Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.
La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.
Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.
Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.
Mise au jour d’une partie cachée du programme malicieux qui a révélé au monde le ransomware Koler pour les appareils Android en avril 2014.
Cette partie inclut des ransomware utilisant les navigateurs et un exploit kit. Depuis le 23 juillet, le composant mobile de ce programme a été interrompu, et le serveur de commande et de contrôle a commencé à envoyer des commandes de désinstallation sur les mobiles des victimes. Cependant, le reste des composants sur PC – incluant l’exploit kit – est toujours actif. Kaspersky Lab continue de surveiller ce malware, qui a été présenté pour la première fois par un chercheur en sécurité appelé Kaffeine.
Les criminels derrière ces attaques ont utilisé une technique inhabituelle pour scanner les systèmes des victimes et développer des ransomware personnalisés en fonction du lieu et du type d’appareil – mobile ou PC. L’infrastructure de redirection est l’étape qui suit, une fois que la victime a visité l’un des 48 sites pornographiques malicieux utilisés par les opérateurs de Koler. L’utilisation d’un réseau pornographique pour ce ransomware n’est pas anodin car les victimes ont souvent honte d’avoir visité ce type de contenu et sont prêtes à payer l’amende provenant de soi-disant ‘autorités’.
Les sites pornographiques en question redirigent es utilisateurs vers un hub central qui utilise Keitaro Traffic Distribution System (TDS) pour les rediriger une nouvelle fois. En fonction d’un certain nombre de critères, la seconde redirection peut déclencher trois scenarii différents :
– L’installation du ransomware mobile Koler. Dans le cas où l’utilisateur utilise un appareil mobile, il est automatiquement redirigé vers l’application malicieuse. Mais il doit encore confirmer le téléchargement et l’installation de l’application – baptisée animalporn.apk – qui est en réalité le ransomware Koler. L’écran de l’appareil touché est alors bloqué et il est demandé à l’utilisateur de payer entre 100$ et 300$ pour le débloquer. Le malware affiche un message localisé émanant soi-disant de la police, ce qui le rend particulièrement crédible.
– Redirection vers l’un des sites du navigateur ransomware. Un contrôleur spécial vérifie si (i) l’agent utilisateur émane de l’un des 30 pays touchés, (ii) l’utilisateur est ou non un utilisateur Android, et si (iii) la requête ne contient pas d’agent utilisateur Internet Explorer. Si la réponse est positive pour les trois, l’utilisateur voit apparaitre un écran similaire à celui qui apparait sur les mobiles. Dans ce cas, il n’y a pas d’infection, juste une fenêtre pop-up qui peut être évitée facilement grâce à la combinaison alt+F4.
– Redirection vers un site web contenant Angler Exploit Kit. Si l’utilisateur navigue à partir d’Internet Explorer, l’infrastructure de redirection l’envoie vers des sites hébergeant Angler Exploit Kit, qui inclut des exploits pour Silverlight, Adobe Flash et Java. Pendant l’analyse, le code exploit était parfaitement fonctionnel. La charge utile (payload) était nulle, mais cela pourrait évoluer dans un futur proche.
Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab, explique : « L’un des points particulièrement intéressant de cette campagne est l’utilisateur d’un réseau de distribution. De douzaines de sites web générés automatiquement redirigent le trafic vers un hub central utilisant un système de distribution du trafic qui redirige une nouvelle fois les utilisateurs. Selon Kaspersky Lab, cette infrastructure démontre à quel point l’ensemble de la campagne est organisé et dangereux. Les attaquants peuvent créer rapidement des infrastructures similaires grâce à un fonctionnement automatisé, tout en changeant le payload ou le type de cibles. Ils ont également pensé à la façon de monétiser au mieux l’ensemble en ciblant grand nombre d’appareils. »
Le payload mobile en chiffres
Près de 200 000 visiteurs ont été en contact avec le domaine mobile infecté depuis le début de la campagne. La majorité d’entre eux étaient basés aux US (80% – 146 650), suivi du Royaume-Uni (13 692), l’Australie (6 223), le Canada (5 573), l’Arabie Saoudite (1 975) et l’Allemagne (1 278). Europol et Interpol travaillent actuellement à savoir comment fermer l’infrastructure malveillante.
Conseils aux utilisateurs :
– Gardez à l’esprit que la police ne diffuse jamais de message électronique demandant de l’argent donc ne payez pas ;
– N’installez pas les applications que vous trouvez en surfant sur Internet ;
– Ne visitez pas les sites web auxquels vous ne faites pas confiance ;
– Utilisez une solution de sécurité fiable.
Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».
Dans son nouveau rapport intitulé 419 Evolution (Version évoluée de la fraude 419), l’équipe d’analyse des menaces chez Palo Alto Networks — aussi appelée « Unité 42 » — explique que les responsables d’escroqueries opérant depuis le Nigeria utilisent désormais les outils souvent déployés par des groupements criminels et des spécialistes de l’espionnage au mode opératoire plus complexe pour subtiliser les données métier essentielles des entreprises.
Loin d’être une nouveauté, voilà plusieurs années que Data Security Breach vous explique que certains de ces escrocs utilisent skype, TeamViewer and co pour agir. Ces délinquants avaient à leur actif des arnaques peu subtiles visant à recueillir par hameçonnage les données bancaires ou les renseignements personnels des particuliers. Ces dernières années, ils ont acquis de nouvelles compétences leur permettant d’exploiter des méthodes plus perfectionnées dirigées contre les entreprises.
Palo Alto Networks a donc découvert que les pirates amateurs des arnaques nigérians exploitent des outils d’administration à distance accessibles par l’intermédiaire de forums clandestins (y compris certains logiciels commerciaux comme NetWire) qui permettent d’obtenir un contrôle total sur les systèmes infectés. Bref, ils utilisent des chevaux de Troie.
« Les activités malveillantes Silver Spaniel sont menées depuis le Nigeria et emploient toutes des tactiques, des techniques et des modes opératoires similaires. Ces pirates ne possèdent pas des connaissances techniques pointues, mais représentent une menace croissante pour les entreprises alors même que ces dernières ne constituaient pas jusqu’alors leurs cibles principales », précise Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks. À titre de protection contre l’outil d’administration à distance NetWire, Palo Alto Networks propose un logiciel gratuit capable de décrypter les commandes, de contrôler le trafic et de révéler les données volées par les pirates Silver Spaniel. Le rapport (accessible après inscription)
La cellule Tracfin du ministère des finances français a remis au Ministre Michel Sapin, le 11 juillet, un rapport de son groupe de travail sur l’encadrement des monnaies virtuelles, dont le Bitcoin.
La croissance, évoquée dès 2012, des flux financiers en monnaie électronique dans les signalements par Tracfin s’intensifie. Le rapport de Tracfin analyse les risques d’utilisations illicites ou frauduleuses liés au développement des monnaies virtuelles dont l’exemple le plus célèbre est le bitcoin. Trois caractéristiques sources de risques classé par ce rapport sont l’intervention d’acteurs non régulés ; le manque de transparence et l’extraterritorialité.
Parmi les solutions proposées par ce rapport, limiter l’anonymat en imposant une prise d’identité lors de l’ouverture par un professionnel d’un compte en monnaies virtuelles pour un tiers, et une vérification d’identité pour les retraits et dépôts aux « distributeurs » de bitcoin. Autant dire que l’idée risque de faire sourire les utilisateurs les plus aguerris sur le sujet. Autres idées de régulation, demander aux plateformes qui échangent des monnaies virtuelles contre des devises officielles de tracer leurs clients en leur imposant de vérifier, pour chaque transaction, l’identité de l’auteur et du bénéficiaire, ainsi que l’origine des fonds. « La lutte contre la fraude, contre la criminalité et contre le terrorisme sont autant de priorités du Gouvernement.souligne le Ministre Sapin. Or, en permettant des transactions anonymes et instantanées d’un bout à l’autre monde, sans aucune traçabilité, le s monnaies virtuelles sont vouées à devenir des outils qui intéressent les fraudeurs et malfaiteurs de tous bords. Dès lors, ne pas nous pencher dès à présent sur le sujet serait irresponsable« .
A noter que la France souhaite le non-assujettissement des monnaies virtuelles à la TVA.
Dashlane, éditeur d’outils de gestion de mots de passe et des portefeuilles numériques, a dévoilé à DataSecurityBreach.fr les résultats de la seconde édition de son baromètre sur la protection des données des consommateurs sur Internet.
Cette seconde édition a passé au crible plus de 130 des sites américains, anglais et français (44) les plus populaires du web à la suite de la faille Heartbleed. Ce baromètre met en évidence que 86% des sites français analysés utilisent des politiques de sécurité de mots de passe en dessous de la moyenne acceptable. Beaucoup n’ont pas mis en œuvre ne serait-ce que les règles de base, laissant les données personnelles des consommateurs sur Internet dangereusement vulnérables.
Cette analyse se fonde sur 22 critères identifiés comme critiques pour la sécurité des mots de passe sur Internet. Chaque critère permet d’attribuer un nombre de points positif ou négatif, ce qui donne un score final possible en -100 et +100 pour chaque site web étudié. Un score de +50 points correspond à la mise en œuvre minimale des bonnes pratiques vis-à-vis des mots de passe suggérées par Dashlane. Cette étude fait suite au premier baromètre publié par Dashlane sur le même sujet au premier trimestre 2014.
Apple, le seul site à voir la note maximum
Le site d’Apple avait obtenu la meilleure note dans le premier baromètre, et il est de nouveau le seul site web à se voir décerner la note maximale, à savoir +100. Live.com (Microsoft) termine second, tandis que UPS, Yahoo et Paypal occupent respectivement les troisième, quatrième et cinquième positions. Les autres sites réussissant ce test sont par exemple La Poste, leboncoin.fr, eBay et Skype. Gmail et la Fnac sont ex aequo à la dixième place.
Les mauvais élèves
Dans les sites français, ce sont Showroomprivé, Meetic Affinity et Spartoo qui reçoivent les plus mauvais scores. En remontant dans le classement des mauvais élèves, on trouve les 3 Suisses, Alloresto, Viadeo, easyJet.com, Cdiscount et Amazon. Dashlane a examiné six catégories de sites web : sites de rencontre, e-commerce, sécurité, productivité, outils sociaux et voyages. Le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec -45. Suivent les sites de sécurité (-23 de moyenne), de e-commerce (-21) et de voyages (-16).
Toujours des pratiques dangereuses malgré Heartbleed
Même si la plupart des sites ont demandé à leurs utilisateurs de changer leur mot de passe suite à la découverte de la faille Heartbleed, ils n’ont pas corrigé leurs faiblesses dans leur politique de sécurité. Dashlane a comparé les scores de sécurité obtenus dans le baromètre avec la robustesse réelle des mots de passe utilisés sur ces sites.
Un résultat net se dessine, montrant la corrélation entre la complexité des mots de passe utilisés et la note de sécurité obtenue. En d’autres termes, plus le site impose un mot de passe complexe, meilleure est la sécurité réelle des mots de passe des utilisateurs. Il va sans dire que plus le mot de passe est simple, plus les données personnelles et bancaires des consommateurs sont exposées. Les mots de passe représentent la première ligne de défense des données personnelles des consommateurs sur Internet. Le fait que certains sites ne demandent pas de mots de passe sécurisés veut donc dire qu’ils sont conscients d’exposer leurs utilisateurs aux attaques et aux logiciels malveillants.
Autre enseignement de ce baromètre que DataSecurityBreach.fr a pu lire, 51% (55% pour les sites français) des sites les plus importants ne verrouillent pas les comptes des utilisateurs après 10 tentatives de connexion incorrectes. L’une des méthodes favorites des pirates est d’essayer au hasard les mots de passe les plus répandus. Le pirate a seulement besoin d’une liste d’adresse emails et de mots de passe populaires (les deux sont faciles à trouver sur Internet). Ils n’ont plus qu’à utiliser un programme pour tenter de se connecter à un site en essayant des millions de combinaisons associant une adresse email à un mot de passe. C’est ce que l’on appelle une attaque « par force brute ».
En bloquant un compte utilisateur après un certain nombre de tentatives de connexion erronées, les sites web peuvent simplement bloquer ce type d’attaque et de ce fait mieux protéger les données personnelles des consommateurs. Les sites suivants ne sont que quelques-uns des sites les plus connus qui ne bloquent pas les comptes utilisateurs après 10 tentatives d’accès infructueuses : Amazon, Gmail, Evernote, eBay et Nike.
Des solutions simples
Les sites web devraient adopter au minimum les mesures suivantes en matière d’exigence sur les mots de passe :
Mot de passe de 8 caractères minimum
Mot de passe comprenant des chiffres et des lettres, avec des minuscules et des majuscules
Email de confirmation pour tout changement de mot de passe
Ne pas accepter les 10 mots de passe les plus vulnérables
Bloquer le compte utilisateur après 10 tentatives incorrectes de connexion
Emmanuel Schalit, CEO de Dashlane, commente ces pratiques : « Les entreprises et les sites web n’ont aucune excuse pour leur faible politique en matière de mot de passe. La mise en œuvre de politiques de sécurité pour les mots de passe ne coûte pas cher et est facilement réalisable grâce aux technologies open source existantes. Notre étude montre une nette corrélation entre les exigences des sites en matière de mots de passe et le niveau de sécurité des mots de passe des utilisateurs. Les sites qui exigent des mots de passe complexes ont des utilisateurs qui ont des mots de passe mieux sécurisés. Les mots de passe sont la première ligne de défense pour les données personnelles et confidentielles des consommateurs sur Internet, et des exigences faibles en matière de mots de passe les exposent encore plus. »
Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.
La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.
Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).
Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).
Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.
L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.
Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?
Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.
L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.
Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)
Une étude publiée par AVG Technologies, entreprise de sécurité en ligne pour 187 millions d’utilisateurs actifs, révèle que pour 82% des enseignants interrogés (74% en France), les parents comptent trop sur l’école pour apprendre à leurs enfants à se protéger en ligne. En outre 38% (44% en France) des enseignants estiment que les parents d’élèves ont eux-mêmes un niveau insuffisant de connaissances sur le sujet. Cette nouvelle étude d’AVG, qui porte sur le point de vue des instituteurs et professeurs, démontre que la question de savoir à qui incombe la responsabilité de dispenser aux enfants les enseignements sur la sécurité en ligne est toujours d’actualité.
L’étude, pour laquelle AVG a interrogé près de 1800 enseignants du monde entier, dont 210 en France, montre la nécessité de former les enseignants et de leur offrir davantage de soutien, afin qu’ils puissent mieux sensibiliser leurs élèves à la sécurité en ligne. Les deux tiers des personnes interrogées (64%, 73% en France) ont convenu que les écoles devraient offrir une meilleure formation à l’utilisation d’Internet comme outil pédagogique, et 77% (68% en France) estiment qu’Internet devrait faire partie intégrante du cursus éducatif.
Cette étude met en relief l’écart inquiétant entre, d’un côté, les connaissances et les capacités des enseignants et, de l’autre, les attentes des parents. Plus de neuf enseignants de différentes matières sur dix affirment se servir d’Internet en cours (92%, 89% en France), et 69% abordent la sécurité en ligne de manière occasionnelle ou fréquente (59% en France). Seul un enseignant sur quatre (28%, 15% en France) a reçu une formation spécifique pour cet enseignement.
Tony Anscombe, Conseiller sécurité chez AVG Technologies, déclare : « Non seulement les enseignants aujourd’hui se servent régulièrement d’Internet dans le cadre de leurs leçons et cours, mais ils se retrouvent de plus en plus confrontés aux questions plus vastes que génère celui-ci, et ce, la plupart du temps, sans aucune formation officielle. Au vu du développement de l’utilisation d’Internet en tant qu’outil pédagogique, de nombreux enseignants déclarent que leur école s’est dotée de règles spécifiques pour répondre aux préoccupations les plus fréquentes. En revanche, ces politiques s’avèrent être insuffisantes si la plupart des enseignants ne reçoivent aucune formation officielle à l’enseignement de la sécurité en ligne. Lorsqu’un enseignant sur quatre déclare être approché par des élèves pour des problèmes de cyberintimidation, le besoin d’un soutien accru se fait clairement ressentir».
Constats d’enseignants du monde entier
· Le Brésil va à l’encontre de la tendance globale, les enseignants brésiliens étant à l’avant-garde en matière d’éducation à la sécurité sur Internet. La majorité (54%, 17% en France) aborde régulièrement le sujet et 51% (15% en France) s’y sont préparés en suivant une formation officielle.
· La plupart des enseignants au Royaume-Uni ont indiqué que leur école proposait des cours d’informatique (91% par rapport à 72 % globalement et à 63% en France). En revanche, seulement 37% des enseignants avaient suivi une formation officielle à la sécurité en ligne (contre 15% en France).
· Inversement, les écoles aux Etats-Unis sont les moins susceptibles de proposer des cours d’informatique (60% seulement) et seulement 40 % des enseignants donnaient des devoirs à la maison nécessitant des recherches sur internet (contre 57% globalement et 49% en France).
· Les élèves canadiens sont les plus nombreux à apporter leurs propres appareils à l’école, selon 29% des enseignants (contre 18% globalement et 4% en France). Il s’agissait principalement d’ordinateurs portables (84%, 57% en France), de smartphones et de tablettes (82% chacun contre 29% et 57% en France).
· Les enseignants en Allemagne sont les plus nombreux à avoir été approchés par des élèves confrontés à des problèmes de cyberintimidation (36% par rapport à 25% globalement et contre 10% en France). Près de la moitié de ces enseignants (46%, 67% en France) s’estiment peu ou pas du tout préparés pour répondre à ces préoccupations.
· Les écoles australiennes sont arrivées en tête parmi les établissements ayant déjà mis en place des dispositifs pour gérer des problèmes de cyberintimidation (80%, 33% en France) et des situations où des élèves ont été exposés à des contenus inappropriés en ligne (75%, 17% en France).
· Seulement 7% des enseignants en République Tchèque (17% en France) affirment que leur école a déjà organisé une soirée pour les parents afin de les sensibiliser à la sécurité en ligne. 78% des parents y ayant assisté ont exprimé des préoccupations quant à la sécurité de leurs enfants sur Internet (79% en France).
· 91% des enseignants en France déclarent que leur école fournit des appareils électroniques aux élèves, mais il s’agit généralement d’ordinateurs de bureau (80%, contre 75% globalement), d’ordinateurs portables 35% (moyenne globale de 46%) et de tablettes 9% (contre 32% globalement).
· Plus de quatre enseignants sur cinq (82%) en Nouvelle-Zélande (89% en France) abordent occasionnellement le sujet de la sécurité en ligne avec leurs élèves. En revanche, le même pourcentage n’a suivi aucune formation officielle sur ce thème (85% en France).
Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.
Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.
Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.
Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.
Petites entreprises, grandes menaces : restez informés, restez protégés
