Archives de catégorie : Base de données

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Base de données, Communiqué de presse, Cybersécurité, Entreprise, RGPD, Securite informatique

Sécurité des documents, une priorité… à maîtriser !

Les enjeux sont tels, qu’il n’est plus une seule organisation qui ne se préoccupe de sécurité. Pour autant, le challenge est grand car non seulement les technologies de l’information et de la communication ont progressé mais surtout, l’interopérabilité est devenue la règle. La complexité est grande et les entreprises doivent déployer de nombreux dispositifs pour résister aux cyber-attaques polymorphes qui ne cessent elles aussi d’évoluer.

Il est clair que les documents et les informations (D&I) des organisations sont au cœur des convoitises des cyber-pirates. Ces derniers savent parfaitement que les points d’entrées sont multiples chez leurs victimes et que notamment, les moyens de capture et d’impression de documents peuvent constituer des prises de choix. En tant que constructeur de tels périphériques, Ricoh sensibilise les clients sur différentes stratégies de résistance et c’est ce que je vais faire ici.

Stratégie d’organisation

Il convient de s’adresser en premier lieu aux employés de votre organisation. Ils constituent les principaux vecteurs de transmission des informations et à ce titre, ils doivent impérativement être sensibilisés et formés aux risques et attitudes à adopter. Chacun doit être en situation d’éviter l’ouverture d’un email malveillant, d’imprimer des documents laissés à la vue de tous dans un bureau ou sur l’imprimante, de classifier les documents avant transmission, de confier ses badges ou codes d’accès à des tiers,… etc.

En second lieu, votre entreprise doit s’assurer d’une prise de conscience collective de la responsabilité portée sur la sécurité des D&I appartenant tant aux services internes qu’à des clients ou prospects. Les fuites d’information provoquent d’importants préjudices aux activités ou à l’image de l’entreprise. Elles peuvent être évitées par une démarche proactive parfaitement décrite par les normes ISO 27000. Celles-ci contribuent à la mise en place d’un système cohérent de gestion de la sécurité de l’information.

En dernier lieu, la société civile et ses organisations publiques doivent faire l’objet d’une écoute attentive. Votre entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain (No 88-19) du 5 janvier 1988 relative à la fraude informatique à l’application prochaine du Règlement Général sur la Protection des Données (RGPD) en passant par le règlement eIDAS (No 910/2014) du 23 juillet 2014 – ou de la norme Z42-013 de mars 2009 (transposée ISO 14641-1), pour les spécifications des systèmes destinés à préserver les documents stockés, à l’application prochainement possible de la NF Z42-026 sur la copie fidèle qui conduira un jour à la destruction des documents papiers – l’évolution de l’environnement digital n’a de cesse que d’évoluer.

Stratégie technique

Évidemment, si vos employés et votre entreprise sont au fait des normes et des lois de la société, chacun comprendra que les D&I méritent toutes les attentions. Ainsi, les documents doivent être sécurisés par chiffrage, contrôlés dans leur intégrité, signés pour leur authenticité,…etc. Les équipements manipulant les D&I ne sont pas à négliger. Qu’il s’agisse de fermeture des ports, de protection contre les accès non autorisés, du nettoyage des données,… etc. Ils doivent être conçus en gardant à l’esprit qu’ils doivent résister aux risques de sécurité, comme nous le faisons pour nos périphériques de capture et d’impression des documents. Enfin, les logiciels (capture, impression, GED, parc), sont à sélectionner avec soin. Ils sont souvent au cœur des problématiques de sécurité parce que les métiers donnent trop souvent la priorité aux fonctionnalités. Gageons qu’en Mai 2018, la situation changera avec l’application du RGPD. L’entreprise devra être en situation de démontrer qu’elle s’est assurée avoir fait des choix responsables pour faire face aux contraintes de sécurité et protégeant les données privées.

Stratégie d’audit

Quels que soient les dispositifs, quelles que soient les précautions prises, quelles que soient les formations et sensibilisations prodiguées, il faudra contrôler. Pour cela, toutes les actions sont à tracer dans des journaux et des registres. Ceux-ci doivent aussi être considérés comme des documents et être soumis aux mêmes principes de sécurisation. Je ne le dirai jamais assez, la sécurité passe par la surveillance et l’amélioration continue.

Stratégie d’externalisation

La sécurité des D&I est aujourd’hui un tel enjeu, qu’il est de plus en plus délicat d’envisager que l’entreprise seule, puisse maîtriser toutes les subtilités des modalités à respecter. S’il est certain que très peu d’entreprises se constitueront en tiers de confiance pour délivrer la signature électronique, il en ira de même pour l’archivage électronique probant, la lettre recommandée électronique, le courrier numérique sans papier,… etc. Trop de spécialisations et de certifications ne trouveront pas leur retour sur investissement pour une entreprise à elle seule. Il est évident que le recours à l’externalisation est la voie à suivre. C’est pourquoi nous avons fait nos choix de services externalisés pour nos usages et les vôtres. Nous en reparlerons.

La transformation numérique de l’environnement de travail rendue possible par l’évolution du corpus législatif, depuis la loi No 200-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique, a fortement accrue la responsabilité des entreprises dans la maîtrise de la sécurité des documents et informations. Le RGPD à lui seul, constitue un marqueur majeur de cette évolution de la responsabilité. En contrepartie, constructeurs et éditeurs de solutions ont mené et mènent des études et des réalisations visant à empêcher et éliminer les failles de sécurité. Je reviendrai sur ces sujets dans deux prochains articles car mon objectif est de contribuer à la sensibilisation à la maîtrise de la sécurité. (Par Jean-Pierre BLANGER – Directeur Solutions, Services & Innovation de Ricoh France).

Assurance cyber sécurité, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

RSSI : les cinq meilleures façons de renforcer une architecture de sécurité

Pour les professionnels de l’informatique, RSSI, DSI … la sécurité des réseaux est un enjeu majeur. C’est vrai à la fois pour l’ingénieur de sécurité, le RSSI, le DSI et même le CEO ! La question est : « Que peut-on vraiment faire pour l’améliorer ? » Tout simplement renforcer le déploiement d’équipements de sécurité inline.

RSSI – En matière de conformité réglementaire pour PCI-DSS et HIPAA, le déploiement d’outils de sécurité inline n’est pas indispensable mais s’avère impératif pour une architecture de sécurité par laquelle on tente de maximiser ses défenses. Voici les cinq principales actions que les professionnels de l’IT peuvent mettre en œuvre pour améliorer l’architecture de sécurité en ligne de leur entreprise.

Insérer des switches bypass externes entre le réseau et les outils de sécurité pour améliorer la disponibilité et la fiabilité du réseau.

Les switches bypass sont généralement un bon point de départ pour améliorer la sécurité et la fiabilité d’un réseau. Alors que le déploiement direct d’outils de sécurité en ligne peut créer une défense améliorée, ils peuvent entraîner des échecs ponctuels. Un contournement interne, dans l’outil peut minimiser ce risque. Toutefois, il pourrait créer une autre interruption de de service, si l’appareil devait être retiré par la suite.

Un switch bypass externe a l’avantage de son homologue interne à la différence qu’il élimine les problèmes des déploiements directs d’outils inline en offrant des capacités de basculement automatique et à la demande avec un impact à peine perceptible (millisecondes) sur le réseau. Parce que le switch reste toujours dans le réseau, il peut être placé en mode de contournement à la demande, pour permettre l’ajout, la suppression ou la mise à niveau des dispositifs de sécurité et de surveillance au besoin.

Déployez des passerelles de renseignement sur les menaces à l’entrée/sortie du réseau pour réduire les alertes de sécurité de faux positifs

Les passerelles de renseignement sur les menaces sont une bonne deuxième stratégie parce qu’elles éliminent le trafic depuis et vers de mauvaises adresses IP connues. Même avec les pare-feux, les IPS et un large éventail d’outils de sécurité en place, les entreprises manquent toujours d’indices et souffrent de failles importantes chaque jour. Pourquoi ? Parce que le volume d’alertes générées représente un énorme fardeau de traitement pour l’équipe de sécurité, ainsi que pour l’infrastructure elle-même. Une passerelle de renseignement sur les menaces aide à filtrer automatiquement le trafic entrant dans un réseau qui doit être analysée. Certaines entreprises ont constaté une réduction de 30 % ou plus des fausses alertes IPS en supprimant le mauvais trafic connu, ce qui permet aux équipes de sécurité réseau de se concentrer sur les menaces potentielles restantes.

Décharger le décryptage SSL des dispositifs de sécurité existants (pare-feu, WAF, etc.) vers des network packet brokers (NPB) ou des dispositifs spécialement conçus pour réduire la latence et augmenter l’efficacité des outils de sécurité.

Bien que de nombreux outils de sécurité (pare-feu, WAF, IPS, etc.) incluent la capacité de déchiffrer le trafic afin que les données entrantes puissent être analysées à des fins de sécurité, ils ont également un impact sur les performances du CPU et peuvent ralentir considérablement (jusqu’ à 80 %) la capacité de traitement d’une application de sécurité. Ceci est dû au fait que les processeurs de ces périphériques exécutent d’autres tâches telles que l’analyse des paquets de données pour détecter les menaces de sécurité, telles que les scripts inter-sites (XSS), l’injection SQL, les programmes malveillants cachés et les menaces de sécurité. Le déchiffrement SSL peut représenter un travail considérable qui réduit l’efficacité des outils de sécurité et qui augmente les coûts si l’on veut que les données réseau soient inspectées. En raison de la performance du décryptage des données, de nombreuses équipes de sécurité désactivent cette fonctionnalité et créent ainsi un risque potentiellement grave pour la sécurité. Une solution consiste à utiliser un network packet broker pour effectuer le déchiffrement des données lui-même ou décharger la fonction sur un dispositif de décryptage distinct. Une fois les données décryptées, le NPB peut les transmettre à un ou plusieurs outils de sécurité pour analyse.

Effectuer une chaîne d’outils pour les données suspectes, afin d’en améliorer le processus d’inspection.
Une autre tactique à prendre en considération est enchaînement d’outils en série. Cette méthode améliore l’inspection des données en utilisant des séquences prédéfinies pour leur analyse. Elles sont acheminées vers de multiples outils de sécurité pour des inspections et une résolution supplémentaires. Ceci garantit que les actions se déroulent dans l’ordre approprié et ne sont pas négligées. Les outils de sécurité et de surveillance peuvent être reliés entre eux par le biais d’un approvisionnement logiciel au sein d’un NPB pour contrôler le flux de données à travers les services sélectionnés. Cela permet d’automatiser efficacement le processus d’inspection afin de le rendre plus efficace et de mieux suivre les alertes.

Insérer des NPB pour améliorer la disponibilité des dispositifs de sécurité en utilisant la technologie n+1 ou haute disponibilité.

La cinquième façon de renforcer une architecture de sécurité est d’améliorer la disponibilité des dispositifs en insérant un NPB qui favorise la survie à long terme. Un bon NPB aura deux options.
La première, que l’on nomme n+1, est déployée dans une configuration de partage de charge. C’est la situation où l’on a un dispositif de sécurité complémentaire en cas de défaillance d’un des principaux (IPS, WAF, etc.). Cependant, au lieu d’être en veille et prêt à se déclencher si besoin, l’appareil fonctionne en même temps que les autres et partage la charge normalement. Si un appareil tombe en panne, la charge totale peut alors être traitée par les autres appareils. Une fois que l’outil défectueux est de nouveau en ligne, les outils restants retournent à une configuration de partage de charge.

Bien que cela puisse se faire sans le NBP, il s’agit souvent d’un processus compliqué avec des équilibreurs de charge et d’autres efforts. Un NPB est programmé pour gérer l’équilibrage de charge ainsi que les messages sur la bonne marche d’un outil (quand il a échoué et quand il est disponible), de manière à s’assurer un une architecture « d’auto-guérison » rentable. Une option plus robuste, mais aussi plus coûteuse, consiste à mettre en œuvre une haute disponibilité. C’est une option n+n dans laquelle il y a un ensemble d’équipements complètement redondants. Malgré le coût, ce pourrait être la meilleure option, selon les besoins de l’entreprise.

L’utilisation de ces cinq cas d’utilisation peut considérablement améliorer une architecture de sécurité en ligne, y compris la fiabilité de la solution, ainsi que la capacité à détecter et prévenir/limiter les menaces de sécurité. (Par Keith Bromley, Senior Solutions Marketing Manager chez Ixia)

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

RGPD loi 490 : une évolution dans la protection des données personnelles mais qui n’est pas encore suffisante

Loi 490 – La mise en place du RGPD (Règlement Général sur la Protection de Données) entrera en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen.

En France, le projet de Loi n°490, relatif à la protection des données personnelles, présenté à l’Assemblé en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de Loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions. Celles-ci ne devront plus se contenter de « déclaration » mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant des nouveaux droits.

Bien que ce projet de Loi n°490 souligne un besoin réel de changement dans l’encadrement de la protection des données à caractère personnel, il possède encore des zones d’ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.

Qu’est-ce que « l’intérêt légitime » ?

Pour être licite, un traitement de données à caractère personnel doit respecter l’une des six bases légales fixées par le Règlement à savoir l’exécution d’un contrat, l’obligation légale, le consentement, l’intérêt vital, l’intérêt légitime. La notion d’intérêt légitime est subjective et n’a pas la même ampleur pour toutes les entreprises. Pourtant l’intérêt légitime sera l’une des bases juridiques valables pour se passer du consentement de l’utilisateur.

Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l’objet du traitement de données, sauf dans plusieurs cas précis, comme par exemple celui de la poursuite légitime. Comment définit-on alors l’intérêt légitime ?

Les moyens d’exercice de son droit

Comment permettre aux internautes de faire appliquer leurs droits de suppression, d’information ou de limitation ? Quels sont les moyens d’exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s’il n’existe pas de canal d’application permettant de les faire exécuter ?

Il est important que les obligations du Responsable de Traitement soient assorties des modalités d’application adaptées. Egalement, il serait pertinent de voir la « demande par email » considérée, d’autant que l’essentiel des fichiers comportent et portent un email, et d’indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.

Devoir d’information des Responsables de Traitement

Les modalités de mise en oeuvre du devoir d’information des Responsables de Traitement n’ont pas été évoquées de façon précises : l’information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d’information « one shot » ? Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d’email utilisée pour l’envoi) pour faire appliquer leurs droits. Naturellement un délai de réaction adapté doit courir dès l’envoi de l’email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l’intéressé de se tourner vers la CNIL. La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d’action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n’est pas, cela aggravera l’impression générale que la CNIL ne peut traiter qu’une infime partie des signalements, bref un gendarme qui n’est pris au sérieux ne peut pas gendarmer !

Durée de conservation des données

Est-il souhaitable qu’un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d’historique de la vie de quelqu’un ? Comment l’utilisateur sera-t-il informé que ces données aient bien été supprimées, sans contacts spontanés réguliers avec le responsable de traitement ? Cela ne renvoie-t-il pas à la nécessité d’informer régulièrement l’utilisateur ? Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d’action immédiate pour le demandeur, et annulation de l’encombrement service client lié au traitement humain des demandes côté responsable de traitements.

Sécurisation des données

La responsabilité de la sécurisation des données incombe au responsable de traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entrainer de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n’ont encore aujourd’hui aucune gestion de sérieuse de leurs données. De nombreuses sociétés vont à présent se positionner sur l’appel d’air du RGPD et vendre des registres,
des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données. Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.

Ce texte de Loi est une avancée mais des éléments concrets pour protéger l’identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu’avec l’intérêt légitime de l’entreprise contre l’attente raisonnable de l’utilisateur ; Donner des vrais moyens pour exercer les droits de l’internaute lorsque l’écueil de l’intérêt légitime sera évité ; Mieux expliciter le devoir d’information des Responsables de Traitement n’est pas explicité ; la durée de la conservation des données… (Ludovic Broyer, fondateur d’iProtego)

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Leak, Logiciels, Particuliers, Piratage, ransomware, ransomware, Sauvegarde, Securite informatique, Vie privée

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, RGPD, Securite informatique

Protection des informations numériques, enjeu majeur de l’innovation

Les données sont devenues l’actif le plus précieux des entreprises. Mais est-il le mieux gardé ? L’exposition des entreprises aux cybermenaces ne cesse de croître avec la mobilité des collaborateurs, le partage des données, le développement du Cloud computing, l’internet des objets et l’intégration de nouvelles entités. La protection des informations numériques représente pour les entreprises un enjeu économique fondamental et paradoxalement, assez souvent indûment négligé.

La protection des informations numériques à l’aube du RGPD. L’innovation contemporaine est intimement liée aux données. A l’ère du digital elles constituent le nouvel actif stratégique des entreprises, dont la compétitivité dépend aujourd’hui de leur capacité à contextualiser et analyser les masses accumulées de données. Chaque jour des milliers, voire des millions de nouveaux devices se connectent au grand « Internet of Everything » pour collecter et échanger des données. Le marché se tourne vers des outils analytiques avancés pour les valoriser. Ces nombreuses sources de collecte et d’accès aux données sont autant de points de fragilité pour les malfaiteurs voulant s’attaquer aux systèmes d’information et de production. Si ces devices ne sont pas protégés, si sont compromises la disponibilité, la confidentialité et l’intégrité des informations stockées, traitées ou transmises, l’avantage concurrentiel qu’elles offrent risque de se transformer en pertes et la force devient une menace.

Le ROI en cybersécurité : qu’est-ce que vous êtes prêts à perdre ?

Dans la sécurité numérique, les cyberattaques sont le risque le plus connu. En France, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel. Une récente étude estime les pertes financières à 1,5 million d’euros pour chaque incident en moyenne.

Dans le monde, le nombre de cyberattaques aurait augmenté en 2016 de 21% par rapport à l’année précédente, et cumulées, elles auraient coûté à l’économie mondiale 280 milliards de dollars, selon International Business Report (IBR) publié par le cabinet Grant Thornton. Mais le plus grand risque, et donc la plus grande crainte, ne se résume pas aux pertes financières. Par exemple, au Canada, 31,6 % des organisations sondées ont jugé que la principale conséquence d’une cyberattaque serait le temps passé à traiter ses effets, suivi d’atteinte à la réputation (29,2 %) et perte de clients (10,2 %). La perte directe de revenus n’a été citée que par 9,8 % d’interrogés. Malgré cela, 52% des organisations n’ont aucune couverture en cas d’attaque.

Selon moi, trop souvent encore les entreprises font appel aux experts « après la bataille ». Bien sûr, nous sommes capables de gérer la crise, mais la prévention reste la meilleure réponse aux cyberattaques. Il est temps d’accepter que le ROI de la cybersécurité ne se calcule pas en chiffre d’affaires généré, mais plutôt en efforts nécessaires à traiter les dommages potentiels. Il convient à toute entreprise, qu’elle soit un grand groupe ou une PME, de mettre en place une véritable stratégie de sécurité, pour diminuer son exposition au risque et accompagner son développement.

Protection des informations numériques : pour une véritable politique de sécurité numérique

La première étape consiste à faire appel à des experts pour évaluer les facteurs de risque et les points faibles en matière de cybersécurité.

Ces éléments serviront à définir une véritable politique de sécurité qui ne devra plus concerner la seule stratégie IT, mais être intégrée aux stratégies de tous les métiers par une conduite de changement. Effectivement, les facettes de la cybersécurité sont d’autant plus nombreuses, que le sujet est transverse et concerne tous les métiers de l’entreprise : la sécurisation de l’écosystème digital de l’entreprise et de ses outils collaboratifs, la gestion des identités et des accès, la prévention des pertes de données, etc.

Le cyberpiratage et les cyberattaques ne sont pas les seules menaces pour la sécurité numérique, mais les plus médiatisées : d’expérience, 35% des incidents de sécurité seraient causés en interne par des collaborateurs mal informés.

Ainsi, la protection des informations va bien au-delà de la sécurité : pour protéger tous les terminaux et points d’accès, il n’est plus question de se satisfaire d’un antivirus, aussi puissant soit-il. Avant de se pencher sur des solutions technologiques, il est vital de comprendre son actuel niveau de maturité, définir le niveau de sécurité visé et se faire accompagner pour instaurer une gouvernance, définir des responsabilités, revoir les règles et les procédures, et, finalement, envisager l’outillage nécessaire.

L’adoption de nouvelles technologies d’information continue d’aller beaucoup plus vite que la sécurité. Au nom de la productivité et de la performance, les entreprises ont parfois mis de côté les mesures de protection. En se posant en bouclier protégeant les données, la cybersécurité s’affirme en garant de l’innovation et de la vitalité de l’entreprise. (Par David Adde, Directeur du pôle Sécurité chez Avanade.)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Emploi, Entreprise, RGPD, Sauvegarde, Securite informatique

Violations de données : 700 millions d’attaques contrecarrées en 2017

Suite aux violations de données à grande échelle, des pics massifs d’attaques ont été observés avant qu’elles ne soient révélées publiquement. Le rapport Cybercrime ThreatMetrix parle d’un record de 700 millions d’attaques contrecarrées par des entreprises numériques en 2017.

Les violations de données ont été très nombreuses en 2017, Data Security Breach a pu vous annoncer plusieurs. L’Entreprise de l’Identité Numérique ThreatMetrix vient de révèler que 2017 a été une année record en termes de lutte contre la cybercriminalité. Basé sur l’étude des cyberattaques dans le monde entier, analysant 100 millions de transactions par jour, le Cybercrime Report 2017 : A Year in Review de ThreatMetrix confirme une augmentation de 100 % du nombre d’attaques au cours des deux dernières années. La bonne nouvelle est que, pour contrecarrer ces menaces, les entreprises investissent dans des stratégies innovantes et « digital first » pour protéger les consommateurs, qui doivent faire face à des failles résultant de violations de données à grande échelle.

Argent facile ?

Les fraudeurs ne cherchent plus à se faire de l’argent rapidement avec les cartes de crédit volées, ils préfèrent se concentrer sur des attaques plus ambitieuses qui rapportent des bénéfices à long terme, en exploitant des ensembles de données d’identité volées. Cette tendance est prouvée par un taux d’attaque très élevé sur les créations de comptes, l’activité la plus vulnérable. Plus d’un nouveau compte en ligne sur neuf ouvert en 2017 était en effet frauduleux.

Les résultats révèlent également une activité des bots sans précédent, pouvant représenter jusqu’à 90 % du trafic sur certains sites de vente en ligne quand une attaque atteint son pic. Même les consommateurs qui n’en sont pas directement victimes en font les frais. Ils expérimentent dès lors une vérification d’identité plus longue, car les entreprises tentent de discerner les activités légales de celles qui sont frauduleuses, tout comme les vraies identités des fausses.

violations de données : les consommateurs immédiatement visés suite aux failles majeures

En 2017, les niveaux de cyberattaques ont atteint des sommets encore jamais enregistrés auparavant.  Ces pics, lorsqu’ils sont agrégés entre des milliers d’organisations, indiquent des violations de données majeures. Souvent même bien avant qu’elles ne fassent la Une des journaux.

Chaque organisation peut être la cible d’une faille de sécurité importante. Cela met alors à l’épreuve la responsabilité des systèmes de protection. Et cela au travers de l’ensemble des sites web et applications.

« Alors que les attaques s’intensifient, le besoin d’investir dans des solutions technologiques avancées augmente pour protéger les consommateurs ainsi que les individus dont les données personnelles et bancaires ont été piratées, déclare Pascal Podvin, Senior Vice-President Field Operations, chez ThreatMetrix. Analyser les transactions en se basant sur l’identité numérique réelle est la façon la plus efficace de différencier instantanément les utilisateurs légitimes des cybercriminels. Nous laissons une trace de notre identité partout, et en cartographiant les associations en constante évolution entre les personnes, leurs appareils, leurs comptes, leur localisation et leur adresse, au travers des organisations avec lesquelles elles interagissent, le comportement dit « de confiance » d’un individu devient évident. »

violations de données : la relation entre le comportement des consommateurs et l’évolution de la cybercriminalité

Les tendances de comportement chez les consommateurs ont influencé les modèles d’attaque. Models de plus en plus sophistiqués. Certains résultats du Rapport 2017 sur le Cybercrime de ThreatMetrix le démontrent.

  • Le volume des transactions mobiles a augmenté de près de 83 %. Les consommateurs adoptant un comportement « multi-appareils ». Un nombre de transactions plus important que sur ordinateur pour la première fois en 2017.
  • Les attaques avec prise de contrôle ont connu une hausse de 170 %. Toutes les 10 secondes.
  • 83 millions de tentatives de création de comptes frauduleux ont été enregistrées entre 2015 et 2017. Les pirates informatiques créent des identités complètes. Ils ouvrent de nouveaux comptes en volant l’ensemble des données d’identité. A partir de failles et sur le Dark Web.

Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années

  • Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années. Les hackers utilisent des cartes de crédit volées. Ils piratent le compte bancaire d’une victime, pour transférer de l’argent vers un nouveau bénéficiaire.
  • Les secteurs émergents, plus particulièrement les sites de covoiturage et de vente de cartes cadeau. Ils sont particulièrement vulnérables à la fraude. Les cybercriminels utilisent de nouvelles plateformes pour faire des affaires.
  • Les hackers sont de plus en plus rusés. L’étude confirme qu’ils multiplient leurs efforts pour être encore plus difficiles à détecter par les individus. Par exemple, les attaques d’ingénierie sociale. Ils persuadent les consommateurs qu’ils ont été victimes d’une escroquerie. Ils les incitent à « sécuriser leur compte » via des mesures qui donnent réellement accès aux fraudeurs.

« Avec le volume et la sophistication des attaques qui augmentent chaque jour, les entreprises doivent être capables de différencier en temps réel les consommateurs des cybercriminels, sans qu’il n’y ait d’impact sur la vitesse des transactions ni de frictions inutiles, poursuit Pascal Podvin. En regardant au-delà des données statistiques, et en explorant les complexités dynamiques liées à la façon dont les utilisateurs effectuent des transactions en ligne, les organisations peuvent continuer de développer leur activité en toute confiance. »

Retrouvez le Rapport 2017 violations de données sur le Cybercrime ThreatMetrix via ce lien.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, RGPD, santé, Securite informatique

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, ransomware, Securite informatique

26 % des attaques de ransomwares auraient ciblées les entreprises en 2017

En 2017, 26,2 % des cibles du ransomware étaient des entreprises, contre 22,6 % en 2016. Cette augmentation est due en partie à trois attaques sans précédent contre des réseaux d’entreprise. Ces derniers, WannaCry, ExPetr, et BadRabbit, ont bouleversé à jamais le paysage autour de cette menace, de plus en plus virulente.

2017 marque l’année de l’évolution inattendue et spectaculaire de la menace du ransomware, avec des acteurs malveillants avancés. Ils ciblent des entreprises dans le monde entier au moyen de séries d’attaques destructives à base de vers autonomes, dont l’objectif ultime demeure un mystère. Les derniers en date, WannaCry le 12 mai, ExPetr le 27 juin et BadRabbit fin octobre. Toutes ont exploité des vulnérabilités afin d’infecter les réseaux des entreprises. Ces attaques ont également été visées par d’autres ransomwares. Kaspersky Lab a d’ailleurs bloqué des infections de ce type dans plus de 240 000 entreprises au total.

Globalement, un peu moins de 950 000 utilisateurs distincts ont été attaqués en 2017, contre environ 1,5 million en 2016, la différence s’expliquant dans une large mesure par la méthode de détection (par exemple, les downloaders souvent associés au cryptomalware sont désormais mieux détectés par les technologies heuristiques, par conséquent ils ne sont plus classés avec les verdicts de ransomware collectés par nos systèmes de télémétrie).

Ransomwares, un danger qui plane

Les trois principales attaques, ainsi que d’autres moins médiatisées, notamment AES-NI et Uiwix, ont exploité des vulnérabilités complexes ayant fuité en ligne au printemps 2017 à l’initiative du groupe Shadow Brokers. Le nombre de nouvelles familles de ransomware est en net recul (38 en 2017, contre 62 en 2016), contrebalancé par un accroissement des variantes de ransomwares existants (plus de 96 000 nouvelles versions détectées en 2017, contre 54 000 en 2016). Cette multiplication des modifications reflète peut-être les tentatives des auteurs d’attaques de masquer leur ransomware tandis que les solutions de sécurité deviennent plus performantes dans leur détection.

À partir du deuxième trimestre de 2017, un certain nombre de groupes ont mis fin à leurs activités dans le domaine du ransomware et ont publié les clés nécessaires de décryptage des fichiers. Il s’agit d’AES-NI, xdata, Petea / Mischa / GoldenEye et Crysis. Crysis est réapparu par la suite, peut-être ressuscité par un autre groupe. La tendance croissante à l’infection des entreprises par des systèmes de bureau distant s’est poursuivie en 2017, cette méthode de propagation étant devenue la plus courante pour plusieurs familles répandues, telles que Crysis, Purgen / GlobeImposter et Cryakl.

65 % des entreprises frappées par un ransomware en 2017 indiquent avoir perdu l’accès à une grande quantité voire à la totalité de leurs données. Une sur six parmi celles qui ont payé une rançon n’a jamais récupéré ses données. Ces chiffres n’ont pratiquement pas varié par rapport à 2016. Fort heureusement, l’initiative No More Ransom, lancée en juillet 2016, connaît un grand succès. Ce projet réunit des forces de police et des acteurs du secteur de la sécurité pour pister et démanteler les principales familles de ransomware, afin d’aider les particuliers à récupérer leurs données et de saper l’activité lucrative des criminels.