L’Université de Washington School of Medicine piégé par un logiciel espion. 900.000 patients touchés. Dans la série, « je vois une piéce jointe dans un courriel et je clique dessus » un fonctionnaire de l’University of Washington School of Medicine a trouvé l’idée bonne et a fait rentrer dans les machines du centre de recherche un logiciel espion. Le malware a permis au pirate derrière cette infiltration une balade de santé dans les machines de l’hôpital universitaire.
Bilan, 900.000 dossiers de patients ont été impactés par la visite. Les noms, numéros de sécurité sociale, numéro de téléphone, adresse, numéro de dossier médical et quelques autres détails ont pu être copiés. Sachant qu’un numéro de sécurité sociale aux USA peut permettre d’ouvrir un compte bancaire, autant dire que le pirate a de l’or en barre dans les mains. La direction a commencé à avertir les patients sur cet « incident ».
Il y a quelques jours, 1.300 patients, des malades ayant reçu une transplantation cardiaque, de poumons, … ont disparu d’un ordinateur volé à un médecin de l’Hôpital de Houston. Le centre médical a offert un an de protection (vie privée) aux malades touchés par cette fuite.
Pendant ce temps, un nouveau cheval de Troie bancaire appelé Qadars s’attaque à la France et aux Pays-Bas. Qadars, est un nouveau cheval de Troie détecté par ESET, un éditeur d’antivirus. L’outil aurait infecté des milliers d’utilisateurs à travers le monde. Il semble cibler principalement des utilisateurs de Pays-Bas et de la France. D’après les chercheurs, le voleur exploite le concept du malware Zeus. Il utilise les navigateurs pour agir. Qadars modifie la page du portail bancaire que l’internaute visite afin d’intercepter les données rentrées par le client ainsi piégé. Le logiciel espion posséde aussi des composants pour smartphone Android qui permet au malware de contourner les étapes de sécurité d’authentification mises en place par la banque en ligne. Le Canada, l’Australie, l’Inde et l’Italie sont les autres pays ciblés par Qadars.
Sacré Père Noël, il a cassé sa tirelire pour offrir l’objet high-tech à la mode. Une tablette, un smartphone, une montre connectée. Les « vendeurs », les « commerciaux » des marques ont sorti la grosse artillerie pour vanter du matériel qui, avouons-le, fait briller les yeux. Sauf qu’il y a un petit détail loin d’être négligeable que nous avons pu constater lors de 43 rencontres effectuées entre le 17 et le 24 décembre 2013 : seuls 3 souriants vendeurs de rêves nous ont parlé, naturellement, de sécurité.
Le Béaba
Un PC, une tablette sortis de leur carton ne sont pas propres, attendez par là qu’il faudra penser, lors de votre première connexion à mettre à jour vos machines. Des mises à jour de sécurité, d’applications. Indispensable. Prenons l’exemple de l’iPhone 5 (et là) ou des derniers Samsung. Évitez de voir votre données s’envoler en raison de « faille » usine. Pour les PC, comme pour les MAC, les « updates » concerneront surtout des corrections liées à des vulnérabilités. Pour vous donner une petite idée, regardez la date de fabrication de votre matériel. Si nous prenons un PC fabriqué en septembre, sous Windows 8, plus de 40 mises à jour. Même son de cloche pour un MAC. Pour les tablettes, sous Android, la dernière importante, date de mi-décembre, avec une correction interdisant l’interception possible, en clair par le wifi, des informations de connexion d’un utilisateur.
Le matos
Que le veuille ou non, un antivirus devient indispensable sur PC/MAC, mais aussi tablette et smartphone. Il en existe plusieurs dizaines, gratuites et payantes. Nous nous pencherons plus concrètement, dans quelques instants, sur ceux proposés pour les mobiles. Mais avant ça, revenons sur une option loin d’être négligeable dans la majorité des nouveaux matériels sortis pour Noël : le chiffrement des machines. Certes cela prend un peu de temps, certes cela semble fastidieux d’être obligé de retenir le mot de passe imposé. Mais c’est quelques minutes valent mieux que les heures, voir les jours à courir pour bloquer l’ensemble des comptes (PayPal, DropBox, emails, forums, sites…) que vous aurez enregistré dans le matériel que vous aurez perdu, ou que l’on vous aura volé, piraté. Pour les possesseurs des téléphones le plus vendus du moment, Samsung, il suffit de se rendre dans l’option « Paramètres » > « Sécurité » > « Crypter« . N’oubliez pas, si vous équipez votre machine d’une carte sd, de chiffrer cette dernière. Récupérer cette dernière et la copier est un jeu d’enfant. Chiffrer le contenu rendra inutilisable les informations sauvegardées.
Passons ensuite, comme indiqué plus haut, aux outils de sécurité à installer dans vos précieux. Les antivirus proposés par G Data, McAfee, BitDefender, … font l’affaire. Il détecte les applications pouvant être piégés. Loin d’être négligeable, cette menace est annoncée comme étant la 1ere des malveillances en 2014. Vient ensuite la crainte de la perte/vol de votre matos. La version proposée par Avast! Permet aussi de recevoir une notification quand votre carte SIM a été changée. Pour le contrôle des fichiers que vous auriez à récupérer/stocker dans le Cloud (ce que nous trouvons aberrant et vous invitons à ne pas faire, Ndr) des outils comme VirusBarrier permettent de scanner les documents sauvegardés sur DropBox, iDisk, et WebDAV.
Lookout Mobile Security est une application gratuite qui protège vos appareils iOS ou Android. Il permet de protéger son matériel et, en version payante, de sauvegarder vos contacts en programmant des sauvegardes automatiques. Si vous perdez votre téléphone, Lookout permet de le localiser sur une carte Google – même si le GPS est désactivé. L’application permet aussi d’activer une alarme sonore – même si votre téléphone est en mode silencieux. La fonctionnalité qui permet de verrouiller à distance le matériel est un plus non négligeable. L’outil BullGuard Mobile Security propose le même type de service. Pour les smartphone, le chien de garde propose aussi une protection pour la carte SIM. IHound propose, lui aussi, de suivre l’appareil à distance. Il permet de verrouiller le téléphone ou la tablette. IHound utilise le GPS de votre téléphone pour le suivi de l’appareil. Il comprend une alarme qui peut être déclenchée par une notification push. Fonctionne même quand le silencieux est enclenché. Sur un appareil Android, vous pouvez également effacer à distance les données et verrouiller votre machine. Application payante.
Les anti-vols
Face à une attaque « physique » de votre téléphone, il existe aussi des parades. Quelqu’un tente de rentrer dans vos données. Pour cela il tombe nez-à-nez avec votre clavier dédié au mot de passe. Les applications GadgetTrak (iOS) et LockWatch (Android) vous enverrons, par eMail, la photo de votre « curieux » et sa position géographique, via une carte Google.
Je finirai par deux outils indispensables pour la sécurité de votre vie numérique: Authy et Google Authenticator. Deux applications qui permettent de générer des clés demandées lors d’une double authentification pour Google, Facebook, Twitter, et même vos sites web (sous WordPress). Sans les chiffres fournis par l’un de ces outils de validation, même votre mot de passe demandé ne servira à rien. Parfait en cas de vol de ce dernier. Nous vous expliquons, pour votre compte Facebook, l’intérêt de la double identification.
Pour finir, pensez aussi à vos connexion web hors vos murs. Une protection VPN est loin d’être négligeable. Elle permet, quand vous êtes en déplacement, de chiffrer, de rendre illisible à une potentielle interception, vos informations (emails, mots de passe, téléchargement, …). Il existe des applications VPN simples et efficaces pour tablettes, smartphones et ordinateurs.
Cette liste est loin d’être exhaustive, elle a surtout pour mission de vous faire tendre l’oreille, de vous inciter à vous pencher sur vos doubles numériques, sur leur sécurité et la maitrise de ces matériels qui n’étaient encore que de la science-fiction, voilà 10 ans. N’oubliez jamais que vous devez contrôler vos machines… et pas le contraire !
Début décembre dernier, le Washington Post faisait parler un ancien agent du FBI au sujet de l’espionnage numérique pratiqué par les services d’enquêtes étatiques de l’Oncle Sam. Le papier du journal américain indiquait que le FBI était capable de déclencher à distance la webcam intégrée à l’ordinateur d’un suspect. Une cybersurveillance « sans allumer le la diode de connexion qui indique l’état de marche de ma caméra« . Une révélation qui n’en est pas une. La pratique est connue depuis… 20 ans.
Comment est-ce possible ?
Il y a une vingtaine d’année sortait sur le web, par le biais d’un groupe de hacker nommé The Cult of the Dead Cow (Le culte de la vache morte) un logiciel d’espionnage baptisée Back Orifice. Cet « outil », que l’on nomme aujourd’hui RAT, Rootkit, permettait de prendre la main sur un ordinateur connecté et préalablement piégé par Back Orifice. Bref, un cheval de Troie. Nous sommes alors en 1998.
Si B.O. se voit, aujourd’hui, comme un gros bouton sur le nez, il utilise de base le port 31337 (elite), de très nombreux autres espiongiciels exploitent et utilisent des fonctions d’espionnages allant de la capture de votre écran (selon une durée données, ndr), enregistre le son tiré du micro connecté, de la webcam, des frappes effectuées sur le clavier, les actions de la souris. D’autres options permettent d’activer un téléchargement de certains fichiers (doc, excel, …). Les options sont plétoriques. Pour cela il faut, cependant, que la machine de la « cible » soit piégée. Qu’un « client » du rootkit soit installé dans le PC, le mac, la tablette, le téléphone de la personne à espionner.
Comment s’en protéger ?
Aujourd’hui, la majorité des ordinateurs, des téléphones portables smartphones, des tablettes sont équipés de base d’une webcam et d’un micro. Pour les activer à distance, il faut cependant piéger le matériel. Des chercheurs de l’Université Johns Hopkins ont démontré le « truc » en exploitant la webcam d’un MacBook. Sur PC/MAC, plus besoin aujourd’hui d’un Rootkit d’un trojan à la Back Orifice. Un plug-in dans un navigateur suffit. Il faut pour cela convaincre la victime de l’installer, chose, soyons très honnête, simple comme bonjour. Les fausses mises à jour Java, Flash, vidéo, … les choix pour les espions sont nombreux. Les fausses mise à jour d’application, comme les publicités piégées, peuvent aussi suffire.
Protégé sur MAC ? En 2012, le trojan FlashBack faisait ses emplettes sur la toile à partir de 550.000 machines. Sur tablettes et smartphones, le danger est encore plus grand. Les « mobiles » sont greffés à nos mains. Les téléchargements malveillants peuvent être facilités par des outils que ne maitrisent pas les utilisateurs. Selon Trend Micro, en 2014, les applications malveillantes pour Android franchiront le cap des 3 millions. Se protéger, déjà, en mettant à jour ses outils ; en ne téléchargeant pas tout et n’importe quoi. En ne gardant pas des logiciels obsolètes. Pour rappel, l’arrêt du support de logiciels répandus tels que Java 6 et Windows XP rendra des millions de PC vulnérables aux cyber-attaques l’année prochaines. 76% des entreprises sont encore sous Windows XP (9 machines sur 10 pour les machines de bureaux, et 6 sur 10 pour les portables – Spiceworks).
Connexion ou pas !
Comment un malware peut-il voler des données d’un système infecté qui n’a pas de connexion à l’Internet ? Impossible ? Des chercheurs allemands de l’Institut Fraunhofer ont mis pourtant au point un « code » capable de transmettre des données en utilisant des sons inaudibles à l’oreille humaine. Le « Trojan » peut voler des données ou des frappes confidentielles en utilisant un haut-parleur et un microphone de base. Si la sécurité est de ne pas connecter un ordinateur aux contenus sensibles sur le web, voilà une méthode d’infiltration qui remet à plat l’idée de confidentialité. Pour s’en protéger, couper les enceintes de votre ordinateur. Si vous couplez cela au « mouchard » légal de Google qui se cache dans votre smartphone [voir], la cyber surveillance est globale.
Bref, vous l’aurez compris, la cyber surveillance par webcam, ou autres « options » de nos machines ne date pas d’hier. Et le FBI, la DCRCI, le GCQH britannique ne sont pas les plus gros utilisateurs. A moins que vous soyez un terroriste en devenir, un cybercriminel officiant dans une bande organisée, peu de risque d’être filmé, fliqué, espionné. En France, faut-il le rappeler, les policiers, gendarmes, ont la possibilité (article 57 du code de procédure pénale) d’analyser les données d’un ordinateur saisi lors d’une visite des « amis du petit déjeuner ». Avec l’accord d’un juge, depuis la loi Loppsi 2, les policiers peuvent aussi piéger l’ordinateur d’une cible. La police judiciaire peut « mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran » explique l’article 706-102-1.
Il faut craindre, car gros consommateurs de ce genre d’outil, les escrocs du web. Ils n’ont aucune régle législative à respecter. Le FBI à le 4ème amendement ; la France, les lois, les députés, … Comme le montre ZATAZWeb.tv dans son émission du mois de juin dernier S2E6, les espions et maîtres chanteurs de l’Internet exploitent les outils d’espionnage pour rançonner toutes les personnes qui leur passent entre les mains. Avec des dégâts humains, financiers et psychologiques bien plus graves qu’un potentiel espionnage de 007.
Le Parti Pirate s’inquiète fortement de l’adoption mardi 10 décembre par le Sénat de la loi de programmation militaire et en particulier des articles 13 et suivants, relatifs à la surveillance. Il appelle à manifester samedi 21 décembre à 15h place de la République à Paris pour dénoncer les dérives des démocraties et honorer les lanceurs d’alertes et tous celles et ceux qui résistent.
La loi de programmation militaire contient en effet pour nous Pirates une atteinte grave aux libertés individuelles en France, qui n’est pas sans rappeler les mesures « d’exceptions » votées aux États-Unis qui durent depuis plus de douze ans. Elle élargit sensiblement les pouvoirs des services de renseignement en omettant sciemment toute garantie démocratique et juridique.
En effet, les administrations pourront désormais surveiller n’importe qui sans autre prétexte qu’une vague suspicion de délit, se permettant ainsi d’écouter les conversations, de surveiller les déplacements et de manière générale, d’épier et d’enregistrer sans limite nos moindres mots, faits et gestes sans même la consultation d’un magistrat. Délibérément flou, ce texte permet au gouvernement de placer tout citoyen dans un état de surveillance permanent.
Cette loi s’inscrit dans la continuité des lois LOPPSI, grâce auxquelles l’État a pu mettre en place en France, de vastes réseaux de vidéosurveillance dont de récentes affaires nous ont largement démontré l’inutilité en matière de sécurité du public. Ainsi, sacrifiant les libertés individuelles sur l’autel de la paranoïa sécuritaire, le gouvernement français suspecte les citoyens qu’il a le devoir de protéger. Cette loi en rend caduque une autre qui, pourtant, a été si fondamentale qu’elle est longtemps aller « sans dire » : Article 9 du code civil : « Chacun a droit au respect de sa vie privée.»
« Pour qu’on ne puisse abuser du pouvoir, il faut que, par la disposition des choses, le pouvoir arrête le pouvoir.[…] Tout serait perdu, si le même homme, ou le même corps des principaux, ou des nobles, ou du peuple, exerçaient ces trois pouvoirs : celui de faire des lois, celui d’exécuter les résolutions publiques, et celui de juger les crimes ou les différends des particuliers. » Montesquieu, L’Esprit des Lois.
Même son de cloche pour la Quadrature du net. Une grave atteinte aux libertés et aux droits fondamentaux entérinée au Parlement. Malgré l’importante mobilisation citoyenne et les nombreuses critiques [1] exprimées à son encontre, le Sénat vient d’adopter le projet de loi [2] relatif à la programmation militaire et ses dangereuses dispositions sans aucune modification. Cette adoption conforme par les sénateurs met un terme au travail parlementaire sur ce texte : seul le Conseil constitutionnel peut à présent empêcher l’application de ces dispositions attentatoires aux libertés fondamentales des citoyens. La Quadrature du Net appelle solennellement les parlementaires à déposer une saisine du Conseil constitutionnel pour que ce dernier se prononce sur la conformité de cette loi à la Constitution. ***
En adoptant le projet de loi relatif à la programmation militaire pour les années 2014 à 2019 sans aucune modification, les sénateurs viennent de mettre un terme aux travaux législatifs du Parlement sur ce dossier. Malgré les nombreux avertissements exprimés tant par les organisations citoyennes [3] que par des autorités publiques [4], le texte adopté aujourd’hui permet :
– la capture en temps réel d’informations et de documents (qui « peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés ») auprès aussi bien des hébergeurs que des fournisseurs de service.
– de requérir ou capturer des « informations ou documents traités ou conservés par leurs réseaux ou services », et non plus seulement des données de connexion.
– l’élargissement de la liste des administrations qui peuvent requérir ces interceptions ou captures, par exemple au ministère de l’économie et du budget.
– l’élargissement des finalités de ces mesures à la sauvegarde du « potentiel scientifique et économique de la France » et à la prévention « de la criminalité ou de la délinquance organisées ».
À ce stade de la procédure, seul le Conseil constitutionnel peut encore empêcher l’application de ces mesures ouvrant la porte à une surveillance généralisée des informations et communications sur Internet. Celui-ci ne pourra examiner la constitutionnalité du texte adopté cet après-midi qu’avec une saisine de 60 parlementaires, du Premier Ministre, ou du Président de la République. La Quadrature du Net appelle solennellement les élus des deux chambres du Parlement à entendre l’appel des citoyens, et à déposer au plus vite une demande de contrôle de constitutionnalité.
« Dans le contexte des révélations d’Edward Snowden sur l’espionnage massif et généralisé des citoyens, il est choquant de voir le Parlement adopter un texte qui entérine l’état d’exception et permet de violer la vie privée des citoyens. Les élus doivent entendre l’appel de la société civile et saisir le Conseil constitutionnel avant l’application de ces mesures attentatoires aux libertés fondamentales» déclare Philippe Aigrain, cofondateur de La Quadrature du Net.
* Références *
1. https://www.laquadrature.net/fr/pcinpact-surveillance-du-net-deluge-de-contestations-contre-le-patriot-act-francais
2. http://www.assemblee-nationale.fr/14/ta/ta0251.asp
3. Par exemple par l’AFDEL, la Fédération internationale des droits de l’Homme, ou La Quadrature du Net.
4. Notamment par le Conseil National du Numérique et la CNIL.
Vous avez un smartphone dans votre poche ? Voici comment vous suivre à la trace… et avec votre consentement ! Google cache dans ses services une option aussi dingue qu’effrayante. Elle permet de suivre n’importe quel internaute, à la trace. Pour cela, rien de plus simple. Avoir un smartphone, si possible sous Android, et un compte gMail (ou Youtube, ou tout simplement chez Google). Le materiel dans votre poche fait le reste.
Comme le montre ma capture écran ci-dessous, on peut suivre les déplacements, jour par jour, heure par heure. Comme l’indique Google dans sa page dédiée : « L’accès aux données de localisation dans l’application Paramètres Google est disponible sur les appareils équipés de la version 4.1 à 4.3 d’Android. L’historique des positions et la mise à jour de la position sont disponibles dans l’application Paramètres Google sur les appareils équipés d’Android 4.0 ou version ultérieure sur lesquels l’application Google Maps pour mobile version 7.0 ou ultérieure est installée. » Le plus fou est que cette page existe depuis longtemps comme le confirme Telcrunch.
Comment se prémunir ?
Pour faire disparaitre ce mouchard, vous pouvez contrôler la manière dont les applications Google utilisent votre position à l’aide d’un simple paramètre, sans que cela ait un impact sur l’accès des applications tierces. Pour ce faire, procédez comme suit : D’abord dans le menu des applications de votre appareil, sélectionnez Paramètres Google ; puis dans un second temps vous appuyez sur la case à côté de l’option Données de localisation. Le paramètre est désactivé lorsque la coche disparaît. Attention, ce paramètre n’a d’incidence que sur les applications Google. Si vous le désactivez, les services Google proposés en dehors des applications et les applications autres que Google pourront déterminer votre position via votre appareil. Vous souhaitez regarder ce que possède Google sur vous, vos adresses, vos balades … (et la NSA aussi) ? direction Location History.
Effacer les traces ?
Data Security Breach a cherché comment effacer cet historique. Heureusement, il est possible de le supprimer. Direction l’application « Paramètres Google » accessible depuis le menu des applications de votre appareil, ou sur le site Web correspondant. Dans le menu des applications de votre appareil, ouvrez l’application Paramètres Google : Appareils équipés d’Android 4.3 ou version antérieure : appuyez sur Position > Historique des positions. Appareils équipés d’Android 4.4 : appuyez sur Position > Services de localisation > Mise à jour de la position Google > Historique des positions.Appuyez sur Supprimer l’historique des positions en bas de l’écran.
Sur le site web, sélectionnez une date pour laquelle vous disposez d’un historique. Ensuite, pour l’historique complet : sélectionnez Supprimer tout l’historique pour supprimer l’intégralité de l’historique enregistré. Par date : sélectionnez Supprimer l’historique de ce jour pour supprimer l’historique correspondant à la date sélectionnée. Sélectionnez une plage de dates, puis l’option Supprimer l’historique enregistré pour cette période, pour supprimer l’historique correspondant à l’ensemble des jours sélectionnés. Par position : sélectionnez un lieu dans la liste ou sur la carte. L’info-bulle vous permet de supprimer cette position de votre historique.
Voici quelques conseils techniques et de bon sen pour éviter de voir partir son compte Facebook dans les mains d’un malveillant. Des techniques efficaces et simples à mettre en place. L’intérêt pour un pirate de mettre la main sur votre compte Facebook est multiple. La rédaction de DataSecurityBreach.fr a pu en recenser 10.
D’abord, la curiosité pure et simple. Que se cache-t-il dans les messages privés que vous pouvez diffuser à vos amis. Pas bien méchant, mais malsain. Ensuite, le malveillant classique, celui qui va usurper votre identité pour ventre de faux crédits à la consommation. Il diffuse, via votre compte, de fausse proposition financière.
Vient ensuite le vendeur de médicaments, de fausses marques, de faux comptes pour console de jeux (la grande mode en ce moment est de vous offrir, pour du faux, des accès au PSN de Sony). Mettre la main sur votre compte Facebook peut aussi servir à de vrais escrocs, celui qui expliquera à vos abonnés que vous êtes perdus au fin fond de l’Afrique, de l’Asie ou de l’Amérique du Sud et que de vous (lui) envoyer de l’argent, via Paypal, vous (lui) permettra de rentrer chez vous.
Les trois derniers cas, et pas des moindres, sont les plus nocifs. Le premier, diffuse des informations à vos amis (photos, fausses informations, …) Si vous souhaitez que cela cesse, le maître chanteur réclame de l’argent. Le second, des achats sous votre identité. N’oubliez pas qu’en prenant la main sur votre compte, le pirate connait tout de vous, du moins ce que vous avez pu sauvegarder dans l’administration de votre compte Facebook. Le pirate peut ainsi converser avec ses cibles, via votre adresse XXXX@facebook.fr. Je finirai par le compte servant de rebond à une attaque plus fine, plus pointue, comme la diffusion d’un virus, d’une page phishing, comme ce fût le cas pour l’Elysée ou d’une agence américaine. Ne pensez pas n’être qu’un anonyme sur la toile. Pour un pirate, nous sommes une star en devenir !
Comment se protéger
Première chose, évitez de cliquer sur n’importe quel lien qui vous passe sous la souris. Regardez bien les adresses web qui vous sont proposées. Si https://www.facebook.com ne débute pas l’url proposé, passez votre chemin. Autre élément important, votre mot de passe. On ne cesse de le répéter, mais il doit contenir au moins 12 signes : lettres (minuscules, majuscules), signes de ponctuations et chiffres.
Dans la partie « Sécurité » que vous trouverez en cliquant sur l’icône, en haut à droite, de votre page Facebook (puis sur compte), sélectionnez : « Navigation sécurisée ». Personne ne pourra plus intercepter votre mot de passe entre – Vous et Facebook -. Cela se traduit par le S du https de l’url indiqué plus haut dans cet article. N’hésitez pas à cocher l’option « Notification lors des connexions« . Cela vous permet d’être averti, par courriel, d’une connexion « pirate ». Loin d’être négligeable pour agir vite en cas de pépin.
Autres options indispensables, l’approbation de connexion et le générateur de code. Dans ce premier cas, votre smartphone vous offre une sécurité supplémentaire. Par SMS vous pourrez recevoir le code secret de secours qui vous rendra votre Facebook. La seconde option, le générateur de code, vous propose une série de chiffres uniques, toutes les 30 secondes, pour accéder à votre Facebook. En plus de votre mot de passe, le deuxième code devient indispensable pour vous connecter. Sans ces deux « sésames », le pirate ne pourra rien faire.
Je finirai avec les contacts de confiance. Je ne l’utilise pas, mais l’idée est intéressante. Elle permet de définir les amis qui peuvent vous aider à récupérer votre compte auprès de Facebook. S’ils vous connaissent, Facebook vous rendra votre bien… ou pas ! En cas de problème, il est toujours possible de contacter Facebook via la page dédiée : Compte piraté.
Le service secret américain aurait espionné à grande échelle les jeux vidéo en ligne tels World of Warcarft et le réseau Xbox Live. Edward Snowden n’en finit pas de sortir des documents tous plus fous les uns que les autres. Le dernier « truc » en date, diffusé par le journal britannique The Guardian, indique que la NSA aurait mis la main sur des millions d’informations de jeux en ligne. World of Warcarft et Second Life ont été montrés du doigt.
A noter que le Xbox Live serait aussi concerné. Il parait que la NSA aurait tenté de recruter des joueurs afin que ces derniers veillent aux discussions bizarres. Des propos de terroristes. Vue les commentaires tenus dans des jeux tels que Call of Duty, autant dire que la NSA a du se tirer une balle dans le e.pied. Enfin du moins si les informations de Snowden s’avérent vraies. Nous rappelons tout de même qu’il est l’unique source traitant des fuites de la NSA.
Cela expliquerait peut-être aussi la grande mode des jeux en ligne en mode cloud. Les informations sont ainsi sauvegardées hors PC et consoles, donc plus facilement accessibles. Alors, possible ? Il serait marrant de découvrir que la grande majorité des phishing World of Warcraft soient signés NSA ! En attendant, nous conseillons aux 007 locaux de surveiller MineCraft, nous y avons vu d’étranges constructions, en forme de cube !
L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.
Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.
Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.«
L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.
Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.
Mercredi 27 novembre, l’Assemblée Nationale s’est prononcée sur la proposition de loi [1] dite contre le « système prostitutionnel ». Comme La Quadrature du Net les y invitait [2], les députés se sont opposés à l’extension de la censure administrative d’Internet. Néanmoins, ils ont entériné les nouvelles obligations qui, mises à la charge des hébergeurs, renforceront les formes de censure privée qui portent d’ores et déjà atteinte à la protection de la liberté d’expression sur Internet. ***
L’article 1er de la proposition de loi débattue aujourd’hui prévoyait de conférer à une autorité administrative le pouvoir de prononcer des mesures de censure du Net, sans l’intervention préalable de l’autorité judiciaire. Reprenant à la lettre les dispositions qu’avait introduites la LOPPSI en 2011 afin de combattre la diffusion de contenus à caractère pédopornographique, la proposition de loi visait à les étendre aux sites contrevenant aux dispositions pénales qui répriment le proxénétisme et la traite des êtres humains. Un tel ajout se révélait en l’espèce particulièrement inefficace et toujours aussi dangereux pour les libertés individuelles (voir la note [3] envoyée aux députés à ce sujet). La Quadrature du Net se réjouit donc que l’Assemblée nationale ait rejeté un telle extension, suite notamment au dépôt d’un amendement [4] de suppression par le gouvernement.
Néanmoins, ce même article 1er prévoit aussi de modifier l’obligation [5] imposée par la loi pour la confiance dans l’économie numérique (LCEN) aux hébergeurs de mettre en place un dispositif permettant à toute personne de signaler certaines catégories de contenus considérés comme particulièrement graves (apologie de crimes contre l’humanité, négationisme, pédopornographie), auxquels viendraient alors s’ajouter ceux considérés comme participant au « système prostitutionnel » [6]. Or, les hébergeurs sont par ailleurs pénalement responsables des contenus qu’ils hébergent dès lors qu’ils ont connaissance de ces derniers. Ainsi, tout dispositif de signalement ne peut que les inciter à retirer les contenus signalés, et ce afin d’éviter tout risque juridique. Une forme de censure privée, hors de tout cadre judiciaire et de toute garantie contre des atteintes injustifiées aux libertés fondamentales des citoyens.
Des amendements [7] présentés par les députés Serge Coronado (EELV) et Lionel Tardy (UMP) visaient à supprimer cette disposition pour limiter le risque de censure de contenus parfaitement licites qui auraient été signalés à tort. En lieu et place, une solution cohérente consisterait à encourager les citoyens à entrer directement en contact avec les services de police pour signaler les contenus leur paraissant constitutifs d’infraction via la plate-forme des pouvoirs publics prévue à cet effet (internet-signalement.gouv.fr). Ils n’ont malheureusement pas été entendus, ni par leurs collègues, ni par le gouvernement.
« Des deux formes de censure contenues dans cette proposition de loi, les députés ont choisi de rejeter celle qui violait de la manière la plus flagrante la liberté d’expression sur Internet. Mais en condamnant la censure administrative tout en s’obstinant à encourager la censure privée des contenus en ligne, les députés font preuve d’une absence de cohérence. Alors que d’autres projets de loi en cours d’examen au Parlement renforcent également la régulation extra-judiciaire du Net [8], le gouvernement et le législateur doivent mettre fin à cette fuite en avant répressive en instaurant un moratoire contre toute nouvelle disposition susceptible de porter atteinte aux droits fondamentaux sur le réseau. À l’image de l’initiative du Marco Civil [9] actuellement en discussion au Brésil, les pouvoirs publics doivent engager un large dialogue avec la société civile afin d’apporter des garanties législatives fortes en faveur des libertés publiques et des droits fondamentaux sur Internet » conclut Félix Tréguer, co-fondateur de l’association La Quadrature du Net.
* Références *
1. http://www.assemblee-nationale.fr/14/dossiers/systeme_prostitutionnel_renforcement_lutte.asp
2. https://www.laquadrature.net/fr/lutte-contre-le-proxenetisme-linacceptable-retour-de-la-censure-administrative-du-net
3. https://www.laquadrature.net/files/PPL%20prostitution%20-%20LQDN%20-%20suppression%20art1.pdf
4. http://www.assemblee-nationale.fr/14/amendements/1558/AN/56.asp
5. Article 6.I.7 alinéa 6 de la loi pour la confiance dans l’économie numérique adoptée en 2004 :
« Compte tenu de l’intérêt général attaché à la répression de l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine, les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et à l’article 227-23 du code pénal. »
6. Article 1er de la proposition de loi renforçant la lutte contre le système prostitutionnel :
« L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° Le 7 du I est ainsi modifié :
a) Au troisième alinéa, après le mot : « articles », sont insérées les références : « 225-4-1, 225-5, 225-6, » ;
[…] »
7. Amendement n°4 présenté par M. Tardy (député UMP de la 2ème circonscription de Haute-Savoie) et amendement n°57 présenté par M. Coronado (député EELV de la 2ème circonscription des Français établis hors de France)
8. Des dispositions en partie similaires à celles contenues dans cette proposition de loi sont également présentes dans le projet de loi sur l’égalité entre les sexes (extension des obligations de signalements incitant à la censure privée) et dans le projet de loi relatif à la consommation (donnant à la DGCCRF le pouvoir de demander au juge le blocage d’un site), tous deux également en cours d’examen à l’Assemblée.
9. https://www.laquadrature.net/fr/internet-a-besoin-dune-marco-civil-sans-compromis-au-bresil
Petites entreprises, grandes menaces : restez informés, restez protégés
