Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.
La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.
Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.
Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.
La cellule Tracfin du ministère des finances français a remis au Ministre Michel Sapin, le 11 juillet, un rapport de son groupe de travail sur l’encadrement des monnaies virtuelles, dont le Bitcoin.
La croissance, évoquée dès 2012, des flux financiers en monnaie électronique dans les signalements par Tracfin s’intensifie. Le rapport de Tracfin analyse les risques d’utilisations illicites ou frauduleuses liés au développement des monnaies virtuelles dont l’exemple le plus célèbre est le bitcoin. Trois caractéristiques sources de risques classé par ce rapport sont l’intervention d’acteurs non régulés ; le manque de transparence et l’extraterritorialité.
Parmi les solutions proposées par ce rapport, limiter l’anonymat en imposant une prise d’identité lors de l’ouverture par un professionnel d’un compte en monnaies virtuelles pour un tiers, et une vérification d’identité pour les retraits et dépôts aux « distributeurs » de bitcoin. Autant dire que l’idée risque de faire sourire les utilisateurs les plus aguerris sur le sujet. Autres idées de régulation, demander aux plateformes qui échangent des monnaies virtuelles contre des devises officielles de tracer leurs clients en leur imposant de vérifier, pour chaque transaction, l’identité de l’auteur et du bénéficiaire, ainsi que l’origine des fonds. « La lutte contre la fraude, contre la criminalité et contre le terrorisme sont autant de priorités du Gouvernement.souligne le Ministre Sapin. Or, en permettant des transactions anonymes et instantanées d’un bout à l’autre monde, sans aucune traçabilité, le s monnaies virtuelles sont vouées à devenir des outils qui intéressent les fraudeurs et malfaiteurs de tous bords. Dès lors, ne pas nous pencher dès à présent sur le sujet serait irresponsable« .
A noter que la France souhaite le non-assujettissement des monnaies virtuelles à la TVA.
Dashlane, éditeur d’outils de gestion de mots de passe et des portefeuilles numériques, a dévoilé à DataSecurityBreach.fr les résultats de la seconde édition de son baromètre sur la protection des données des consommateurs sur Internet.
Cette seconde édition a passé au crible plus de 130 des sites américains, anglais et français (44) les plus populaires du web à la suite de la faille Heartbleed. Ce baromètre met en évidence que 86% des sites français analysés utilisent des politiques de sécurité de mots de passe en dessous de la moyenne acceptable. Beaucoup n’ont pas mis en œuvre ne serait-ce que les règles de base, laissant les données personnelles des consommateurs sur Internet dangereusement vulnérables.
Cette analyse se fonde sur 22 critères identifiés comme critiques pour la sécurité des mots de passe sur Internet. Chaque critère permet d’attribuer un nombre de points positif ou négatif, ce qui donne un score final possible en -100 et +100 pour chaque site web étudié. Un score de +50 points correspond à la mise en œuvre minimale des bonnes pratiques vis-à-vis des mots de passe suggérées par Dashlane. Cette étude fait suite au premier baromètre publié par Dashlane sur le même sujet au premier trimestre 2014.
Apple, le seul site à voir la note maximum
Le site d’Apple avait obtenu la meilleure note dans le premier baromètre, et il est de nouveau le seul site web à se voir décerner la note maximale, à savoir +100. Live.com (Microsoft) termine second, tandis que UPS, Yahoo et Paypal occupent respectivement les troisième, quatrième et cinquième positions. Les autres sites réussissant ce test sont par exemple La Poste, leboncoin.fr, eBay et Skype. Gmail et la Fnac sont ex aequo à la dixième place.
Les mauvais élèves
Dans les sites français, ce sont Showroomprivé, Meetic Affinity et Spartoo qui reçoivent les plus mauvais scores. En remontant dans le classement des mauvais élèves, on trouve les 3 Suisses, Alloresto, Viadeo, easyJet.com, Cdiscount et Amazon. Dashlane a examiné six catégories de sites web : sites de rencontre, e-commerce, sécurité, productivité, outils sociaux et voyages. Le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec -45. Suivent les sites de sécurité (-23 de moyenne), de e-commerce (-21) et de voyages (-16).
Toujours des pratiques dangereuses malgré Heartbleed
Même si la plupart des sites ont demandé à leurs utilisateurs de changer leur mot de passe suite à la découverte de la faille Heartbleed, ils n’ont pas corrigé leurs faiblesses dans leur politique de sécurité. Dashlane a comparé les scores de sécurité obtenus dans le baromètre avec la robustesse réelle des mots de passe utilisés sur ces sites.
Un résultat net se dessine, montrant la corrélation entre la complexité des mots de passe utilisés et la note de sécurité obtenue. En d’autres termes, plus le site impose un mot de passe complexe, meilleure est la sécurité réelle des mots de passe des utilisateurs. Il va sans dire que plus le mot de passe est simple, plus les données personnelles et bancaires des consommateurs sont exposées. Les mots de passe représentent la première ligne de défense des données personnelles des consommateurs sur Internet. Le fait que certains sites ne demandent pas de mots de passe sécurisés veut donc dire qu’ils sont conscients d’exposer leurs utilisateurs aux attaques et aux logiciels malveillants.
Autre enseignement de ce baromètre que DataSecurityBreach.fr a pu lire, 51% (55% pour les sites français) des sites les plus importants ne verrouillent pas les comptes des utilisateurs après 10 tentatives de connexion incorrectes. L’une des méthodes favorites des pirates est d’essayer au hasard les mots de passe les plus répandus. Le pirate a seulement besoin d’une liste d’adresse emails et de mots de passe populaires (les deux sont faciles à trouver sur Internet). Ils n’ont plus qu’à utiliser un programme pour tenter de se connecter à un site en essayant des millions de combinaisons associant une adresse email à un mot de passe. C’est ce que l’on appelle une attaque « par force brute ».
En bloquant un compte utilisateur après un certain nombre de tentatives de connexion erronées, les sites web peuvent simplement bloquer ce type d’attaque et de ce fait mieux protéger les données personnelles des consommateurs. Les sites suivants ne sont que quelques-uns des sites les plus connus qui ne bloquent pas les comptes utilisateurs après 10 tentatives d’accès infructueuses : Amazon, Gmail, Evernote, eBay et Nike.
Des solutions simples
Les sites web devraient adopter au minimum les mesures suivantes en matière d’exigence sur les mots de passe :
Mot de passe de 8 caractères minimum
Mot de passe comprenant des chiffres et des lettres, avec des minuscules et des majuscules
Email de confirmation pour tout changement de mot de passe
Ne pas accepter les 10 mots de passe les plus vulnérables
Bloquer le compte utilisateur après 10 tentatives incorrectes de connexion
Emmanuel Schalit, CEO de Dashlane, commente ces pratiques : « Les entreprises et les sites web n’ont aucune excuse pour leur faible politique en matière de mot de passe. La mise en œuvre de politiques de sécurité pour les mots de passe ne coûte pas cher et est facilement réalisable grâce aux technologies open source existantes. Notre étude montre une nette corrélation entre les exigences des sites en matière de mots de passe et le niveau de sécurité des mots de passe des utilisateurs. Les sites qui exigent des mots de passe complexes ont des utilisateurs qui ont des mots de passe mieux sécurisés. Les mots de passe sont la première ligne de défense pour les données personnelles et confidentielles des consommateurs sur Internet, et des exigences faibles en matière de mots de passe les exposent encore plus. »
Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.
La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.
Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).
Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).
Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.
L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.
Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?
Une étude publiée par AVG Technologies, entreprise de sécurité en ligne pour 187 millions d’utilisateurs actifs, révèle que pour 82% des enseignants interrogés (74% en France), les parents comptent trop sur l’école pour apprendre à leurs enfants à se protéger en ligne. En outre 38% (44% en France) des enseignants estiment que les parents d’élèves ont eux-mêmes un niveau insuffisant de connaissances sur le sujet. Cette nouvelle étude d’AVG, qui porte sur le point de vue des instituteurs et professeurs, démontre que la question de savoir à qui incombe la responsabilité de dispenser aux enfants les enseignements sur la sécurité en ligne est toujours d’actualité.
L’étude, pour laquelle AVG a interrogé près de 1800 enseignants du monde entier, dont 210 en France, montre la nécessité de former les enseignants et de leur offrir davantage de soutien, afin qu’ils puissent mieux sensibiliser leurs élèves à la sécurité en ligne. Les deux tiers des personnes interrogées (64%, 73% en France) ont convenu que les écoles devraient offrir une meilleure formation à l’utilisation d’Internet comme outil pédagogique, et 77% (68% en France) estiment qu’Internet devrait faire partie intégrante du cursus éducatif.
Cette étude met en relief l’écart inquiétant entre, d’un côté, les connaissances et les capacités des enseignants et, de l’autre, les attentes des parents. Plus de neuf enseignants de différentes matières sur dix affirment se servir d’Internet en cours (92%, 89% en France), et 69% abordent la sécurité en ligne de manière occasionnelle ou fréquente (59% en France). Seul un enseignant sur quatre (28%, 15% en France) a reçu une formation spécifique pour cet enseignement.
Tony Anscombe, Conseiller sécurité chez AVG Technologies, déclare : « Non seulement les enseignants aujourd’hui se servent régulièrement d’Internet dans le cadre de leurs leçons et cours, mais ils se retrouvent de plus en plus confrontés aux questions plus vastes que génère celui-ci, et ce, la plupart du temps, sans aucune formation officielle. Au vu du développement de l’utilisation d’Internet en tant qu’outil pédagogique, de nombreux enseignants déclarent que leur école s’est dotée de règles spécifiques pour répondre aux préoccupations les plus fréquentes. En revanche, ces politiques s’avèrent être insuffisantes si la plupart des enseignants ne reçoivent aucune formation officielle à l’enseignement de la sécurité en ligne. Lorsqu’un enseignant sur quatre déclare être approché par des élèves pour des problèmes de cyberintimidation, le besoin d’un soutien accru se fait clairement ressentir».
Constats d’enseignants du monde entier
· Le Brésil va à l’encontre de la tendance globale, les enseignants brésiliens étant à l’avant-garde en matière d’éducation à la sécurité sur Internet. La majorité (54%, 17% en France) aborde régulièrement le sujet et 51% (15% en France) s’y sont préparés en suivant une formation officielle.
· La plupart des enseignants au Royaume-Uni ont indiqué que leur école proposait des cours d’informatique (91% par rapport à 72 % globalement et à 63% en France). En revanche, seulement 37% des enseignants avaient suivi une formation officielle à la sécurité en ligne (contre 15% en France).
· Inversement, les écoles aux Etats-Unis sont les moins susceptibles de proposer des cours d’informatique (60% seulement) et seulement 40 % des enseignants donnaient des devoirs à la maison nécessitant des recherches sur internet (contre 57% globalement et 49% en France).
· Les élèves canadiens sont les plus nombreux à apporter leurs propres appareils à l’école, selon 29% des enseignants (contre 18% globalement et 4% en France). Il s’agissait principalement d’ordinateurs portables (84%, 57% en France), de smartphones et de tablettes (82% chacun contre 29% et 57% en France).
· Les enseignants en Allemagne sont les plus nombreux à avoir été approchés par des élèves confrontés à des problèmes de cyberintimidation (36% par rapport à 25% globalement et contre 10% en France). Près de la moitié de ces enseignants (46%, 67% en France) s’estiment peu ou pas du tout préparés pour répondre à ces préoccupations.
· Les écoles australiennes sont arrivées en tête parmi les établissements ayant déjà mis en place des dispositifs pour gérer des problèmes de cyberintimidation (80%, 33% en France) et des situations où des élèves ont été exposés à des contenus inappropriés en ligne (75%, 17% en France).
· Seulement 7% des enseignants en République Tchèque (17% en France) affirment que leur école a déjà organisé une soirée pour les parents afin de les sensibiliser à la sécurité en ligne. 78% des parents y ayant assisté ont exprimé des préoccupations quant à la sécurité de leurs enfants sur Internet (79% en France).
· 91% des enseignants en France déclarent que leur école fournit des appareils électroniques aux élèves, mais il s’agit généralement d’ordinateurs de bureau (80%, contre 75% globalement), d’ordinateurs portables 35% (moyenne globale de 46%) et de tablettes 9% (contre 32% globalement).
· Plus de quatre enseignants sur cinq (82%) en Nouvelle-Zélande (89% en France) abordent occasionnellement le sujet de la sécurité en ligne avec leurs élèves. En revanche, le même pourcentage n’a suivi aucune formation officielle sur ce thème (85% en France).
La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.
Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.
Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).
En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.
Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.
Microsoft vient d’annoncer, sans trop de bruit, la modification de ses conditions d’utilisation et sa déclaration de confidentialité.
« Dans tout ce que nous faisons, indique le géant américain, nous avons à cœur de tenir compte des besoins de nos utilisateurs. C’est pourquoi nous avons décidé de mettre à jour le Contrat de services Microsoft et d’élaborer une Déclaration de confidentialité pour les services Windows. » Dans les principales modifications, et sur ce qu’elles impliquent pour les utilisateurs, une modification de la « Confidentialité ».
Microsoft indique s’engager à respecter la vie privée de ses utilisateyrs en toutes circonstances. « C’est pourquoi nous n’utiliserons jamais à des fins de ciblage publicitaire vos documents, photos ou autres fichiers personnels, ni ce que vous pouvez être amené à dire dans vos e-mails, conversations instantanées, appels vidéo ou messages vocaux« . Dans ses modifications, la firme de Redmond stipule aussi qu’elle allait avoir un peu plus de transparence. « Nous avons mis à jour notre Code de conduite afin de mieux vous faire comprendre les types de comportement susceptibles d’avoir des conséquences sur votre compte. »
Microsoft en profite pour rappeler que les parents sont responsables de l’usage que leurs enfants mineurs font de leur compte et des services Microsoft, y compris des achats effectués par ce biais. Bilan, un peu plus de responsabilité des parents ne fera pas de mal… surtout si Microsoft rabat ses avocats sur des parents pensant que le petit dernier de la famille joue aux Pokémons sur la toile.
Les nouvelles conditions prendront effet le 31 juillet 2014. Si vous continuez à utiliser les services après le 31 juillet 2014, cela signifie que vous avez accepté ces nouvelles conditions. Dans le cas contraire, vous pouvez annuler votre service à tout moment.
Le Groupement des Cartes Bancaires CB évalue actuellement le principe de la biométrie appliquée au paiement et devrait d’ici la fin de cette année octroyer un agrément au standard d’authentification forte défini par Natural Security Alliance pour autoriser son utilisation dans le système CB.
Le premier agrément CB portera sur l’association de la biométrie avec une puce insérée dans un porte-clefs. L’intégration de cette puce dans la carte micro-SD d’un téléphone est également étudiée. Très pratique, l’utilisateur gardera sur lui ce porte-clefs ou ce téléphone (dans une poche, dans un sac) et n’aura pas besoin de le rechercher ou de le présenter pour effectuer un paiement ou un retrait. Outre le fait que la biométrie simplifie l’acte d’authentification avec juste un doigt à poser et plus de code confidentiel à saisir, elle renforce également la sécurité en garantissant la présence du porteur au moment de la transaction.
De plus, la mise en oeuvre de cette solution garantit le respect de la vie privée et des données personnelles de l’utilisateur puisqu’aucune base de données ne centralise les données biométriques de l’utilisateur, celles-ci restant dans la puce intégrée dans le porte-clefs ou le téléphone. Gilbert Arira, Directeur Général du Groupement des Cartes Bancaires CB : « on accorde aux produits CB. ici la fin de cette année 2014».
Pour Cédric Hozanne, CEO de Natural Security Alliance : « Les travaux d’agrément engagés par le Groupement des Cartes Bancaires CB constituent une étape très importante pour l’adoption de notre technologie dans le domaine du paiement puis du retrait. Cet agrément permettra aux banques françaises de proposer à leurs clients une nouvelle manière de payer qui tout en renforçant la sécurité, apportera simplicité, sérénité et praticité. CB a été le premier à adopter et à promouvoir la technologie de la carte à puce dès 1992 adoptée depuis par l’ensemble des autres pays. Avec le standard Natural Security, CB montre à nouveau la voie à suivre pour le monde de l’industrie des paiements sécurisés ».
Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.
L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.
En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !
Est-ce que des cybercriminels ont volé mes données personnelles et les ont rendues librement disponibles en ligne de sorte que d’autres personnes puissent également y accéder et les utiliser de manière abusive ?
Les utilisateurs d’Internet du monde entier peuvent désormais répondre à cette question en utilisant un service gratuit de l’Institut Hasso Plattner pour l’ingénierie des systèmes informatiques de l’université de Potsdam, en Allemagne. Pour cela, il leur suffit de consulter le site sec.hpi.de et de saisir leur adresse e-mail. Le système recherche alors sur Internet les données personnelles librement disponibles qui leur sont associées.
Si des noms, des mots de passe, des détails de compte ou d’autres données personnelles associées à l’adresse e-mail s’avèrent circuler sur la toile, l’institut HPI avertit l’utilisateur par e-mail et lui donne des conseils sur la façon de procéder. Pour des raisons de sécurité, l’institut ne divulguera pas la nature précise des données.
Les informaticiens qui ont développé ce service ont baptisé leur innovation » Identity Leak Checker « . À ce jour, les chercheurs de cet institut universitaire, qui est financé par Hasso Plattner, le cofondateur de SAP, ont identifié et analysé plus de 170 millions d’ensembles de données personnelles sur Internet. Quelque 667 000 vérifications gratuites ont été effectuées depuis le lancement du service en Allemagne. Dans 80 000 de ces cas, les utilisateurs ont dû être informés qu’ils avaient été victimes d’un vol d’identité.
« Ce type de système d’avertissement pour les données personnelles volées circulant sur Internet vise à permettre aux utilisateurs de comprendre comment ils traitent leurs données personnelles« , a déclaré le Prof. Christoph Meinel, directeur de l’institut HPI. Son département a également mis au point une base de données pour l’analyse des vulnérabilités informatiques (https://hpi-vdb.de). Cette dernière intègre et combine de grandes quantités de données déjà disponibles en ligne à propos des vulnérabilités de logiciels et d’autres problèmes de sécurité. La base de données contient actuellement pas moins de 61 000 éléments d’information concernant des points faibles qui existent dans près de 160 000 programmes logiciels de plus de 13 000 fabricants.
La base de données de l’institut HPI a récemment commencé à aider les utilisateurs à effectuer des vérifications gratuites de leurs ordinateurs à la recherche de points faibles identifiables qui sont souvent exploités habilement par les cybercriminels pour leurs attaques. Le système reconnaît le navigateur de l’utilisateur – y compris les plugins fréquemment utilisés – et affiche une liste de vulnérabilités connues. Des plans visant à étendre le système d’auto-diagnostic pour couvrir d’autres logiciels installés sur un ordinateur sont en cours de préparation.
Petites entreprises, grandes menaces : restez informés, restez protégés
