersécurité zataz.com). L’outil se veut un intermédiaire entre le navigateur et le serveur tiers.

Si l’on reprend l’exemple de Google Analytics, lors de la connexion à un site web, Zaraz chargera les outils dans le cloud en utilisant la plateforme Workers de la société américaine. En procédant ainsi, il n’y aura absolument aucune communication entre le navigateur et le point d’accès de Google. Les IP européennes sont ainsi bloquées en dehors de l’UE.

Par défaut, Zaraz ne sauvegarderait aucune information sur l’utilisateur final, à l’exception de la journalisation des erreurs. A noter que cet outil gère aussi d’autres traceurs comme ceux de Google Ads, Bing, Facebook pixel, Linkedin, etc.

Communiqué de presse, Justice

Plainte de France Digitale contre Apple auprès de la CNIL

La CNIL s’est reconnue compétente pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition de l’utilisateur.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire. Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple. La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit
d’opposition de l’utilisateur d’un service de communication électronique.

Rappel du contexte

France Digitale représente près de 1800 start-ups et investisseurs du numérique français. En mars 2021, l’association a saisi la CNIL pour leur faire part d’un constat simple: les publicités personnalisées au bénéfice de la plateforme Apple sont aujourd’hui activées par défaut (voir sur le terminal en allant dans Confidentialité->Publicité). Il pourrait s’agir d’une atteinte manifeste, grave et répétée au RGPD et à la directive “e Privacy”.

C’était une première mondiale : jamais une association de startups n’avait ouvert de contentieux contre le géant de Cupertino.

Pour l’association, cette plainte vise à mettre en évidence l’inégalité de traitement que produit l’App Tracking Transparency (ATT). En effet, Apple a instauré une distinction entre les applications exploitées par des entreprises affiliées à Apple et les applications dites tierces. Ces dernières relèvent de l’ATT qui exige que leur utilisateur consente à la collecte et au traitement de leurs données. Les applications exploitées par des entreprises affiliées relèvent, elles, d’un ciblage publicitaire activé d’office sur le terminal, sans action de l’utilisateur.

Non contente d’instaurer une distorsion entre ces deux catégories d’applications, Apple semble heurter frontalement les règles du RGPD qui exigent, notamment, que la collecte et le traitement des données personnelles fassent l’objet d’un consentement exprès et spécifique. La présomption de consentement de l’utilisateur, caractérisée par l’activation d’office du suivi publicitaire, est susceptible de heurter le droit des données personnelles.

Instruction de la plainte par la CNIL

Par un courrier datant de fin mai adressé à l’association, la CNIL s’est reconnue compétente pour instruire la plainte de France Digitale.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire.

A ce sujet, Benoist Grossmann, Co-Président de France Digitale et CEO Eurazeo Investment Manager, indique que “France Digitale va se rapprocher de l’autorité irlandaise pour suivre étroitement l’instruction. Celle-ci visera le non-respect par Apple des règles relatives au consentement en matière de données personnelles.”

Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple.

La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit d’opposition de l’utilisateur d’un service de communication électronique.

Perspectives contentieuses

Pour Benoist Grossmann, Co-Président de France Digitale : “Qu’une décision de sanction intervienne en Irlande et/ ou en France, un contentieux judiciaire pourra se déployer contre Apple devant les juridictions françaises. En effet, s’il apparaît que la violation du droit des données personnelles a causé un préjudice aux entreprises du numérique françaises, comme nos startups, ces dernières pourront en agir en responsabilité à l’encontre d’Apple.

Cybersécurité, Justice

Guerre numérique entre les USA et l’Iran

Le gouvernement des États-Unis a saisi des dizaines de domaines de sites Web américains liés à l’Iran. Des sites accusés de participer à une campagne de désinformation.

Conformément à des décisions de justice, les États-Unis ont saisi 33 sites Web utilisés par l’IRAN et l’Union de la radio et de la télévision islamiques iraniennes (IRTVU), dont Presstv.com. Trois autres sites Web exploités par Kata’ib Hezballah (KH), en violation des sanctions américaines, ont eu aussi été saisis. « Des éléments du gouvernement iranien, déguisés en agences de presse ou en médias, ont ciblé les États-Unis pour renverser les processus démocratiques américains » affirme le Département de la Justice US.

Comme l’affiche le domaine presstv, l’url a été saisi par le gouvernement des États-Unis conformément à un mandat de saisie en vertu de 18 USC et dans le cadre d’une action d’application de la loi par le Bureau of Industrie et sécurité, Office of Export Enforcement et Federal Bureau of Investigation. Une action menée au moment au l’IRAN « choisi » son nouveau président. Un président qui reste sous la coupe du chef suprême de l’Iran. C’est ce dernier qui détermine la politique de l’Iran.

Le parc informatique de l’Iran est l’une des cibles de l’administration de la Maison Blanche sous fond de conflit lié à la fabrication d’arme nucléaire. Après des « piratages » informatiques et des techniques de dissuasions numériques, comme cette saisie de noms de domaines, l’Oncle Sam tente de faire plier les dirigeants de ce pays.

L’Iran cache de nombreux pirates informatiques présents dans des espaces numériques malveillants. Il n’est pas rare de les voir proposer des contenus volées à des entreprises américaines, quand ce n’est pas tout simplement proposer des attaques de type DDoS, des Dénis Distribués de Service ayant pour mission de « cyber manifester » en bloquant certains secteurs, pas obligatoirement sensible (boutique, journaux, …) sur le territoire Nord Américain.

« En ce qui concerne notre diplomatie, nous avons toujours dit qu’il est absolument dans notre intérêt d’arriver à un retour mutuel au respect du JCPOA précisément parce qu’il nous permettrait d’empêcher à nouveau de façon permanente et vérifiable l’Iran de se doter de l’arme nucléaire. » souligne la Maison Blanche dans les colonnes de CNN.

Cybersécurité, Justice

WhatsApp : des fraudeurs arrêtés aux Pays-Bas

Des escrocs passant par WhatsApp arrêtés aux Pays-Bas. Ils usurpaient l’identités de vedettes et membres de famille pour réclamer de l’argent.

Une vedette dans le besoin vous contacte sur votre téléphone portable. Elle vous demande de l’aide, elle a besoin d’argent. Votre fils, votre fille, vos parents … Voilà l’histoire qui a impacté des centaines d’utilisateurs de l’application de communication WhatsApp. L’outil proposé par Facebook déborde d’arnaques en tout genre, certaines ayant permis le piratage de smartphones.
Mais rare sont les escrocs cachés derrière ces piratages retrouvés et  arrêtés. Cinq d’entre eux ont été stoppés par les autorités judiciaires des Pays-Bas fin août. Les voleurs se faisaient passer pour des vedettes dans le besoin, mais aussi pour des membres de la famille de la cible contactée sur WhatsApp.
Le pot aux roses a été découvert après la plainte d’un éditeur de logiciel et d’une utilisatrice. Les pirates s’étaient fait passer pour le fils de la dame. Les pirates lui avaient réclamé de l’argent. L’arnaque, baptisée  « fraude de type enfant-dans-le-besoin« , est très courante. Les voyous cachés derrière ce piège, originaires de Rotterdam, sont âgés de 18 à 21 ans. Ils passaient par un hôtel pour lancer leurs communications malveillantes.
Les autorités ont réussi à les tracer et les arrêter.