Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cyber-attaque, Entreprise, Leak, Mise à jour, Patch

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Cybersécurité, Emploi, Fuite de données, Mise à jour, Propriété Industrielle

Le piratage et la cybercriminalité coûteront 491 milliards de dollars en 2014

L’utilisation de logiciels piratés et les cyberattaques criminelles peuvent coûter cher ! D’après le livre blanc « The link between pirated software and cybersecurity breaches », publié pour Microsoft par le cabinet IDC et la National university of Singapore, en 2014 les sociétés dépenseront 491 milliards de dollars (356 milliards d’euros) à cause de programmes malveillants, d’attaques ou de pertes de données. Les entreprises consacreront 127 milliards de dollars à la sécurité et 364 milliards de dollars au traitement des failles de sécurité. A l’origine de près deux tiers de ces dépenses et de pertes, soit 315 milliards de dollars, on trouvera des organisations criminelles. L’Asie, qui compte le plus grand nombre de PC au monde, sera concernée par 40 % de ces dépenses.

Cyber-attaque, Cybersécurité, DDoS, Leak

La place de la France dans la cyberdéfense de l’Otan

François Loncle, député socialiste de l’Eure a interrogé le Ministre de la Défense (QSuestion 52074) sur la réflexion stratégique en matière de cyberdéfense. Après plusieurs années de coopération, la France a décidé à l’été 2013 d’adhérer officiellement au Centre d’excellence de cyberdéfense de l’OTAN (CCD-COE) basé à Tallinn (Estonie). Elle rejoint une institution créée en 2008, installée dans une ancienne caserne et regroupant onze autres pays, dont l’Allemagne, l’Italie, l’Espagne, la Pologne, les États-unis.

L’idée de ce centre avait été lancée par l’Estonie qui avait subi, en 2007, des attaques informatiques, ce qui avait mis en évidence la vulnérabilité potentielle des membres de l’Alliance atlantique à ce type de menace. Ce centre remplit plusieurs fonctions : il réfléchit à la codification juridique de la cyberdéfense ; il incorpore la dimension informatique dans la réflexion tactique et stratégique ; il envisage des contre-mesures à des agressions informatiques ; il forme des militaires à la gestion d’incidents, à l’infiltration, à la balistique digitale, à la surveillance et à la prévention, en particulier en organisant des simulations de cyberattaques. Il lui demande donc de lui fournir des précisions chiffrées sur le personnel militaire français en poste au CCD-COE, sur la participation financière française à ce centre, sur les activités concrètes de celui-ci.

Le député a demandé à connaître les résultats du dernier exercice CCD-OTAN de novembre 2013 et savoir comment s’est comporté notre réseau informatique national, en comparaison de celui de l’OTAN basé en Belgique. Nous attendons avec impatience le « secret défense » qui sera accolé à la potentielle réponse !

Justice

La victoire en faveur de la neutralité du net et la fin de roaming

Jeudi 3 avril, le Parlement européen a adopté à une large majorité le rapport Pilar Del Castillo (ES, PPE) relatif au marché unique européen des communications électroniques. Françoise Castex, qui avait contesté en janvier 2013 les propositions de Neelie Kroes[1], et mis en garde contre un vote négatif[2], salue la réécriture par le Parlement européen du texte initial de la Commission.

Le Groupe S&D se félicite de la fixation d’une date pour la fin de tous les coûts liés à l’itinérance (roaming) – Décembre 2015 -, un objectif pour lequel les députés S&D se battent depuis plusieurs années (1). Le troisième élément clé inclus dans la loi adoptée est la meilleure gestion des fréquences radioélectriques pour de nouvelles applications mobiles, visant à stimuler l’innovation.
L’eurodéputée Catherine Trautmann, responsable du dossier pour le Groupe S&D, a déclaré: « Nous sommes heureux que, finalement, les Libéraux aient changé d’avis et rejoint le groupe des progressistes dans la défense de la neutralité du net. Nous avons réussi à introduire une définition précise des «services spécialisés» afin qu’ils ne soient pas confondus avec les «services d’accès à Internet», et aussi une  référence obligatoire au principe de la neutralité du net (…) La protection de la neutralité du net nous a permis de soutenir le marché unique des télécommunications globales. Cette protection est essentielle à la fois pour les consommateurs et les entreprises, car elle apportera une assurance au secteur des télécoms et permettra des investissements, de la croissance et la création d’emplois (…) Bien que le règlement apporte des améliorations majeures en termes de coordination du spectre radioélectrique, d’utilisation innovante du haut débit sans fil, et de protection de la radiodiffusion, les socialistes et démocrates se battent tous les jours pour la protection de la vie privée sur Internet. Dès lors ils ne pouvaient  qu’être intransigeants vis à vis de la fin des frais de roaming (…) Nous considérons que l’Internet est un espace public où chacun peut accéder à un service ou une application de son choix, sans restriction ou limitation ».
L’eurodéputée Teresa Riera, porte-parole S&D pour l’industrie, a ajouté : « Cela a été une longue quête, mais nous avons finalement mis un terme aux frais de roaming. Élever des barrières artificielles en matière de télécommunications n’a aucun sens. Nous avons besoin de connecter l’Europe pour ouvrir la voie à l’innovation et la créativité (…) Il est tout aussi important de garantir un Internet ouvert à tous. Nous acceptons des services spécialisés – IPTV et la télémédecine en sont de bons exemples – mais ils ne devraient pas affecter la vitesse ou la qualité de l’accès du consommateur moyen ».

Paquet Télécom: « Internet n’est pas privatisable! »

De son côté, la Député Françoise Castex se félicite du vote du Parlement européen sur le volet « neutralité du net » du paquet télécom. « Dans sa proposition, ou plutôt « précipitation » initiale, la Commission européenne voulait encadrer le traitement préférentiel que les opérateurs peuvent proposer à certains services, tout en garantissant la qualité du service de base. C’était la porte ouverte à des offres différenciées d’accès à Internet, à un Internet bridé par des fournisseurs d’accès devenus eux-mêmes fournisseurs de contenus », souligne la Vice-Présidente de la Commission des Affaires juridiques.

« Avec ce texte, le principe de neutralité du Net devient explicite, général et de force exécutoire », se félicite l’eurodéputée Nouvelle Donne. « Ce texte garantit l’accès de tous à tous les points du réseau, sans discrimination liée au support, au contenu, à l’émetteur ou au destinataire de tout échange de données, » poursuit l’eurodéputée du Gers.

Pour Françoise Castex: « C’est un signal fort au Conseil Européen mais également à nos partenaires américains qui tardent à légiférer sur le sujet ». Mais l’eurodéputée n’est pas dupe: « Avec la pression des opérateurs historiques et des acteurs historiques du contenu, le risque que ce texte soit repoussé par les 28 est réel. »

« Gageons qu’ils prennent leurs responsabilités et apportent leur soutien à ce texte qui protège les droits fondamentaux de nos concitoyens et soutient nos PME innovantes contre les appétits gargantuesques des grandes multinationales américaines » conclut-elle.

 

Facebook, Fuite de données, ID, Identité numérique, Social engineering, Vie privée

Accès aux photos privées sur Facebook

8 commentaires

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

Chiffrement, cryptage, Espionnae, Fuite de données

Surveillance de masse : Graves complicités françaises publiques et privées

Communiqué de presse de la Quadrature du Net – Depuis mai 2013, notamment grâce aux documents fournis par le lanceur d’alerte Edward Snowden, les révélations concernant les pratiques extra-légales des autorités françaises en matière de surveillance des communications Internet se multiplient. Après le vote de la loi de programmation militaire fin 2013 [1] et les dernières révélations [2] concernant la collaboration entre les services de renseignement et l’opérateur Orange, le gouvernement doit mettre fin à son silence assourdissant pour permettre la tenue d’un débat démocratique sur l’étendue des pratiques de surveillance. Au-delà, la France doit œuvrer à réformer sa législation afin de respecter le droit international en matière de protection de la vie privée.

Dans son édition du 21 mars dernier, Le Monde s’appuie sur les documents fuités par Edward Snowden pour lever un peu plus le voile sur les pratiques des autorités françaises en matière de surveillance d’Internet. Le journal met notamment en exergue la collaboration [2] de l’opérateur Orange et les services de renseignement français, lesquels disposeraient « d’un accès libre et total à ses réseaux et aux flux de données qui y transitent » en dehors de tout cadre légal. Ces informations témoignent des dérives auxquelles aboutit le passage au secteur privé des hauts fonctionnaires en charge de fonctions régaliennes liées à la sécurité nationale.

Elles s’ajoutent aux informations déjà publiées concernant notamment le transfert massif de données entre les services français et la NSA américaine (accord LUSTRE [3]), ou la mise en place [4] d’un large dispositif d’interception des flux circulant sur les réseaux internationaux avec l’appui d’entreprises comme Alcatel-Lucent ou Amesys. Le Monde indique être en possession de nombreuses pièces encore inexploitées et à partir desquels ses journalistes poursuivent leur travail d’investigation.

Alors que depuis plus de huit mois est détaillée l’étendue des pratiques de surveillance d’Internet par les États-Unis et le Royaume-Uni, mais aussi par leurs alliés comme la France ou l’Allemagne, l’absence de toute réaction politique substantielle au niveau français est révélatrice de l’hypocrisie des autorités. Ainsi, le président de la République François Hollande s’est adonné à de ridicules gesticulations politiques en réclamant sans succès un accord [5] encadrant les pratiques d’espionnage des dirigeants entre les États-Unis et les pays de l’Union européenne et en appuyant l’appel [6] d’Angela Merkel à l’édification d’un « Internet européen ».

Pour autant, il se refuse à soutenir la seule mesure de poids immédiatement applicable et efficace pour œuvrer à la protection des données personnelles des citoyens européens, à savoir la suspension de l’accord « safe-harbor » [7] entre l’Union européenne et les États-Unis, et que défend [8] le Parlement européen.

Quant au gouvernement, le lancement de son opération de communication politique [9] pour vanter son action dans le domaine numérique ne doit tromper personne : le projet de loi sur les « libertés numériques » promis il y a un an s’annonce [10] comme un texte avant tout répressif (le mot « liberté » semble d’ailleurs avoir opportunément disparu de son intitulé), tandis que le premier ministre Jean-Marc Ayrault se fait l’avocat de politiques inconséquentes [11] en matière de chiffrement des correspondances électroniques. Dans le même temps, les responsables politiques français ont l’audace de se doter d’une législation d’exception en matière de surveillance d’Internet au travers de la scandaleuse Loi de programmation militaire [12], tout en refusant de collaborer avec la commission d’enquête du Parlement européen consacrée aux révélations d’Edward Snowden [13]. Ce jeu de dupes doit cesser.

« Depuis des mois, l’exécutif français s’enferme dans un silence assourdissant pour échapper au débat démocratique sur la surveillance d’Internet. Cette position n’est plus tenable au vu des éléments qui s’accumulent et qui démontrent l’inquiétante fuite en avant dans ce domaine. Il est grand temps que l’ensemble des acteurs institutionnels – qu’il s’agisse de François Hollande, du gouvernement, du Parlement, de l’autorité judiciaire ou même de la CNIL – soient mis devant leurs responsabilités pour que ces graves violations des droits fondamentaux cessent et que leurs responsables soient condamnés », déclare Félix Tréguer, cofondateur de La Quadrature du Net.

« Au delà d’un débat inévitable sur la surveillance d’Internet et la nécessaire souveraineté sur nos infrastructures, la maîtrise de nos communications ne sera possible que par l’utilisation de logiciels libres, du chiffrement de bout en bout et de services décentralisés. En parallèle, une réforme législative s’impose afin que la France respecte le droit international [14] et que les services de renseignement fassent l’objet d’un contrôle adéquat. », conclut Benjamin Sonntag, cofondateur de La Quadrature du Net.

* Références *
1. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee
2. https://www.laquadrature.net/fr/lemonde-espionnage-comment-orange-et-les-services-secrets-cooperent
3. https://www.laquadrature.net/fr/lemonde-surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine
4. http://reflets.info/amesys-dgse-drm-et-si/
5. https://www.laquadrature.net/fr/silicon-hollande-a-obama-les-ecoutes-de-la-nsa-c-est-deja-oublie
6. https://www.laquadrature.net/fr/francetvinfo-pourquoi-l-internet-europeen-d-angela-merkel-ne-rime-a-rien
7. https://fr.wikipedia.org/wiki/Safe_Harbor
8. https://www.laquadrature.net/fr/la-commission-europeenne-doit-entendre-lappel-du-parlement-contre-les-programmes-de-surveillance
9. http://www.pcinpact.com/news/86409-l-executif-prepare-offensive-communicationnelle-sur-numerique.htm
10. http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203381114149-les-premieres-pistes-de-la-loi-numerique-658053.php
11. http://www.numerama.com/magazine/28502-les-e-mails-de-france-seront-chiffres-et-stockes-en-france.html
12. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee
13. Le rapport de la commission d’enquête du Parlement européen, adopté le 12 mars dernier, indique ainsi que « les parlements britannique et français n’ont (…) pas souhaité participer aux travaux de la commission » et précise que les responsables de la DGSE et de la DGSI ont refusé d’être auditionnés :
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR#title5
14. https://fr.necessaryandproportionate.org/text

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données, Justice

Affaire Orange: Le gouvernement (enfin) à l’écoute des Français

Suite aux révélations des services secrets techniques britanniques (GCHQ) sur la collaboration d’Orange avec la DGSE dans la collecte de données, l’eurodéputée Françoise Castex réagit: « Vu de Bruxelles, ces révélations ne sont malheureusement qu’une demi-surprise! Le Parlement européen a pointé du doigt, la semaine dernière, dans son rapport sur le programme d’espionnage massif de la NSA, certains États membres, à commencer par la France. »

Le rapport Moraes, voté mercredi 12 mars à Strasbourg, demandait en effet à la France et cinq autres pays européens de clarifier les allégations de surveillance massive, et notamment les éventuels accords entre services de renseignement et entreprises de télécommunications sur l’accès et l’échange de données personnelles – et leur compatibilité avec la législation européenne.

Pour Françoise Castex « à la lumière de ces révélations, on comprend mieux le manque d’empressement du gouvernement français à dénoncer le scandale de la NSA, et qu’il ait mis plus d’un an et demi à transmettre aux eurodéputés français un semblant de position sur le paquet données personnelles en cours de négociation au niveau européen. »

Pour l’eurodéputée Nouvelle Donne: « La France doit revoir sa législation nationale afin de garantir que la DGSE soit soumise à une vraie surveillance publique par le biais d’un contrôle parlementaire et judiciaire effectif. »

« Au lieu d’écouter les Français, le gouvernement ferait mieux d’entendre leurs préoccupations réelles, à commencer par le respect de leurs droits fondamentaux! » conclut l’élue du Gers.

Chiffrement, cryptage, Identité numérique, Logiciels, Sécurité

Un écureuil pour sécuriser vos connexions

Un commentaire

Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.

GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.

Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».

Voir aussi
http://xkcd.com