Archives de catégorie : Justice

Assurance cyber sécurité, Cybersécurité, Entreprise, Justice

Root écope de 900 000 € d’amende pour avoir exposé les données de 45 000 clients

New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.

L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.

Une faille de sécurité massive exploitée par des cybercriminels

Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.

La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.

Une sanction financière et des mesures de sécurité renforcées

En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.

Une série de mesures contre le secteur de l’assurance

Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.

Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.

backdoor, Cybersécurité, Justice

Prison ferme requise contre une vendeuse de téléphones Encrochat

Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.

Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.

« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.

La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.

La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.

Une activité très rentable

Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.

Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.

« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.

Le tournant décisif de juillet 2020

L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.

Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.

De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.

Une peine exemplaire pour marquer les esprits

Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.

« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.

La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.

Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !

La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.

Cybersécurité, Justice

La justice annule la condamnation de Paige Thompson pour le piratage de Capital One

Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.

Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.

Un piratage d’une ampleur exceptionnelle

Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.

L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.

Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.

Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».

Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.

Une peine jugée trop clémente

Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.

La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.

« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.

La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.

Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.

Une décision aux implications plus larges

L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.

Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.

L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.

Cybersécurité, Justice

La cybercriminalité en France en 2024 : analyse des 348 000 infractions enregistrées

En 2024, la cybercriminalité en France a atteint un niveau alarmant avec 348 000 infractions enregistrées. Les atteintes aux biens, aux personnes et aux institutions progressent.

La cybercriminalité continue de croître en France. En 2024, les services de sécurité ont recensé 348 000 crimes et délits liés au numérique, confirmant une tendance préoccupante. Si les atteintes aux biens numériques restent majoritaires, les infractions visant les personnes, les institutions et les législations spécifiques au numérique enregistrent une forte hausse. Le profil des victimes révèle des disparités notables : les femmes sont plus souvent ciblées par des atteintes aux personnes, tandis que les hommes sont davantage concernés par les infractions liées aux biens. Le recours à la plateforme Thésée pour signaler les escroqueries numériques se développe, traduisant une prise de conscience croissante du phénomène. Cette analyse met en lumière la nécessité d’adapter les dispositifs de prévention et de répression face à une cybercriminalité qui se complexifie.

Les atteintes numériques aux biens : une baisse légère mais une menace persistante

En 2024, les atteintes numériques aux biens restent la catégorie d’infractions la plus fréquente, représentant 226 300 cas. Ce chiffre marque une légère baisse de 1 % par rapport à 2023, signalant une stabilisation relative après plusieurs années de hausse.

Parmi ces infractions :

  • 50 800 plaintes ont été déposées via la plateforme Thésée, dédiée aux escroqueries numériques.
  • Les atteintes aux biens numériques incluent le vol de données bancaires, la fraude en ligne, le piratage de comptes, ainsi que les arnaques à la fausse identité.

 « 50 800 escroqueries numériques signalées via Thésée en 2024, confirmant l’ampleur du phénomène. »

Bien que la tendance globale soit à la baisse, la menace reste préoccupante en raison de la sophistication croissante des techniques utilisées par les cybercriminels. L’augmentation des méthodes de phishing (hameçonnage) et des ransomwares (logiciels de rançon) illustre cette adaptation constante des fraudeurs.

Les atteintes numériques aux personnes : une hausse inquiétante

En 2024, les atteintes numériques aux personnes ont connu une augmentation marquée de 7 %, atteignant 103 300 infractions. Ce chiffre reflète la montée des cyberharcèlements, des usurpations d’identité et des atteintes à la vie privée.

Les victimes sont majoritairement des femmes :

  • 66 % des victimes majeures sont des femmes.
  • 70 % des victimes mineures sont également des filles.

Ce déséquilibre souligne la vulnérabilité accrue des femmes face à certaines formes de violence numérique, notamment le revenge porn (diffusion non consentie d’images intimes) et le cyberharcèlement sexuel.

« Deux tiers des victimes d’atteintes numériques aux personnes sont des femmes, révélant une vulnérabilité spécifique. »

La progression constante des cyberattaques ciblant les individus appelle une réponse renforcée, notamment à travers une sensibilisation accrue des jeunes publics et un accompagnement juridique adapté.

Service de Veille ZATAZ – 96% de satisfaction

Les atteintes numériques aux institutions et aux législations spécifiques : une croissance rapide

Atteintes numériques aux institutions

Les attaques visant les institutions (administrations, entreprises publiques, collectivités) ont également progressé de 7 % en 2024, avec 1 700 infractions recensées.

  • Les attaques par déni de service (DDoS) et les intrusions dans les réseaux informatiques sont les techniques les plus employées.
  • Les attaques ayant pour objectif de déstabiliser les services publics ou de voler des données sensibles sont en augmentation.

Atteintes aux législations spécifiques

Les infractions liées aux législations numériques (non-respect du RGPD, violation des droits d’auteur, contenus illicites) progressent plus rapidement, avec une hausse de 10 % en 2024 pour atteindre 1 500 infractions.

  • La forte augmentation du nombre de personnes mises en cause pour ce type d’infractions (+41 %) illustre la complexité croissante des litiges numériques.
  • Les sanctions liées aux infractions numériques sont également en augmentation, traduisant une volonté des autorités de renforcer la réponse judiciaire face à ces délits.

Le profil des auteurs : des tendances qui se confirment

Le nombre de personnes mises en cause pour des infractions numériques progresse également :

  • +3 % pour les atteintes numériques aux biens.
  • +6 % pour les atteintes numériques aux personnes.
  • +14 % pour les atteintes numériques aux institutions (contre +30 % sur la période 2016-2023).
  • +41 % pour les infractions aux législations numériques (contre +2 % sur la période 2016-2023).

Cette hausse rapide du nombre de mises en cause montre une professionnalisation des cybercriminels, souvent organisés en réseaux. Les atteintes directement dirigées contre les infrastructures numériques (piratage, virus, attaques DDoS) ont reculé de 4 % en 2024, avec 17 100 infractions recensées. Cette baisse pourrait s’expliquer par le renforcement des dispositifs de cybersécurité déployés par les institutions publiques et les grandes entreprises. Cependant, les cybercriminels adaptent constamment leurs méthodes, rendant cette baisse potentiellement temporaire.

Type d’atteinte Nombre d’infractions (2024) Évolution par rapport à 2023 Nombre de mises en cause (2024) Évolution des mises en cause
Atteintes aux biens 226 300 -1 % +3 % Stabilité
Atteintes aux personnes 103 300 +7 % +6 % Hausse constante
Atteintes aux institutions 1 700 +7 % +14 % Ralentissement
Atteintes aux législations spécifiques 1 500 +10 % +41 % Forte hausse
ASTAD 17 100 -4 % Non communiqué

Pour rester informé des dernières menaces numériques et des bonnes pratiques de sécurité, abonnez-vous à notre newsletter cyber et suivez-nous sur WhatsApp.

Cybersécurité, IA, Justice

Trump dynamite la protection des données : vers un open bar numérique ?

La récente décision de l’administration Trump de démanteler le Privacy and Civil Liberties Oversight Board (PCLOB) marque un tournant critique dans les relations transatlantiques en matière de protection des données.

Depuis des années, l’Europe tente de résister aux assauts américains sur la protection des données. Mais si vous pensiez que la bataille était déjà un champ de ruines, Trump vient d’arriver avec un bulldozer. Le président républicain supprime les dernières barrières juridiques qui protégeaient les citoyens étrangers contre la collecte et l’exploitation massive de leurs informations personnelles par les entreprises américaines.

Une privacité numérique déjà en miettes

Le Cloud Act et le Patriot Act avaient déjà sérieusement entaillé la vie privée numérique. Le Privacy Shield, censé encadrer le transfert des données entre l’Europe et les États-Unis, a été invalidé deux fois (2015 et 2020) par la Cour de justice de l’UE pour non-respect du RGPD et des droits fondamentaux. Aujourd’hui, les entreprises européennes qui utilisent AWS, Microsoft ou Google verront leurs données encore plus exposées.

L’IA américaine et la surveillance globale

Les données collectées alimenteront directement les modèles d’intelligence artificielle made in U.S.A. Grok 3, le dernier-né d’Elon Musk, s’entraîne déjà sur tous les échanges de X (ex-Twitter) et sur les informations exfiltrées par ses DOGE kids. Si demain, plus aucune restriction ne protège les données étrangères, ce sont des milliards d’informations personnelles qui nourriront ces modèles et renforceront les capacités de surveillance de l’État américain.

Les implications sont immenses. Non seulement les entreprises privées américaines, mais également le gouvernement des États-Unis, auront accès à une quantité illimitée de données européennes. Une surveillance renforcée s’installe, avec un contrôle accru sur les flux d’informations, les transactions commerciales et même les interactions sociales.

Le Royaume-Uni : un précédent inquiétant

Apple a annoncé ne plus pouvoir proposer de chiffrage avancé sur son cloud au Royaume-Uni, une décision qui, selon la presse américaine, ferait suite à une demande des autorités britanniques d’accéder aux données de ses utilisateurs. L’entreprise californienne affirme qu’elle n’a jamais mis en place de « porte dérobée » ou de « clé principale », mais le gouvernement britannique aurait demandé un accès aux données stockées sur le cloud, au nom de la sécurité nationale.

Cette affaire illustre comment les gouvernements exercent une pression croissante sur les entreprises technologiques pour accéder aux informations privées des citoyens. Les utilisateurs britanniques d’Apple qui n’avaient pas activé la fonction « protection avancée des données » (ADP) ne pourront plus le faire. Ceux qui l’ont déjà activée devront la désactiver sous peine de voir leurs services réduits.

Conséquences directes : Une réduction drastique des protections pour les données personnelles. Une augmentation du risque de surveillance gouvernementale. Une remise en cause du chiffrement des sauvegardes iCloud, des photos, notes et mémos vocaux.

L’Europe doit-elle enfin se défendre ?

L’UE et la Suisse sont-elles prêtes à faire face ? Voient-elles seulement le vent tourner ? Quand nos échanges, nos décisions, nos savoirs deviennent une matière première pour d’autres, ce n’est plus seulement une fuite, c’est une perte de souveraineté.

L’Union européenne, face à l’invalidation du Privacy Shield, peine à trouver une solution. Le RGPD, bien que strict, se heurte aux réalités technologiques et à la puissance des géants américains du numérique. Le risque est immense : une dépendance totale au cloud américain, et donc une vulnérabilité accrue face à la collecte massive des données européennes.

Faut-il enterrer définitivement l’idée d’un Privacy Shield 3 ou est-ce le moment de sortir du piège d’un cloud américain en mode open bar ?

Ce qui se joue ici n’est pas qu’une question de vie privée, mais bien de survie numérique. L’Europe doit-elle se résoudre à devenir une colonie digitale des États-Unis, ou peut-elle encore défendre sa souveraineté ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Banque, Cybersécurité, Justice

Blanchiment d’argent : Près de 2 millions de comptes mules détectés en 2024

En 2024, près de 2 millions de comptes bancaires ont été identifiés comme mules financières, révélant l’ampleur croissante du blanchiment d’argent à l’échelle mondiale.

Le blanchiment d’argent demeure une menace persistante pour le système financier international. Selon un rapport de BioCatch, spécialiste en détection de fraude numérique, environ 2 millions de comptes mules ont été signalés en 2024 par 257 institutions financières réparties dans 21 pays sur cinq continents. Ces comptes, utilisés pour dissimuler l’origine de fonds illicites, illustrent les méthodes sophistiquées employées par le crime organisé. Les jeunes adultes, notamment ceux âgés de 25 à 35 ans, sont particulièrement ciblés pour servir de passeurs d’argent, souvent attirés par la promesse de gains faciles. Cette situation souligne l’urgence de renforcer les mesures de prévention et de sensibilisation pour contrer cette forme de criminalité financière.

Les comptes mules : un maillon essentiel du blanchiment d’argent

Les comptes mules sont des comptes bancaires utilisés par des criminels pour transférer des fonds d’origine frauduleuse, rendant ainsi plus difficile la traçabilité de l’argent sale. Les titulaires de ces comptes, appelés « mules financières », sont souvent recrutés par le biais d’annonces promettant des gains rapides et faciles. Selon la société, les 2 millions de comptes mules signalés en 2024 ne représentent probablement qu’une fraction des comptes utilisés ou dormants au sein des 44 000 institutions financières dans le monde.

Les jeunes adultes : une cible privilégiée

Les criminels ciblent principalement les jeunes adultes pour servir de mules financières. Au Royaume-Uni, près des deux tiers des passeurs de fonds ont moins de 30 ans. Aux États-Unis, la tranche d’âge la plus vulnérable se situe entre 25 et 35 ans. Ces jeunes sont souvent attirés par la perspective d’une rémunération facile et peu risquée, sans être pleinement conscients des conséquences légales de leurs actions.

Sanctions sévères et risques encourus

Participer au blanchiment d’argent en tant que mule financière expose à des sanctions pénales sévères. Aux États-Unis, la peine moyenne pour blanchiment d’argent est de 71 mois d’emprisonnement. En France, cette infraction est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. De plus, les mules financières peuvent également être tenues responsables des dettes contractées sur les comptes utilisés pour les transactions illicites.

L’essor des réseaux de blanchiment d’argent

Le rapport intitulé « Réseaux mondiaux de passeurs d’argent : l’utilisation de l’intelligence comportementale et des appareils pour faire la lumière sur le blanchiment d’argent » met en lumière la complexité des réseaux de blanchiment d’argent. Ces réseaux utilisent divers types de mules pour transférer des fonds illicites, rendant la détection et la prévention du blanchiment d’argent de plus en plus difficiles.

Augmentation des cas de blanchiment d’argent

Entre 2019 et 2023, les cas de blanchiment d’argent aux États-Unis ont augmenté de 14%. Cette hausse peut être attribuée à une attention accrue portée à ce phénomène, à une amélioration des techniques de détection, ou à une augmentation réelle de l’activité criminelle. Quoi qu’il en soit, cette tendance souligne la nécessité de renforcer les efforts de lutte contre le blanchiment d’argent à l’échelle mondiale.

Cybersécurité, Entreprise, Justice

GoDaddy épinglé par la FTC : Un avertissement pour le secteur de l’hébergement Web

La FTC US exige des réformes drastiques de GoDaddy suite à plusieurs failles de cybersécurité majeures. Cette décision souligne l’importance croissante de la sécurité des données dans un monde numérique en constante évolution.

La Federal Trade Commission (FTC) des États-Unis a frappé un grand coup en pointant du doigt les manquements de GoDaddy, un acteur majeur de l’hébergement Web, en matière de cybersécurité. L’agence accuse l’entreprise d’avoir échoué à mettre en œuvre des mesures de sécurité conformes aux normes du secteur, entraînant des violations critiques entre 2019 et 2022. Des millions de petites entreprises qui dépendent de GoDaddy pour sécuriser leurs sites Web ont été exposées à des attaques, redirigeant parfois les utilisateurs vers des sites malveillants et compromettant leurs données personnelles. Cette décision marque un tournant pour les entreprises technologiques, en rappelant que les défaillances en matière de cybersécurité ne resteront pas impunies. Retour sur une affaire qui résonne dans tout le secteur numérique.

Des lacunes de cybersécurité au cœur du problème

Entre 2019 et 2022, GoDaddy a été confronté à des failles de sécurité répétées, mettant en lumière des lacunes significatives dans sa gestion des cybermenaces. Ces incidents ont permis à des pirates informatiques d’accéder aux données sensibles des clients et de détourner des visiteurs vers des sites malveillants. Selon la FTC, l’entreprise n’a pas respecté des pratiques de base comme la mise à jour régulière des logiciels ou l’isolation des plateformes d’hébergement partagé, pourtant indispensables pour garantir la sécurité des données.

Une analyse approfondie de ces incidents révèle que GoDaddy a également manqué à son devoir de transparence envers ses clients. L’entreprise aurait exagéré ses efforts pour sécuriser ses services, affirmant se conformer aux cadres internationaux en matière de protection des données. Ces affirmations trompeuses ont aggravé les préjudices subis par les consommateurs, déjà victimes de violations.

Ces manquements soulignent un défi global pour l’industrie de l’hébergement Web, où les exigences en matière de sécurité deviennent de plus en plus complexes. La FTC a comparé cette situation à celle de Marriott, une autre entreprise sommée de réformer ses pratiques après plusieurs violations de données. Dans un secteur où la confiance est essentielle, l’affaire GoDaddy envoie un message fort : négliger la cybersécurité peut avoir des conséquences graves, non seulement pour les entreprises, mais aussi pour leurs millions de clients.

Les mesures imposées par la FTC

Pour corriger ces lacunes, la FTC a imposé à GoDaddy un ensemble de réformes strictes. Parmi les exigences clés figurent la création d’un programme de sécurité de l’information complet, l’évaluation externe régulière de ce programme, et l’interdiction pour GoDaddy de publier des déclarations trompeuses concernant ses pratiques de sécurité.

Un programme de sécurité renforcé. GoDaddy devra désormais mettre en place des mécanismes avancés pour analyser et répondre aux menaces. Cela inclut la gestion proactive des mises à jour logicielles et la surveillance continue des incidents de cybersécurité. Ce programme devra être conforme aux normes internationales et être audité tous les deux ans par un tiers indépendant.

Transparence accrue. La FTC insiste également sur une communication honnête envers les clients. Toute exagération sur les capacités de sécurité sera désormais considérée comme une infraction. Cette transparence est cruciale pour rétablir la confiance, essentielle pour les petites entreprises qui dépendent de ces services.

Cette décision fait écho à une tendance plus large où les régulateurs demandent aux entreprises de technologie de respecter des normes plus élevées. Alors que le nombre d’incidents de cybersécurité continue de croître, les entreprises comme GoDaddy sont de plus en plus tenues responsables de leurs défaillances. Cette affaire pourrait bien servir de modèle pour d’autres actions similaires dans le futur.

Un signal d’alarme pour l’industrie

L’affaire GoDaddy met en lumière un problème systémique dans le secteur de l’hébergement Web : une sous-estimation des cybermenaces. Alors que des millions de petites entreprises et particuliers confient leurs données à des fournisseurs comme GoDaddy, ces derniers doivent impérativement investir dans des infrastructures de sécurité robustes.

La pression des régulateurs. En imposant des mesures strictes, la FTC envoie un message clair : aucune négligence ne sera tolérée. Pour les entreprises d’hébergement Web, cela signifie un changement de paradigme. Désormais, la cybersécurité ne peut plus être reléguée au second plan ; elle doit devenir une priorité stratégique.

L’importance de l’éducation des consommateurs. Les utilisateurs doivent également être conscients des risques associés à la sécurité en ligne et demander des garanties solides à leurs fournisseurs. Des outils comme l’authentification à deux facteurs ou la sauvegarde régulière des données peuvent faire une différence significative.

Enfin, cette affaire souligne l’importance de partenariats solides entre régulateurs et entreprises pour renforcer l’écosystème numérique. Alors que les cyberattaques deviennent de plus en plus sophistiquées, seule une approche collective permettra de relever ce défi.

La décision de la FTC contre GoDaddy marque un tournant dans la régulation des pratiques de cybersécurité. Les entreprises technologiques doivent désormais adopter des normes élevées pour protéger les données de leurs clients. Pour les professionnels et les particuliers, c’est un rappel que la sécurité en ligne n’est pas optionnelle.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, loi

La Russie renforce les restrictions sur les hébergeurs étrangers

Roskomnadzor a restreint l’accès à de nombreux hébergeurs étrangers pour non-conformité à la législation russe. AWS et GoDaddy viennent de rejoindre la liste des interdits.

Roskomnadzor (RKN), l’autorité de régulation des communications en Russie, continue de durcir ses mesures contre les hébergeurs étrangers qui ne respectent pas les exigences de la loi dite « d’atterrissage » (loi fédérale n° 236-FZ). Après avoir limité l’accès à huit fournisseurs en mars et avril 2024, le régulateur vient de bloquer Amazon Web Services (AWS) et GoDaddy, laissant seulement Hetzner Online GmbH et FastComet hors de ces restrictions.

La loi impose aux entreprises étrangères fournissant des services en Russie d’ouvrir des bureaux locaux, de créer un compte officiel sur le site de Roskomnadzor et de fournir un formulaire de contact pour les citoyens et organisations russes. Les fournisseurs qui ne respectent pas ces obligations sont non seulement bloqués, mais leurs sites peuvent être marqués comme non conformes dans les résultats des moteurs de recherche russes, compliquant davantage leur visibilité et leur accessibilité.

Depuis le printemps 2024, Roskomnadzor a progressivement restreint l’accès aux services de huit hébergeurs étrangers, invoquant leur non-respect des dispositions prévues par la loi fédérale n° 236-FZ. Ces restrictions ont concerné des sociétés majeures, parmi lesquelles :

Kamatera Inc. (25 mars 2024)
HostGator.com LLC (29 mars 2024)
DigitalOcean LLC (10 avril 2024)
DreamHost LLC (3 avril 2024)

Conformément à la loi, ces entreprises auraient dû créer un compte personnel sur le site de Roskomnadzor. Publier un formulaire de commentaires pour les citoyens et organisations russes. Ouvrir un bureau local pour gérer leurs opérations en Russie. Les Américains et l’Europe imposent aussi ce type de contrôle.

Malgré plusieurs avertissements, les fournisseurs n’ont pas respecté les exigences de Roskomnadzor. Le ministére a d’abord utilisé des outils de sensibilisation publique, tels que des avertissements dans les résultats de recherche sur Yandex pour signaler les violations. Lorsque cela n’a pas suffi, le régulateur a imposé des restrictions totales d’accès aux ressources concernées.

Les récentes décisions de Roskomnadzor marquent une escalade dans les tensions entre le régulateur russe et les hébergeurs étrangers. En mai 2024, les sites de deux autres fournisseurs notables, Amazon Web Services (AWS) et GoDaddy, ont été bloqués pour des raisons similaires. AWS et GoDaddy avaient pourtant évité les premières vagues de restrictions, mais leur incapacité à se conformer aux obligations légales a conduit à leur inclusion dans la liste noire. Il faut dire aussi qu’avoir un bureau en Russie n’est plus possible pour Amazon Web Services ou GoDaddy.

Avec ces nouveaux ajouts, seules Hetzner Online GmbH et FastComet restent autorisées parmi les fournisseurs initialement listés par Roskomnadzor. Cependant, leur situation pourrait également changer si elles ne respectent pas rapidement les règles en vigueur. Les moteurs de recherche russes, tels que Yandex, continuent de signaler les entreprises non conformes, rendant difficile leur utilisation pour les citoyens russes.

Ces mesures s’inscrivent dans un cadre plus large visant à limiter la dépendance de la Russie aux infrastructures étrangères et à garantir que les données des utilisateurs russes soient protégées selon les normes locales. Roskomnadzor a également souligné que les hébergeurs étrangers ne pouvaient pas garantir la sécurité des données, évoquant des risques d’accès non autorisé et d’utilisation des serveurs pour diffuser des contenus interdits.

Blocages !

Facebook et Instagram : En mars 2022, Roskomnadzor a bloqué l’accès à ces plateformes, les qualifiant d' »extrémistes » après que Meta Platforms a autorisé des messages appelant à la violence contre les forces russes.

BBC News : Le site de la BBC a été bloqué en mars 2022, les autorités russes accusant les médias occidentaux de diffuser de la désinformation sur l’invasion de l’Ukraine.

Twitter : Bien que Twitter ne soit pas complètement bloqué, son accès est fortement restreint depuis mars 2022, rendant son utilisation difficile pour les internautes russes.

Deezer : Le service de streaming musical Deezer est également inaccessible en Russie depuis mars 2022, dans le cadre des restrictions sur les plateformes occidentales.

Chess.com : En avril 2022, le site d’échecs en ligne a été bloqué après la publication d’articles critiques sur l’invasion russe en Ukraine.

Applications VPN : Depuis juillet 2024, environ 25 services de VPN, dont Proton VPN, ont été retirés de l’App Store en Russie, limitant les moyens de contourner la censure.

YouTube : En août 2024, les autorités russes ont considérablement ralenti l’accès à YouTube, réduisant le débit à environ 128 kilobits par seconde, rendant la plateforme pratiquement inutilisable.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

Argent, Justice

Europol : le minage est utilisé pour le blanchiment de revenus illicites

Selon les données récentes fournies par Europol, le service de police de l’Union européenne, les criminels exploitent les opérations de minage de cryptomonnaies pour dissimuler l’origine de leurs revenus illicites. Cette méthode, en apparence légitime, permet non seulement de blanchir l’argent de manière efficace, mais aussi de générer des bénéfices supplémentaires.

Le minage de cryptomonnaies, processus par lequel de nouvelles unités de monnaie numérique sont créées, est une activité essentielle pour le maintien des réseaux blockchain. Cependant, cette technologie est détournée par des criminels pour masquer l’origine de leurs fonds obtenus illégalement. En investissant dans l’extraction de cryptomonnaies, les fraudeurs peuvent convertir de l’argent sale en actifs numériques, rendant ainsi plus difficile la traçabilité des fonds par les autorités.

Les pools de minage : un outil pour les criminels

Les analystes d’Europol ont identifié des activités suspectes dans certains pools de minage. Ces pools, qui regroupent les ressources de plusieurs mineurs pour augmenter les chances de découvrir de nouveaux blocs, sont parfois utilisés par des escrocs pour lancer des pyramides financières. Un exemple notable est le réseau BitClub, qui promettait des gains grâce à des pools de minage inexistants. Des investisseurs dupés ont ainsi perdu des centaines de millions d’euros.

L’impact des technologies blockchain de deuxième niveau

Les solutions blockchain de deuxième niveau, conçues pour améliorer l’évolutivité et réduire les frais de transaction, posent également des défis pour les forces de l’ordre. Europol souligne que l’utilisation de preuves à divulgation nulle et de protocoles de deuxième niveau complique le suivi des mouvements de fonds sur la blockchain. Ces technologies permettent des transactions plus rapides et moins coûteuses, mais elles rendent également les activités criminelles plus difficiles à détecter.

Le rapport d’Europol indique que les technologies de deuxième niveau, bien qu’avantageuses pour les utilisateurs de cryptomonnaies légitimes, créent des obstacles supplémentaires pour les enquêtes policières. Les transactions utilisant des preuves à divulgation nulle, par exemple, permettent de prouver qu’une transaction est valide sans révéler les détails de celle-ci, compliquant ainsi le travail des enquêteurs. Europol ne détaille pas les problèmes spécifiques engendrés par ces technologies, mais il est clair que la sophistication croissante des outils de dissimulation de transactions exige des méthodes d’investigation plus avancées. Les forces de l’ordre doivent constamment s’adapter pour rester à la hauteur des innovations technologiques utilisées par les criminels.

La sensibilisation et la réglementation comme outils de prévention

Ce premier rapport sur le chiffrement du Hub d’Innovation de l’UE pour la Sécurité Intérieure fournit une analyse complète du chiffrement du point de vue législatif, technique et développemental. Il aborde également des processus judiciaires spécifiques et des décisions de justice concernant le contournement du chiffrement dans les enquêtes criminelles, en particulier en ce qui concerne l’admissibilité des preuves.

Au cours des dernières années, le débat entre la protection des données et l’interception légale a évolué. Alors que les technologies de protection de la vie privée comme le chiffrement de bout en bout (E2EE) et les systèmes de services de communication enrichis (RCS) peuvent empêcher les forces de l’ordre d’accéder aux preuves numériques, diverses initiatives internationales plaident pour une approche équilibrée qui maintienne la cybersécurité et la vie privée sans entraver l’interception légale.

DataSecurityBreach.fr a repéré trois grands points : technologie, législation et financement.

Du côté de la législation, par exemple, le paquet de preuves électroniques vise à améliorer l’accès des forces de l’ordre aux preuves électroniques mais n’oblige pas les fournisseurs de services à déchiffrer les données. Plusieurs décisions de justice, comme celles en France et en Allemagne, ont créé des précédents pour l’utilisation de preuves issues de communications chiffrées. Les législations nationales, comme l’article 558 du Code de procédure pénale néerlandais, permettent désormais aux forces de l’ordre de contraindre les suspects à déverrouiller des appareils dans certaines conditions.

En 2020, les autorités françaises ont réussi à infiltrer le réseau EncroChat, un service de communication chiffré largement utilisé par les criminels. La Cour de cassation française a jugé que les données obtenues par cette infiltration étaient admissibles en tant que preuves dans les affaires criminelles, malgré les objections concernant la vie privée et la légalité de l’opération. Cette décision a permis l’utilisation de communications chiffrées interceptées comme preuves légales dans les enquêtes criminelles, établissant un précédent important en matière de collecte et d’utilisation de preuves numériques.

En allemagne, toujours pour le cas d’EncroChat, le Bundesgerichtshof (Cour fédérale de justice) a confirmé que les données d’EncroChat obtenues par les autorités françaises pouvaient être utilisées comme preuves dans les procédures pénales allemandes. La cour a statué que les preuves obtenues à l’étranger par des moyens légaux étaient admissibles en Allemagne.

Au Pays-Bas, en 2020, les autorités néerlandaises ont utilisé des données interceptées d’EncroChat et SkyECC pour enquêter sur des réseaux criminels. La Cour suprême des Pays-Bas a statué que les preuves obtenues par les autorités canadiennes (SkyECC) et françaises (EncroChat) pouvaient être utilisées dans les procédures judiciaires néerlandaises, confirmant la légalité de l’utilisation de ces preuves.

En Italie, les autorités ont utilisé des données de SkyECC pour enquêter sur des réseaux criminels. La Cour de cassation italienne a statué que les preuves obtenues par Europol et les autorités étrangères étaient admissibles, mais a également souligné l’importance de permettre aux défendeurs de contester la méthode de collecte des preuves pour garantir un procès équitable.

Ensuite, les technologies. L’informatique Quantique est cité dans le rapport d’Europol. Bien qu’aucun ordinateur quantique ne pose actuellement une menace réelle pour le chiffrement, le potentiel de cette technologie à casser les protocoles cryptographiques nécessite une préparation à la cryptographie post-quantique. La cryptomonnaie est affichée comme permettant de blanchir les produits du crime. L’utilisation de monnaies de confidentialité et de preuves à divulgation nulle complique la traçabilité des transactions illicites. La réglementation et la coopération des échanges et des fournisseurs de portefeuilles sont cruciales pour les forces de l’ordre comme le rapporte le rapport d’Europle. Les données biométriques sont protégées dans les cadres juridiques, mais des vulnérabilités existent.

Des technologies comme le chiffrement homomorphe progressent pour mieux sécuriser les systèmes biométriques. Europol revient aussi sur le chiffrement DNS et les nouveaux protocoles comme DoT et DoH qui permettent de chiffrer les requêtes DNS, posant des défis à l’accès légal au trafic DNS. Même son de cloche avec les technologies de Télécommunication. Le chiffrement dans les réseaux 4G et 5G complique l’interception légale.

Le dernier point affiche la recherche et le financement. Le rapport met en lumière les lacunes de la recherche actuelle et la nécessité de financements pour relever les défis liés aux technologies de chiffrement. L’UE a alloué des ressources significatives pour la recherche dans l’informatique quantique, le chiffrement biométrique et d’autres domaines pertinents. Les forces de l’ordre doivent se tenir au courant des avancées technologiques et développer de nouvelles techniques d’enquête. La coopération avec les fournisseurs de technologies et le respect des lois sur la protection de la vie privée sont essentiels pour des enquêtes criminelles efficaces. L’équilibre entre le chiffrement et l’accès légal reste une question contentieuse. Une approche multifacette, incluant le développement de politiques, la coopération internationale et l’innovation technologique, est nécessaire pour relever ces défis. [Europol]

Cybersécurité, Entreprise, Justice

Spy to love me : un espion chez Google

Un ancien ingénieur logiciel de Google a été accusé par les États-Unis d’avoir volé des secrets commerciaux sur l’intelligence artificielle (IA) alors qu’il travaillait secrètement pour deux sociétés chinoises.

Linwei Ding, également connu sous le pseudonyme de Leon Ding, fait face à des accusations aux États-Unis pour avoir dérobé des secrets d’affaires liés à l’intelligence artificielle (IA) de Google, tout en étant employé simultanément par deux entreprises basées en Chine. Inculpé en Californie sur quatre chefs d’accusation, Ding a été arrêté mercredi. Le citoyen chinois est accusé d’avoir subtilisé plus de 500 documents confidentiels. En cas de condamnation, il encourt une peine maximale de 10 ans de prison et une amende de 250 000 $ pour chaque accusation.

À ce jour, aucun représentant légal de Ding n’a été cité pour réagir à ces allégations, selon des rapports de presse locaux. Ding est suspecté d’avoir collecté des informations critiques sur l’infrastructure des data centers de supercalcul de Google, essentiels pour l’hébergement et l’entraînement de vastes modèles d’IA. D’après l’accusation, Google l’avait recruté en 2019 pour développer ce type de logiciel. Il aurait entamé le téléchargement de données depuis le réseau de Google vers un compte personnel en mai 2022, une activité qui s’est étendue sur un an.

Pendant ce temps, il a séjourné plusieurs mois en Chine pour collaborer avec Beijing Rongshu Lianzhi Technology, une startup qui lui avait proposé un poste de directeur de la technologie avec un salaire mensuel de 14 800 $. Il est également le fondateur de Shanghai Zhisuan Technology, une entreprise spécialisée dans l’IA et l’apprentissage automatique, dont il est le PDG. Des tentatives de communication avec Rongshu ont été faites par la BBC, tandis que Zhisuan n’était pas joignable pour commentaire.

Les procureurs soulignent que Ding n’a jamais informé Google de son engagement avec ces sociétés. Selon l’acte d’accusation, il a sollicité l’aide d’une organisation chinoise pour développer son entreprise, qu’il a présentée lors d’une conférence d’investisseurs en Chine en novembre 2023. Il a été dénoncé par Google le mois suivant alors qu’il tentait de télécharger davantage de fichiers en Chine, mais a prétendu à l’enquêteur de Google que c’était pour prouver son affiliation avec le géant tech.

Après son retour aux États-Unis, et à l’insu de Google, Ding aurait planifié un voyage sans retour de San Francisco à Pékin, avant de démissionner le 26 décembre. Google a ensuite suspendu son accès après avoir découvert ses actions durant la conférence, révélant ainsi les téléchargements non autorisés à travers son historique d’activités.

Bitcoin, Cybersécurité, Justice

L’ONU désigne le stablecoin USDT comme principal outil de blanchiment d’argent en Asie

L’ONU pointe du doigt un « système bancaire parallèle » pour les criminels avec l’utilisation du stablecoin USDT Tether.

Les stablecoins émis par Tether, une société de cryptomonnaie, sont devenus un outil de choix pour les blanchisseurs d’argent et les fraudeurs opérant en Asie du Sud-Est, selon un rapport de l’Office des Nations Unies contre la drogue et le crime, cité par le Financial Times. Parmi ces stablecoins, le dollar USDT de Tether se détache comme le favori des criminels, devenant ainsi le troisième actif crypto en capitalisation, avec une valeur d’environ 95 milliards de dollars, derrière Bitcoin et Ethereum.

Le rapport met en lumière l’utilisation active du jeton Tether dans diverses formes de fraude, y compris les schémas de « pig butchering », où les criminels gagnent la confiance de leurs victimes sous prétexte d’une relation romantique pour les inciter à effectuer des transferts de fonds importants.

Ces dernières années, les forces de l’ordre et les agences de renseignement financier ont signalé une augmentation rapide de l’utilisation de schémas de blanchiment d’argent complexes et à grande vitesse, en particulier par des groupes spécialisés dans les transferts clandestins en jetons Tether, révèle le rapport.

Crypto-actifs

Les crypto-actifs ont également stimulé une pratique populaire parmi les groupes criminels organisés d’Asie du Sud-Est, qui utilisent des casinos en ligne illégaux pour blanchir des fonds illicites. Le rapport indique que les plateformes de jeux en ligne, en particulier celles opérant illégalement, sont devenues l’une des méthodes les plus populaires de blanchiment d’argent avec des cryptomonnaies, en mettant particulièrement l’accent sur l’utilisation de Tether.

Jeremy Douglas de l’Office des Nations Unies contre la drogue et le crime a souligné que les groupes criminels organisés ont réussi à créer un système bancaire parallèle en exploitant de nouvelles technologies. La prolifération des casinos en ligne non réglementés, combinée à l’utilisation de cryptomonnaies comme Tether, a renforcé l’écosystème criminel en Asie du Sud-Est.

Le rapport de l’ONU mentionne que ces dernières années, les autorités ont réussi à démanteler plusieurs réseaux de blanchiment d’argent impliqués dans le transfert de fonds illégaux en jetons Tether. Par exemple, en août dernier, les autorités de Singapour ont saisi 737 millions de dollars en espèces et en cryptomonnaies dans le cadre d’une opération de démantèlement. En novembre dernier, Tether a également gelé ses jetons d’une valeur de 225 millions de dollars, suite à une enquête conjointe avec les autorités américaines et la bourse de cryptomonnaies OKX. Ces actifs étaient liés à un syndicat impliqué dans la fraude et la traite des êtres humains en Asie du Sud-Est.

Tether, qu’est-ce que c’est ?

Les stablecoins de Tether, souvent simplement appelés « Tether » ou « USDT » (pour le jeton lié au dollar américain), sont une forme de cryptomonnaie conçue pour maintenir une valeur stable en étant adossée à des réserves d’actifs réels, tels que des devises fiduciaires (comme le dollar américain), de l’or ou d’autres actifs. Ces stablecoins sont émis par une société appelée Tether Limited.

La principale caractéristique des stablecoins, comme le Tether, est de fournir une stabilité de valeur par rapport aux cryptomonnaies plus volatiles telles que le Bitcoin ou l’Ethereum. Par exemple, un jeton Tether lié au dollar américain devrait toujours valoir environ 1 dollar américain.

Le fonctionnement des stablecoins Tether repose sur le principe de la garantie. La société Tether Limited prétend détenir une réserve équivalente de devises fiduciaires (par exemple, des dollars américains) dans des comptes bancaires pour chaque unité de stablecoin Tether en circulation. Cette réserve est censée garantir que chaque jeton Tether peut être échangé contre la devise fiduciaire correspondante à tout moment, ce qui maintient sa stabilité de valeur.

Les stablecoins Tether sont utilisés dans le monde entier pour diverses transactions et activités liées à la cryptomonnaie en raison de leur stabilité. Ils sont notamment utilisés comme une forme de monnaie stable dans le monde des cryptomonnaies, permettant aux investisseurs et aux traders de passer rapidement d’une position volatile à une position stable en utilisant des jetons Tether comme une sorte de refuge.

Cependant, il est important de noter que les stablecoins Tether ont fait l’objet de controverses et de préoccupations concernant leur transparence et la véritable ampleur des réserves sous-jacentes. Certains ont remis en question la capacité de Tether Limited à maintenir ces réserves à 100 % et à fournir une preuve adéquate de leurs actifs sous-jacents. Ces inquiétudes ont suscité des enquêtes réglementaires et des débats au sein de la communauté des cryptomonnaies.

Cybersécurité, Justice, loi

LA FCC ADOPTE DE NOUVELLES RÈGLES PERMETTANT AUX FOURNISSEURS DE SERVICES SANS FIL DE CONTRÔLER L’ÉCHANGE DE CARTES SIM

La Federal Communications Commission (FCC) a pris une mesure décisive pour combattre la fraude par échange de cartes SIM, une pratique qui a causé des pertes financières considérables et continue de sévir dans le monde de la cybercriminalité.

Cette fraude, qui consiste à persuader un opérateur de téléphonie mobile de transférer le service d’une victime sur un appareil contrôlé par des pirates, donne accès à des informations personnelles et des mots de passe. Face à ce problème, la FCC a imposé de nouvelles règles pour renforcer la sécurité dans le secteur.

Exigences renforcées pour les fournisseurs

Les fournisseurs de services sans fil devront désormais adopter des méthodes sécurisées pour authentifier les clients avant de rediriger leur numéro vers un nouvel appareil ou fournisseur. De plus, ils sont tenus d’informer immédiatement leurs clients lorsqu’un changement de carte SIM ou une demande de portage est effectué sur leur compte.

Les nouvelles règles visent à établir un cadre uniforme pour le secteur tout en laissant la flexibilité aux fournisseurs de proposer des mesures de protection avancées et appropriées contre la fraude.

Mise à jour des règles CPNI et de portabilité

Ces règles actualisent les régulations antérieures sur l’Information Réseau Propriétaire des Clients (CPNI) et la portabilité des numéros locaux, renforçant ainsi les mesures de sécurité. Appel à la contribution publique
La FCC encourage le public à proposer d’autres moyens de lutter contre la fraude à l’échange de carte SIM et la fraude au port-out, une arnaque similaire impliquant le transfert de numéro de téléphone vers un nouveau compte contrôlé par des fraudeurs.

Le FBI a rapporté que les pertes dues aux attaques par échange de carte SIM ont atteint plus de 68 millions de dollars en 2021, marquant une augmentation exponentielle depuis 2018.

Réponse de la FCC

Jessica Rosenworcel, présidente de la FCC, souligne l’importance de donner aux abonnés plus de contrôle sur leurs comptes et d’alerter les consommateurs à chaque demande de transfert de carte SIM pour prévenir les activités frauduleuses.

La FCC s’efforce d’améliorer la confidentialité des consommateurs et de mettre fin aux escroqueries aux cartes SIM, reconnaissant le rôle central des téléphones dans nos vies et la nécessité de protéger les informations qu’ils contiennent.

Pour aborder ces enjeux, la FCC a créé un groupe de travail sur la confidentialité et la protection des données, visant à résoudre des problèmes tels que l’échange de cartes SIM et autres défis liés à la sécurité des données.

Ces mesures représentent une avancée significative dans la lutte contre la fraude numérique, protégeant ainsi les consommateurs contre les tactiques de plus en plus sophistiquées des cybercriminels.

Cybersécurité, Justice, loi

Le Canada interdit les applications WeChat et Kaspersky sur les appareils du gouvernement

Le Canada a annoncé l’interdiction de l’utilisation des applications de Tencent et Kaspersky sur les appareils mobiles gouvernementaux. Invoqué, un niveau inacceptable de risque pour la vie privée et la sécurité du pays.

« Le gouvernement du Canada s’engage à assurer la sécurité des informations et des réseaux gouvernementaux« , a déclaré le porte parole du gouvernement canadien. « Nous surveillons régulièrement les menaces potentielles et prenons des mesures immédiates pour faire face aux risques. » Les derniéres mesures en date sont les interdictions de WeChat et des solutions informatiques de la société russe Kaspersky.

Depuis le 30 octobre, WeChat de Tencent et la suite d’applications de Kaspersky ont été supprimées des appareils mobiles émis par le gouvernement. À l’avenir, les utilisateurs de ces appareils ne pourront plus télécharger les applications montrées du doigt.

« Nous adoptons une approche de cybersécurité basée sur les risques en supprimant l’accès à ces applications sur les appareils mobiles du gouvernement« , a déclaré Anita Anand, présidente du Conseil du Trésor, dans un communiqué, ajoutant que les applications « offrent un accès considérable au contenu de l’appareil ».

Les logiciels russes et chinois dans la ligne de mire

Il est vrai qu’un antivirus connait la moindre information de votre ordinateur, le moindre de vos mails, et si vous n’y prenez pas garde enverra des échantillons à la société cachée derrière l’antivirus. Je vous invite a regarder les nombreuses options qui vont dans ce sens, rien que pour l’antivirus de Microsoft, installé dans tous les Windows 10 et 11 de la planète, automatiquement.

WeChat est une application chinoise de messagerie instantanée, de médias sociaux et de paiement mobile développée par Tencent. L’application tout-en-un compte plus d’un milliard d’utilisateurs actifs par mois, ce qui en fait l’une des plus grandes plateformes en ligne.

Kaspersky a déclaré que cette interdiction semble être fondée sur des motifs politiques et que les actions sont « très mal fondées et constituent une réponse au climat géopolitique plutôt qu’une évaluation globale de l’intégrité des produits et services de Kaspersky« .

Cette décision intervient après que le Canada a interdit TikTok, propriété du chinois ByteDance, des appareils gouvernementaux pour des motifs similaires en février 2023. Auparavant, en mars 2022, la Federal Communications Commission (FCC) des États-Unis avait ajouté Kaspersky à la « liste couverte » des entreprises qui présentent un « risque inacceptable pour la sécurité nationale » du pays.

Cybersécurité, Justice

L’affaire REvil devant un tribunal militaire

Des membres du groupe de ransomware REvil seront jugés par un tribunal militaire russe. Ils étaient militaires au moment des faits qu’ils leurs sont reprochés.

L’affaire des pirates informatiques du groupe russophone REvil ne cesse de faire des vagues. Pour rappel, REvil (Aka Sodinokibi) était un groupe de pirates informatiques spécialisés dans l’infiltration d’entreprise et le chantage numérique. Ils seront arrêtés en 2022, avec le soutien du FBI. Le conflit autour du procès REvil l’a vu passer du tribunal militaire au tribunal civil, puis revenir devant les instances militaires.

Parmi les membres de REvil arrêtés et détenus dans les casernes russes figurent un officier du service militaire, Artem Zayets. Il aurait lancé des cyber attaques alors qu’il servait dans l’armée.

Le sac de nœuds judiciaires lié à cette affaire fait rebondir le dossier de manière assez intéressante. D’abord, au mois d’août 2023, la justice refuse que l’affaire soit portée devant un tribunal militaire. L’affaire REvil va ensuite être renvoyée au bureau du procureur général car elle violait la règle de compétence en matière d’enquête. Voici que maintenant, retour à la case départ. Bilan, c’est le tribunal militaire de la garnison de Saint-Pétersbourg qui va se charger de juger tout ce petit monde.

Argent saisi par le FSB

Alors aidé à l’époque par les informations fournies par le FBI, le FSB a perquisitionné 25 domiciles afin d’arrêter 14 personnes soupçonnées d’avoir participé aux opérations du ransomware-as-a-service REvil. Huit vont comparaitre devant le tribunal. Parmi les membres de REvil arrêtés figuraient l’adjudant supérieur de réserve Artem Zaets, Alexey Malozemov, Andrey Bessonov, Mikhail Golovachuk, Roman Muromsky, Dmitry Korotaev, Daniil Puzyrevsky et Ruslan Khansvyarov.

Tous sont accusés d’être, non pas des instigateurs des cyberattaques, mais d’être des mules et d’avoir permis de blanchir l’argent des rançons. Outre la découverte monétaire, les autorités russes ont également confisqué 20 voitures de luxe que les membres de REvil ont achetées avec l’argent obtenu grâce à des attaques de ransomware.

Les membres du ransomware REvil n’ont pas été extradés vers les États-Unis, et ne sont pas prêts de connaitre les prisons de l’Oncle Sam.

Cybersécurité, Justice, loi, Securite informatique

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

Justice

Le fondateur de Group-IB, Ilya Sachkov, a été condamné à 14 ans de prison pour trahison d’État

Le tribunal de Moscou a condamné le fondateur de l’entreprise Group-IB, Ilya Sachkov, à 14 ans de prison. Il purgera sa peine dans une colonie pénitentiaire à régime strict.

Il est précisé que le temps qu’il a passé en détention provisoire a été pris en compte dans sa peine, chaque jour de détention étant équivalent à un jour en colonie. Sachkov est en détention depuis le 21 septembre 2021, après avoir été arrêté à Moscou le même jour et transféré à Lefortovo. En plus de sa peine de prison, Sachkov a été condamné à un an de privation de liberté et à une amende de 500 000 roubles. Le procureur avait réclamé une peine de 18 ans.

La situation a été commentée par l’entreprise F.A.C.C.T. (c’est le nom de la marque Group-IB en Russie). Ils ont déclaré que la défense de Sachkov avait l’intention de faire appel du verdict et prévoyait de s’adresser au président russe. « C’est un moment difficile pour nous tous et un jour sombre pour le marché de la cybersécurité. Ilya Sachkov, mon ami, mon collègue, fondateur de l’une des entreprises les plus prospères dans le domaine de la cybersécurité, a été envoyé en colonie à la suite d’un procès expéditif. » a déclaré Valery Baulin, directeur général de F.A.C.C.T.

Sachkov a été accusé de Trahison d’État. Toutes les audiences ont eu lieu à huis clos, les documents de l’affaire criminelle ont été classés secrets. Selon certaines sources, les témoignages contre lui ont été fournis par l’ancien chef de la 2e division du Centre de sécurité de l’information du FSB, Sergei Mikhailov, qui purge, lui aussi, une peine de prison pour la même accusation. Mikhailov a affirmé que Sachkov aurait transmis au FBI des informations sur des cybercriminels russes et d’autres données constituant un secret d’État.

Cybersécurité, Justice

Un avocat veut savoir quel est le pays Européen a aidé le FBI à mettre le monde sur écoute

Au cours de l’opération spéciale Trojan Shield, le Federal Bureau of Investigation (FBI) des États-Unis contrôlait secrètement les téléphones cryptés Anom. Les avocats de plusieurs criminels arrêtés demandent que soit nommé le pays qui a aidé les agents à intercepter les messages.

Voilà une affaire étonnante. Une plainte a été déposée contre le FBI par des avocats de criminels arrêtés lors de l’opération Trojan Shield. La plainte déposée contre le FBI est la première et la plus importante en son genre concernant les départements technologiques du Bureau fédéral.

Elle pourrait remettre en question les réalisations « numériques » des enquêteurs. Pour rappel, Trojan Shield a permis d’arrêter plus d’un millier de présumés criminels, saisi des tonnes de drogues et des centaines d’armes grâce à une smartphone chiffré, l’Anom. Derrière cette entreprise, les limiers du FBI. « La réalité est que notre gouvernement savait que l’introduction et la diffusion de téléphones espions étaient anticonstitutionnelles. C’est pourquoi il a secrètement inclus un pays européen parmi les participants de l’opération, essayant de contourner les lois sur la confidentialité en vigueur aux États-Unis. Maintenant, le gouvernement refuse de nommer ce pays« , a déclaré Patrick Griffin, l’un des avocats à l’origine de la plainte.

Le journal américain Vice indique que la législation américaine garantit à tous les accusés un procès équitable. En conséquence, Griffin est convaincu que le nom du pays sera révélé, permettant ainsi à la défense de mieux planifier sa stratégie lors des audiences judiciaires. « Sans l’information demandée, les parties au procès ne peuvent pas commencer à enquêter sur la légalité de la mise sur écoute des accusés, ni vérifier la fiabilité et l’authenticité des preuves présentées, y compris celles qui forment la base de cette affaire. De plus, la défense ne peut pas demander des documents supplémentaires d’un pays qu’elle ne connaît pas, chercher à obtenir des témoignages de certains acteurs étrangers ou embaucher des enquêteurs étrangers », est-il mentionné dans la déclaration, qui note également que le gouvernement a refusé de fournir les informations demandées hors procédure judiciaire.

De 2018 à 2021, le FBI a secrètement contrôlé le réseau de téléphones cryptés Anom. Avec le temps, ce téléphone est devenu une partie intégrante du monde criminel. Des criminels le distribuant sans savoir qu’il s’agissait d’un cheval de Troie. La légende d’un soi-disant chiffrement de bout en bout a permis aux enquêteurs de suivre en temps réel les communications des figures clés des leaders du crime mondial.

En juin dernier, on apprenait que le FBI offrait 5 millions d’euros pour arrêter un administrateur d’Anom, un Suédois de 40 ans.

Cybersécurité, Justice, loi

Blocage de Telegram en Irak, Xiaomi bloque la messagerie en Chine

Les autorités occidentales souhaitent se rapprocher de Telegram pour traquer les cyber criminels, en Iraq et en Chine, la méthode est plus expéditive.

Telegram, la messagerie Russe dont l’auteur a délocalisé son business à Dubaï, fait couler beaucoup d’encre. Il faut dire aussi que les malveillants 2.0 et la guerre Russo-Ukrainienne ont fait migrer des millions de personnes sur cette message qui se veut sécurisée. Le blog spécialisé ZATAZ expliquait dans cet article comment les autorités occidentales tentent de se rapprocher de Telegram pour nouer des partenariats afin de bloquer et traquer les cyber criminels.

En Iraq, le ministère des Communications a annoncé le blocage de Telegram par le gouvernement pour des raisons « liées à la sécurité nationale« . Le Service Veille ZATAZ nous a fourni des captures écrans de vente de BDD irakiennes qui ont pu motiver le blocage de Telegram dans le pays.

Le message indique que le gouvernement a tenté à plusieurs reprises de contacter l’équipe de Telegram dans le but d’établir une coopération, mais n’a jamais reçu de réponse. Un fait que de nombreux pays reprochent à Telegram. « Nous respectons les droits des citoyens à la liberté d’expression et de communication sans porter atteinte à la sécurité de l’État, et nous sommes convaincus que les citoyens comprennent cette mesure [le blocage de Telegram] », ajoute le ministère des Communications d’Irak.

Telegram gagne rapidement en popularité, évinçant les produits de Facebook (WhatsApp, Messenger, Instagram Direct). A noter que Telegram abrite des représentations officielles d’organismes gouvernementaux irakiens qui continuent de publier des actualités sur la plateforme… malgré le blocage. Un blocage qui est facilement contourné par des VPN et des proxies.

A noter que des internautes Turcs et Géogiens se sont étonnés d’être, eux aussi, bloqués. Il est tout à fait possible que les réseaux des fournisseurs d’accès à Internet des pays voisins soient étroitement liés et que le blocage dans un pays ait des répercussions sur les autres.

L’une des principales raisons présumées du blocage de Telegram est la fuite de nombreuses données personnelles des citoyens irakiens à partir des bases de données gouvernementales. Le Service Veille ZATAZ a repéré de nombreuses fuites de données concernant le pays, comme celle visant l’université de technologie spatiale et l’université technique du Nord de l’Irak, ou encore la diffusion, il y a peu, des données des électeurs iraquiens ou d’une base de données baptisée : Sécurité Nationale Iraq. « Elles ont été volées à partir des dispositifs du ministère et n’ont pas été obtenues par des méthodes via le web, souligne le voleur. Les données contiennent toutes les informations sur les citoyens irakiens. »

Pendant ce temps, en Chine, le fabriquant de téléphone Xiaomi désactive Telegram pour les Chinois. Les résidents de Chine ne peuvent plus installer l’application de messagerie Telegram sur leurs smartphones. Selon Bleeping Computer, le système d’exploitation MIUI du géant technologique classe l’application comme dangereuse et la bloque. L’interface maison MIUI en est à sa quatorzième version (Android 13).

« Cette application est frauduleuse et son utilisation peut comporter le risque de devenir une victime d’escroquerie. Par mesure de sécurité, il est recommandé de prendre des mesures de protection pour éliminer la menace des applications dangereuses« , indique le message affiché pour les résidents de Chine lorsqu’ils essaient de lancer le programme. L’article établit un lien direct entre cet événement et l’ajout d’une fonctionnalité à MIUI 13 en 2022, qui permet de marquer les applications malveillantes et de les bloquer.

Suite à cela, l’entreprise a été soupçonnée de surveillance potentielle des utilisateurs et de préparation à des actes de censure. Ces soupçons se sont renforcés après que MIUI ait commencé à bloquer les applications qui permettaient aux utilisateurs de modifier les paramètres réseau en dehors des valeurs par défaut. Dans de tels cas, le système d’exploitation, comme c’est le cas actuellement avec Telegram, bloquait les applications qui ne lui plaisaient pas et essayait même de les supprimer de l’appareil.

Cybersécurité, Justice, Piratage

Le diffuseur de Gozi / Zeus / SpyEte condamné à trois ans de prison aux États-Unis

Un hacker malveillant roumain a été condamné à trois ans de prison fédérale aux États-Unis pour avoir dirigé l’infrastructure derrière plusieurs souches de logiciels malveillants.

Mihai Ionut Paunescu, âgé de 39 ans, était un acteur clé d du site PowerHost[.]ro, un service d’hébergement pas comme les autres. La spécialité de Power Host, permettre de stocker et déployer des codes malveillants. Un bulletproof hosting ! Parmi les codes pirates diffusés par ce biaias, le virus Gozi, le cheval de Troie Zeus, le trojan SpyEye et le logiciel malveillant BlackEnergy.

Paunescu louait des serveurs et des adresses IP auprès de fournisseurs internet légitimes. Puis, via son « bulletproof hosting« , il mettait ces outils à la disposition des cybercriminels, leur permettant de rester anonymes et de lancer des attaques. En plus de ces activités, Paunescu a été accusé d’avoir permis des attaques par déni de service distribué (DDoS) et des campagnes de spam. Les serveurs de son bulletproof hosting offrant la possibilité à d’autres pirates d’installer leurs script DDoS ou encore de phishing. Selon le procureur américain Damian Williams, « Paunescu permettait aux cybercriminels d’acquérir une infrastructure en ligne pour leurs activités illégales sans révéler leur véritable identité« .

Paunescu, surnommé « Virus », a été arrêté en juin 2021 à l’aéroport international El Dorado de Bogota, en Colombie, après avoir été initialement arrêté en décembre 2012 à Bucarest, en Roumanie. Les autorités américaines l’avaient inculpé en janvier 2013 pour son rôle dans la distribution du logiciel malveillant Gozi, qui était essentiel pour le vol de données bancaires électroniques par des cybercriminels, mais elles n’avaient pas réussi à obtenir son extradition de la Roumanie.

Le Gozi malware a infecté plus de 40 000 ordinateurs aux États-Unis, y compris ceux de la National Aeronautics and Space Administration (NASA) ainsi que d’autres en Europe. Les responsables américains ont déclaré que ce logiciel malveillant avait permis aux pirates de voler des dizaines de millions de dollars à des particuliers, des entreprises et des entités gouvernementales en raison de sa capacité à échapper aux logiciels antivirus.

Bien qu’il ait été impossible d’extrader Paunescu de Roumanie après son arrestation en 2012, les procureurs américains l’ont surveillé jusqu’à son arrestation en Colombie. Initialement passible de 65 ans de prison, il a plaidé coupable de chefs d’accusation moins graves le 24 février. Paunescu a déjà passé 14 mois de sa vie en détention en Roumanie et en Colombie avant d’être extradé aux États-Unis.

Lors de son procès, la juge de district américaine Lorna G. Schofield a déclaré que Paunescu avait facilité la diffusion de « certains des logiciels malveillants les plus virulent de l’époque » et qu’il en avait tiré « beaucoup d’argent » : parmi ces logiciels on retrouve Zeus ou encore SpyEye ». Les deux autres responsables du Gozi sont Nikita Kuzmin, un Russe arrêté en Californie en 2013 et libéré en 2016, et Deniss Calovskis, arrêté en Lettonie mais jamais extradé.

Le code source du logiciel malveillant a été diffusé en ligne en 2013. Il a servi de base à plusieurs souches utilisées pour attaquer les clients de banques.

Gozi, gozi !

Le code malveillant Gozi, également connu sous le nom de Gozi Virus, est un logiciel malveillant largement utilisé par des cybercriminels pour voler des informations financières et commettre des fraudes en ligne. Il a été actif entre 2007 et 2013 et a causé des dommages considérables à de nombreux utilisateurs d’Internet, notamment aux États-Unis et en Europe.

Gozi est un cheval de Troie bancaire, ce qui signifie qu’il est spécifiquement conçu pour cibler les informations financières des utilisateurs, telles que les identifiants de connexion, les numéros de carte de crédit et les mots de passe liés aux services bancaires en ligne. Le logiciel malveillant a été conçu pour infecter discrètement les ordinateurs des victimes et de permettre de siphonner les fonds des comptes bancaires des victimes. Une des caractéristiques principales de Gozi aura été sa capacité à éviter la détection par les logiciels antivirus. Il utilisait des techniques sophistiquées pour se dissimuler et modifier régulièrement son code afin d’éviter d’être détecté par les outils de sécurité informatique.

Le code source de Gozi a été divulgué en ligne en 2013, ce qui a permis à d’autres cybercriminels de l’utiliser comme base pour développer de nouvelles souches de logiciels malveillants. Depuis lors, différentes variantes du code Gozi ont été détectées, chacune avec des fonctionnalités légèrement différentes, mais toutes dans le même but : voler des informations financières sensibles.

Nymaim est une variante de Gozi qui a été découverte pour la première fois en 2013. Il est principalement utilisé pour diffuser d’autres logiciels malveillants, tels que des ransomwares et des chevaux de Troie bancaires. Également connu sous le nom de Gozi-ISFB, Ursnif est une autre variante de Gozi (2014). Il est spécialisé dans le vol d’informations bancaires et est souvent distribué via des campagnes de phishing et des spams. L’Interactive Service For Banking (ISFB) est une autre variante de Gozi (2012) aprés un retro ingeenering de la concurence. Il est utilisé pour infecter les navigateurs web des utilisateurs et voler des informations de connexion aux services bancaires en ligne une fois que l’internaute se connecte à son site bancaire. GozNym est une combinaison du code Gozi et du code Nymaim. Cette variante a été découverte en 2016.

Banque, Bitcoin, Cybersécurité, Justice

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Les accusations, qui ont été déposées en 2019 mais rendues publiques récemment, affirment que Bilyuchenko et Verner ont volé 647 000 bitcoins à Mt. Gox et les ont utilisés pour soutenir leurs activités illicites sur la plateforme de crypto-monnaie BTC-e entre 2011 et 2017.

En outre, Bilyuchenko est accusé d’avoir dirigé BTC-e en collaboration avec Alexander Vinnik, un autre ressortissant russe qui a été extradé vers les États-Unis en 2022 après son arrestation en Grèce en 2017. Vinnik est accusé d’avoir blanchi plus de 4 milliards de dollars grâce à BTC-e.

Les accusations portées contre Bilyuchenko et Verner comprennent portent sur un certain nombre d’infractions liées au blanchiment d’argent.

Les procureurs affirment que Bilyuchenko a joué un rôle clé dans la création de BTC-e, qui aurait servi de plateforme de blanchiment d’argent pour des criminels du monde entier, notamment des pirates informatiques, des auteurs de rançongiciels, des trafiquants de drogue et des fonctionnaires corrompus.

Selon Ismail Ramsey, un avocat américain, Bilyuchenko et ses complices auraient exploité un bureau de change numérique qui a permis de blanchir des milliards de dollars pendant de nombreuses années. Ces allégations rejoignent celles des enquêteurs qui ont précédemment étudié cette affaire.

Les documents judiciaires déposés auprès du tribunal du district sud de New York révèlent que Bilyuchenko, Verner et d’autres complices non identifiés ont piraté les serveurs de Mt. Gox, basés au Japon, qui contenaient les portefeuilles de crypto-monnaie des clients de la plateforme. Ils ont ensuite transféré les fonds volés vers des adresses bitcoin contrôlées par les voleurs.

Selon le ministère de la Justice, le groupe aurait réussi à détourner les 647 000 bitcoins de Mt. Gox entre septembre 2011 et mai 2014, vidant ainsi les avoirs de la plateforme dans cette devise. Mt. Gox a finalement fermé ses portes en 2014.

En avril 2012, les accusés auraient conclu un accord avec un service de courtage de bitcoins anonyme pour convertir la monnaie volée en virements électroniques importants vers des comptes bancaires offshore. Entre mars 2012 et avril 2013, environ 6,6 millions de dollars ont été transférés sur des comptes bancaires à l’étranger. Ces comptes étaient contrôlés par Bilyuchenko, Verner et d’autres personnes. Il est allégué que Bilyuchenko, Verner et les autres membres de ce piratage ont utilisé cette « lessiveuse » de cryptomonnaie pour blanchir plus de 300 000 bitcoins qui avaient été volés à Mt. Gox. Les détails spécifiques de la façon dont le blanchiment a été effectué ne sont pas mentionnés.

Transfert de fonds volés vers BTC-e

La maison de courtage a effectué des transferts d’environ 6,6 millions de dollars vers des comptes bancaires à l’étranger contrôlés par Bilyuchenko, Verner et leurs complices. En retour, la maison de courtage a reçu un « crédit » sur une autre plateforme de crypto-monnaie contrôlée par le groupe. Il est estimé que plus de 300 000 bitcoins volés à Mt. Gox ont été blanchis via cette lessiveuse non citée.

Pendant de nombreuses années, l’ancien PDG de Mt. Gox, Mark Karpeles, a été accusé d’être à l’origine du vol et de l’effondrement de la plateforme. Cependant, les récentes accusations portées contre Bilyuchenko et Verner ont apporté de nouvelles preuves suggérant leur implication directe dans le piratage de Mt. Gox et le détournement des bitcoins.

En ce qui concerne BTC-e, Bilyuchenko est également accusé d’avoir collaboré avec Alexander Vinnik et d’autres pour diriger cette plateforme de crypto-monnaie jusqu’à sa fermeture par les forces de l’ordre en juillet 2017. Selon le ministère de la Justice, BTC-e était une plaque tournante d’activités criminelles, servant de moyen principal pour les cybercriminels du monde entier de transférer, blanchir et stocker les produits de leurs activités illégales.

La plateforme aurait compté plus d’un million d’utilisateurs dans le monde, facilitant le blanchiment des produits de nombreuses intrusions informatiques, piratages, ransomwares, usurpations d’identité, fonctionnaires corrompus et réseaux de trafic de drogue.

Damian Williams, procureur américain pour le district sud de New York, affirme que Bilyuchenko et Verner pensaient pouvoir échapper à la loi en utilisant des techniques de piratage sophistiquées pour voler et blanchir d’énormes quantités de crypto-monnaie. Cependant, les récentes accusations et les dernières arrestations dans le monde de la cryptomonnaie malveillante démontrent que les autorités ont des outils particulièrement efficaces pour stopper tout ce petit monde.

Cybersécurité, Justice

UFC Que Choisir contre Twitter: la victoire historique des consommateurs !

UFC Que Choisir vient de remporter une grande victoire contre le géant des réseaux sociaux, Twitter Inc. La Cour d’appel de Paris a confirmé une décision antérieure qui a établi que 24 clauses des conditions d’utilisation de Twitter étaient illicites.

24 clauses des conditions d’utilisation, 29 clauses de la politique de confidentialité et 7 clauses de son règlement sont illégales. Twitter vient de découvrir la décision de la Cour d’appel de Parus concernant une série de plainte à l’encontre du réseau sociaux au petit oiseau bleu. Bilan, cette décision a des implications importantes pour les droits des internautes sur les réseaux sociaux.

La Cour a d’abord considéré que les règles du droit de la consommation s’appliquent aux conditions d’utilisation de Twitter, malgré le caractère apparemment gratuit du service. La Cour a souligné que la fourniture de données de l’utilisateur est la contrepartie du service rendu et que, par conséquent, le contrat a un caractère onéreux. Cette décision renforce la célèbre formule « Si c’est gratuit, c’est toi le produit !« .

Consentement des utilisateurs

En outre, la Cour a rejeté deux clauses importantes relatives au consentement des utilisateurs, qui ont été jugées non écrites. Ces clauses ont été rejetées car elles n’étaient pas clairement exposées au moment de la souscription du contrat.

« Chacun saura désormais que les clauses qui ne figurent pas dans l’écrit que le consommateur accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence ne sont pas valables. » souligne Alexandre Lazarègue, Avocat spécialisé en droit du numérique.

La Cour a également sanctionné les clauses qui permettaient à Twitter de modifier les services et les conditions générales de manière unilatérale. Cela a des implications importantes pour les utilisateurs, car cela signifie que Twitter ne peut pas changer les termes du contrat sans l’accord explicite de l’utilisateur, quitte à en boquer son évolution.

Il paraissait pourtant légitime que, si une partie ne doit pas pouvoir modifier unilatéralement l’esprit général d’un contrat, elle puisse faire évoluer celui-ci sans qu’un consommateur puisse, à lui seul, bloquer toute évolution.

Utilisation du service et les contenus publiés

En outre, plusieurs clauses du contrat prévoyaient que l’utilisation du service et les contenus publiés se trouvaient sous la responsabilité de l’utilisateur. Le tribunal a considéré que ces clauses étaient illicites. « S’il est logique que Twitter assure la sécurité des données qu’elle collecte, et qu’elle endosse la responsabilité d’un éventuel piratage, il n’apparaissait pas abusif que l’auteur d’un contenu en soit responsable et que twitter en tant que simple hébergeur en soit déchargé. » explique Alexandre Lazarègue.

Enfin, la Cour a également souligné que la suppression d’un compte Twitter pour violation de de son règlement éthique doit faire l’objet d’un débat contradictoire et de mises en garde préalables. Les utilisateurs de Twitter, y compris tels que Donald Trump et les influenceurs sur le grill, devront désormais savoir précisément sur quel fondement leur compte est supprimé et avoir la possibilité de contester cette décision à l’amiable.

En somme, cette décision est une grande victoire pour les consommateurs et les internautes, car elle renforce leurs droits et leurs protections sur les réseaux sociaux. Elle rappelle également aux grandes entreprises que leurs pratiques commerciales doivent être transparentes et justes envers les utilisateurs.

cyberattaque, Justice, Sécurité

Le développeur de NetWire arrêté

En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.

Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.

L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.

Vendu comme outil pour entreprise

En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.

Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.

Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.

La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.

L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.

Des pirates Nigérians adeptes de Netwire

Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.

Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.

Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.

Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.

L’objectif ultime des attaquants reste inconnu à l’heure actuelle.

Justice

4 étapes pour appliquer le RGPD à son entreprise

L’arrivée du Règlement Général sur la Protection des Données en mai 2018 a bouleversé le quotidien de beaucoup entreprises. Et pour cause, ces quinze dernières années ont été émaillées de nombreux scandales en matière de vol de données. On pense par exemple, le scandale Facebook-Cambridge Analytica (en 2018) avec près de 87 millions d’utilisateurs visés par un vol de données.

La réglementation sur la protection des données a pour objet de garantir la sécurité des données personnelles des individus et plus largement protéger de la vie privée des personnes. Pour cela, le RGPD impose un certain nombre d’obligations aux acteurs de l’économie.

Quelles sont les 4 étapes clés pour se mettre en conformité au RGPD ?

1 – Collectez un minimum de données personnelles

L’un des principes fondateurs du RGPD (article 5) relève du bon sens : moins vous collectez de données plus vous réduisez les risques. Il consiste à s’interroger sur la question suivante : “Ai-je vraiment besoin de collecter ces données ?”.

En effet, le temps où vous collectiez des données pour peut-être vous en servir ultérieurement est révolu. Vous avez l’obligation de ne collecter que les données strictement nécessaires à votre activité (principe de minimisation des données).

Ce principe est directement lié à une seconde obligation : celle de déterminer les raisons pour lesquelles vous collectez des données. Vous devez indiquer la finalité dans un document appelé “registre de traitements” (étape n°3), c’est-à-dire l’objectif de la collecte et l’utilisation des données.

Par exemple : vous livrer votre produit à vos clients, ce dernier renseigne son nom, numéro de téléphone, adresse e-mail, adresse de livraison et informations bancaires. Vous n’avez pas besoin de connaitre le lieu de naissance (principe de minimisation) pour livrer le produit (finalité).

2 – Cartographiez vos données personnelles

Les données personnelles se baladent absolument partout. Faire l’inventaire de ces données est une étape clé. Pour ce faire, partez de vos outils CRM, éditeurs de mailings, boîtes mails etc. et notez les grandes catégories de données.

Pour rappel, une donnée personnelle est toute information directe ou indirectement permettant d’identifier une personne (article 4 RGPD). Les données relatives aux personnes morales ne sont pas protégées par le RGPD. Exemple de données personnelles :

  • Le nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier.

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.

Munissez-vous d’un logiciel RGPD tel que Leto qui met à disposition une brique technologique permettant d’identifier automatiquement toutes les catégories de données personnelles collectées dans les outils de votre entreprise. Faire appel à ce type de solution vous permet de gagner beaucoup de temps.

3 – Documentez ce que vous faites des données personnelles

Cette dernière étape a deux fonctions majeures :

  • Elle permet d’informer vos interlocuteurs de ce que vous faites de leurs données personnelles. Pour ce faire, munissez-vous d’une politique de confidentialité détaillant les données collectées, ce que vous en faites et comment ils peuvent former une demande de suppression, modification ou copie de leurs données.
  • Surtout, documentez l’ensemble des utilisations (appelées “traitements”) opérées sur ces données dans un registre de traitements. Ce registre vous permet à la fois pour montrer pâte blanche à vos partenaires lors d’audit mais également à justifier de votre conformité en cas de contrôle par la CNIL.
  • Lorsque vous travaillez pour le compte d’autres entreprises, vous avez le statut de sous-traitant au regard du RGPD. À ce titre, certaines obligations vous incombent et notamment, de proposer à vos clients un contrat sous-traitant qui respecte les exigences de l’article 28 RGPD. C’est LE document qui prouve à vos partenaires que vous agissez de manière conforme au RGPD.

Politique de confidentialité, registre de traitements et contrats sous-traitants : voilà les documents dont vous avez besoin pour prouver votre conformité auprès des autorités, de vos partenaires et de vos clients.

La construction de ces documents est souvent proposée par des cabinets d’avocats pour un prix très élevé alors que des solutions moins couteuses et plus rapides existent. Ayez plutôt recours à une solution SaaS comme Leto dont la plateforme permet de générer automatiquement votre registre de traitements, registre sous-traitants et vous guide dans la construction de toute votre documentation.

4 – Sensibilisez vos collaborateurs avec Leto

Chaque collaborateur de votre entreprise est amené à collecter et manipuler des données personnelles. La protection des données est donc l’affaire de tous. Penser que ce sujet ne concerne qu’une personne dans votre entreprise est un piège dès lors tout collaborateur peut être une cible de cyber-attaques.

Sensibiliser ses collaborateurs pour qu’ils acquièrent les bons réflexes est un gain de temps immense en matière de conformité. La sensibilisation des équipes est d’ailleurs une des missions obligatoire du délégué à la protection des données (DPO).

Qu’elle soit l’expression d’une obligation légale ou d’une volonté de montée en maturité sur ces sujets, la sensibilisation est votre meilleur outil.

Basé sur son expérience user, le logiciel Leto propose un module de sensibilisation des collaborateurs avec une banque de plus 100 questions pensées pour représenter des cas concrets pour chaque métier (Marketing, RH, Finance, Tech, Data, IT etc.). Vous avez également la possibilité de créer vos propres questions directement depuis l’outil et de lancer des campagnes auprès de vos équipes via votre outil de messagerie interne préféré. Le résultat de ces campagnes vous permet d’identifier les sujets les moins maitrisés, les personnes les moins à l’aise avec ces sujets tout en ayant la documentation associée à chaque question.

Contrairement aux idées reçues, la conformité au RGPD est un levier puissant de développement de votre activité. Aujourd’hui, des solutions SaaS vous permettent d’y parvenir simplement et rapidement.

Cybersécurité, Justice

TikTok s’étouffe en France avec ses cookies

La CNIL a condamné TikTok à une amende de 5 millions d’euros pour avoir enfreint les lois sur les cookies.

Le populaire service d’hébergement de vidéos TikTok a été condamné à une amende de 5 millions d’euros par la Commission Nationale Informatique et des Libertés (CNIL) pour avoir enfreint les règles de consentement aux cookies, ce qui en fait la dernière plate-forme à faire face à des sanctions similaires après Amazon, Google, Meta et Microsoft.

« Les utilisateurs de ‘TikTok ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise des objectifs des différents cookies« , déclare la CNIL.

Le régulateur a déclaré avoir effectué plusieurs audits entre mai 2020 et juin 2022, constatant que la société appartenant à la société Chinoise ByteDance n’offrait pas une option simple pour refuser tous les cookies au lieu d’un seul clic pour les accepter.

L’option de « refuser tous » les cookies a été introduite par TikTok en février 2022. La CNIL a sanctionné, en ce début d’année, Microsoft et Appel pour des manquements aux règles liées au RGPD.

Justice, Mise à jour, Téléphonie

Starlink interdit en France ?

Des associations environnementales françaises font interdire dans l’hexagone le service Starlink d’Elon Musk.

L’affaire pourrait prêter à sourire, mais démontre que les lobbyings de tous poils sont aux aguets dés qu’il s’agit de faire interdire des avancés technologiques qui ne vont pas dans leur sens. Alors que de nombreux français, en zones blanches (sans possibilités de connexion) ne peuvent exploiter le numérique, des services tels que ceux proposés par l’entreprise d’Elon Musk permettent de ne plus être hors du XXIe siècle.

Le 5 avril, le Conseil d’Etat a retoqué une décision de l’ARCEP (le gendarme des fréquences radios en France) datant de janvier 2021 qui permettait à Starlink de proposer ses accès Internet par Satellite. Le Conseil d’État a reproché à l’Arcep de ne pas avoir mis en place « une consultation du public » afin de faire jouer la concurrence. Bilan, il est reproché, non pas des ondes qui pourraient détruire la nature. Il est expliqué que cet accord était « susceptible d’avoir une incidence importante sur le marché de la fourniture d’accès à internet à haut débit, et d’affecter les utilisateurs« .

Les associations Priartem et Agir pour l’environnement vont demander, sept mois plus tard, l’annulation de l’autorisation ARCEP/Starlink. Ils vont mettre en avant un défaut de mise en concurrence pour faire couper Starlink. Les associations s’y prendront à trois fois. Après un refus, en septembre 2021, remise sur le tapis en décembre 2021, puis en mars 2022. La troisième sera la bonne ! Ces associations sont spécialisées dans « la prévention des risques liés aux technologies électromagnétiques ». Elles vont gagner en mettant en avant « Une incidence importante sur le marché de la fourniture d’accès à internet à haut débit […] sans avoir préalablement procédé à une consultation du public. »

Couper, pas couper ?

Couper Starlink Internet Services Limited, en France. Cela va surtout le rendre un peu plus lent. Les informations vont être routées, prendre d’autres chemins, sans passer par les vertes prairies locales. Le hic va surtout être pour les utilisateurs d’aujourd’hui. Vont-ils encore avoir le droit d’utiliser leur matériel et, dorénavant, les fréquences interdites ? J’imagine déjà la tête de nos amis frontaliers en Suisse, Belgique, … passant par la bande fréquence « Made in France » (0,95-12,70 GHz de haut en bas et 14,00-14,5 GHz de bas en haut). Le document du Conseil D’Etat semble préciser que l’interdiction vise les liaisons entre un satellite et le sol, et pas un satellite vers les paraboles Starlink au sol. Bref, c’est capillotractée.

Je suis impatient de voir venir des propositions alternatives françaises pour sortir du noir les zones blanches, avec l’aide de ces associations ! En attendant, Arianespace a signé un contrat avec Amazon pour envoyer vers l’infini et haut delà les satellites Kuiper. Mission, diffuser de l’Internet à haut débit d’ici à 2030.

Cybersécurité, Justice

Les CNIL Européennes montrent les dents face à Google

Les Commissions Informatiques et des Libertés Européennes considèrent que les données collectées par Google sont encore trop mal protégées face à l’espionnage. La France et l’Autriche menacent de nouvelles sanctions contre le géant américain.

Les données utilisées par Google et sa maison mère Alphabet ne seraient pas suffisament protégées, selon plusieurs CNIL Européennes. Pour la France, la Commission Informatique et des Libertés menacent d’interdiction Google Analytics. Enfin pourrions-nous dire. Depuis des années, l’exploitation des informations collectées est illégale. Google Analytics permet d’analyser le comportement des internautes sur internet et la CNIL s’inquiète de la possibilité d’interception par les services secrets américains.

Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux. La Commission estime que les données ne sont pas suffisamment encadrées. Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès (violation des articles 44 et suivants du RGPD) des services de renseignements américains à ces données.

En Autriche, la CNIL locale a déterminé de son côté que Google Analytics violait, lui aussi, le règlement général sur la protection des données. Google Analytics communique les adresses IP des visiteurs de site web aux États-Unis. Les adresses IP représentent des données personnelles car elles permettent de suivre et retrouver une personne.

Autant dire que le défit n’est pas du côté de Google, mais des millions de webmasteurs, administrateurs de site web, utilisateurs de l’outil. Pour continuer à utiliser Google Analytics, tout en se conformant aux exigences du GDPR, la société Cloudflare propose la solution Zaraz (à une lettre prêt sur un clavier, cela fait zataz, comme le blog de référence en cybersécurité zataz.com). L’outil se veut un intermédiaire entre le navigateur et le serveur tiers.

Si l’on reprend l’exemple de Google Analytics, lors de la connexion à un site web, Zaraz chargera les outils dans le cloud en utilisant la plateforme Workers de la société américaine. En procédant ainsi, il n’y aura absolument aucune communication entre le navigateur et le point d’accès de Google. Les IP européennes sont ainsi bloquées en dehors de l’UE.

Par défaut, Zaraz ne sauvegarderait aucune information sur l’utilisateur final, à l’exception de la journalisation des erreurs. A noter que cet outil gère aussi d’autres traceurs comme ceux de Google Ads, Bing, Facebook pixel, Linkedin, etc.

Communiqué de presse, Justice

Plainte de France Digitale contre Apple auprès de la CNIL

La CNIL s’est reconnue compétente pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition de l’utilisateur.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire. Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple. La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit
d’opposition de l’utilisateur d’un service de communication électronique.

Rappel du contexte

France Digitale représente près de 1800 start-ups et investisseurs du numérique français. En mars 2021, l’association a saisi la CNIL pour leur faire part d’un constat simple: les publicités personnalisées au bénéfice de la plateforme Apple sont aujourd’hui activées par défaut (voir sur le terminal en allant dans Confidentialité->Publicité). Il pourrait s’agir d’une atteinte manifeste, grave et répétée au RGPD et à la directive “e Privacy”.

C’était une première mondiale : jamais une association de startups n’avait ouvert de contentieux contre le géant de Cupertino.

Pour l’association, cette plainte vise à mettre en évidence l’inégalité de traitement que produit l’App Tracking Transparency (ATT). En effet, Apple a instauré une distinction entre les applications exploitées par des entreprises affiliées à Apple et les applications dites tierces. Ces dernières relèvent de l’ATT qui exige que leur utilisateur consente à la collecte et au traitement de leurs données. Les applications exploitées par des entreprises affiliées relèvent, elles, d’un ciblage publicitaire activé d’office sur le terminal, sans action de l’utilisateur.

Non contente d’instaurer une distorsion entre ces deux catégories d’applications, Apple semble heurter frontalement les règles du RGPD qui exigent, notamment, que la collecte et le traitement des données personnelles fassent l’objet d’un consentement exprès et spécifique. La présomption de consentement de l’utilisateur, caractérisée par l’activation d’office du suivi publicitaire, est susceptible de heurter le droit des données personnelles.

Instruction de la plainte par la CNIL

Par un courrier datant de fin mai adressé à l’association, la CNIL s’est reconnue compétente pour instruire la plainte de France Digitale.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire.

A ce sujet, Benoist Grossmann, Co-Président de France Digitale et CEO Eurazeo Investment Manager, indique que “France Digitale va se rapprocher de l’autorité irlandaise pour suivre étroitement l’instruction. Celle-ci visera le non-respect par Apple des règles relatives au consentement en matière de données personnelles.”

Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple.

La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit d’opposition de l’utilisateur d’un service de communication électronique.

Perspectives contentieuses

Pour Benoist Grossmann, Co-Président de France Digitale : “Qu’une décision de sanction intervienne en Irlande et/ ou en France, un contentieux judiciaire pourra se déployer contre Apple devant les juridictions françaises. En effet, s’il apparaît que la violation du droit des données personnelles a causé un préjudice aux entreprises du numérique françaises, comme nos startups, ces dernières pourront en agir en responsabilité à l’encontre d’Apple.