Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Argent, Particuliers

FIA-NET publie son Livre Blanc Certissim 2013 sur la fraude à la carte bancaire

Au cours de l’année 2012, avec 26 millions de transactions analysées pour un chiffre d’affaires de plus de 4 milliards d’euros, Certissim a constaté un taux de tentatives de fraude de 2,98 % en nombre et de 3,91 % en valeur. Cependant, datasecuritybreach.fr moins d’une tentative sur trente se traduit par un impayé frauduleux pour les e-commerçants. En supposant que tous les sites marchands disposent d’un système de lutte contre la fraude efficace et en extrapolant ces analyses à l’ensemble du e-commerce français, soit 45 milliards d’euros de chiffre d’affaires1, les tentatives de fraude auraient représenté plus de 1,7 milliard d’euros en 2012.

Professionnalisation et industrialisation de la fraude dans le e-commerce

Selon Certissim, deux facteurs ont contribué à l’augmentation du risque de fraude sur Internet ces dernières années. D’une part, la démocratisation de la vente en ligne a créée de nouvelles opportunités, tant en volume qu’en valeur, pour les fraudeurs. D’autre part, le secteur a fait face à l’arrivée de nouveaux fraudeurs, professionnels, intégrés au sein d’organisations criminelles, améliorant sans cesse leurs méthodes et cherchant à industrialiser la fraude afin de maximiser le gain.

Cette industrialisation est la différence majeure entre un fraudeur opportuniste et un fraudeur professionnel. Le premier ne donne pas suite à sa tentative lorsqu’elle est réussie alors que le second réitèrera autant que possible une fraude aboutie. Les secteurs traditionnellement fraudés, tels que l’électroménager, la téléphonie et la parfumerie restent parmi leurs cibles de choix. « Néanmoins, le contexte économique fait que toute marchandise est susceptible d’être fraudée et revendue, de l’alimentaire aux voyages jusqu’aux couches pour bébés » explique Alexandre Arcouteil, Responsable d’Activité Certissim.

Usurpations d’identités et procédés frauduleux

Cette professionnalisation implique une structuration des réseaux de fraudeurs. En amont des commandes, ils ont un besoin de données usurpées. Cet aspect est alimenté par des vols ayant lieu dans la vie de tous les jours comme sur Internet, par le biais de phishing ou de hacking. Les fraudeurs utilisent toutes sortes de données, coordonnées bancaires ou simple adresse de livraison. Elles leur permettent d’effectuer des commandes frauduleuses sur Internet en minimisant les risques d’être repérés. Juste après la commande, ils ont un besoin d’intermédiaires complices ou non pour récupérer les marchandises. Le fraudeur peut embaucher une personne honnête, une « mule », via des sites de petites annonces. Son travail est de réceptionner et réexpédier des colis depuis son domicile, sans savoir qu’il s’agit de marchandises volées.

Enfin, ces réseaux ont besoin de débouchés. Les marchandises doivent être revendues, ce qui sous-entend l’existence d’un marché parallèle et d’acheteurs potentiels, ce que datasecuritybreach.fr, ou encore zataz.com vous présente souvent dans leurs colonnes. Certissim rappelle que la vigilance est indispensable pour les e-commerçants comme pour les particuliers afin de se prémunir contre la fraude et les usurpations. Par exemple, appliquer une gommette sur le code CVV2 de la carte bancaire permet de limiter les risques de vol des données au moment d’un règlement en magasin.

2012, Certissim observe un taux de tentatives de fraude de 2,98 % (en nombre) alors que le taux de fraudes abouties n’est que de 0,10 %, soit moins d’une tentative sur trente se traduisant par un impayé frauduleux pour le e-commerçant. Le panier moyen des impayés frauduleux retrouve un niveau équivalent à celui de 2010 à 297 euros, soit 8 % de moins qu’en 2011 (323 euros). Cela s’explique par le fait que les fraudeurs ont compris que les paniers élevés faisaient systématiquement l’objet de contrôles. En conséquence, leurs tentatives portent désormais sur des montants moins importants mais leur nombre a augmenté. La forte capacité d’adaptation des méthodes employées pour détecter les fraudes est également à l’origine de la baisse de ce panier moyen. L’extrapolation des résultats des analyses de Certissim à l’ensemble du marché français identifié par la Fevad, soit 45 milliards d’euros de chiffre d’affaires, montre que l’impact de la fraude reste important. L’ensemble des tentatives de fraude se chiffrerait à plus de 1,7 milliard d’euros en 2012. La cybersécurité et la mutualisation des connaissances doivent donc être plus que jamais des éléments clés de la stratégie des e-commerçants, d’autant plus que tous ne disposent pas des mêmes moyens de contrôle.

Depuis 2000, FIA-NET édite un Livre Blanc annuel consacré à la fraude à la carte bancaire sur Internet. Sa finalité est d’apporter une vision objective de la fraude sur le marché du e-commerce et ainsi d’être un outil d’aide pour les marchands souhaitant optimiser leur gestion de la fraude. Le Livre Blanc Certissim présente les grands indicateurs de la fraude sur Internet, grâce aux chiffres provenant des déclarations d’incidents de paiement de ses sites marchands clients et des fraudes détectées par Certissim. Le savoir-faire de Certissim et son implication dans la lutte contre la fraude lui permet également de détailler les nouvelles techniques des cybercriminels.

ID, Particuliers

Documents électroniques d’identité (eID et e-Passeport): quels sont les défis à relever ?

La gestion des documents d’identité est en pleine mutation : avec la généralisation des programmes de cartes nationales d’identification électronique (appelés également CNIe), les gouvernements souhaitent déployer un véritable bouclier contre les fraudes et la contrefaçon à grande échelle. Cependant, certains programmes nationaux prennent du retard – notamment en France – et certains écueils ne semblent toujours pas résolus.

Quels sont les défis technologiques auxquels les administrations et gouvernements doivent faire face ?
Sur le terrain, la sécurité des documents officiels d’identité reste une préoccupation majeure : les populations n’ont jamais été aussi mobiles et nous sommes toujours plus nombreux à passer les frontières ; du côté de l’administration électronique, le but est de gagner en simplicité. Car les administrations ont besoin non seulement de documents d’identification robustes et multiservices bénéficiant d’une sécurité optimale, mais facilitant aussi les mouvements transfrontaliers et l’accès à des services sociaux ou de santé.

En 2015, 85% des documents d’identification seront électroniques, et les gouvernements qui proposeront ces CNIe seront jusqu’à 4 fois plus nombreux que ceux qui resteront sur des formats plus classiques (sans technologie), selon l’analyste Acuity Market Intelligence. L’utilisation d’identifiants multi-applicatifs semble devenir la norme pour le développement de carte d’identité multiservice et durable, et, dans ce contexte, la prévention des fraudes, le déploiement de programmes de bout en bout et l’expertise en matière d’intégration sont essentiels pour le développement de programmes d’identification nationaux.

Il s’agit, en effet, d’éliminer les problématiques d’interopérabilité technologique, d’assurer les mises à jour des cartes existantes et des systèmes sous-jacents, et d’encourager la longévité des documents d’identification, autant de vecteurs qui peuvent induire des coûts supplémentaires. C’est la raison pour laquelle une expertise en matière de conception, de technologie et de fabrication est essentielle pour s’assurer que les documents d’identification soient conformes aux normes internationales qui régissent leurs dimensions, leur sécurisation, leurs fonctionnalités et leur longévité.

Une longévité optimale
La longévité des documents d’identification est un point crucial : ces documents doivent en effet résister à une utilisation intensive et à différents vecteurs d’usure. Les matériaux comme le polycarbonate se sont imposés en tant que matériau de choix en matière de durabilité et de résistance. On note néanmoins que l’ajout de technologies intelligentes embarquées telles que le RFID ou les puces avec ou sans contact pourraient être considérés comme des freins potentiels à la durabilité des supports en plastique.

Ce constat est à l’origine du développement de nouvelles technologies qui, à l’image de la technologie polycarbonate prévenant la formation de fissure, brevetée de HID Global, assure l’intégrité de la structure des documents d’identification.

La mise à jour des documents d’identification
Le retour sur investissement des programmes CNIe évolués fait l’objet de nombreux débats. En effet, les discussions portent notamment sur l’investissement initial du projet, qui varie selon les fonctionnalités et la durée de vie des cartes d’identité. La possibilité et le processus de mise à jour des cartes déjà en circulation sont essentiels en matière de conception du programme et d’allocation des budgets.

Pourquoi en effet payer pour une carte qui devra être rapidement renouvelée (par ex. suite à un changement d’adresse)? Dans un tel scénario, les cartes à puce déployées dans le cadre d’applications embarquées et sécurisées de gestion des données peuvent être mises à jour. Grâce à ces programmes, la mise à niveau des informations sur la carte est assurée, incluant la possibilité de télécharger de nouvelles applications ou d’activer de nouveaux services, dès que ces derniers sont disponibles. Cette évolutivité offre aux gouvernements la possibilité d’étendre leurs programmes de manière sécurisée, même lorsque les cartes sont déjà entre les mains des citoyens.

Des technologies innovantes, telles que l’OSM (Optical Security Media) facilitent les mises à jour des documents d’identification en circulation. D’ailleurs, cette technologie a fait ses preuves et a été utilisée dans le cadre de la délivrance des permis de résident américains dits « Green Cards » . L’information présente sur la piste optique de ces cartes ne peut être modifiée de manière frauduleuse, et ne peut être mise à jour que par des instances légitimes, le tout, sans avoir à remplacer la carte.
 
Un document d’identification valable 10 ans, durera-t-il vraiment 10 ans ?
Le remplacement des cartes d’identité traditionnelles par des cartes de type eID, l’intégration d’une ou de plusieurs technologies de carte à puce en d’identification, et l’innovation qui favorise la durabilité des cartes sont autant de leviers qui assurent la pérennité des identifiants de demain.

Dans les 5 années à venir, les priorités porteront sur les fonctionnalités des cartes multi-technologiques, davantage d’intégration au niveau de la conception des cartes, l’amélioration des systèmes de délivrance, les différentes possibilités de mise à jour, et l’innovation en matière de production des cartes. Ce sont ces facteurs, entre autres, qui feront de la carte d’identité à puce, valable 10 ans, une réalité. (Par Craig Sandness, pour Data Security Breach, Vice-président chez HID Global, en charge des solutions d’identification officielle.)

Argent, Cyber-attaque, Cybersécurité

Cyber criminels se penchent sur Bitcoin

2 commentaires

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Argent

Faille pour BitCoin Central

Un commentaire

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Particuliers

Les failles fatales de la neutralité du Net selon le CNNum

Un commentaire

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Arnaque, escroquerie, Particuliers, Scam

Les scammeurs lancent leurs campagnes de malwares sur le thème des vacances

Le secteur du tourisme ayant déjà commencé à communiquer sur leurs offres d’été, les scammeurs suivent la tendance et mettent en place des campagnes de spam contenant des malwares sur le thème des vacances. Ce sont les e-mails de confirmation de vol qui sont les plus utilisés cette année, suivis des offres d’hôtel, des offres de croisières somptueuses et de prêts divers pour les vacances. BitDefender s’en fait l’écho auprès de DataSecurityBreach.fr et alerte les internautes.

Pendant la saison, 6% de l’ensemble du spam concerne le thème des vacances. Et si l’on comptabilise 1.8 million de spams standards par jour, environ 108 000 messages sont sur le thème des vacances au plus fort de la saison, parmi lesquels les fausses confirmations de vol qui sont les plus répandues. Les e-mails de confirmation ou les reçus issus de compagnies aériennes constituent environ 60% de l’ensemble du spam sur le thème des vacances d’été cette année. Ces messages délivrent généralement des malwares dans une pièce jointe ou comportent un lien vers des pages Web malveillantes.

Le second type de scam saisonnier le plus fréquent est la fausse newsletter présentant de fausses bonnes affaires pour les réservations à l’avance de séjours de luxe dans le monde entier. Ces messages sont rédigés dans différentes langues selon les destinations qu’ils proposent. Les croisières, les offres d’assurance de voyage et les prêts vacances sont également utilisés pour séduire tous ceux qui préparent la parfaite escapade estivale.

Bitdefender a également découvert que Delta Air Lines et US Airways étaient les entreprises les plus ciblées, puisqu’elles comptent parmi les plus grandes compagnies aériennes aux États-Unis, offrant leurs services à des millions de clients à travers le monde. Il est en effet logique que plus les clients sont nombreux à utiliser un service, plus il y a de chances que les scams fonctionnent. Pour vous protéger, suivez les conseils de DataSecurityBreach.fr qui vous permettront d’organiser et de profiter de vos vacances en toute sécurité :

Renseignez-vous sur le site Web que vous utilisez avant de réserver un vol ou un hôtel.

Consultez les opinions des autres utilisateurs sur les sites Web de vente de billets/de réservation. Lisez leurs commentaires et leurs avis au sujet des services de ces sites.

Essayez d’entrer en contact avec un représentant de l’entreprise afin d’obtenir autant d’informations que possible sur le lieu de vacances.

Ne cliquez pas sur les liens inclus dans les e-mails, surtout si vous n’avez pas expressément demandé des renseignements sur des offres de voyage ou réalisé des réservations de vol/hôtel et n’ouvrez jamais les fichiers joints à ce type d’e-mails.

Lorsque vous partez en vacances, ne l’annoncez pas sur les réseaux sociaux. Une maison vide peut être extrêmement tentante pour des cambrioleurs. En effet, sécuriser les informations que vous mettez en ligne  peut aussi contribuer à protéger votre environnement physique.

Évitez de réaliser des achats en ligne ou de consulter des comptes bancaires lorsque vous utilisez des hotspots Wifi tels que ceux des aéroports, des cafés ou des centres commerciaux. Ne le faites pas non plus dans un hôtel.

Cyber-attaque, Particuliers

Attaque de masse : des milliers de données de Français piratées

6 commentaires

Un fichier malveillant réussi, en quelques heures, à voler des milliers de logins et mots de passe de Français crédules. Un pirate informatique a diffusé un fichier malveillant, en multi-urls, proposant de télécharger un logiciel de création de code StarPass. Bien évidemment, derrière ce pseudo programme, promu par des vidéos sur Youtube, ce cache un logiciel d’espionnage. Mission du « malveillant », intercepter les logins et mots de passe pouvant trainer sur les ordinateurs des victimes.

Le « fouineur », il utilise un email dixi7z@xxxx.ch a mis la main sur plusieurs milliers d’informations de Français : sites web, logins, emails, mots de passe. Par un tour de magie, la rédaction de Data Security Breach a pu mettre la main sur les données volées.

Zataz.com, via son protocole d’alerte, a  alerté l’ensemble des internautes touchés par cette infiltration malveillante. Plus de 700 personnes sont concernées avec des accès à des boutiques en ligne, des comptes Googles, Facebook, sites Internet, forums, accès wifi (SFR, FREE, …), clés Windows.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !