Archives de catégorie : loi

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.

Gratuité et la réutilisation des informations du secteur public

Le Sénat a adopté un projet de loi sur la gratuité et la réutilisation des informations du secteur public.

Lundi 26 octobre le Sénat a examiné le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public. Ce texte a pour objectif de favoriser la réutilisation des données publiques en transposant une directive européenne du 26 juin 2013 qui, selon le Gouvernement, « marque une étape importante dans la politique d’ouverture et de diffusion des données publiques (« open data »)« , et en allant au-delà des exigences de la directive, « dans un souci de simplification ou pour inscrire dans la loi les principes de l’open data, notamment celui de la gratuité« .

Le texte comprend 9 articles qui proposent notamment de supprimer le régime particulier de réutilisation des informations contenues dans les documents produits ou reçus par les établissements ou institutions d’enseignement et de recherche ou culturels (article 1er) ; de limiter à dix ans la possibilité d’accorder un droit d’exclusivité à un tiers pour la réutilisation d’informations publiques, sauf si ce droit a été accordé en contrepartie de la numérisation de ressources culturelles (article 2) et de poser le principe de la gratuité de la réutilisation des informations du secteur public (article 3). Le Gouvernement ayant engagé une procédure accélérée sur ce texte le 31 juillet 2015, il pourrait ne faire l’objet que d’une seule lecture au Parlement avant convocation de la commission mixte paritaire (CMP).

Ce texte a été modifié en commission des lois par l’adoption de 11 amendements et un sous-amendement du rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial, voire à une transposition plus fidèle de la directive.

En séance, les sénateurs ont adopté ce texte. Au cours de l’examen, ils ont notamment souhaité :
· pour un meilleur accès des citoyens aux accords d’exclusivité et à leurs avenants, exiger leur publication électronique des accords d’exclusivité et leurs avenants (amt 22 – art 2) ;
· permettre la révision de la liste informations ou catégories d’informations tous les 5 ans (amt 18 – art 3).

http://www.senat.fr/rap/l15-093/l15-093.html
http://www.senat.fr/dossier-legislatif/pjl15-034.html

Les polices de caractères : elles aussi menacées par le téléchargement illégal

Alors que le téléchargement illégal est devenu une menace tant pour le 7ème art que pour le secteur de la musique, la préservation des droits d’auteurs est devenu un véritable cheval de bataille. Or il y a d’autres artistes à protéger.

En effet, pour les graphistes, les polices sont aussi importantes que les couleurs pour un peintre. Essentielles à chaque conception, les polices de caractères sont, elles aussi, menacées par ces pratiques malveillantes. Le travail du graphiste repose sur deux notions : les polices comme partie intégrante du processus de création et la nécessité de sauvegarder et de protéger l’œuvre des créateurs de polices sans quoi le devenir de nombreux artistes s’en trouverait menacé.

Entre piratage et législation : l’émergence d’un nouveau paradoxe
À l’ère du tout numérique, les polices de caractères n’ont jamais été aussi convoitées et téléchargées illégalement. Des pirates, souvent peu informés ou scrupuleux sur la législation qui encadre les polices de caractères, ne cessent de les utiliser sans licences. Cependant, tout autant que pour une célèbre œuvre de Claude Monnet ou de Kandinsky, l’utilisation frauduleuse d’une police de caractère peut entraîner de dures représailles. En réalisant ou en utilisant une copie non autorisée de polices de caractères, les utilisateurs ou les entreprises s’exposent à de lourdes amendes et poursuites pénales.

On peut ainsi légitiment se demander pourquoi les utilisateurs de polices ne respectent pas les créateurs : manque de connaissances sur les typographes ? Manque de connaissances de la législation ?… Alors que certains resserrent leurs contrôles, paradoxalement, les téléchargements illégaux de licence de police de caractères ne cessent de s’accroître.

Or, au même titre qu’un logiciel, il est primordial de se doter d’une licence de police de caractère qui fait office de contrat et qui a force de loi. Ainsi, le créateur reçoit des droits d’œuvres d’art sur chaque police utilisée et perçoit le fruit de son travail. Toute la chaîne de production est ainsi respectée.

Une solution clé en main proposée aux entreprises
Cette hausse du téléchargement des polices de caractères peut être expliquée par le fait que les licences de polices et leurs conditions d’utilisation sont propres à chaque fonderie et donc complexes à mettre en oeuvre. Il est donc important de proposer aux entreprises de l’aide dans la mise en place d’un gestionnaire de polices de caractères et d’effectuer un travail de vulgarisation des « process ». Une demande de plus en plus importante et nécessaire, preuve en est, le nombre de société, qui proposent un service répondant à cette problématique ne cesse de s’accroître. L’idée étant de proposer une solution clé en main : lever les freins rencontrés par les clients lors de l’achat et la mise en place, d’optimiser les ordinateurs et les logiciels afin que les polices de caractère fonctionnent le plus rapidement et le mieux possible.

Si aujourd’hui les polices de caractères font partie intégrante de l’image de marque des entreprises, elles constituent également le cœur de l’activité des fonderies et créatifs.

Ainsi, l’ensemble des acteurs de la chaîne de création se mobilise contre ce piratage moderne et entend protéger une toute nouvelle forme de capital. (Jean-Michel Laurent, Représentant France d’Extensis)

La commission des lois adopte le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public

Réunie le mercredi 21 octobre 2015, sous la présidence de M. Philippe Bas (Les Républicains – Manche), la commission des lois a examiné le rapport de M. Hugues Portelli (Les Républicains – Val d’Oise) et établi son texte sur le projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public (n° 34, 2015-2016).

Ce projet de loi vise à transposer la directive 2013/36/UE du 26 juin 2013, qui complète et prolonge la directive 2003/98/CE du 17 novembre 2003 relative à la réutilisation des informations du secteur public.

Afin de limiter les « sur-transpositions » qui auraient pour conséquence de placer les organismes publics français en situation défavorable par rapport à leurs homologues d’autres États-membres de l’Union européenne, la commission a adopté onze amendements et sous‑amendement de son rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial du Gouvernement, voire à une transposition plus fidèle de la directive.

Elle a ainsi supprimé l’obligation, introduite par les députés, de mise à disposition des informations publiques sous forme électronique afin de ne pas faire peser sur les administrations une charge qu’elles ne seraient pas toujours en mesure d’assumer. L’obligation de mise à disposition demeure donc, mais sans que soit exigée de l’administration la création de nouveaux documents numériques.

La commission a, par ailleurs, maintenu le régime dérogatoire actuellement en vigueur pour la réutilisation des informations détenues par les organismes de recherche et d’enseignement supérieur tout en le cantonnant aux informations produites dans le cadre de leurs activités de recherche. Sans porter atteinte à la liberté d’accès à ces informations, inchangée par le projet de loi, la commission a en effet estimé indispensable que les organismes de recherche conservent leur faculté de fixation des modalités de réutilisation de ces données de recherche avant publication des résultats, afin de préserver le potentiel scientifique et technique de la nation.

La commission a enfin transposé une disposition de la directive autorisant la perception de redevances permettant de couvrir les coûts de collecte, de production, de mise à disposition et de diffusion de certains documents. Ce projet de loi sera examiné en séance publique le lundi 26 octobre 2015.

La France s’engage dans la transition numérique

La France est pleinement engagée dans la transition numérique. Forte d’une population très largement connectée et portée par une économie numérique en croissance soutenue, la France dispose de talents et d’atouts à la pointe de l’innovation européenne et mondiale. Le numérique est également un espace de compétition et de confrontation. Concurrence déloyale et espionnage, désinformation et propagande, terrorisme et criminalité trouvent dans le cyberespace un nouveau champ d’expression.

Le Premier Ministre, Manuel Valls, a présenté le 16 octobre la feuille de route de la France dans ce monde de plus en plus connecté. « La « République numérique en actes », voulue par le gouvernement, doit promouvoir nos valeurs, notre économie et protéger les citoyens, indique le Premier Ministre, Œuvrer pour la sécurité du numérique, c’est favoriser le développement d’un cyberespace gisement de croissance pérenne et lieu d’opportunités pour les entreprises françaises, c’est affirmer nos valeurs démocratiques, c’est enfin préserver la vie numérique et les données personnelles des Français. Mon ambition dans le domaine est élevée.« 

Pour l’homme politique, la stratégie nationale pour la sécurité du numérique doit s’appuyer en particulier sur la formation et sur la coopération internationale et doit être portée par l’ensemble de la communauté nationale : le gouvernement, les administrations, les collectivités territoriales, les entreprises et plus largement, l’ensemble des Français. « Elle est l’affaire de tous. Répondre aux enjeux de sécurité du monde numérique est un facteur clé de succès collectif » termine Manuel Valls.

Cette feuille de route comprend cinq grands points. D’abord la stratégie nationale pour la sécurité du numérique. La numérisation de la société française s’accélère : la part du numérique dans les services, les produits, les métiers ne cesse de croître. Réussir la transition numérique est devenu un enjeu national. Vecteur d’innovation et de croissance, la numérisation présente aussi des risques pour l’état, les acteurs économiques et les citoyens. Cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles menacent la confiance et la sécurité dans le numérique et appellent une réponse collective et coordonnée selon cinq objectifs stratégiques.

Ensuite, les Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’état et des infrastructures critiques, crise informatique majeure. En développant une pensée stratégique autonome, soutenue par une expertise technique de premier plan, la France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace de demain. Parallèlement, elle continuera à renforcer la sécurité de ses réseaux critiques et sa résilience en cas d’attaque majeure en développant des coopérations tant à l’échelle nationale avec les acteurs privés qu’internationale. La France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace. Elle consolidera la sécurité numérique de ses infrastructures critiques et œuvrera pour celle de ses opérateurs essentiels à l’économie.

En troisiéme point, la confiance numérique, la vie privée, les données personnelles, la cybermalveillance. Afin que le cyberespace reste un espace de confiance pour les entreprises de toutes tailles et les particuliers, des mesures de protection et de réaction seront adoptées. La protection passera par une vigilance accrue des pouvoirs publics sur l’utilisation des données personnelles et par le développement d’une offre de produits de sécurité numérique adaptée au grand public. La réaction s’articulera autour d’un dispositif d’assistance aux victimes de cybermalveillance qui apportera une réponse technique et judiciaire à de tels actes. La France développera un usage du cyberespace conforme à ses valeurs et y protégera la vie numérique de ses citoyens. Elle accroîtra sa lutte contre la cybercriminalité et l’assistance aux victimes d’actes de cybermalveillance. Protéger la vie numérique, la vie privée et les données personnelles des Français. À la faveur du règlement européen en matière d’identité électronique (eIDAS), la France se dotera d’une feuille de route claire en matière d’identité numérique délivrée par l’État. Cette feuille de route sera élaborée avant la fin de l’année 2015. Elle viendra, normalement, prendre en compte la directive européenne sur l’obligation des entreprises à alerter leurs clients en cas de fuite, vol, piratage de données.

A noter que pour informer les Français sur l’utilisation faite des données confiées aux services numériques, une signalétique adaptée et partagée avec les États volontaires et en cohérence avec les travaux européens effectués dans le cadre du règlement européen relatif à la protection des données à caractère personnel sera mise en place courant 2016. Cette signalétique permettra de visualiser les caractéristiques essentielles des conditions d’utilisation des plates-formes et services numériques ou des moyens de paiement utilisés.

Un point important, traitant de la sensibilisation, les formations initiales, les formations continues a été mis en avant. La prise de conscience individuelle des risques liés à la numérisation de la société reste insuffisante. Face à ce constat, la sensibilisation des écoliers et des étudiants sera renforcée. En outre, afin de répondre aux demandes croissantes des entreprises et des administrations en matière de cybersécurité, la formation d’experts dans ce domaine sera développée. La France sensibilisera dès l’école à la sécurité du numérique et aux comportements responsables dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet consacré à la sécurité du numérique adapté à la filière considérée.

Repenser la manière de se prémunir contre les cyber-attaques

Selon le dernier rapport publié par PwC, les cyber-attaques augmentent inexorablement et la France fait partie des premiers pays les plus touchés. Les pertes financières associées sont aujourd’hui estimées à 3,7 millions d’euros par entreprise, soit quasiment l’équivalent des budgets dédiés à la sécurité informatique évalué à 4,8 millions d’euros. Avec une hausse de 51% des incidents de sécurité sur les douze derniers mois, il devient urgent d’adresser les problématiques de sécurité au plus haut niveau de l’entreprise, avant que l’impact sur les résultats de l’entreprise ne soit irrémédiable.

Cette dernière enquête confirme la prise de conscience des entreprises vis-à-vis de la sécurité de leurs données et des conséquences financières et commerciales inévitables qu’une cyber-attaque engendre. Malgré la croissance effrénée des incidents de sécurité, les responsables d’entreprises ou de service IT interrogés dans le cadre de cette enquête semblent pourtant avancer dans la bonne direction.

En effet, l’extension du périmètre à protéger en raison de mauvaises pratiques de sécurité imputées aux employées ou aux prestataires externes, confirme la nécessité d’utiliser une méthode de surveillance globale du réseau et de l’ensemble des interactions avec l’extérieur. Les recommandations de PwC vont d’ailleurs dans ce sens : il n’existe pas de modèle standard de protection, c’est l’utilisation d’un mix de technologies intégrées et holistiques qui rend
le système de protection plus efficace.

Le fait que 59% des répondants préconisent l’analyse de toutes les sources de données de l’entreprise comme principal levier d’amélioration de la sécurité, grâce notamment à une surveillance accrue sur l’ensemble du périmètre à protéger en temps réel, prouve que la perception des entreprises évolue
et que l’idée d’une solution de sécurité unique disparaît peu à peu.

Chaque attaque est unique et les méthodes utilisées par les hackers diffèrent selon l’objectif à atteindre. En prenant en considération le fait que les pirates savent se faire discrets et restent parfois plusieurs mois, voire des années, à attendre le bon moment d’opérer leurs méfaits, les entreprises
peuvent passer à côté de failles importantes sans une surveillance permanente et en temps réel de ce qui se passe sur leur réseau. En cas d’attaque, des outils permettant la détection immédiate d’un comportement anormal sur le réseau sont également indispensables afin de pouvoir y remédier le plus rapidement possible.

Si l’augmentation des investissements des entreprises françaises dans la sécurité est une bonne nouvelle, les entreprises doivent repenser la manière dont protéger leurs données confidentielles en partant du principe que l’ennemi se trouve déjà à l’intérieur et qu’il ne reste qu’à le trouver et l’éliminer. (Par Jean-Pierre Carlin, LogRhythm)

Transfert de données personnelles des états membres de l’Europe vers les Etats-Unis

Dans un communiqué de Presse du 7 octobre, la CNIL annonçait qu’elle devait se réunir avec ses homologues du groupe de l’article 29 afin de déterminer précisément les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015 sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».

Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.

La CJUE a donc déclaré que les Etats Unis n’assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Cela remet en cause le principe de liberté de transfert des données personnelles aux Etats-Unis.

Mais cela signifie-t-il que tous les transferts de données à caractère personnel vers les Etats-Unis sont interdits ?

La réponse est certainement négative. Mais, depuis le 6 octobre 2015, les autorités de protection des données doivent examiner la validité des transferts aux Etats-Unis qui leur sont soumis, en tenant compte du fait que la protection des données n’est pas suffisante. Il apparaît désormais nécessaire pour les prochains transferts de données, en B to B, de signer des Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore d’adopter dans les transferts intra-groupe des Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers. La question est plus délicate pour les transferts déjà réalisés, la signature de clauses contractuelles types pourrait s’avérer nécessaire. (Maitre Julienne de Chavane de Dalmassy Avocat du département Propriété Industrielle et Nouvelles Technologies Cabinet Cornet Vincent Segurel)

Nouvelles lois sur les violations de données pour la Californie

Le 6 octobre, le gouverneur de Californie a signé trois nouvelles lois qui tentent de clarifier les éléments liées aux violations de données.

Aux USA, dès qu’une entreprise se retrouve face à une fuite de données (piratage, ordinateur volé, clé usb perdue, documents transformés en confettis…), obligation lui est faite d’avertir les autorités, le Département de Justice et, par le biais du DoJ, les clients/utilisateurs potentiellement impactés.

Le 6 Octobre, le gouverneur de Californie, Jerry Brown, a signé trois nouvelles lois qui visent à clarifier les éléments clés des notifications alertant d’une fuite de données. Des lois qui sont censées fournir des conseils aux personnes, aux entreprises et aux organismes étatiques et locales qui stockent des informations personnelles. Des lois qui prendront effet le 1 Janvier 2016.

AB 964
Parmi ces trois lois, l’article AB 964 a fait tendre l’oreille et la souris de la rédaction de DataSecurityBreach.fr car elle vise la question du chiffrement. Les renseignements personnels sont maintenant considérés comme correctement « chiffrés » si elles sont « rendues inutilisables, illisibles ou indéchiffrables à une personne non autorisée à travers une technologie de sécurité ou de méthode généralement reconnue dans le domaine de la sécurité de l’information. » Malin, le législateur ne précise pas de son côté ce qu’est la meilleure méthode pour chiffrer efficacement.

Aujourd’hui, un mot de passe hashé (chiffré) en MD5, se cracke en quelques secondes. Ne parlons pas de l’utilisation de SSL, RC4 et TLS 1.0 (tous maintenant interdits par l’IETF). L’article SB 570 stipule que les alertes doivent être titrée « Avis de violation de données » et présenter des informations de notification pertinentes : ce qui est arrivé; quelle information impliquée; ce que le fuiteur a mis en place pour protéger les données. La dernière loi, la SB 34, élargit la définition du terme « renseignements personnels ».

Un drone film une base de la NSA en Allemagne

Des hacktivistes manifestent contre la cyber surveillance de la NSA en survolant une base de la Nationale Security Agency basée dans le sud de Francfort, en Allemagne.

Le groupe d’hacktivistes Intelexit vient de lancer une manifestation à l’encontre de la surveillance de masse mise en place par les Américains. Leur idée, si la NSA nous surveillance, surveillons la NSA. Avec un drone, ils ont survollé la base militaire américaine Dagger, basée au sud de Francfort (Allemagne).

En plus de filmer, le drone a lâché des brochures exhortant les employés de la NSA à quitter leur emploi et à soutenir la lutte contre la surveillance de masse. Le complexe abriterait l’outil XKeyStore, un système utilisé par la NSA qui permettrait de suivre et de stocker tout ce qu’un utilisateur fait à travers l’Internet. L’outil est connu comme un des piliers de la NSA dans la collecte des informations diffusées en Europe.