Andre Durand, CEO de Ping Identity, le leader de la gestion sécurisée de l’identité, partage ses prédictions avec les lecteurs de DataSecurityBreach.fr pour l’année 2014. Si l’on se fie à l’évolution des 12 derniers mois, 2014 va connaître d’autres avancées en matière de gestion des identités. En 2013, l’évolution a revêtu de multiples facettes. Les acronymes ont gagné en notoriété : MFA, IoE, API, REST, JSON et JWT. La norme OAuth a été approuvée et OpenID Connect approche de son terme. Le duo forme la base qui va agir sur l’évolution de l’identité numérique en 2014 : mobile, cloud, contrôle d’accès, fédération, infrastructure et plates-formes d’identité. « Le vol de millions de mots de passe en 2013 sur des sites allant d’Adobe à Facebook et GitHub peut avoir ébranlé suffisamment les utilisateurs, les fournisseurs de services et les commerçants en ligne pour que la question de la sécurité supplante finalement celle du confort d’utilisation ». Conscient de tous ces changements, voici une liste de six prédictions pour 2014 :
1. Le MFA (Multi-Factor Authentification) pour la facilité d’utilisation
Le MFA pour les terminaux mobiles va se répandre de plus en plus et gagner en qualité. Chacun possède un système différent pour s’authentifier sur son terminal mobile (mot de passe, code chiffré, etc.) mais en 2014, les plus fondamentaux vont prévaloir. Cet intérêt à l’égard du MFA marque le début d’une tendance plus vaste qui va finir par en engendrer une autre : les objets comme facteur d’authentification. Par exemple, votre bracelet Fitbit Flex pourra probablement vous permettre de déverrouiller votre smartphone…
2. L’essor du BYOI (Bring Your Own Identity)
La connexion aux applications d’entreprise se fera de plus en plus via nos identifiants et mots de passe personnels utilisés pour les réseaux sociaux. La mise en place du MFA permettra notamment de généraliser cet usage. Toutefois, les exigences en matière de sécurité ne seront pas à négliger pour autant. Ce mode d’identification conviendra pour les ressources demandant un degré minimal de sécurité, mais un autre type d’identification (fourni ou approuvé par l’entreprise) sera requis en cas d’exigences plus strictes.
3. L’authentification continue : un seul couple identifiant/mot de passe pour un accès à des milliers d’applications en toute sécurité
Le dispositif d’authentification continue renforce le degré de sécurité lors d’une ouverture de session sur un terminal, mais aussi pendant toute la durée d’utilisation du terminal. Les entreprises vont tendre de plus en plus à adopter ce dispositif d’authentification continue. Conjuguée à des solutions de gestion des identités et d’authentification biométrique, l’authentification continue va permettre de réduire les coûts et améliorer la facilité d’utilisation. Il ne sera plus nécessaire de rentrer son identifiant et son mot de passe pour accéder à une application. En revanche, la procédure de connexion à l’ouverture de cession sera plus lourde.
4. La fédération des identités évolutive
Les entreprises utilisant des solutions classiques de fédération des identités, et souhaitant multiplier par cent voire milles leur nombre de partenaires, et donc ajouter plus d’identités à leur solution de fédération, devront faire face à des limitations fonctionnelles ou technologiques. C’est là qu’intervient la fédération évolutive. Elle va permettre d’intégrer des technologies comme Trust Frameworks, Multi-Party Federation (comme par exemple InCommon), des architectures de Centralized Proxy ou encore du Metadata Peering. La fédération évolutive va demander de combiner tous ces éléments, ou une partie.
5. Le nombre de fournisseurs de solutions de gestion des identités se réduit au profit d’une meilleure qualité de prestation
La liste des fournisseurs en solutions IAM (Identity Access Management) n’a cessé de s’agrandir. Cependant, elle va se réduire en 2014. Certains d’entre eux seront sous le contrôle d’autres plus dynamiques ou mieux établis. Les solutions d’authentification sur les terminaux mobiles, la gestion des mots de passe et le SSO (Single Sign-On) en mode cloud figurent parmi les domaines d’activités où la concurrence s’avère intense car c’est là où la demande est la plus forte.
6. La gestion des identités devient un aspect fondamental de la sécurité du cloud
L’importance des solutions IAM devient de plus en plus une évidence pour les entreprises. De ce fait, ces solutions vont désormais être reconnues parmi les références en matière de gestion sécurisée des identités notamment pour l’accès au cloud. La RSA Conference en février, le Cloud Identity Summit en juillet et le Cloud Security Alliance Congress en décembre vont assoir ce statut. (Andre Durand, CEO de Ping Identity)
À l’occasion de l’examen du projet de loi relatif à la géolocalisation [1] par la commission des lois de l’Assemblée nationale, les députés Sergio Coronado et Lionel Tardy proposent de revenir sur certains points de l’article 20 de la loi de programmation militaire [2]. La Quadrature du Net appelle l’ensemble des parlementaires à saisir cette opportunité de revenir sur les dispositions adoptées au mois de décembre, et ce afin de répondre aux nombreuses inquiétudes exprimées par les citoyens et d’en protéger les droits fondamentaux.
Déposé dans l’urgence en décembre 2013 par Christiane Taubira, ministre de la Justice, le projet de loi sur la géocalisation a pour objectif d’encadrer plus rigoureusement la procédure de géolocalisation judiciaire, considérée [3] par la Cour de cassation comme une ingérence illicite dans la vie privée des citoyens. Adoptée dans sa version actuelle, cette loi limiterait le recours à la géolocalisation par les services de police aux seules enquêtes et instructions portant sur des infractions punies d’au moins trois ans d’emprisonnement [4], et la soumettrait à l’autorisation du procureur de la République, ou à celle d’un juge si ces mesures durent plus de huit jours.
Bien que perfectible, ce texte est surtout l’occasion d’ouvrir un débat plus urgent, sur les dangereuses ambiguïtés de la loi de programmation militaire, puisqu’il porte précisément sur l’encadrement des procédures de géolocalisation. Les députés Sergio Coronado (ECOLO) et Lionel Tardy (UMP) ont ainsi déposé deux amendements (n°CL16 [5] et n°CL1 [6]) proposant de corriger la définition trop vague des données visées par l’article 20 de la loi de programmation militaire, portant justement sur les mesures administratives de géolocalisation. Actuellement, la rédaction de cet article [7] autorise l’administration à intercepter les données de connexion (identité des correspondants, lieux, date et durée) des communications, leur contenu, ainsi que tout document stocké en ligne, et ce pour des finalités très larges et avec un contrôle bien trop faible.
L’amendement déposé par Sergio Coronado propose de lever toute ambiguïté sur cette définition afin qu’elle ne recouvre plus que les données de connexion. En effet, Jean-Jacques Urvoas, président de la commission de lois de l’Assemblée nationale [8] et membre de la CNCIS [9], avait vigoureusement défendu la loi de programmation militaire, en répondant aux nombreuses critiques exprimées par la société civile que l’article 20 ne concernait que les données de connexion [10]. Cet amendement sera débattu aujourd’hui au sein de la commission des lois de l’Assemblée nationale, lors de l’examen du projet de loi géolocalisation. La Quadrature du Net invite l’ensemble de la commission à se saisir de cette opportunité pour corriger l’ambiguïté de l’article 20, et s’assurer que la lettre de la loi corresponde sans équivoque à l’intention du législateur, telle que l’a définie à plusieurs reprises le président de cette commission Jean-Jacques Urvoas.
« Au cours des débats sur la loi de programmation militaire, le président Urvoas n’a eu de cesse d’affirmer que seule l’interception de données de connexion était en jeu. Il a aujourd’hui l’occasion de corriger certains points ambigüs de cette loi, afin de la faire correspondre aux intentions qu’il a régulièrement exprimées. Mais au-delà de cette question, l’ensemble des parlementaires devrait considérer ce projet de loi comme une opportunité de revenir sur les nombreuses autres dérives de l’article 20 de la loi de programmation militaire, qu’il s’agisse de ses finalités trop nombreuses et trop vagues, ou de l’absence d’encadrement satisfaisant à la surveillance administrative » déclare Benjamin Sonntag, cofondateur de La Quadrature du Net.
Plusieurs entreprises françaises ponctionnées de centaines de milliers d’euros via des pirates informatiques adeptes du social engineering. Le social engineering est vieux comme le monde. L’étude sociale d’une cible permet de tout connaitre sur sa vie afin de réussir à lui extraire des informations, des secrets ou tout simplement de l’argent.
Plusieurs entreprises du sud de la France viennent de vivre cette mauvaise aventure. Elles ont été ponctionnées de 800.000 à … 17 millions d’euros. Toujours la même méthode. Les escrocs récoltent des centaines d’informations sur l’entreprise, les collaborateurs : adresses, emails, photos, … L’idée, faire une parfaite cartographie de la cible. Dans la police, cette technique est baptisé « faire l’environnement ».
Une fois les informations en main, Google, Facebook et le web sont de précieux alliés dans ce genre d’escroquerie, les voleurs n’ont plus qu’à faire croire à une transaction qui doit rester secrète. Un mensonge qui peut prendre plusieurs semaines, mais qui semble payant !
La juridiction interrégionale spécialisée de Bordeaux (Jirs) est sur les dents et tente de remonter la piste. Le journal Sud-Ouest indique que les voyous font virer l’argent sur des comptes de transit, à Chypre, au Danemark ou en Lettonie. Ensuite, des petites mains, des « mules », retirent l’argent pour le renvoyer en Chine et en Israël. La Jirs, quand elle est alertée à temps, semble pouvoir bloquer l’attaque. Dans l’affaire des 17 millions, une partie de la somme a pu être récupérée.
Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.
Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.
Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.
Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.
Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzentronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .
De grands cadres de banques et de sociétés de cartes de crédit ont présenté leur démission ce lundi dû à la fuite massive des données personnelles d’au moins 20 millions d’utilisateurs de cartes bancaires et de crédit. Les craintes que ces informations soient tombées dans les mains d’escrocs ont pris de l’ampleur après que certains clients se sont plaints de transactions financières suspectes et inattendues, malgré l’annonce antérieure par les compagnies concernées que les coupables avaient été appréhendés avant qu’ils n’aient distribué les informations.
L’Agence de supervision financière (FSS) avait promis quelques heures avant ces démissions qu’elle infligerait des sanctions sévères aux institutions financières et à leurs hauts responsables si l’enquête conclut que le piratage est le résultat d’une négligence de leur part.
Des sources du secteur bancaire ont indiqué hier que des informations privées, dont des numéros de compte et adresses, d’une vingtaine de millions de clients ont été volées. Une partie de ces fuites se seraient déroulées lors de l’envoi de données par des banques à leur filiale cartes de crédit. Pour les clients et les autorités, la question est maintenant de savoir si cet incident entraînera des dommages financiers.
«Les sociétés mères semblent s’éloigner (de la question) et ne pas montrer d’attitude responsable», estime Choi Soo-hyun, à la tête du gendarme financier. «Elles seront tenues pour responsables des fuites de données si le partage d’informations sur les clients entre filiales en est la cause.»
Le mois dernier, les données personnelles d’environ 130.000 clients de Standard Chartered Bank Korea et Citi Bank Korea ont été subtilisées, un chiffre qui n’avait encore jamais été atteint en Corée. Depuis ces derniers temps, la FSS fait l’objet de vives critiques en étant accusée de laxisme à l’égard des firmes financières.
Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients
Les sociétés de cartes de crédit ont assuré de leur côté qu’elles prendraient la responsabilité de toutes les fraudes liées à ces fuites. «Nous assumerons l’entière responsabilité juridique et morale pour les cas de fuites de données personnelles», ont-elles déclaré dans un communiqué commun.
Ce matin, l’Agence des consommateurs financiers (FCA) avait fait savoir qu’elle demanderait le mois prochain à la FSS une enquête sur six banques et sociétés de cartes de crédit : Standard Chartered Bank Korea, Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card. (Agence Yonhap)
Première journée chargée pour le Forum International de la Cybersécurité qui se déroule, jusqu’au 22 janvier, au Zénith Arena de Lille. Conférences, ateliers et challenge Forensic au menu de deux jours dédiés aux problématiques de la sécurité informatique. L’occasion pour la gendarmerie nationale de présenter son « Permis Internet », une opération de sensibilisation des jeunes élèves en classe de primaire. Emmanuel Valls, Ministre de l’Intérieur, en a profité pour saluer des élèves de CME2 venus recevoir ce document scolaire qui fait de ces enfants des internautes dorénavant avertis. « Nous en avons parlé à nos parents, soulignaient les élèves. Nous avons pu leur apprendre à mieux comprendre ce qu’est l’identité numérique sur Internet et comment bien la sécuriser« .
Ethical Hacking
Durant ces deux jours, deux challenges « Forensic » sont proposés. Le premier, celui du mardi, mis en place par les enseignants et les universitaires de la licence CDAISI de l’Université de Valencienne, antenne de Maubeuge. Sténographie, recherche d’informations cachées dans des images, analyses de son, gestion du … morse, analyse de trame, jouer avec un son stéréo et analyser ses… silences. Trente équipes (France, Belge, Bénin, …) ont participé à cette première pour le FIC. Un challenge qui permet, aussi, aux étudiants, chercheurs ou professionnels travaillant pour Thalès, Google de croiser la souris et les techniques de hack. « Appréhender, évaluer les épreuves, explique Octave, étudiant en 3ème année CDAISI, Nous nous sommes concentrés sur la question – Comment cacher un mot de passe – Nous avons auto testé nos épreuves en cours, avec nos professeurs. » Des créations d’épreuves qui sont intégrées dans le cursus des futurs diplômés, sous forme de projets. Lors du challenge ACISSI, les recruteurs, venus scruter, poser des tonnes de questions. Bref, les challenges se démocratisent, les langues se délient et les « décideurs » peuvent enfin de pencher sur ces têtes biens faîtes. Dommage, cependant, que le Ministre de l’Intérieur n’a pas pris 30 secondes pour venir saluer, voir s’intéresser (alors qu’il a frolé l’espace du challenge ACISSI), aux participants. Il aurait pu croiser des « hackers ethiques » français, des vrais, étudiants ou salariés dans de très importantes entreprises hexagonales ou… tout juste débauché par l’Américain Google. Il est vrai que le nid de lobbyiste qui l’entourait lui donner plutôt envie d’accélerer le pas, que de rester devant ce qui est véritablement la sécurité informatique de demain… des hommes et des femmes qui réfléchissent plus loin qu’une norme ISO et un bouton à pousser proposés par un logiciel d’audit !
A noter que Data Security Breach et zataz.com diffuseront dans quelques heures les réponses aux épreuves du Challenge FIC 2014 ACISSI.
CECyF
Pas de doute, l’argent va couler à flot dans le petit monde de la sécurité informatique. Le milliard d’euro annoncé par le Ministre de la Défense, dans le cadre de la sécurisation des infrastructures informatiques du pays, fait briller les petits yeux des commerciaux. Il suffit de voir le nombre de CERT privés sortir du terre pour s’en convaincre… tous avec LA solution miracle de prévention, sécurisation, …
Mardi après-midi, à l’occasion du Forum international sur la Cybersécurité ont été signés les statuts du CECyF, le Centre Expert contre la Cybercriminalité Français. Le CECyF est une association qui rassemble les acteurs de la lutte contre la cybercriminalité : services d’investigation, établissements d’enseignement et de recherche, entreprises impliquées dans la cybersécurité ou impactées par la cybercriminalité. L’association sera aussi ouverte à des adhérents individuels qui souhaiteraient participer aux projets du CECyF (notamment des chercheurs ou des étudiants). Le CECyF se veut un espace de rencontre et de créativité en matière de lutte contre la cybercriminalité. Il a pour vocation de favoriser les projets collaboratifs en la matière en aidant à la recherche de financements et en proposant un soutien juridique et opérationnel (communication, conférences, hébergement de plateformes collaboratives de développement, etc.).
La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.
Les premiers projets proposés aux membres au cours de l’année 2014 concerne les thématiques suivantes :
– développement d’outils opensource d’investigation numérique ;
– contribution à la création de supports de sensibilisation aux cybermenaces ;
– développement de formations à distance pour les services d’investigation, mais aussi les acteurs du secteur privé ou des collectivités locales ;
– partage d’informations et nouvelles études sur les besoins en formation et cartographie des formations disponibles ;
– participation des membres à des conférences existantes pour dynamiser les échanges entre les différentes communautés sur les différents aspects de la prévention et de la lutte contre la cybercriminalité : Journées francophones de l’investigation numérique de l’AFSIN, Botconf, SSTIC, conférences du CSFRS, de Cyberlex, etc.
Le CECyF s’inscrit dans le projet 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education), un réseau de centres d’excellence européens visant le développement et la mise en œuvre de projets de recherche et de formation coordonnés, associant des services enquêteurs, des établissements d’enseignement et de recherche, ainsi que des spécialistes des industries des technologies numériques. Le premier d’entre eux, dénommé 2CENTRE, a reposé sur les relations préexistant en Irlande et en France. D’autres pays travaillent à l’établissement d’un centre d’excellence national, en particulier la Belgique avec BCCENTRE, mais aussi l’Allemagne, la Bulgarie, l’Estonie, l’Espagne, la Grèce, le Royaume-Uni, la Roumanie et la République Tchèque. Pour le moment, au sein du CECyF, la gendarmerie, la police nationales, les douanes, des écoles d’ingénieurs et universités (EPITA, enseigné privé), l’Université de Technologie de Troyes, Orange, Thalès, Microsoft France et CEIS (Organisateur du FIC).
Allocution de Manuel Valls, ministre de l’Intérieur
Vous n’y étiez pas, pas d’inquiétude. Data Security Breach vous propose l’allocution de Ministre de l’Intérieur effectuée mardi, lors du lancement du Forum Internet de la Cybersécurité.
A la même époque, l’année dernière, j’avais le plaisir de clore les travaux de la 5ème édition du Forum International de la Cybersécurité. C’est avec un plaisir renouvelé que je viens, aujourd’hui, ouvrir cette 6ème édition. Je tiens, tout d’abord, à féliciter et à remercier le conseil régional du Nord Pas-de-Calais, et son premier vice-président Pierre de SAINTIGNON, pour l’organisation de cette manifestation, conduite en partenariat avec la gendarmerie nationale et CEIS. La qualité des invités, la présence de membres de gouvernements étrangers, que je salue chaleureusement, témoignent de la réputation désormais établie de cet espace de réflexion et d’échanges, lancé en 2007. Le caractère précurseur de cette initiative montre combien la gendarmerie, au même titre que la police nationale, sont des institutions en phase avec leur temps.
Nous tous sommes – et chaque jour davantage – immergés dans un monde de données. Nous les créons, les exploitons, les transmettons, faisons en sorte de les protéger. Ces données sont intellectuelles, commerciales, juridiques, ou encore financières et fiscales. Elles sont, aussi et surtout, des données d’indentification, constitutives de notre identité numérique. Elles disent ce que nous sommes, ce que nous faisons. Et même ce que nous pensons.
Cette identité est, par définition, précieuse. Elle peut cependant être attaquée, détournée, usurpée. Ces atteintes nuisent alors profondément à la confiance, pourtant indispensable pour l’essor du cyberespace. Face à cela, chaque acteur a une responsabilité et un rôle à jouer. L’État joue pleinement le sien. Il doit assurer dans la sphère virtuelle – autant que dans la sphère réelle – la sécurité de nos concitoyens, mais aussi celle de nos entreprises et plus largement des intérêts de la Nation. Cette action intervient dans un cadre indépassable, celui du respect des libertés fondamentales : respect de la vie privée et de la liberté d’expression. Le débat autour de la géolocalisation illustre bien ma volonté de concilier liberté et sécurité.
La géolocalisation permet en effet de connaitre en temps réel ou en différé les déplacements d’une personne. Cette technique d’enquête est utilisée dans le domaine judiciaire mais aussi dans le domaine administratif et préventif. En matière judiciaire, nous avons immédiatement réagi aux arrêts de la cour de cassation. Avec la Garde des Sceaux, nous avons rédigé un texte qui répond désormais aux exigences de la CEDH et de la Cour de Cassation. Il est actuellement soumis au Sénat, dans le cadre de la procédure accélérée. En matière administrative, l’article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l’ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991.
Nous aurons donc d’ici quelques semaines un arsenal juridique complet et solide, confortant l’action des services de renseignement et de la police judiciaire. A la lumière de l’actualité récente [enrôlement de mineurs dans le Jihad], je m’en félicite. Lutter contre les cybermenaces demande d’intégrer une triple exigence :
tout d’abord, en avoir une bonne connaissance, sans se limiter à la cybercriminalité ;
ensuite, adapter les réponses opérationnelles, en portant, notamment, une attention particulière à la politique de prévention ;
enfin, mieux piloter et coordonner les moyens engagés et les différents services impliqués.
Ce sont ces trois exigences que je veux détailler devant vous.
1. Face à une sphère virtuelle en mutation permanente, une connaissance des usages et des menaces potentielles est indispensable. Nous sommes, en effet, devant un phénomène en pleine expansion ; un phénomène complexe et global, mal appréhendé par un droit qui est soit peu adapté, soit en construction, et en tout cas sans réelle cohérence.La cybercriminalité nous renseigne de façon parcellaire sur l’état réel de la menace : que sont les 1 100 faits d’atteintes aux systèmes d’information dénoncés aux services de police et aux unités de gendarmerie, en 2011, par rapport à la réalité vécue par les entreprises et les administrations ? Un simple aperçu !
La plateforme PHAROS de signalement de contenus illicites de l’Internet, opérée par l’OCLCTIC, donne un éclairage complémentaire. Avec près de 124 000 signalements en 2013, elle atteint un nouveau record, signe de la vigilance des internautes. Nous devons être en mesure d’appréhender des menaces toujours plus diverses : risques de déstabilisation de l’activité économique, atteintes à l’e-réputation, menaces pesant sur l’ordre public et la sécurité du territoire mais aussi radicalisation, embrigadement, recrutement par des filières terroristes et diffusion de messages de haine (racistes, antisémites, antireligieux, homophobes…).
Je veux insister devant vous sur la lutte contre les messages antisémites et racistes sur internet qui passe bien entendu, par la fermeté et le refus de la banalisation de la haine. Mais elle passe aussi par une responsabilisation du public. Ainsi, la décision du Conseil d’Etat relative au spectacle de Dieudonné M’bala M’bala aura permis une prise de conscience.
Elle passe enfin par un travail avec les acteurs du net et notamment les réseaux sociaux comme nous l’avons fait avec Twitter. Ainsi, grâce à la concertation conduite avec cet opérateur, des engagements de sa part
ont pu être obtenus concernant :
– la suppression des contenus illicites : Twitter a mis en place des techniques permettant de restreindre l’affichage des contenus prohibés dans les seuls pays où ils sont illicites [exemple des contenus xénophobes et discriminatoires illicites en France mais pas aux USA] ;
– le gel de données : Twitter s’engage à procéder au gel de données d’enquête sur simple courriel sans aviser ses utilisateurs si les enquêteurs demandent expressément à ce que ces mesures restent confidentielles ;
– l’obtention de données d’enquêtes : Twitter communique des données sur simple réquisition pour des affaires non urgentes mais d’une particulière gravité, qualifiées de serious crimes. Des travaux sont encore à cours sur ce sujet ;
– le déréférencement des hashtags : Twitter déréférence les hashtags à succès mais illicites quand ils apparaissent dans les « tendances » de sa page d’accueil, pour limiter leur résonnance. De telles mesures ont déjà été prises à la demande des autorités ou d’associations françaises telles que SOS Homophobie ;
– un référent pour la France concernant le respect des obligations légales.
D’autres travaux se poursuivent pour : – rendre plus accessible le formulaire de signalement public, – développer les partenariats avec les acteurs français d’internet : SAFER Internet (protection des mineurs), SOS Homophobie, SOS Racisme, etc. ; – développer un formulaire en ligne destiné à faciliter les démarches officielles des enquêteurs internationaux. Le réseau mondial est aussi celui où se rencontrent, se fédèrent, se préparent, souvent dans l’obscurité, les pires intentions. Internet est un lieu de liberté certes, mais cela ne doit pas être une zone de non droit où l’on pourrait tout se permettre. Les menaces de l’Internet concernent tout le monde, ne serait-ce que du fait de la progression de la fraude sur les moyens de paiement à distance. Mais elles ciblent, en particulier, les plus jeunes. Une étude récente a ainsi souligné que 40% des élèves disent avoir été victimes d’une agression en ligne. Nous devons donc mettre en œuvre des politiques publiques à la hauteur de ces enjeux.
Des enjeux qui sont éclairés par un travail qui va au-delà de nos frontières. Le monde virtuel n’en connaît pas. A ce titre, je veux saluer la contribution du centre de lutte contre la cybercriminalité EC3 d’Europol. En un an, il contribué à la résolution de plusieurs dossiers d’enquête complexes et permis de compléter la vision des risques cyber auxquels nous, pays européens, sommes confrontés. Seule une démarche globale peut nous permettre de prendre la mesure d’une menace elle-même globale.
Ceci passe par une approche décloisonnée ; décloisonnée entre services, entre matières. Travaux de recherches, observatoires thématiques, veille des réseaux numériques, surveillance des activités des groupes criminels et terroristes, alertes sur la sécurité des systèmes d’information : c’est l’ensemble de ces démarches qui permettent d’appréhender les risques et de piloter au mieux la réponse opérationnelle.
2. De nombreuses actions sont mises en oeuvre, chaque jour, pour contrer ces nouvelles formes de menaces qui ont chacune leur spécificité3 Je connais la mobilisation des acteurs européens, étatiques, industriels. Je vais visiter, dans quelques instants, les stands des partenaires institutionnels, des industriels, des PME-PMI, des écoles et des universités. Je sais que leur objectif commun est d’améliorer la confiance dans l’espace numérique, de proposer un cyberespace plus sûr et protecteur de nos libertés fondamentales.
Je sais que les attentes les plus grandes à l’égard de l’action de l’État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d’information, les fraudes, l’espionnage industriel.
Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€. Pour l’une d’entre elle, les escrocs ont pris la main sur le système d’information de la société pour finaliser la transaction. Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s’adapter à une concurrence internationale de plus en plus forte.
La loi de programmation militaire, récemment adoptée, renforce le dispositif de protection des entreprises les plus sensibles. Elle conforte et amplifie le rôle de l’Agence nationale de la sécurité des systèmes d’information – dont je salue le directeur présent aujourd’hui – dans le contrôle de nos opérateurs d’importance vitale. Cette mesure était prioritaire. Au-delà, les entreprises qui forment notre tissu économique, bénéficient au quotidien de l’action des services de la police et des unités de la gendarmerie qui les sensibilisent aux cyber-risques dans le cadre de leurs missions d’intelligence économique. Cette action territoriale, s’adressant tant aux grandes entreprises qu’aux PME-PMI participe de la réponse globale de l’État.
Une réponse qui doit concerner l’ensemble de nos concitoyens. J’ai d’ailleurs la conviction que le niveau de sensibilisation à la cybersécurité est encore insuffisant et que nous avons, dans ce domaine, de grandes marges de progression. Aussi, je me félicite des initiatives de la police et de la gendarmerie à destination des plus jeunes, à l’image de l’opération « Permis Internet » mise en place par la gendarmerie nationale, en partenariat avec AXA Prévention. Je viens d’ailleurs de remettre des « Permis Internet » aux élèves de CM2 de l’école Roger Salengro
d’Hallennes-lez-Haubourdin. Au sein de leur établissement scolaire, depuis quelques semaines, ils apprennent à utiliser en sécurité l’Internet, à mieux identifier les dangers auxquels ils peuvent être confrontés. Ils deviennent donc des Internautes avertis.
L’année dernière, je m’exprimais devant vous à l’issue de longs débats sur la loi antiterroriste. Je vous avais alors fait part de ma volonté et de celle du gouvernement de lutter plus efficacement encore contre le cyber terrorisme. Plus largement, renforcer notre efficacité en matière de cybercriminalité nécessite de prendre un certain nombre de mesures : adapter notre arsenal juridique, coordonner l’action de tous les services de l’État, sécuriser les titres d’identité et leur exploitation ou encore améliorer la formation des personnels de tous les ministères concernés. C’est pourquoi, j’ai souhaité la constitution d’un groupe de travail interministériel, réunissant, sous la présidence d’un haut magistrat, des représentants des ministères de l’Economie et des Finances, de la Justice, de l’Intérieur et de l’Economie numérique. Les travaux menés, depuis l’été 2013, sous la présidence du procureur général Marc ROBERT, sont achevés. Les conclusions seront remises aux quatre ministres dans les prochains jours.
J’attends des propositions ambitieuses, notamment en termes de techniques d’enquête ou de recueil et de traitement des plaintes. J’attends, également, des propositions permettant d’améliorer l’organisation de nos services et d’offrir aux citoyens un dispositif plus lisible et plus proche de leurs préoccupations. Il s’agira naturellement, à court terme, et en parallèle des évolutions de l’organisation du ministère de la Justice, de renforcer les capacités d’investigation pour les infractions spécifiques liées au monde cyber en s’appuyant sur les enquêteurs spécialisés en technologies numériques de la gendarmerie et de la police.
3. Je souhaite également qu’au sein du ministère de l’Intérieur soit menée une réflexion de fond pour développer une capacité fine de pilotage et de coordination dans la lutte contre les cybermenaces. Nous devons fédérer les actions des différents services, faire le lien entre les capacités d’anticipation, la politique de prévention, les efforts de recherche et développement et les dispositifs de répression.
L’attention que je porte aux moyens consacrés, au sein du ministère de l’Intérieur, à la lutte contre les cybermenaces s’étend bien évidemment à ceux dédiés à la sécurité et la défense de ses propres systèmes d’information. Les systèmes d’information mis en oeuvre pour la sécurité intérieure et pour la conduite de l’action territoriale de l’État ne peuvent souffrir d’aucun manquement à leur propre sécurité. Ces outils permettent, au quotidien, l’action de notre administration, de nos forces. Le ministère de l’Intérieur est ainsi engagé au premier chef dans les démarches entreprises par les services du Premier ministre, afin de renforcer et garantir la sécurité de nos systèmes d’information.
J’ai donc demandé aux directeurs de la gendarmerie et de la police nationales de me proposer une stratégie de lutte contre les cybermenaces, sous trois mois, et de définir un véritable plan d’action. Cette réflexion s’appuiera sur les compétences développées au sein du ministère mais devra également, le cas échéant, définir ce qui nous manque. Elle pourra déboucher sur des évolutions structurelles. En outre, dans le cadre de la réforme des statistiques, j’avais demandé que l’on améliore la mesure des phénomènes de cyber-délinquance, et ce dans le cadre rigoureux des principes de la statistique publique. Les travaux de conception sont désormais bien avancés et je demanderai au chef du nouveau service statistique ministériel (SSM), dès sa prise de fonction fin février, de se prononcer sur le nouvel indicateur composite. Celui-ci devra clairement distinguer les atteintes directes aux systèmes d’information, les infractions liées aux contenus, les fraudes et escroqueries réalisées par l’internet, etc. Il est grand temps d’améliorer la qualité, la disponibilité et la régularité des données publiques sur ces enjeux fondamentaux de sécurité.
Enfin, si la sécurité du cyberespace relève en premier lieu de l’État, elle passe, aussi, nécessairement, par une mobilisation autour de partenariats avec le monde académique et les acteurs privés, fournisseurs de services et industriels de la sécurité des systèmes d’information.
Aussi, je salue la création cet après-midi, dans cette même enceinte, du « centre expert contre la cybercriminalité français (CECyF) », qui associera dans un premier temps la gendarmerie et la police nationales, les douanes, des écoles d’ingénieurs et universités – l’EPITA, l’Université de Technologie de Troyes – et des industriels – Orange, Thalès, Microsoft France et CEIS. Ce centre permettra l’émergence d’une communauté d’intérêts autour de la lutte contre la cybercriminalité. Les objectifs sont clairs : contribuer à la réflexion stratégique dans ce domaine, développer des actions de formation et encourager la mise au point d’outils d’investigation numérique et de travaux de recherche.
Mesdames, messieurs, Chaque époque connaît des mutations techniques, technologiques. Elles sont porteuses de progrès pour nos sociétés tout en générant des contraintes, des menaces nouvelles qu’il faut savoir intégrer. Comme vous le voyez, les pouvoirs publics se sont pleinement saisis des enjeux liés au monde cyber. Chaque phénomène, chaque menace doit pourvoir trouver une réponse adaptée. Mais l’essor du réseau mondial nous oblige à agir en réseau, à mobiliser l’ensemble des acteurs pour assurer la cybersécurité, c’est-à-dire simplement la sécurité de tous.
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.
Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.
Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix.
Cette campagne est menée par :
– Access Now (Bruxelles)
– Digitale Gesellschaft e.V (Allemagne)
– European Digital Rights (EDRI) (Bruxelles)
– Initiative für Netzfreiheit (Autriche)
– La Quadrature du Net (France)
Pendant ce temps, chez l’Oncle Sam, Un tribunal local vient de notifier que des portions de règles relatives à la neutralité du net ne s’appliqueraient plus aux Fourniseurs d’Accès à Internet. L’affaire a débuté quand Verizon et la Federal Communications Commission (FCC), le régulateur télécom américain ont décidé de se confronter à grands coups d’avocats. La justice US a annoncé que la FCC n’avait plus le droit de contraindre les FAI à traiter de manière équivalente l’ensemble du trafic. Depuis 2010, les ISP doivent accorder la priorité à du trafic spécifique (site web, …). Sauf qu’avec la décision de la justice américaine, c’est celui qui mettra le plus de dollars sur la table qui pourra se targer d’avoir un plus gros tuyaux. Bref, Youtube (Google) pourra écraser ses concurrents. Une manipultation du trafic qui devra donné lieu à communication auprès des internautes touchés par ce « péage ». La FCC a expliqué à The Verge qu’elle va continuer à lutter pour la neutralité du net. Bref, couper certains services et sites web risque d’être une nouvelle mode, d’ici quelques semaines.
Le président Obama a ordonné la fin de la collecte « en vrac » des messages téléphoniques des Américains. Vendredi, il est revenu sur la vaste restructuration des programmes de surveillance qui ont « ponctionné » les données de millions de citoyens américains. Une cybersurveillance exposée, l’an dernier, par l’ancien analyste du renseignement Edward Snowden.
Obama a appelé la National Security Agency (NSA) à renoncer au contrôle de son énorme base de données de relevés téléphoniques, à la mise en place d’un tribunal des programmes de surveillance, et l’arrêt des écoutes de dirigeants étrangers, alliés des États-Unis. Mais n’applaudissons pas trop vite, la surveillance continuera, mais avec des contrôles plus stricts.
Dans son discours donné ce vendredi au ministère de la Justice, M. Obama a appelé à une « nouvelle approche« . Un plan de transition doit être élaboré d’ici le 28 mars, autant dire un travail d’Hercule qui risque d’accoucher d’une souris. Le 28 mars étant la date butoir de la fin de la collecte de « métadonnées » par la NSA. Collecte qui a débuté après les attentats du 11 septembre 2001. « Dans notre empressement à répondre à des menaces très réelles et nouvelles (…) nous avons une eu réelle possibilité de perdre certaines de nos libertés fondamentales dans cette poursuite de la sécurité. Cela est particulièrement vrai lorsque la technologie de surveillance et de notre dépendance sur l’information numérique évolue beaucoup plus vite que nos lois. » Le Président Américain a indiqué que dorénavant, le programme de surveillance fonctionnera en deux étapes « À compter de maintenant, nous allons seulement suivre des appels téléphoniques qui sont associés à une organisation terroriste (…) J’ai demandé au procureur général de travailler avec le Foreign Intelligence Surveillance Court de sorte que pendant cette période de transition, la base de données (des métadonnées, Ndr) pourra être interrogée qu’après une décision judiciaire, ou dans une véritable situation d’urgence. » Obama a également demandé au Congrès à créer un groupe de « défenseurs publics » qui pourra représenter les intérêts de la vie privée. Pour rappel, les données collectées par la NSA comporteraient uniquement le numéro de téléphone de l’émetteur, la durée de l’appel et le numéro qu’il a composé.
Surveillance des alliés
Le président Obama a également abordé un autre programme de surveillance de la NSA, celui qui implique la collecte des courriers électroniques et des appels téléphoniques de cibles basées à l’étranger, y compris quand ils sont en contact avec des citoyens ou des résidents américains. Obama a déclaré que la nouvelle directive « indiquera clairement ce que nous pouvons et ne pouvons pas faire. »
Dorénavant, les Etats-Unis vont utiliser le renseignement que « pour des raisons de sécurité nationale légitimes(…) et non plus pour donner aux entreprises américaines un avantage concurrentiel. » En ce qui concerne les alliés, Barack Obama a expliqué qu’il allait préférer prendre son téléphone pour poser la question directement aux chefs d’Etat que de lancer une opération d’espionnage.
La directive d’Obama s’applique à la collecte de la NSA et précise que cette « moisson » ne doit être utilisée que pour la lutte contre le terrorisme, la prolifération des armes de destruction massive et les cybermenaces, pour la lutte contre la criminalité transnationale et à la protection de l’armée américaine et les forces alliées.
Obama a taclé la Russie et la Chine qui ont ouvertement et bruyamment critiqué les actions de la NSA, en indiquant qu’il ne voyait pas ses deux pays avoir une discussion ouverte sur « leurs programmes de surveillance et la gestion de la vie privée de leurs citoyens« .
Pendant ce temps, en Europe
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.
Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.
Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix. Cette campagne est menée par : Access Now (Bruxelles) ; Digitale Gesellschaft e.V (Allemagne) ; European Digital Rights (EDRI) (Bruxelles) ; Initiative für Netzfreiheit (Autriche) et La Quadrature du Net (France). (WP)
Décidément, les fuites de données sont légions ces derniers temps, surtout celles qui sont dues à la mauvaise manipulation d’un être humain. Nouveau cas en date, Pôle Emploi, un courriel baptisé « opportunité de formation« .
Les récipiendaires de la missive se sont retrouvés avec un fichier Excel baptisé SCAMAI contenant pas moins de 2119 noms, prénoms et emails. Les identités ont dû servir au publipostage de Pôle Emploi. Dans ce cas, l’agence Pôle Emploi Cadres Paris Diderot et le Conseil Régional Ile de France sont la source de cette fuite. Bien entendu, l’adresse utilisée pour la diffusion de ce « courriel » reste lettre morte. En fait, c’est l’adresse qui est morte « service-candidat@pole-emploi.fr – L’adresse de messagerie que vous avez entrée est introuvable » annonce, laconique le message d’alerte. Pas vraiment envie de communiquer ?
A noter que se plaindre auprès de la CNIL ne sert à rien. Le site de la CNIL est fait pour que ce soit Pôle emploi qui signale la boulette et non les milliers de personnes touchées par cette fuite d’informations. La seule procédure proposée serait de faire un courrier recommandé auprès de l’agence.
Ce n’est pas nouveau… et c’est inquiétant En août 2013 un autre courrier de Pôle Emploi diffusait les identités de demandeurs. A cette époque, c’est l’option CCi (adresses mails cachées, Ndr) qui avait été oubliée permettant la mise en pâture de 150 personnes. A l’époque, la CNIL n’avait pas communiqué sur une probable saisine, comme l’oblige la loi Française depuis 2011, et l’Europe depuis le 25 août dernier, sur les actions menées pour alerter les personnes touchées par la boulette.
Les risques ?
Les données concernant des demandeurs d’emploi, voilà qui pourrait attirer les escrocs du web, comme les pirates spécialisés dans le blanchiment d’argent en offrant de faux contrat de travail (mais vrai recrutement de mules, Ndr) comme ce fût le cas, en novembre dernier, avec 6 escrocs (et plus de 1 millions d’euros détournés) via de fausses petites annonces. (Merci à D.)
Des groupes de pirates informatiques nord-coréens cherchent constamment à dérober des documents importants en envoyant des e-mails à des officiels d’organes publics chargés de la sécurité nationale, a fait savoir ce mardi le ministère de la Science, des TIC et de la Planification du futur, appelant ainsi à redoubler d’efforts pour mieux sécuriser leurs systèmes informatiques.
Les groupes de hackers nord-coréens adressent à des officiels d’organes en charge des affaires étrangères, de l’unification et de la défense des courriels malveillants qui s’apparentent à une invitation à une cérémonie sous le nom d’une personne connue de ces officiels. Ces tentatives semblent être destinées à trouver de nouvelles voies détournées pour s’infiltrer dans les réseaux informatiques de ces organisations, a analysé le ministère.
Cette année, ont été envoyés des mails portant le titre «Politique 2014 sur la Corée du Nord». Ces courriels ne comportaient pas de codes malveillants mais appelaient à participer à un sondage. Le ministère a toutefois mis en garde contre la possibilité de contamination ultérieure par des logiciels malveillants après une participation à ce sondage. (Yonhap)
Petites entreprises, grandes menaces : restez informés, restez protégés
