Archives de catégorie : loi

Cyber-attaque, Cybersécurité, DDoS, Justice, loi, Piratage

Attaque informatique de masse à l’encontre de l’Irlande

Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.

Étonnante attaque,  la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.

Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?

Cybersécurité, Justice, loi

République numérique : 148 amendements et sécurité des données

148 amendements, sur 899, adoptés en première lecture du projet de loi pour une République numérique à l’Assemblée nationale.

La première lecture du projet de loi pour une République numérique à l’Assemblée nationale s’est achevée dans la nuit de jeudi 21 à vendredi 22 janvier 2016.  Au terme de trois jours de débats, 148 amendements ont été adoptés sur les 899 déposés par les parlementaires et le Gouvernement dont :

–       59 amendements ont été adoptés pour le titre I, consacré à la libre circulation des informations et des savoirs.
–       50 amendements adoptés pour le titre II, consacré à la protection des droits des citoyens en ligne.
–       39 amendements ont été adoptés pour le titre III, consacré à l’accès de tous à Internet.

Parmi les nouvelles mesures adoptées à l’occasion de ce débat parlementaire :

–       L’encouragement des administrations publiques à l’utilisation des logiciels libres.
–       La pénalisation des actes de vengeance pornographique sur internet, avec des peines pouvant aller jusqu’à 2 ans de prison et 60 000€ d’amende.
–       Le renforcement des pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL), qui pourra désormais sanctionner jusqu’à hauteur de 20 millions d’euros et 4% du chiffre d’affaires les entreprises ne respectant pas leurs obligations quant à la protection des données personnelles.
–       La protection pénale des lanceurs d’alerte qui détectent des failles de sécurité dans les systèmes informatiques.
–       L’introduction d’un droit de panorama pour les photographies de particuliers à but non lucratif de monuments ou bâtiments publics, respectueux du droit des auteurs
–       Le Gouvernement devra publier un rapport sur la nécessité de créer une consultation publique en ligne pour tout projet de loi ou proposition de loi avant son inscription à l’ordre du jour au Parlement

Pour Axelle LEMAIRE : « la qualité des débats, à l’occasion de l’examen du projet de loi pour une République numérique, a montré la prise de conscience aiguë des députés sur les enjeux majeurs de ce texte législatif pour l’avenir de l’économie et de la société numérique. Les travaux de l’Assemblée nationale s’inscrivent en pleine cohérence avec la volonté du Gouvernement de poser les fondements d’une République numérique ouverte, propice au partage des savoirs, à l‘innovation et au développement de l’économie numérique, protectrice des droits des citoyens et accessible à tous, dans tous les territoires. »

Mardi 26 janvier 2016, à 16h15, les députés procèderont au vote solennel du texte législatif.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, OS X, Particuliers, Smartphone, Vie privée

Mamie veut récupérer le mot de passe de l’iPad de son défunt mari

Un commentaire

Une grand mère souhaite pouvoir utiliser l’iPad de son défunt mari. Apple lui réclame une ordonnance du tribunal pour récupérer le mot de passe.

Je ne sais pas pour vous, mais l’affaire qui vise Peggy Bush, une grand mère canadienne de 72 ans et Apple me fait dire que la manipulation de l’opinion publique au sujet des mots de passe des téléphones et tablettes vient de débuter une nouvelle phase.

Je m’explique. La petite dame a perdu son mari. Décédé, monsieur est parti avec le mot de passe qui permet d’accéder à l’iPad familial. Bilan, la veuve a demandé à Apple le précieux sésame. Réponse de la firme américaine, la dame doit obtenir une ordonnance du tribunal pour récupérer le mot de passe de son défunt époux. « J’ai pu obtenir des pensions, des avantages du gouvernement fédéral. Mais d’Apple, je ne pouvais  pas obtenir un mot de passe ridicule. »

L’opinion public manipulé ? Imaginez le tollé. Apple, refuse d’aider une grande mère. Vite une loi pour faire plier les sociétés à fournir le mot de passe demandé par les familles. Pour finir l’histoire, Peggy ne voulait pas récupérer des photos sur la tablette… elle veut jouer aux jeux installés sur l’iPad.

Avouons aussi que ce problème sera de plus en plus récurant. Nous allons tous mourir laissant derrière nous mots de passe de sites web, forums, réseaux sociaux, smartphones… Comme j’ai déjà pu l’écrire sur le site zataz, il va falloir penser à se rapprocher de son notaire pour sauvegarder les précieux et les rendre disponibles aux proches parents.

Cybersécurité, Justice, loi, Téléphonie

Un plan secret pour couper le signal des téléphones en cas de crise

Le Homeland Security américain travaille sur un plan secret dédié à bloquer les services de communication cellulaire en situation d’urgence.

Pour étouffer une manifestation dans les rues de San Francisco, le Homeland Security, le service dédié à la sécurité sur le sol de l’Oncle Sam, a utilisé un « kill switch » pour empêcher toutes les communications via les téléphones portables. Les procès intentés par l’Electronic Privacy Information Center viennent de démontrer un plan secret du Department of Homeland Security (DHS) qui s’est donné comme possibilité de couper les services de communication à travers des villes entières, ou sur des domaines spécifiques. Un plan qui demeure inconnu. Les actions judiciaires n’ayant pas encore réussi à faire déclasser l’outil numérique de contrôle de masse utilisé. Le dernier commentaire en date de la justice US stipule que la cour suprême confirme que le DHS n’a pas à divulguer le contenu complet de son Standard Operating Procedure 303 [SOP 303]. Une action de blocage utilisé à Boston, en avril 2013.

Sous la direction du Comité consultatif sur les télécommunications de la sécurité nationale, SOP 303 permet la fermeture des réseaux sans fil « dans une zone localisée, comme un tunnel ou un pont, et au sein de toute une région métropolitaine.

Cybersécurité, ID, Identité numérique, Justice, loi, Particuliers

Le Royaume-Uni veut stocker l’historique Internet des utilisateurs

Un pas de plus dans les idées nauséabondes de cyber surveillance. Le législateur britannique se penche sur une idée folle, garder en mémoire l’historique Internet des utilisateurs.

Imaginez, dans 20 ans, n’importe quelle personne autorisée (ou non) pourra connaitre vos habitudes de surfs. Votre passion à visiter Cam4 et autres Youporn. De troller comme un sauvage dans Call of Duty. De passer votre temps à regarder des chats sur la toile. De la science fiction ? Le gouvernement
Britannique se penche depuis novembre sur une nouvelle loi, légitimant la cyber surveillance de masse. Bref, une loi qui doit autoriser et légaliser ce que faisait déjà les 007 locaux depuis les années 60.

Par exemple, l’article 94 de la Loi sur les télécommunications élargit les capacités de surveillance. Les
FAI auront obligation de stocker la liste de tous les sites que les internautes britanniques ont visité lors des 12 derniers mois. Ils vont bien finir par imposer la communication des bookmarks à ce rythme là !

Pour répondre à la communication de masse du gouvernement de David Cameron, l’association dédiée à la protection des droits de l’homme Open Rights Group lance une opération de crowdfunding pour récolter 20,000 livres sterling afin de communiquer, elle aussi, sur ces aberrations législatives.

En 2014, l’Europe indiquait déjà la disproportion de certains articles de loi dédiés à la surveillance de masse des sujets de sa Gracieuse Majesté. En juillet 2015, la Haute Cour du Royaume-Uni a également statué que la loi DRIPA, l’état d’urgence britannique depuis 2014, poussée par le parlement sans aucun examen approprié, était illégale selon le droit européen lié aux droits de l’homme.

Cybersécurité, Entreprise, Justice, loi, Propriété Industrielle

Protéger son site web c’est possible, même s’il s’agit d’un site « banal ».

Consciemment ou pas, il est toujours plus aisé de s’inspirer du travail des autres que de créer ex-nihilo son propre site web (tant en termes d’apparence que de process ou de fonctionnalités). Pour autant, la frontière entre l’inspiration et la reproduction est parfois mince et souvent génératrice de risques. D’autant plus que l’actualité judiciaire attire notre attention sur la faculté ouverte aux entreprises d’empêcher la reproduction des éléments de leurs sites, au-delà de la protection classique par la propriété intellectuelle.

Lorsqu’il s’agit de protéger une création, le premier reflexe est d’avoir recours à la protection au titre des droits d’auteurs. Un site Internet est effectivement une œuvre de l’esprit au sens du code de la propriété intellectuelle et entre donc dans le champ d’application de la protection.  Mais, pour bénéficier de cette protection, le site web doit nécessairement revêtir un caractère original, c’est-à-dire refléter la personnalité de son auteur.

Dans les faits, une telle originalité peut être caractérisée lorsque les différents éléments du site sont combinés selon une certaine présentation qui procède d’une recherche esthétique (non imposée par un impératif fonctionnel), conférant au site une physionomie particulière le distinguant d’autres sites du même secteur d’activité et révélant un effort créatif. Dans une telle situation, le titulaire des droits peut envisager une action sur le fondement de la contrefaçon. Cependant, l’expérience nous montre que peu de sites web sont en mesure de démontrer une telle originalité. Et, fort de ce constat, nombreux sont ceux qui pense pouvoir s’approprier le travail des autres sous prétexte qu’il n’est pas original. Mais, l’actualité judiciaire nous montre que d’autres actions sont envisageables, et permettent de protéger efficacement un site internet même s’il n’a rien d’original.

L’essor de la protection du site internet par l’action en parasitisme
Pour mémoire, le parasitisme vise un comportement économique par lequel une personne s’immisce dans le sillage d’une autre afin de tirer profit, sans en supporter les coûts, de ses efforts et de son savoir-faire, et ce indépendamment de tout risque de confusion. Fondée sur la responsabilité délictuelle, l’action en parasitisme permet de protéger la valeur économique de son travail et notamment de son site internet. Or, sur ce fondement juridique, le caractère original ou non du travail n’a aucune importance. Le Tribunal de Commerce de Paris vient de l’affirmer clairement dans une décision du 28 septembre 2015 : le parasitisme économique d’un site internet peut être retenu malgré l’existence de sites ressemblant à celui objet du litige ou malgré son caractère banal.

Ce jugement précise également que cette protection ne concerne pas seulement l’aspect esthétique du site, mais également son fonctionnement (cheminement de la commande, choix des messages, paiements et modes de livraison, …).

Rappelons en outre que le Tribunal de Commerce de Paris a déjà jugé que reproduire (ou même s’inspirer) les conditions générales de ventes d’un site Internet, sans la moindre contrepartie financière est un acte de parasitisme (jugement du 22 juin 2012). Si aucune originalité n’est à démontrer, il faut néanmoins pouvoir prouver que les éléments copiés ont résulté d’un véritable travail et ont engendré un coût de réalisation. Il n’est évidemment pas possible de reprocher à un concurrent de s’approprier un actif que l’on a soit même obtenu sans effort, sans coût. L’action en parasitisme est en plein essor dans le cadre de notre activité judiciaire notamment car sa mise en œuvre est aisée pour celui qui maitrise le sujet. Il est donc très important d’être conscient de cette situation et être attentif sur le sujet. Ce qui peut se traduire en pratique à se poser régulièrement la question suivante : les éléments objet d’une inspiration, outre leur originalité éventuelle, ont-ils pu engendrer un réel coût de développement ? … (Maitre Jérémie Courtois du Cabinet Cornet Vincent Segurel – bureau de Lille)

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)

Cybersécurité, Entreprise, Espionnae, Fuite de données, loi, Particuliers, Social engineering

La stratégie Américaine de contre-espionnage pour 2016

Le National Counterintelligence Strategy des Etats-Unis d’Amérique revient sur son plan d’action pour l’année 2016. Mission, tenter de bloquer l’espionnage sur le sol de l’Oncle Sam.

La stratégie de contre-espionnage national des États-Unis d’Amérique 2016 a été élaborée  conformément à la Loi de mise en valeur de contre-espionnage de 2002 (n° 107-306 Pub.L., 116 Stat. 2 383 – 50 USC sec. 3383 (d) (2)). La stratégie établit la manière dont le gouvernement des États-Unis (US) permettra d’identifier, de détecter, d’exploiter, de perturber et de neutraliser toutes les menaces d’espionnages par des entités de renseignement étrangères (Foreign intelligence entity – FIE).

Le document fournit des conseils pour les programmes de contre-espionnage (counter intelligence – CI) et les activités du gouvernement américain visant à atténuer ces menaces. « Chaque ministère et organisme du gouvernement américain a un rôle dans la mise en œuvre de cette stratégie dans le contexte de sa propre mission et par l’application de ses responsabilités et des pouvoirs uniques, explique le document. Rien dans la présente stratégie doit être interprétée comme une autorisation de mener des activités de CI« .

Dans ce fichier, plusieurs points liées au numérique comme le « Cyber Effect » qui regroupe la manipulation, la perturbation, le déni, la dégradation ou la destruction d’ordinateurs, d’information ou de communication des systèmes, des réseaux , des infrastructures physique ou virtuel contrôlées par des ordinateurs ou des systèmes d’information, ou des informations qui y résident.

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

backdoor, Cyber-attaque, Cybersécurité, Justice, loi, Piratage, Virus

La police canadienne saisi un serveur diffuseur de Dorkbot

Les autorités américaines et canadiennes viennent de se féliciter du blocage de plusieurs points de départs de l’attaque du code malveillant Dorkbot. Des serveurs saisis.

Le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, vient d’indiquer qu’elle venait de faire saisir un serveur ayant était utilisé dans la diffusion du code malveillant Dorkbot. Une saisie qui rentre dans les obligations faites par la Loi anti-phishing du Canada. La machine, saisie chez un hébergeur de Toronto était utilisé comme un centre de commandes et de contrôle (C&C) pour permettre aux pirates acquéreurs (Dorkbot se loue, ndr) de faire fonctionner le logiciel d’espionnage partout dans le monde. Dorkbot agit sur la toile depuis 2010.

Il a été découvert un an plus tard, après avoir été utilisé contre les messageries de Facebook et Gmail. L’attaque, classique. Dorkbot est envoyé aux cibles via un courriel piégé par un lien de téléchargement. Cette opération a été coordonnée entre les autorités canadiennes, Interpol, Europol, le FBI et Microsoft. Plusieurs autres serveurs ont été bloqués et saisis en Amérique centrale, en Europe et en Asie. Le canada serait, selon Websense, la 8ème nation la plus utilisée par les pirates informatique.

Entre 2011 et 2013, les policiers canadiens ont observé une augmentation de 40% d’actes de cybercriminalité. Une police dédiée uniquement à la cyber criminalité est en cours de création dans le pays.