Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Cybersécurité, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers, Sauvegarde

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering, Vie privée

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Cybersécurité, IOT, Particuliers, Vie privée

Pirater une maison connectée, facile ?

Pirater une maison connectée, facile ?  Une nouvelle étude expose les risques dans un foyer via l’analyse de quatre objets connectés très populaires. 

C’est devenu très « mode » de sortir une étude sur les objets connectés. J’avoue ne rien n’y apprendre, mais cela à le mérite de rappeler que le problème est encore trop négligé par les constructeurs et les consommateurs. Les chercheurs des Bitdefender Labs ont réalisé une étude sur quatre périphériques de l’Internet des Objets (IdO) destinés au grand public, afin d’en savoir plus sur la sécurisation des données de l’utilisateur et les risques dans un foyer connecté. La question est de savoir si pirater une maison connectée est facile.

Les produits sont l’interrupteur connecté WeMo Switch qui utilise le réseau WiFi existant pour contrôler les appareils électroniques (télévisions, lampes, chauffages, ventilateurs, etc.), quel que soit l’endroit où vous vous trouvez ; l’ampoule LED Lifx Bulb connectée via WiFi, compatible avec Nest ; le kit LinkHub, incluant des ampoules GE Link et un hub pour gérer à distance les lampes, individuellement ou par groupes, les synchroniser avec d’autres périphériques connectés et automatiser l’éclairage selon l’emploi du temps et le récepteur audio Wifi Cobblestone de Muzo pour diffuser de la musique depuis son smartphone ou sa tablette, via le réseau WiFi.

L’analyse révèle que les mécanismes d’authentification de ces objets connectés peuvent être contournés et donc exposer potentiellement les foyers et leurs occupants à une violation de leur vie privée. Les chercheurs sont parvenus à découvrir le mot de passe pour accéder à l’objet connecté et à intercepter les identifiant et mot de passe WiFi de l’utilisateur. Les failles identifiées par l’équipe de recherche concernent des protocoles non protégés et donc vulnérables, des autorisations et authentifications insuffisantes, un manque de chiffrement lors de la configuration via le hotspot (données envoyées en clair) ou encore des identifiants faibles.

L’IdO pose des problèmes de sécurité spécifiques, et par conséquent, nécessite une nouvelle approche intégrée de la cyber-sécurité domestique, qui passe de la sécurité centrée sur le périphérique à une solution capable de protéger un nombre illimité d’appareils et d’intercepter les attaques là où elles se produisent : sur le réseau. Si des marques comme Philips et Apple ont créé un écosystème verrouillé, l’interopérabilité reste essentielle à ce stade du développement des nouveaux objets connectés. Il est donc plus que temps que les constructeurs prennent en compte nativement la sécurité dans le développement de leurs différents appareils.

Pirater une maison connectée : pour maîtriser nos terminaux, commençons par comprendre leurs données
Tandis que se développent toutes sortes d’objets connectés et que les prix des différents capteurs baissent, l’Internet des Objets (ou IoT) fait son entrée triomphale dans nos quotidiens hyperconnectés. Et si beaucoup ont déjà prédit des milliards de dollars d’investissements et de profits pour ces objets qui intégreront pleinement nos vies d’ici 2050, on a tendance à oublier l’inflation inévitable des bases de données liées à de tels terminaux. Le véritable enjeu réside pourtant dans ces stocks d’informations. Car s’il faut sans doute s’attendre à des problèmes de connectivité des objets eux-mêmes, ce seront surtout les données qui en émaneront qu’il faudra savoir gérer pour tirer le meilleur de l’IoT.

Cela va de l’extraction des données à partir des terminaux, des machines et des plates-formes distantes à l’interprétation des données afin de stimuler la productivité et d’accroître les performances. Que ce soit pour une maison connectée, un terminal portatif ou une solution industrielle, il existe souvent un décalage entre la collecte des nouvelles données et la présentation des informations analysées de manière à ce qu’elles puissent être comprises et explorées dans les moindres détails.

Il existe trois éléments clés pour franchir ces obstacles et apprivoiser l’IoT, comme le confirme Edouard Beaucourt, Directeur Régional France, Suisse Romande et Afrique du Nord de la société Tableau Software..

Pirater une maison connectée : L’IoT doit être souple et intéractif
En matière d’analyse de données, chaque question que nous nous posons par rapport aux données nécessite son propre graphique et sa propre perspective visuelle. Cela est particulièrement vrai pour l’explosion de données provenant des capteurs qui constituent la base de l’IoT. Malheureusement, la plupart des applications de l’IoT sont fournies avec des vues « uniformisées ». Elles répondent à un ensemble de questions prédéterminées, jugées dignes d’obtenir une réponse par un petit groupe « d’experts », que ce soient les spécialistes de la santé à l’origine de FitBit ou les ingénieurs qui ont créé la plate-forme Predix de GE.

Pour exploiter pleinement le potentiel de l’IoT, les outils doivent être bien plus souples et doivent permettre aux utilisateurs de façonner et d’adapter les données de différentes façons, en fonction de leurs besoins ou de ceux de leur organisation. L’interactivité, l’exploration en détail et le partage sont fondamentaux pour rendre les données de l’IoT utiles, sans que cela nécessite un énorme projet autour de ces données. Idéalement, les utilisateurs seront en mesure d’avoir des conversations informelles et approfondies avec leurs données, tout en explorant d’autres données afin de découvrir toutes sortes de changement. Ils pourront parfois même dévoiler des tendances jusqu’alors inconnues.

Par exemple, vous disposez peut-être d’une application IoT qui analyse les données historiques de l’activité d’un moteur, d’une turbine à gaz ou d’une locomotive en panne, et qui détermine les conditions qui provoquent les dysfonctionnements ainsi que la fréquence à laquelle ils sont susceptibles de se produire. Mais comment savoir quelles pièces sont les plus fragiles ? Quelles usines les ont fabriquées ? Et quelle est la date de fabrication ? Ou encore quels fournisseurs ont causé le plus de problèmes ? L’interactivité et la possibilité de partager des informations sont fondamentales pour trouver les réponses à ces questions.

Pirater une maison connectée : L’IoT doit pouvoir intégrer et s’associer à d’autres données
Pour obtenir des réponses, les analyses de données interactives ne suffisent pas : il faut également associer les données IoT à un contexte supplémentaire. Commençons par un exemple concret : vous souhaitez combiner vos données Fitbit pour éventuellement trouver un lien entre votre programme d’exercices et vos cycles de sommeil. Vous vous posez les questions suivantes : Dans quelle mesure mon activité physique de la journée influence-t-elle mes cycles de sommeil ? Mes performances sont-elles meilleures lorsque je dors beaucoup ? Les tableaux de bord natifs de Fitbit vous permettent seulement d’analyser les données d’exercices de façon isolée. Cependant, si vous exportez les données, vous pouvez associer ces informations à d’autres informations, telles que le suivi de vos activités physiques et de vos apports alimentaires, vos mensurations et vos cycles de sommeil. L’exportation des données n’est pas forcément la méthode idéale, mais c’est parfois le seul moyen d’élargir la portée de l’analyse.

Imaginez maintenant que vous fusionnez des données disparates pour obtenir des informations exploitables pour votre entreprise. Les capteurs intégrés aux réacteurs d’avion peuvent aider à déterminer le moment où une opération de maintenance est nécessaire. Cela permettrait d’anticiper les éventuelles défaillances et d’économiser des milliards de dollars. De plus, l’intégration des données de ces capteurs dans d’autres informations peut également révéler les économies réalisées par rapport aux budgets prévus par produit et par région, par exemple.

Pirater une maison connectée : L’IoT doit pouvoir apprendre et se renouveler
L’exportation de données (sachant que ce n’est pas la méthode idéale), nous amène à un dernier point important : nous vivons dans un monde où il est de plus en plus utopique d’avoir des « données parfaites ». Vos données, aussi organisées soient-elles, sont susceptibles d’être stockées dans une source à laquelle vous n’avez pas accès. Elles peuvent également ne pas inclure certains éléments clés qui sont nécessaires pour répondre à vos questions, ou être formatées de telle sorte que leur analyse approfondie devient complexe. Les applications IoT souffrent des mêmes inconvénients, surtout lorsqu’il n’existe aucun consensus sur les normes et les protocoles pour la prise en charge de l’interopérabilité des terminaux.

Toutefois, plutôt que de laisser des données incomplètes ou de mauvaise qualité paralyser notre entreprise, nous devons utiliser ce dont nous disposons et procéder par itération jusqu’à trouver les bonnes solutions. Au fur et à mesure des itérations, vous apprenez à distinguer les données « acceptables » de celles dont la qualité est mauvaise. Les données acceptables suffisent en général à répondre à la plupart des questions, sinon toutes. De plus, comprendre les lacunes de certaines données permet d’améliorer le processus pour les collecter et les traiter. Cela vous aidera à résoudre les problèmes liés aux processus de collecte et d’intégration de vos données. Au final, cela nous aidera tous à apprivoiser l’IoT plus rapidement.

Biométrie, Cybersécurité, Entreprise, Facebook, Mise à jour, Social engineering

Facebook is watching you : système biométrique efficace

Depuis 2010, Facebook propose à ses utilisateurs un système de reconnaissance faciale qui permet de gagner du temps dans le « taguage » des personnes qui sont sur les photos. Sous couvert d’une nouvelle fonctionnalité, c’est un véritable dispositif biométrique qui a été mis en œuvre car il permet d’identification d’un individu à partir d’une simple photographie de son visage.

En Californie, trois utilisateurs ont reproché au réseau social n°1 d’avoir « secrètement et sans leur consentement » collecté des « données biométriques dérivées de leur visage ». Ces plaintes ont été jugées recevables par le juge James Donato qui « accepte comme vraies les allégations des plaignants » et juge « plausible » leur demande.

Au sein de l’Union européenne, le danger a rapidement été perçu s’agissant du système de reconnaissance faciale de Facebook qui l’a suspendu en 2012. Mais aux Etats-Unis, bien moins vigilants, cette fonctionnalité a perduré et il apparait bienvenu que la Justice y réagisse enfin. Facebook a constitué des profils qui répertorient les caractéristiques du visage de ses utilisateurs, leur cercle d’amis, leurs goûts, leurs sorties, etc. Avec plus de 3 milliards d’internautes dans le monde, cela revient à ce qu’environ 28% de la population ait un double virtuel rien que sur Facebook.

Facebook is watching you : Reconnaissance faciale, intelligence artificielle et atteinte aux libertés
Eu égard à leur grand potentiel discriminatoire, les données biométriques sont strictement encadrées par la loi du 6 janvier 1978 puisque d’après son article 25, une autorisation préalable de la Commission nationale de l’informatique et des libertés est indispensable pour  mettre en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Cela regroupe l’ensemble des techniques informatiques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les conditions générales d’utilisation de Facebook ne sont pas donc pas conformes à la législation française sur les données personnelles, notamment s’agissant de la condition de consentement préalable, spécifique et informé au traitement des multiples données à caractère personnel collectées. Mais le géant de l’internet ne répond qu’à l’autorégulation. Par opposition à la règlementation étatique, la régulation n’entend prendre en compte que la norme sociale, c’est-à-dire l’état des comportements à un moment donné. Si la norme sociale évolue, alors les pratiques de Facebook s’adapteront.

Vers une remise en cause mondialisée des abus de Facebook ?
L’affaire pendante devant les Tribunaux met en lumière le manque de réactivité des américains face aux agissements de Facebook. C’est seulement au bout de 5 années que la Justice s’empare de la question des données biométriques à l’initiative de simples utilisateurs, alors même qu’une action de groupe à l’américaine d’envergure aurait pu être engagée pour mettre sur le devant de la scène les abus de Facebook.

Néanmoins, « mieux vaut tard que jamais » et l’avenir d’une décision répressive  ouvre la porte vers de nouveaux horizons pour l’ensemble des utilisateurs. En effet, Facebook prend comme modèle pour toutes ses conditions générales d’utilisation à travers le monde la version américaine de « licencing ». Plus Facebook se verra obligé dans son pays natal à évoluer pour respecter les libertés individuelles des personnes inscrites, plus on s’éloignera du système tentaculaire imaginé par Mark Zuckerberg qui n’est pas sans rappeler celui imaginé par Georges Orwell dans son roman 1984.

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM.

Argent, Base de données, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, loi, Mise à jour, Particuliers, Piratage

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Cybersécurité, santé, Téléphonie, Twitter

Vivre et mourir à travers le regard des autres : Suicide en direct sur Périscope

Suicide en direct sur Périscope – Le grand public a découvert l’application Periscope après la médiatisation de la vidéo du footballeur de l’équipe de France Serge Aurier insultant Laurent Blanc en réponse à des questions posées par des internautes. Cette application permet en effet de retransmettre en direct ce qu’on filme et les autres utilisateurs peuvent commenter tout autant en direct ce qu’ils voient, et c’est un suicide ils ont pu assister ce mardi 10 mai.

Après avoir annoncé qu’elle allait faire quelque chose de choquant et demandé aux mineurs de ne pas regarder -ce qui a dû en attirer plus d’un- une jeune femme a annoncé avoir été violée et a désigné nommément de son agresseur. Afin de faire passer selon ses dires « un message », elle s’est ensuite jetée sous un RER C en direct sous les yeux d’une centaine d’utilisateurs. Elle avait moins de 20 ans.

Cela s’est produit vers 16h30 à la gare d’Egly en Essonne. La jeune femme avait quelques minutes auparavant annoncé son geste à l’un de ses proches par sms. Ce dernier comme les ‘’spectateurs’’ n’ont rien pu faire, si ce n’est appeler les pompiers qui ont ramassé le téléphone puis retiré sa batterie pour mettre fin à la vidéo. Le téléphone a été saisi par les enquêteurs d’une brigade de recherche et une enquête a été ouverte par le parquet d’Evry et de nombreuses personnes appellent à la fermeture de l’application via les réseaux sociaux.

Suicide en direct sur Périscope : l’illustration tragique des dérives de l’exposition de soi sur les réseaux
Comment a-t-on pu en arriver là ? Quel a pu être le raisonnement de cette jeune fille ? Elle a affirmé dans une de ses vidéos que « tant qu’on ne tape pas dans la provoc’ les gens de comprennent pas ». Elle a donc estimé que le seul moyen d’exprimer sa détresse due au viol dont elle aurait été victime était de partager son suicide avec des inconnus. Se jeter sous un RER est malheureusement devenu courant chez les jeunes, comme l’avais montré le suicide de deux élèves de Polytechnique en février et mars 2016.

Récemment les médias ont dénoncé une nouvelle mode consistant à tabasser un inconnu dans la rue de manière totalement gratuite et aléatoire, et ce en direct sur Periscope. Cette application tend à devenir le moyen de communication privilégié des comportements les plus noirs de notre société. Est-ce que le suicide de cette jeune femme va être une source d’inspiration pour d’autres personnes ? Nous ne l’espérons pas et plaidons en faveur d’une fermeture préventive de l’application devenue malgré elle malsaine.

L’éthique douteuse de Baidu mise en lumière après la mort d’un internaute
Baidu a été fondé en 2000 et est aujourd’hui le plus grand moteur de recherche Chinois, ce qui en fait le 5ème site le plus consulté au monde. A l’instar de Google avec son système AdWords, Baidu se finance grâce à la sponsorisation des liens internet. Or, les publicités médicales représentent environ 20% des revenus de son moteur de recherche. Début janvier, on a découvert que Baidu avait supprimé les messages négatifs de la part d’internautes de forums de santé sur des contenus sponsorisés de médicaments et hôpitaux. Ce n’était que les prémices d’une dénonciation des pratiques commerciales du groupe par l’autorité de régulation administrant l’internet chinois, la CAC.

Les dérives de l’utra-sponsorisation en matière médicale
Wei Zewi, un étudiant chinois de 21 ans diagnostiqué d’une forme rare de cancer a fait une recherche sur Baidu concernant sa maladie et les premiers résultats ont mis en évidence une immunothérapie expérimentale par un hôpital pekinois. Ce traitement très onéreux s’est révélé totalement inefficace et, avant de mourir, le jeune homme a écrit une lettre accusant Baidu de tromper ses usagers en classant les résultats selon les recettes publicitaires. L’émotion qu’il a suscité sur les réseaux sociaux a attiré l’attention des médias et autorités, jusqu’à faire dégringoler le cours du groupe chinois à la Bourse de New York.

L’enquête du régulateur de l’internet chinois révèle que « le mécanisme utilisé par Baidu pour classer les résultats dépend de façon excessive du prix payé et les contenus sponsorisés ne sont pas clairement signalés ». La CAC insiste sur le fait que ce système « influence l’impartialité et l’objectivité des résultats obtenus et contribue facilement à induire en erreur les internautes ». Ces remarques sont vraies dans tous les secteurs, mais les conséquences peuvent-être particulièrement désastreuses en matière médicale comme l’a montré le cas Wei Zewi. Ainsi, sans être des professionnels de la santé, on peut dire que les moteurs de recherche devraient respecter d’eux-mêmes une forme d’éthique médicale vis-à-vis de ses internautes malades.

Enfin une remise en cause du modèle économique biface des moteurs de recherche gratuits ?
Suite à cette affaire, Baidu a pris divers engagements. Il a assuré avoir supprimé les résultats sponsorisés de la part de plus de 2500 établissement médicaux ou entreprises de santé et a annoncé la mise en place d’un fonds d’indemnisation des usagers victimes de résultats publicitaires trompeurs de l’équivalent de 135 millions d’euros. De manière plus concrète, Baidu s’est engagé à signaler ostensiblement les contenus sponsorisés à l’aide de marqueurs et avertissements et les limitera à 30% de chaque page de résultat affiché.

Le modèle économique de Baidu est dit « biface » car on a d’un côté les internautes, qui ne payent pas et de l’autre coté les annonceurs, qui eux payent pour être mis en avant. Cette seconde face finance le moteur de recherche à concurrence de 84% du chiffre d’affaire. C’est donc de manière indirecte que les usagers de Baidu, Google, Ebay et de la multitude d’autres sites en apparence gratuits peuvent prendre le statut de consommateur. Ce statut permettrait aux internautes d’être protégés plus efficacement contre les abus des moteurs de recherche et de leurs partenaires annonceurs pour les inciter à se tourner vers tel ou tel produit ou service.

Mais le droit de la consommation ne s’est pas encore à proprement parler emparé de la question du modèle biface et de ses conséquences pour les internautes-consommateurs. Par exemple, le cheval de troie des attaquants du service AdWords de Google devant la Cour de justice de l’Union Européenne le 23 mars 2010 a été le droit des marques et la lutte contre la contrefaçon sur internet. Les mésaventures de Baidu catalyseront peut-être une prise de conscience collective des risques liés à l’influence des résultats de recherche sur les choix de consommation des internautes, particulièrement concernant leur santé.

Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM (http://www.acbm-avocats.com)

Argent, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

backdoor, Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.