Archives de catégorie : loi

Chiffrement, cryptage, Cybersécurité, Justice, loi

Projet de loi pour interdire le chiffrement indéchiffrable

Interdire le chiffrement indéchiffrable ! Pour aider les forces de l’ordre dans leurs taches, deux sénateurs proposent un nouveau projet de loi qui souhaite contrôler le chiffrage des données.

Ce qui est bien avec les hommes politiques est qu’ils ont de la suite dans les idées dès qu’il s’agit de marquer leur nom dans l’histoire, ou dans les pages des journaux. Les sénateurs Richard Burr et Dianne Feinstein (Californie) ont bien l’intention de marquer de leur empreinte l’histoire US.

Les deux politiques peaufinent la version préliminaire d’un projet de loi Sénatorial qui aurait pour effet d’interdire le chiffrement indéchiffrable. Cette loi exigerait des entreprises qu’elles apportent le moyen de déchiffrer téléphone et ordinateur dès que les autorités le souhaiteront.

Les deux sénateurs n’ont pas encore annoncé la date de présentation de ce projet de loi. Ils ne le feront peut-être jamais. Leur coup médiatique étant réussi, ils sont dans les journaux !

Cybersécurité, Justice, loi, Téléphonie

Walking dead

Walking dead – Risque d’amende et de prison pour les piétons qui utilisent leur smartphone, en marchant, dans la rue.

Certaines lois américaines, celles prodiguées par les états, font parfois sourire. Certaines inquiètent. Par exemple dans l’Etat d’Alabama, il est  interdit de conduire une voiture avec les yeux bandés. Dans la ville de Glendale (Arizona), il est illégal de conduire en marche arrière. Pire, en Californie, et plus précisément à Los Angeles, un homme peut légalement frapper sa femme avec une ceinture de cuir. Attention, elle ne doit pas dépasser 2 pouces de large, sauf… avec l’autorisation de sa femme. Bref, la proposition de loi faite dans le New Jersey, il y a quelques jours, risque de rejoindre ce nid d’obligation bien difficile à tenir.

Walking dead

La député Pamela Lampitt voudrait punir les marcheurs, dans la rue, qui utilisent leur smartphone pour envoyer des textos. Elle souhaite aussi que soit interdit tout appel dans la rue, sauf si le piéton possède un kit main libre. Le contrevenant risquera 50 dollars d’amende ou 15 jours de prison. La politique explique sa proposition à la lecture du nombre croissant de décès de piéton. 11% en 2005 ; 15% en 2014. Lampitt indique que la mesure est nécessaire pour dissuader et sanctionner les « comportements à risque ». Elle cite aussi un rapport du Conseil national de sécurité qui affiche les incidents visant des piétons distraits par leur téléphone : environ 11,100 blessures de 2000 à 2011.

A Haiwaï, les piétons risqueront 250 $ si ces derniers traversent un passage clouté avec son téléphone à la main. Au cours des dernières années, des projets de loi similaires ont échoué en Arkansas, Illinois, Nevada ou encore New York.

Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Particuliers, Sauvegarde

Nouvelle tentative de Google d’échapper au droit à l’oubli

Le géant Google a été condamné à 100 000 euros d’amende par la Commission Nationale Informatique et Libertés (CNIL) pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble des extensions géographiques de son nom de domaine.

Cette condamnation fait suite à une mise en demeure datant de mai 2015, par laquelle la CNIL reprochait au moteur de recherche de limiter le déférencement des liens signalés par les internautes européens, aux extensions géographiques européennes de son nom de domaine, comme par exemple : « google.fr » en France, « google.it » en Italie. Les contenus litigieux restent donc accessibles sur l’extension « google.com ».

En réplique, Google avait affirmé qu’il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Isabelle Falque-Pierrotin, Présidente de la CNIL, avait alors décidé d’engager une procédure de sanction à l’encontre de Google. Elle souhaitait ainsi faire preuve d’une certaine fermeté en raison des nombreuses plaintes des internautes (700 plaintes dont 43% sont fondées).

En réalité, la CNIL cherche à faire appliquer l’arrêt du 13 mai 2014 dans lequel la Cour de justice européenne avait consacré le droit à l’oubli. Ce dernier permet à tout internaute européen qui en fait la demande, d’obtenir le déférencement de contenus de nature à porter atteinte au respect de sa vie privée.

Bien que désapprouvant cette décision, Google avait mis à disposition des internautes un formulaire de signalement. La démarche n’en est pas pour autant faciliter puisqu’en France seules 52% des pages web ayant fait l’objet d’une demande de déférencement ont été partiellement retirées. De plus, en cas de refus du moteur de recherche de déférencer les informations signalées, il ne reste à ces derniers plus qu’à se tourner soit vers le juge des référés, soit vers la CNIL. Or, le juge a tendance à mettre en balance le droit à l’oubli avec la liberté d’information (TGI de Paris, 23 mars 2015).

En janvier dernier, Google a proposé de mettre en place un filtrage afin que les internautes qui consultent le moteur de recherche à partir du même pays d’origine que le demandeur, ne voient plus le résultat ayant été déférencé. Comme soutenu par la CNIL, ce filtre ne permettrait pas de garantir efficacement le droit au respect de la vie privée au travers du droit à l’oubli.

A contrario, la position du géant américain est justifiée notamment au regard du principe de neutralité des contenus sur internet. De plus, le droit à l’oubli affaiblit la valeur économique de Google qui réside dans le référencement des liens hypertextes et qui est fondé sur le droit à l’information.

Google entend contester cette décision.

Par Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Piratage, Sauvegarde, Social engineering

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Justice, loi, Mise à jour, OS X, Smartphone, Téléphonie

Apple vs. FBI : suite et fin ?

Apple vs. FBI – Suites du jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie, dans lequel cette dernière exigeait de la multinationale « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.

Il semblerait que le gouvernement qui parallèlement à ce jugement poursuivait ses efforts pour accéder au contenu de l’iPhone soit arrivé à ses fins. Le FBI contacté par un tiers serait sur le point de parvenir à accéder (si ce n’est déjà le cas) aux données de l’iPhone. S’en est suivie la levée d’une audience qui devait se tenir ce mardi. Le test de la viabilité de méthode fera l’objet d’un rapport d’évaluation et sera prochainement communiqué au juge en charge de l’affaire, Sheri Pym.

Il y serait parvenu sans l’aide d’Apple. Dans une telle hypothèse, la personne à l’origine de cette méthode pourrait néanmoins s’exposer à des poursuites judiciaires. Selon Robert Enderle, expert en technologies, il pourrait s’agir de John McAfee (créateur de l’anti-virus éponyme), ou d’un ancien employé d’Apple. En France, cette personne aurait pu être poursuivie sur le fondement des articles L 323-1 et suivants du Code pénal qui incriminent l’accès ou le maintien frauduleux dans un système automatisé de traitement des données. S’il s’agit d’un ancien employé d’Apple, il pourrait se voir opposer la clause de confidentialité présente dans son ancien contrat de travail.

Apple vs. FBI

En réalité, il serait surprenant qu’Apple ne soit pas intervenu. La version des faits telle qu’avancée par le gouvernement américain constituerait un juste milieu et permettrait à Apple de collaborer avec le FBI tout en maintenant son image de garant des libertés fondamentales auprès des consommateurs. En effet, depuis le jugement du 16 février dernier, la multinationale était dans une position ambigüe puisque si fournir au FBI un moyen pour accéder au contenu de l’iPhone permet de démontrer qu’Apple participe à lutter contre le terrorisme, a contrario cela engendrerait une menace de sécurité pour ses clients.

Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce.

Dans l’un comme dans l’autre cas, l’impact en termes d’image est négatif pour Apple. Il semble qu’elle s’en soit néanmoins sortis de cette confrontation Apple vs. FBI. Ainsi, lundi dernier alors que le FBI affirmait détenir une méthode viable pour accéder aux données de l’iPhone, Tim Cook déclarait que « nous devons décider en tant que nation quel pouvoir devrait avoir le gouvernement sur nos données et notre vie privée ».

En France, le projet renforçant la lutte contre le crime organisé, le terrorisme et leur financement qui sera prochainement en discussion devant le Sénat, complète l’article L 230-1 du Code pénal qui permet aux autorités judiciaires de désigner toute personne morale ou physique en vue d’accéder à des données chiffrées. Ce faisant, il disposera désormais en son dernier alinéa que « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et de 350 000 euros d’amende », l’amende étant portée au quintuple concernant les personnes morales. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.)

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi

Concours Correspondants Informatique et Libertés

L’AFCDP (Association française des Correspondants à la protection des Données à caractère Personnel) lance un concours destiné à récompenser le meilleur mémoire réalisé sur un sujet qui intéresse les Correspondants Informatique et Libertés – destinés à devenir les futurs DPO (Data Protection Officer) et, plus largement, tout professionnel de la conformité à la loi Informatique et Libertés et à la protection des données personnelles. Ce prix est dénommé « Meilleur Mémoire AFCDP ».

Pour cette première édition du Prix du Meilleur Mémoire AFCDP, le thème porte sur les moyens et techniques permettant de rendre « inintelligibles » les données personnelles afin de mieux les protéger et d’éviter à avoir à notifier les personnes concernées en cas de violation à un traitement de données. Ce thème s’inscrit dans la préparation des responsables de traitements au futur règlement européen sur les données personnelles.

L’objectif du mémoire est donc de vulgariser et de montrer, de façon opérationnelle, les apports de techniques telles que le chiffrement, le hachage, la tokenisation, la pseudonymisation pour éviter la notification des violations de données aux personnes concernées. Le règlement de ce concours est librement accessible ICI.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, Particuliers, Smartphone

FBI Vs Apple : violation du système de confiance

Pourquoi la demande du FBI auprès d’Apple constitue une violation du système de confiance … une question qui va bien au delà du chiffrement des données.

En résumé, on demande à Apple de démonter le système de confiance utilisé depuis plus de 20 ans pour sécuriser Internet. Cette action du gouvernement américain -qui exige de pouvoir utiliser des certificats Apple- constitue un détournement et un piratage d’Internet. La question n’est pas de décrypter un téléphone utilisé par un terroriste.

Les certificats constituent le socle de la cybersécurité. Si le gouvernement est autorisé à utiliser les certificats Apple, il contrôle le logiciel qui contrôle en grande partie l’accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera.

L’enjeu de la demande du FBI et le défi d’Apple ne se limitent pas à un seul téléphone chiffré utilisé par un terroriste. C’est une violation du système de confiance à base de certificats [numériques] sur lequel reposent les logiciels et Internet ! Le FBI souhaite qu’Apple utilise un certificat Apple pour signer le logiciel qui s’exécutera ensuite (ce que le FBI appelle le fichier logiciel signé de l’iPhone [‘‘signed iPhone Software File’’]). Ces tactiques rappellent celles utilisées pour rendre Stuxnet si efficace – un malware signé à l’aide de certificats valides qui avait pu s’exécuter sans éveiller la méfiance. La requête du FBI risque de marquer un précédent, car elle porte, non sur le fait de casser le chiffrement, mais sur le fait de casser le logiciel. D’où la réponse de Tim Cook : ‘‘Le gouvernement demande à Apple de pirater ses propres utilisateurs et de saper les avancées réalisées depuis plusieurs décennies dans le domaine de la sécurité pour assurer la protection de nos clients.’’

Or, la plus grosse ‘‘avancée’’ dans le cas présent est l’intérêt croissant que les cybercriminels portent au système de confiance créé par les certificats tel que nous le connaissons, et les attaques dont il fait l’objet. Les logiciels font tourner le monde et c’est le rôle des certificats TLS ou les signatures de code de distinguer ce qui est digne de confiance de ce qui ne l’est pas, de trier le bon grain de l’ivraie. Le logiciel signé par Apple ne deviendrait pas seulement une arme convoitée, ce serait également un prototype supplémentaire dans le manuel d’attaques des méchants, comme l’a été Stuxnet il y a 6 ans.

Qu’est-ce que cela signifie pour les entreprises du Global 5000 ? À une époque où certificats et clés suscitent de plus en plus l’intérêt des gouvernements et les convoitises de personnes mal intentionnées, je dirais qu’il est d’autant plus important de connaître les certificats et clés auxquels l’on peut se fier, pour protéger ceux que l’on utilise.

La réponse rapide et légitime d’Apple au FBI contraste fortement avec un autre grand problème de sécurité qui a concerné tous les utilisateurs de smartphones et d’ordinateurs dans le monde. L’autorité de certification chinoise CNNIC, une entité du gouvernement chinois qui contrôle le ‘‘Grand Pare-feu de Chine’’ et surveille le cybercomportement des citoyens de l’Empire du Milieu, était jugée digne de confiance par l’ensemble des navigateurs, ordinateurs, smartphones et tablettes Microsoft, Apple et Google. Or, la CNNIC a été impliquée dans une tentative d’usurpation de Google en Égypte – un incident auquel Google et Mozilla ont rapidement réagi en jetant le discrédit sur la CNNIC. Face aux dizaines de milliards de dollars de chiffres d’affaires en jeu chaque trimestre sur le marché chinois, Apple et Microsoft n’ont pas bougé pendant des mois. Apple a discrètement choisi de faire confiance à certains certificats CNNIC, tandis que Microsoft a laissé faire. L’incident n’a pas reçu la même couverture médiatique que la requête du FBI. Malheureusement, dans le cas de la CNNIC et contrairement à aujourd’hui, Apple n’a pas réagi. Son absence de réaction rapide ou publique a donné l’impression que la firme à la pomme faisait passer ses intérêts financiers chinois devant la sécurité et la confidentialité des données de tous les utilisateurs d’iPhone, d’iPad et de Mac à travers le monde. La réactivité d’Apple à la demande du FBI est un changement bienvenu et nous espérons qu’à l’avenir, l’entreprise ferait de même en cas d’incidents impliquant les autorités chinoises. [Kevin Bocek, VP Threat Intelligence and Security Strategy, Venafi]

Cybersécurité, Justice, loi

Jurisprudence : Vers un revirement de la jurisprudence Google Adwords ?

Les acteurs de l’économie numérique ont très vite compris que le choix d’une marque pertinente était un critère décisif de la compétitivité et de la performance de leur site e-commerce. La course à la créativité est donc lancée afin de disposer d’un nom de marque ou de domaine qui soit à la fois original et captif de l’attention du client internaute. Les enjeux commerciaux y sont importants si l’on considère, comme il est souvent prédit dans la presse économique, que le commerce électronique supplantera à terme les ventes traditionnelles.

Le fait de disposer d’une marque captivante peut offrir une garantie de réussite commerciale sur Internet mais encore faut-il que la validité de son titre soit indiscutable et qu’un dispositif de vigilance a été mise en place, avec l’aide d’un conseil en propriété industrielle le plus souvent, pour s’assurer que son titre ne fait pas l’objet d’acte de contrefaçon. Le risque de contrefaçon de sa marque est réel sur Internet puisque le contentieux ne cesse de s’intensifier notamment depuis l’existence de certaines fonctionnalités publicitaires proposées par les moteurs de recherche, dont le très contesté achat de mots-clés.

C’est pour illustrer cette forme de contrefaçon à la marque sur Internet que nous faisons ici retour sur une décision récente du Tribunal d’Instance de Paris qui a eu notamment à connaître de l’hypothèse d’une atteinte à la marque verbale d’autrui par reproduction de celle-ci dans l’adresse URL du site du concurrent (TGI de Paris 29 janvier 2016, Sarl Un Amour de Tapis v/ WW E-Services France).

Jurisprudence : Les circonstances de l’affaire jugée
En l’espèce, la Sarl Un Amour de tapis-tapis pas cher est titulaire des marques enregistrées verbales et semi-figuratives « Un Amour de Tapis ». Elle commercialise des tapis à travers son site Internet à l’adresse www.unamourdetapis.com. En 2013 elle autorise la société WW E Services qui exploite le site Westwing.com, réputé pour ses ventes de produits de décoration intérieure et spécialement de tapis, à organiser sur Internet et pendant quatre jours une vente privée de tapis portant la marque Un Amour de Tapis.

La Sarl un Amour de Tapis s’est toutefois rendue compte que la société WW E Services avait quelques mois plus tard et sans autorisation, organisé une deuxième vente privée de tapis sous le signe « un amour de tapis » à l’adresse URL https://www.westwing.fr/un-amour-de-tapis-choisissez-votreclassique/.

Considérant que ces agissements étaient constitutifs d’actes de contrefaçon de marque, de concurrence déloyale et de parasitisme, la Sarl Un Amour de Tapis assigna le site WW E-Services devant le TGI de Paris. Elle demande au tribunal sur le fondement des articles L713-2 et suivants du CPI et 1382 du Code civil de condamner son adversaire à lui verser environ 60.000 euros de dommages-intérêts.

Nous nous arrêterons ici essentiellement sur l’action en contrefaçon de marque et la contrefaçon rappelons-le constitue selon l’article L716-1 du CPI une atteinte aux droits du propriétaire de la marque et engage la responsabilité civile de l’auteur de l’acte.

Les arguments avancés par la victime des actes de contrefaçon
La Sarl Un Amour de Tapis soutient préalablement que conformément à l’article L711-2 du CPI sa marque verbale « Un Amour de Tapis » enregistrée à l’INPI en classe 27 est distinctive et non descriptive du produit tapis puisqu’elle renvoie à une passion ou à un fantasme. Le mot « amour » qui est placé en attaque de l’ensemble « Un Amour de Tapis », n’est ainsi pas employé pour désigner des tapis et les autres produits de la classe 27.

S’agissant plus spécialement des actes de contrefaçon de sa marque par reproduction à l’identique et par imitation, la Sarl Un Amour de Tapis faisait constater par procès-verbal que le site Westwing.fr sur lequel se déroulait la vente en ligne comportait une adresse URL ainsi formulée : https://www.westwing.fr/un-amour-de-tapis-choisissez-votreclassique/. Sa marque est également reproduite dans le contenu de la page accessible à cette adresse, dans son code source et ses balises meta.

Le Sarl reproche en outre à WW E-Services d’avoir réservé auprès du moteur de recherche Bing le mot clé « unamourdetapis », reproduisant ainsi la marque dans l’annonce publicitaire diffusée par ce moteur de recherche ainsi que dans le nom de domaine de la page de renvoi.

Ces reproductions à l’identique et par imitation de sa marque génèrent selon la Sarl un risque de confusion chez le consommateur en ne lui permettant plus d’individualiser les produits de la Sarl Un Amour de Tapis.

Les arguments opposés par le contrefacteur
Pour sa défense la société WW E-Services prétend à l’irrecevabilité de l’action en contrefaçon. Elle soutient classiquement que la marque « un amour de tapis » n’est pas valable faute de distinctivité. Cette marque serait constituée de l’adjonction de deux termes usuels français « amour » et « tapis » et serait évocatrice des produits « tapis ». En conséquence les mots de la marque « un amour de tapis » seraient banals, même dans leur association, empêchant ainsi de conférer à son titulaire un droit de propriété sur cette marque pour les produits et services qu’il a désignés, ici les tapis.

La société WW E-Services soutient subsidiairement qu’elle n’a pas reproduit à l’identique la marque « un amour de tapis » dans l’adresse URL figurant sur son site, qu’au contraire, certaines différences signifiantes comme les tirets entre chaque mot (www.westwing.fr/un-amour-de-tapis-choisissez-votreclassique), permettent de faire la distinction avec la marque reprise. Elle prétend également que si elle a repris la marque considérée c’est sous forme de simple titre, pour servir d’annonce à la vente en ligne et non à titre de marque.

S’agissant de l’imputation relative à l’achat du mot clé «unamourdetapis » auprès de Bing, la société WW E-Services oppose « qu’elle ne peut être tenue pour responsable des outils automatiques de recherche des moteurs de recherche qui utilisent leur propre algorithme ». Elle ajoute enfin que la présence du signe « un amour de tapis » dans son code source ne peut constituer une contrefaçon de marque dans la mesure où il n’est pas visible et accessible à l’internaute.

Jurisprudence : Pour quelles raisons la marque « un amour de tapis » est jugée valable par le tribunal ?
Le tribunal rappelle en premier lieu qu’en présence d’une marque verbale composée de plusieurs termes, il convient d’en apprécier la validité, au regard des articles L711-2 et suivants du CPI, de manière globale et non pas au regard de ses éléments pris isolément. Les juges vont alors retenir que si le terme « tapis » contenu dans la marque est descriptif des produits considérés, il y a lieu en revanche de considérer que son association avec les termes « un amour de » enlève à l’ensemble son caractère descriptif, car ces termes ne sont pas habituellement employés et associés ensemble pour désigner des tapis.

Pour le tribunal le signe « un amour de tapis » présente ainsi un caractère parfaitement arbitraire par rapport aux produits désignés, ici les tapis, caractère arbitraire grâce auquel le public pertinent pourra identifier l’origine des produits et les distinguer de ceux des autres fournisseurs.

Plusieurs décisions du TGI de Paris ont déjà statué en ce sens et notamment celle relative à la marque Emailing France qui a été jugée valable du fait de l’ajout du mot France à celui d’emailing, mot générique à lui seul (TGI de Paris 24 mars 2009 SNDC et autres / Ludopia Interactive, Impact Net).

C’est donc une décision très satisfaisante pour la Sarl « Un Amour de Tapis » qui voit confirmer son titre et qui peut désormais prétendre à une protection par le droit de la propriété industrielle.

Jurisprudence : Pourquoi en l’espèce la contrefaçon de marque est-elle caractérisée ?
La question se posait au tribunal de savoir si l’adresse URL www.westwing.fr/un-amour-de-tapis-choisissez-votreclassique/ était ou non constitutive d’une contrefaçon à la marque « un amour de tapis » ? Du point de vue de la société WW E Services il n’y a pas de reproduction à l’identique de la marque puisqu’il existe des modifications signifiantes consistant en des rajouts de tirets entre les mots.

Or pour le tribunal au contraire la marque est clairement et entièrement reproduite à l’identique et les tirets entre les mots constituent des différentes insignifiantes. Il s’agit donc en l’espèce d’une reproduction servile de la marque d’autrui et dans ce cas selon le tribunal, point n’est besoin d’apporter la preuve d’un quelconque risque de confusion dans l’esprit du consommateur.

La difficulté est souvent grande pour le juge à caractériser l’atteinte à la marque et notamment lorsque la contrefaçon porte sur des détails qui peuvent passer inaperçus auprès du consommateur. L’appréciation est subjective et le juge prend en considération l’impression d’ensemble qui peut se dégager de la reprise de la marque pour décider s’il y a ou non risque de confusion.

La CJUE a fixé en la matière certaines règles à suivre : la comparaison entre les signes doit reposer sur une appréciation globale et doit se baser sur une impression d’ensemble produite par les marques (CJCE 22 juin 1999, Llyod, Aff. C-342/97). Dans le domaine du numérique, le juge s’attachera avant tout à comparer la similitude visuelle des signes et cela plus particulièrement lorsqu’une marque a été reprise dans un nom de domaine.

Ainsi, a été retenue une contrefaçon de marque à propos de la reprise du signe Monoprix par le signe Motoprix.com (CA de Versailles 20 oct. 2011, Propriété intellectuelle 2012 n°42 P.77). La Cour de cassation rappelle également que l’ajout d’un TLD à une marque ne permet pas de faire la distinction entre le nom de domaine et la marque : il n’est pas possible d’enregistrer le nom de domaine lezard-graphique.com car il existe déjà la marque verbale Lézard graphique (Ch. commerciale, 25 mars 2014 n°13-13690).

Dans la présente affaire la société WW E Services soutenait n’avoir utilisé la marque « un amour de tapis » dans son adresse URL que pour servir de titre à sa vente en ligne et non pas à titre de marque. Cet argument aurait pu prospérer car effectivement, selon la jurisprudence Arsenal de la CJCE, la contrefaçon ne peut être caractérisée que si l’usage de la marque par le supposé contrefacteur l’a été à titre de marque CJCE  Arsenal 12 nov. 2002 Aff. C206/01.

Or en l’espèce, dans la mesure où c’est précédée de l’indication www.westwing.fr, qu’apparaît la marque « un amour de tapis », on pouvait légitimement s’interroger sur cet usage de la marque : à titre d’annonce de la vente en ligne ou à titre de marque ? Mais le TGI relève à cet égard que s’agissant d’annoncer une vente de tapis, le site Westwing.fr aurait pu se contenter simplement d’indiquer dans l’URL de son adresse « vente de tapis ». Pour le tribunal, la reprise à l’identique de la marque ne faisait pas de doute et la preuve en est qu’il n’était pas même nécessaire « de qualifier un quelconque risque de confusion ».

En ce qui concerne la reprise de la marque dans le code source de la page web du site Westwing.fr, le tribunal n’y voit pas un usage contrefaisant de la marque. En effet, le signe n’est pas utilisé dans le code source pour désigner des produits et services et surtout il reste invisible et inaccessible à l’internaute.

Enfin, l’achat du mot clé « unamourdetapis » auprès de Bing est de nature à favoriser la confusion dans l’esprit de l’internaute puisqu’en cliquant sur le lien, ce dernier est automatiquement redirigé sur le site concurrent et non pas sur celui de la Sarl « Un Amour de Tapis ». Le risque étant celui d’attribuer une origine commune aux produits et services concernés.

La Sarl Un Amour de Tapis n’obtiendra pas gain de cause sur le terrain de l’action en concurrence déloyale et du parasitisme et se contentera d’une indemnisation de 8000.00 euros en réparation de son préjudice patrimonial résultant de l’atteinte à sa marque. Une nouvelle jurisprudence à intégrer.  (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM)

Cybersécurité, Entreprise, Justice, loi, Propriété Industrielle, Sauvegarde

Technique et légalité des émulateurs de jeux vidéo

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique !

La nostalgie des années passées ne touche pas uniquement le monde de la mode ou de la musique, celui de l’informatique et des jeux vidéo n’est pas en reste. Alors que les grandes entreprises informatiques et éditrices de jeux vidéo comme Sony ou Nintendo investissent des sommes colossales en R&D afin de mettre au point des appareils de haute technologie, il se développe un marché moins officiel qui est celui des logiciels émulateurs destinés à faire revivre des vieux jeux vidéo « abandonnés » par leurs éditeurs ou qui sont devenus commercialement obsolètes. L’émulateur est défini comme le logiciel ou programme permettant de simuler sur une machine le fonctionnement d’une autre. Plusieurs sites Internet proposent de rendre compatibles des ordinateurs récents avec d’anciens jeux vidéo. Les jeux vidéo d’une ancienne console qui ne fonctionnaient qu’avec des ordinateurs de l’époque (environnement MS-DOS) deviendront compatibles avec par exemple des périphériques graphiques, carte son et écran fonctionnant sous Windows XP.

Quid de la légalité des émulateurs au regard du droit d’auteur
Le développement de ce marché caché a fait si l’on peut dire des émules puisque Nintendo lui-même a stratégiquement choisi d’intégrer des émulateurs dans sa Wii, permettant à cette console d’accueillir des jeux édités pour d’anciennes consoles Nintendo. Mais si Nintendo dispose du droit de modifier ses propres logiciels, il n’en va pas de même du développeur qui sans aucun droit sur le jeu vidéo ou logiciel présent à l’intérieur de la console créé un programme permettant de simuler les composants du logiciel d’une console. En effet, modifier le Bios d’un logiciel constitue un acte de contrefaçon aux droits d’auteur portant sur ce logiciel. Cela est particulièrement vrai depuis l’arrêt de l’Assemblée plénière de la Cour de cassation du 7 mars 1986 considérant que le logiciel était une œuvre de l’esprit protégeable (protection du droit à la paternité et à l’exploitation de l’œuvre).

Mais qui sont les bénéficiaires de cette protection contre les actes de contrefaçon et ici singulièrement contre les logiciels émulateurs ?
Le droit d’auteur français étant un droit personnaliste, l’œuvre de l’esprit est relativement bien protégée et sauf les exceptions du droit à la décompilation, des logiciels libres ou lorsqu’il y a eu renoncement aux droits d‘auteur, ces œuvres ne sont jamais libres de droits durant le temps de protection prévu par l‘article L.123-1 du Code de la propriété intellectuelle (qui est de 70 ans après le décès de l’auteur de l‘œuvre).

Peu importe par conséquent les doutes récurrents en jurisprudence sur la qualification juridique à retenir du logiciel. Qu’il s’agisse d’une œuvre collective (bien souvent une personne morale en est l’instigatrice) ou d’une œuvre de collaboration entre plusieurs auteurs, les droits d’auteur sur le logiciel sont garantis pendant 70 ans après le décès de l’auteur. Ce droit d’exclusivité profitera donc aux ayants droits de chacun des auteurs en cas de qualification d’œuvre de collaboration du logiciel. Ce droit de protection bénéficiera également en cas de qualification d’œuvre collective du logiciel aux associés d’une entreprise ayant cessé son activité pour une raison quelconque (départ en retraite du dirigeant, liquidation etc…).

Il en résulte donc que les développeurs d’émulateurs ne pourront pas en cas de contentieux, invoquer devant le juge le décès de l’auteur ou l’abandon par une société éditrice de ses droits sur le logiciel reproduit. Tout acte de reproduction du logiciel ou de ses composants est  normalement soumis à l’autorisation de l’éditeur en vertu de l‘article L.122-6 du Code de la propriété intellectuelle.

Justification de l’émulateur par l’exclusivité de décompilation ?
La seule possibilité envisageable en cas de litige reste celle de l’exclusivité de décompilation prévue à l’article L.122-6-1 du CPI, exception légale aux droits d’auteur prévue afin de garantir une concurrence saine entre éditeurs de logiciels en permettant une interopérabilité entre différents logiciels. Les conditions de mise en œuvre de ce droit à décompilation sont très strictes et il est peu probable que les émulateurs de logiciels puissent entrer dans cette exception.

Décompiler un logiciel (ou ingénierie inverse) consiste à le désassembler afin d’en connaître les données et les instructions qui en permettent le fonctionnement, en vue de retraduire le code objet pour remonter au code source. Toutefois, entre les différentes phases de conception et les éléments qui composent le logiciel, il est difficile de déterminer ce qui est protégeable par le droit d’auteur. Si les fonctionnalités d’un logiciel ne sont pas protégeables selon la Cour européenne (CJUE, 2 mai 2012,  SAS Institute Inc. c/ World Programming Ltd), les travaux préparatoires de conception du logiciel tels que les plans électroniques sont eux susceptibles d’une protection par le droit d’auteur.

L’une des conditions essentielles pour décompiler légalement est d’être un utilisateur légitime du logiciel. La cour d’appel de Paris a rappelé que les développeurs de linkers, dispositifs permettant de lire des jeux vidéo piratés sur la console DS de Nintendo, étaient responsables d’actes de contrefaçon au motif pris qu’ils n’étaient pas des utilisateurs légitimes (Paris, 26/09/2011 affaires Nintendo).

L’émulateur de logiciel n’est donc pas en harmonie avec le droit d’auteur sauf lorsque les auteurs, éditeurs ou les ayants droits de ces derniers ont manifesté leur volonté de ne plus exploiter leurs droits et hormis ce cas, on est en présence d’actes de contrefaçon en cas de reproduction du logiciel ou de décompilation à d’autres fins que celle d’interopérabilité. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Cybersécurité, Justice, loi

Le législateur mécontente Google dans son renforcement des droits des internautes

Le projet de loi pour une République Numérique parviendra-t-il enfin à faire plier Google ? Les pratiques controversées de ce géant américain ne finiront pas de faire couler de l’encre. Le projet de loi, porté par Axelle Lemaire, pourrait bien contribuer à y remédier au regard des inquiétudes formulées par le directeur général de Google France.

Ce dernier considère en effet que le projet de loi présente un risque « d’inflation règlementaire » lié aux différences entre ce dernier et la jurisprudence européenne. Il est vrai que ce texte instaure une législation plus contraignante à l’égard de Google que ce qui est actuellement prévu au niveau européen. De cette manière, il garantit aux internautes une protection accrue.

Il créé à charge des plateformes une obligation de loyauté à l’égard des internautes, laquelle consiste notamment à donner davantage de lisibilité à leurs conditions générales. Ces dernières seront tenues de faire apparaitre clairement l’existence d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées, ainsi que l’impact de cette relation sur le classement des contenus. Ce faisant, le gouvernement souhaite encourager la transparence des pratiques sur la toile et notamment celles très contestées de Google au regard du droit au respect de la vie privée des utilisateurs.

De plus, ce projet de loi met en place un droit à la portabilité c’est-à-dire le droit pour toute personne de récupérer ses données auprès des prestataires de services numériques en vue de les transférer à d’autres prestataires. Il consacre également le principe de la « mort numérique » selon lequel toute personne a le droit de décider par avance du sort de ses données en cas de décès. Il prévoit par ailleurs la mise en place d’une procédure accélérée pour le droit à l’oubli des mineurs. Ainsi, il redonne à l’internaute la possibilité de gérer ses données à sa guise et de ne plus en être dépossédé par le moteur de recherche.

L’ensemble de ces mesures s’inscrit dans le prolongement de l’arrêt du 13 mai 2014 de la CJUE reconnaissant le droit à l’oubli (CJUE, C-131/12 Google Spain SL, Google Inc./ Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014). Depuis lors, Google est tenu de retirer tout contenu portant atteinte à la vie privée de l’internaute qui en fait la demande. Toutefois, Google a réussi à nouveau à passer à travers les mailles du filet à partir du moment où il est seul juge de l’illicéité du contenu.

Plus généralement, le projet de loi porte atteinte au monopole de Google en contribuant à inverser la répartition du marché du numérique au profit des « petites entreprises ». Une question reste en suspens… quel moyen trouvera Google pour contourner ce dispositif ? (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Cybersécurité, Facebook, Justice, loi

La CNIL lance un ultimatum à Facebook

Un commentaire

Le leader mondial des réseaux sociaux tant décrié pour ses pratiques en matière de données à caractère personnel, va-t-il enfin plier face à la CNIL ? Le G29 est à l’assaut de Facebook depuis mars 2015. La France est la première à se prononcer sur le cas du site internet. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Dans une décision du 26 janvier 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés du 6 janvier 1978. Eu égard à « la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et libertés fondamentaux des personnes concernées », la CNIL a choisi d’en faire la publicité.

Elle reproche tout d’abord à Facebook, de suivre la navigation des internautes non-titulaires d’un compte, sur des sites tiers. Pour ce faire, le réseau social dépose un cookie sur le terminal de chaque personne ayant visité une page Facebook publique. L’article 32-II de la loi Informatique et Libertés dispose que la mise en place de cookies sur le terminal d’un utilisateur implique le consentement préalable de ce dernier, ce qui n’est pas le cas en l’espèce.

Il est également fait grief au réseau social de ne pas recueillir le consentement exprès des internautes au moment de la collecte et du traitement des données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. S’agissant de données sensibles, Facebook aurait dû solliciter de la CNIL une autorisation antérieurement à la réalisation dudit traitement ou de la personne concernée son consentement.

De plus, elle relève que le site internet ne met pas à disposition des utilisateurs un mécanisme qui permettrait à ces derniers de s’opposer à la combinaison des données à caractère personnel à des fins publicitaires. Or, un tel traitement de données est soumis à l’article 7 de la loi Informatique et Libertés qui prévoit qu’à défaut d’obtenir le consentement de la personne concernée, le traitement n’est autorisé que s’il entre dans l’une des situations ci-après énoncées : s’il est effectué dans le respect d’une obligation légale incombant au responsable du traitement ; pour sauvegarder la vie de la personne concernée ; dans le cadre de l’exécution d’une mission de service public ; en vue de l’exécution d’un contrat ou de mesures précontractuelles ; si le responsable du traitement poursuit un intérêt légitime. La Politique d’utilisation des données de Facebook précise que l’utilisation des données à leur disposition permet de présenter des publicités pertinentes. Le traitement qu’elle réalise est donc contraire à l’article précité.

Enfin la CNIL constate que Facebook continue à transférer les données provenant de l’Union européenne vers les Etats-Unis sur la base du Safe Harbor, lequel a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Depuis lors, il n’est plus possible aux entreprises de procéder à des transferts de données à caractère personnel sur le fondement dudit accord. Cependant, le 3 février dernier le G29 a déclaré que les entreprises pourraient dans l’attente de l’entrée en vigueur  l’« EU-US Privacy Shield » (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée »), continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées. Il semblerait donc que Facebook ne sera pas sanctionné sur ce point.

Le réseau social a trois mois pour adopter les mesures propres à pallier ce défaut de conformité à la loi Informatique et Libertés. Passé ce délai, la présidente de la CNIL pourra désigner un rapporteur. Ce dernier peut être amené le cas échéant à proposer à la formation restreinte de la CNIL, le prononcé d’une sanction à l’encontre de Facebook.

Parallèlement, les autres CNIL du G29 (Belgique, Allemagne, Espagne et Pays-Bas) continuent leurs investigations. D’autres mises en demeure et sanctions pourraient bientôt tombées. [En Belgique, par exemple, les cookies FB ne peuvent plus suivre les Belges, ND DataSecurityBreach.fr]

Cybersécurité, Justice, loi

Les backdoors constituent le graal des pirates informatiques

A l’occasion du Forum international sur la cybercriminalité, le gouvernement a réaffirmé sa prise position contre la mise en place d’une « porte dérobée » (dites « backdoor ») dans les logiciels. Décision qu’il convient de saluer dès lors que l’adoption d’une telle mesure aurait conduit au développement du piratage informatique.

Suite aux attentats de Paris, le débat sur le cybersécurité oscillait entre renforcement du chiffrement des données ou mise en place systématique des « portes dérobées » (dites « backdoors ») au sein des logiciels. Il semblerait que le gouvernement ait tranché en faveur du premier, à l’aune du gouvernement néerlandais et à contrecourant notamment de la Chine et de la Grande-Bretagne.

Ces techniques ont pour finalité la lutte contre le terrorisme, via des moyens diamétralement opposés. En effet, dans le premier cas il s’agit d’assurer une protection renforcée des données des citoyens, des entreprises et de l’Etat en vue de limiter l’espionnage. Tandis que, dans le second cas il s’agit de faciliter le décryptage des données appartenant à des organisations terroristes en permettant l’introduction d’une faille au sein de l’ensemble des logiciels.

Pour un renforcement du chiffrement des données

L’article 29 du projet de loi pour une République Numérique confère à la CNIL une nouvelle mission consistant à promouvoir le chiffrement des données. Dans un entretien accordé à l’AFP, Guillaume Poupard, président de l’Agence Nationale de Sécurité des Systèmes Informatiques, confirme que le chiffrement est « un outil indispensable » à la protection des données commerciales, personnelles et stratégiques, et qu’en ce sens il est nécessaire de le promouvoir.

La volonté du gouvernement d’encourager le cryptage des données aura très probablement pour effet le perfectionnement de logiciels créés à cette fin en raison de leur utilisation massive, y compris par les organisations terroristes.

Contre la mise en place de backdoors

La Secrétaire d’Etat au Numérique, Axelle Lemaire, a fait rejeté un amendement au projet de loi pour une République Numérique déposé par Nathalie Kosciusko-Morizet visant à imposer aux concepteurs de systèmes de communication la création d’une backdoor.

Selon Guillaume Poupard, une telle mesure aurait eu pour conséquence d’exposer les logiciels à davantage de vulnérabilités facilitant ainsi le piratage informatique réprimé aux articles 323-1 et suivants du Code pénal. Ces dispositions incriminent l’accès et le maintien dans tout ou partie d’un système informatique, ainsi que l’extraction de données.

Pour ma part, la mise en place systématique d’une backdoor rendrait impossible la condamnation de tels faits au regard du mouvement jurisprudentiel actuel. En effet, le juge écarte l’application des dispositions précitées dès lors que l’accès dans un système informatique ne présentant aucune restriction (code utilisateur, mot de passe) a été rendu possible par l’existence d’une faille de sécurité (CA Paris, 5 février 2014 dite affaire « Bluetouff »).

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II).

Cyber-attaque, Cybersécurité, DDoS, Justice, loi, Piratage

Attaque informatique de masse à l’encontre de l’Irlande

Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.

Étonnante attaque,  la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.

Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?

Cybersécurité, Justice, loi

République numérique : 148 amendements et sécurité des données

148 amendements, sur 899, adoptés en première lecture du projet de loi pour une République numérique à l’Assemblée nationale.

La première lecture du projet de loi pour une République numérique à l’Assemblée nationale s’est achevée dans la nuit de jeudi 21 à vendredi 22 janvier 2016.  Au terme de trois jours de débats, 148 amendements ont été adoptés sur les 899 déposés par les parlementaires et le Gouvernement dont :

–       59 amendements ont été adoptés pour le titre I, consacré à la libre circulation des informations et des savoirs.
–       50 amendements adoptés pour le titre II, consacré à la protection des droits des citoyens en ligne.
–       39 amendements ont été adoptés pour le titre III, consacré à l’accès de tous à Internet.

Parmi les nouvelles mesures adoptées à l’occasion de ce débat parlementaire :

–       L’encouragement des administrations publiques à l’utilisation des logiciels libres.
–       La pénalisation des actes de vengeance pornographique sur internet, avec des peines pouvant aller jusqu’à 2 ans de prison et 60 000€ d’amende.
–       Le renforcement des pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL), qui pourra désormais sanctionner jusqu’à hauteur de 20 millions d’euros et 4% du chiffre d’affaires les entreprises ne respectant pas leurs obligations quant à la protection des données personnelles.
–       La protection pénale des lanceurs d’alerte qui détectent des failles de sécurité dans les systèmes informatiques.
–       L’introduction d’un droit de panorama pour les photographies de particuliers à but non lucratif de monuments ou bâtiments publics, respectueux du droit des auteurs
–       Le Gouvernement devra publier un rapport sur la nécessité de créer une consultation publique en ligne pour tout projet de loi ou proposition de loi avant son inscription à l’ordre du jour au Parlement

Pour Axelle LEMAIRE : « la qualité des débats, à l’occasion de l’examen du projet de loi pour une République numérique, a montré la prise de conscience aiguë des députés sur les enjeux majeurs de ce texte législatif pour l’avenir de l’économie et de la société numérique. Les travaux de l’Assemblée nationale s’inscrivent en pleine cohérence avec la volonté du Gouvernement de poser les fondements d’une République numérique ouverte, propice au partage des savoirs, à l‘innovation et au développement de l’économie numérique, protectrice des droits des citoyens et accessible à tous, dans tous les territoires. »

Mardi 26 janvier 2016, à 16h15, les députés procèderont au vote solennel du texte législatif.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, OS X, Particuliers, Smartphone, Vie privée

Mamie veut récupérer le mot de passe de l’iPad de son défunt mari

Un commentaire

Une grand mère souhaite pouvoir utiliser l’iPad de son défunt mari. Apple lui réclame une ordonnance du tribunal pour récupérer le mot de passe.

Je ne sais pas pour vous, mais l’affaire qui vise Peggy Bush, une grand mère canadienne de 72 ans et Apple me fait dire que la manipulation de l’opinion publique au sujet des mots de passe des téléphones et tablettes vient de débuter une nouvelle phase.

Je m’explique. La petite dame a perdu son mari. Décédé, monsieur est parti avec le mot de passe qui permet d’accéder à l’iPad familial. Bilan, la veuve a demandé à Apple le précieux sésame. Réponse de la firme américaine, la dame doit obtenir une ordonnance du tribunal pour récupérer le mot de passe de son défunt époux. « J’ai pu obtenir des pensions, des avantages du gouvernement fédéral. Mais d’Apple, je ne pouvais  pas obtenir un mot de passe ridicule. »

L’opinion public manipulé ? Imaginez le tollé. Apple, refuse d’aider une grande mère. Vite une loi pour faire plier les sociétés à fournir le mot de passe demandé par les familles. Pour finir l’histoire, Peggy ne voulait pas récupérer des photos sur la tablette… elle veut jouer aux jeux installés sur l’iPad.

Avouons aussi que ce problème sera de plus en plus récurant. Nous allons tous mourir laissant derrière nous mots de passe de sites web, forums, réseaux sociaux, smartphones… Comme j’ai déjà pu l’écrire sur le site zataz, il va falloir penser à se rapprocher de son notaire pour sauvegarder les précieux et les rendre disponibles aux proches parents.

Cybersécurité, Justice, loi, Téléphonie

Un plan secret pour couper le signal des téléphones en cas de crise

Le Homeland Security américain travaille sur un plan secret dédié à bloquer les services de communication cellulaire en situation d’urgence.

Pour étouffer une manifestation dans les rues de San Francisco, le Homeland Security, le service dédié à la sécurité sur le sol de l’Oncle Sam, a utilisé un « kill switch » pour empêcher toutes les communications via les téléphones portables. Les procès intentés par l’Electronic Privacy Information Center viennent de démontrer un plan secret du Department of Homeland Security (DHS) qui s’est donné comme possibilité de couper les services de communication à travers des villes entières, ou sur des domaines spécifiques. Un plan qui demeure inconnu. Les actions judiciaires n’ayant pas encore réussi à faire déclasser l’outil numérique de contrôle de masse utilisé. Le dernier commentaire en date de la justice US stipule que la cour suprême confirme que le DHS n’a pas à divulguer le contenu complet de son Standard Operating Procedure 303 [SOP 303]. Une action de blocage utilisé à Boston, en avril 2013.

Sous la direction du Comité consultatif sur les télécommunications de la sécurité nationale, SOP 303 permet la fermeture des réseaux sans fil « dans une zone localisée, comme un tunnel ou un pont, et au sein de toute une région métropolitaine.

Cybersécurité, ID, Identité numérique, Justice, loi, Particuliers

Le Royaume-Uni veut stocker l’historique Internet des utilisateurs

Un pas de plus dans les idées nauséabondes de cyber surveillance. Le législateur britannique se penche sur une idée folle, garder en mémoire l’historique Internet des utilisateurs.

Imaginez, dans 20 ans, n’importe quelle personne autorisée (ou non) pourra connaitre vos habitudes de surfs. Votre passion à visiter Cam4 et autres Youporn. De troller comme un sauvage dans Call of Duty. De passer votre temps à regarder des chats sur la toile. De la science fiction ? Le gouvernement
Britannique se penche depuis novembre sur une nouvelle loi, légitimant la cyber surveillance de masse. Bref, une loi qui doit autoriser et légaliser ce que faisait déjà les 007 locaux depuis les années 60.

Par exemple, l’article 94 de la Loi sur les télécommunications élargit les capacités de surveillance. Les
FAI auront obligation de stocker la liste de tous les sites que les internautes britanniques ont visité lors des 12 derniers mois. Ils vont bien finir par imposer la communication des bookmarks à ce rythme là !

Pour répondre à la communication de masse du gouvernement de David Cameron, l’association dédiée à la protection des droits de l’homme Open Rights Group lance une opération de crowdfunding pour récolter 20,000 livres sterling afin de communiquer, elle aussi, sur ces aberrations législatives.

En 2014, l’Europe indiquait déjà la disproportion de certains articles de loi dédiés à la surveillance de masse des sujets de sa Gracieuse Majesté. En juillet 2015, la Haute Cour du Royaume-Uni a également statué que la loi DRIPA, l’état d’urgence britannique depuis 2014, poussée par le parlement sans aucun examen approprié, était illégale selon le droit européen lié aux droits de l’homme.

Cybersécurité, Entreprise, Justice, loi, Propriété Industrielle

Protéger son site web c’est possible, même s’il s’agit d’un site « banal ».

Consciemment ou pas, il est toujours plus aisé de s’inspirer du travail des autres que de créer ex-nihilo son propre site web (tant en termes d’apparence que de process ou de fonctionnalités). Pour autant, la frontière entre l’inspiration et la reproduction est parfois mince et souvent génératrice de risques. D’autant plus que l’actualité judiciaire attire notre attention sur la faculté ouverte aux entreprises d’empêcher la reproduction des éléments de leurs sites, au-delà de la protection classique par la propriété intellectuelle.

Lorsqu’il s’agit de protéger une création, le premier reflexe est d’avoir recours à la protection au titre des droits d’auteurs. Un site Internet est effectivement une œuvre de l’esprit au sens du code de la propriété intellectuelle et entre donc dans le champ d’application de la protection.  Mais, pour bénéficier de cette protection, le site web doit nécessairement revêtir un caractère original, c’est-à-dire refléter la personnalité de son auteur.

Dans les faits, une telle originalité peut être caractérisée lorsque les différents éléments du site sont combinés selon une certaine présentation qui procède d’une recherche esthétique (non imposée par un impératif fonctionnel), conférant au site une physionomie particulière le distinguant d’autres sites du même secteur d’activité et révélant un effort créatif. Dans une telle situation, le titulaire des droits peut envisager une action sur le fondement de la contrefaçon. Cependant, l’expérience nous montre que peu de sites web sont en mesure de démontrer une telle originalité. Et, fort de ce constat, nombreux sont ceux qui pense pouvoir s’approprier le travail des autres sous prétexte qu’il n’est pas original. Mais, l’actualité judiciaire nous montre que d’autres actions sont envisageables, et permettent de protéger efficacement un site internet même s’il n’a rien d’original.

L’essor de la protection du site internet par l’action en parasitisme
Pour mémoire, le parasitisme vise un comportement économique par lequel une personne s’immisce dans le sillage d’une autre afin de tirer profit, sans en supporter les coûts, de ses efforts et de son savoir-faire, et ce indépendamment de tout risque de confusion. Fondée sur la responsabilité délictuelle, l’action en parasitisme permet de protéger la valeur économique de son travail et notamment de son site internet. Or, sur ce fondement juridique, le caractère original ou non du travail n’a aucune importance. Le Tribunal de Commerce de Paris vient de l’affirmer clairement dans une décision du 28 septembre 2015 : le parasitisme économique d’un site internet peut être retenu malgré l’existence de sites ressemblant à celui objet du litige ou malgré son caractère banal.

Ce jugement précise également que cette protection ne concerne pas seulement l’aspect esthétique du site, mais également son fonctionnement (cheminement de la commande, choix des messages, paiements et modes de livraison, …).

Rappelons en outre que le Tribunal de Commerce de Paris a déjà jugé que reproduire (ou même s’inspirer) les conditions générales de ventes d’un site Internet, sans la moindre contrepartie financière est un acte de parasitisme (jugement du 22 juin 2012). Si aucune originalité n’est à démontrer, il faut néanmoins pouvoir prouver que les éléments copiés ont résulté d’un véritable travail et ont engendré un coût de réalisation. Il n’est évidemment pas possible de reprocher à un concurrent de s’approprier un actif que l’on a soit même obtenu sans effort, sans coût. L’action en parasitisme est en plein essor dans le cadre de notre activité judiciaire notamment car sa mise en œuvre est aisée pour celui qui maitrise le sujet. Il est donc très important d’être conscient de cette situation et être attentif sur le sujet. Ce qui peut se traduire en pratique à se poser régulièrement la question suivante : les éléments objet d’une inspiration, outre leur originalité éventuelle, ont-ils pu engendrer un réel coût de développement ? … (Maitre Jérémie Courtois du Cabinet Cornet Vincent Segurel – bureau de Lille)

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)

Cybersécurité, Entreprise, Espionnae, Fuite de données, loi, Particuliers, Social engineering

La stratégie Américaine de contre-espionnage pour 2016

Le National Counterintelligence Strategy des Etats-Unis d’Amérique revient sur son plan d’action pour l’année 2016. Mission, tenter de bloquer l’espionnage sur le sol de l’Oncle Sam.

La stratégie de contre-espionnage national des États-Unis d’Amérique 2016 a été élaborée  conformément à la Loi de mise en valeur de contre-espionnage de 2002 (n° 107-306 Pub.L., 116 Stat. 2 383 – 50 USC sec. 3383 (d) (2)). La stratégie établit la manière dont le gouvernement des États-Unis (US) permettra d’identifier, de détecter, d’exploiter, de perturber et de neutraliser toutes les menaces d’espionnages par des entités de renseignement étrangères (Foreign intelligence entity – FIE).

Le document fournit des conseils pour les programmes de contre-espionnage (counter intelligence – CI) et les activités du gouvernement américain visant à atténuer ces menaces. « Chaque ministère et organisme du gouvernement américain a un rôle dans la mise en œuvre de cette stratégie dans le contexte de sa propre mission et par l’application de ses responsabilités et des pouvoirs uniques, explique le document. Rien dans la présente stratégie doit être interprétée comme une autorisation de mener des activités de CI« .

Dans ce fichier, plusieurs points liées au numérique comme le « Cyber Effect » qui regroupe la manipulation, la perturbation, le déni, la dégradation ou la destruction d’ordinateurs, d’information ou de communication des systèmes, des réseaux , des infrastructures physique ou virtuel contrôlées par des ordinateurs ou des systèmes d’information, ou des informations qui y résident.

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

backdoor, Cyber-attaque, Cybersécurité, Justice, loi, Piratage, Virus

La police canadienne saisi un serveur diffuseur de Dorkbot

Les autorités américaines et canadiennes viennent de se féliciter du blocage de plusieurs points de départs de l’attaque du code malveillant Dorkbot. Des serveurs saisis.

Le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, vient d’indiquer qu’elle venait de faire saisir un serveur ayant était utilisé dans la diffusion du code malveillant Dorkbot. Une saisie qui rentre dans les obligations faites par la Loi anti-phishing du Canada. La machine, saisie chez un hébergeur de Toronto était utilisé comme un centre de commandes et de contrôle (C&C) pour permettre aux pirates acquéreurs (Dorkbot se loue, ndr) de faire fonctionner le logiciel d’espionnage partout dans le monde. Dorkbot agit sur la toile depuis 2010.

Il a été découvert un an plus tard, après avoir été utilisé contre les messageries de Facebook et Gmail. L’attaque, classique. Dorkbot est envoyé aux cibles via un courriel piégé par un lien de téléchargement. Cette opération a été coordonnée entre les autorités canadiennes, Interpol, Europol, le FBI et Microsoft. Plusieurs autres serveurs ont été bloqués et saisis en Amérique centrale, en Europe et en Asie. Le canada serait, selon Websense, la 8ème nation la plus utilisée par les pirates informatique.

Entre 2011 et 2013, les policiers canadiens ont observé une augmentation de 40% d’actes de cybercriminalité. Une police dédiée uniquement à la cyber criminalité est en cours de création dans le pays.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Cybersécurité, Justice, loi

Invalidation du Safe Harbor : comment se préparer au prochain accord ?

En octobre 2015, la Cour européenne de justice a décidé d’annuler l’accord Safe Harbor, conclu il y a 15 ans entre l’Union européenne et les Etats-Unis. Cet accord portait sur un mécanisme simple de transfert de données entre les deux continents. La suppression du Safe Harbor est la conséquence directe de l’audacieux recours juridique déposé par Max Schrems, étudiant en droit autrichien de 28 ans.

Max Schrems est parvenu à s’attaquer à des entreprises du secteur des technologies semblant jusque-là invulnérables, et à enregistrer une victoire au nom des droits des utilisateurs, ce qui lui a valu de nombreux applaudissements, en particulier de la part d’Edward Snowden. Bien que la décision de la cour européenne puisse paraître surprenante, elle s’inscrit dans une tendance récente au renforcement des règles en matière de confidentialité des données.

Les lois américaines dans ce domaine sont moins contraignantes que celles en vigueur dans l’Union européenne. Jusqu’à cette décision, Safe Harbor constituait un compromis entre les procédures de confidentialité américaines et européennes. En vigueur depuis l’an 2000, cet accord a permis aux sociétés américaines de rapatrier les données des citoyens européens aux États-Unis tant qu’elles respectaient le même niveau de confidentialité que les normes européennes en la matière. Ces sociétés ont dû s’engager à respecter sept principes relatifs à l’exploitation des données collectées, mais la décision de la Cour européenne de justice envoie un signal fort selon lequel les droits des utilisateurs à la confidentialité doivent être consacrés par la loi et non pas par une simple auto-certification. Depuis la fin du Safe Harbor, les entreprises des deux côtés de l’Atlantique ont dû réviser leurs procédures de collecte, de stockage, de traitement et de transfert des données personnelles des citoyens européens.

Quel sera l’impact sur les entreprises ?
Les entreprises qui dépendent du libre transfert des données entre l’Union européenne et les États-Unis se retrouveront dans une position difficile. L’analyse des conséquences de cette décision a principalement porté sur sa signification pour les réseaux sociaux américains, mais les sites américains de partage de fichiers dans le cloud, comme Dropbox (et leurs clients utilisateurs de leurs services de stockage), le fournisseur de services cloud, les grands distributeurs internationaux comptant des clients dans l’Union européenne et toutes les entreprises américaines de gestion de ces données personnelles seront concernés.

Les directeurs de la sécurité des systèmes d’information des grandes entreprises doivent désormais s’efforcer de trouver les moyens de respecter ce nouvel arrêt. Il va sans dire que la confidentialité des données des utilisateurs est extrêmement importante et doit constituer un droit fondamental, mais cette décision concerne bien plus d’entreprises que Facebook et Google. Il est plus que probable que cela modifiera les procédures de transfert de données mises en place par les entreprises entre les deux continents. Près de la moitié des échanges de données dans le monde s’effectuant entre l’Europe et les États-Unis, l’invalidation de l’accord Safe Harbor se traduira par des changements radicaux pour les petites et moyennes entreprises.

Bien qu’il ne soit pas encore possible de savoir exactement ce qui remplacera cet accord, il est clair que cela aura des conséquences sur les activités au quotidien. Il deviendra plus difficile de fournir des services et des données entre l’Union européenne et les États-Unis.

Toutes ces préoccupations autour des réglementations relatives à la confidentialité des données ne sont pas nouvelles. Quelles sont les autres règles en vigueur ?
Le principal reproche formulé à l’encontre de l’accord Safe Harbor est qu’il ne respecte pas les exigences de la directive européenne sur la protection des données. L’Union européenne semble avoir de plus en plus tendance à s’opposer à l’approche américaine en matière de confidentialité des données. La décision sur l’accord Safe Harbor, et celle sur le droit à l’oubli, constituent un signal clair que l’attitude « La prospérité maintenant, la confidentialité plus tard » n’est plus de mise en Europe.

Le General Data Protection Regulation (ou GDPR) est acté, la réglementation à proprement parler est toujours en consultation, et il y aurait donc une certaine marge de manœuvre pour y faire figurer des directives claires à l’intention de ces entreprises. Cependant, il serait juste de partir du principe que cela pourrait avoir des répercussions sur la date d’adoption envisagée (actuellement la fin de l’année).

Comment les entreprises se préparent-elles à cette législation ?
Selon un récent sondage réalisé par Ipswitch, les entreprises se préparent aux changements annoncés, mais lentement. Bien que la nouvelle réglementation soit soumise à consultation depuis près de quatre ans, ce sondage mené en septembre 2015 indique qu’un peu moins d’une entreprise française sur cinq ne sait toujours pas si elle est concernée par ces mesures alors que ces mêmes sociétés affirment stocker et traiter des données personnelles. Par ailleurs, 71% d’entre elles estiment qu’elles devront investir dans des technologies de traitement et de stockage de données conformes à ces nouvelles normes.

Que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité avec le GDPR ?
Elles ne doivent pas sous-estimer la charge que représente cette nouvelle législation. Selon leurs pratiques actuelles en matière de transfert de données, la décision relative à l’accord Safe Harbor pourrait nécessiter de profonds changements et impliquer de nombreux services au sein de l’entreprise.

Voici une checklist de cinq points destinée aux services informatiques afin de leur permettre de se mettre en conformité avec les règles de confidentialité.

1/ Des responsabilités clairement délimitées
Face aux exigences croissantes de confidentialité des données auxquelles les entreprises sont confrontées, la nomination d’un Responsable Protection des Données peut être un excellent point de départ. De nombreuses entreprises ont déjà procédé à une telle nomination, et la nouvelle réglementation GDPR en cours d’élaboration devrait inciter de nombreuses autres à leur emboîter le pas. Carsten Casper, analyste du cabinet Gartner, souligne qu’« il est logique que de nombreuses sociétés aient en leur sein un chargé des questions de confidentialité indépendamment de la législation ».

Ce processus de mise en conformité nécessitera le soutien des dirigeants, une collaboration entre les services, la validation d’un budget, des ressources et des investissements technologiques. Quelle que soit la démarche adoptée par les entreprises, elles devront clairement identifier le ou les responsables de ce projet en interne.

2/ Auditez vos pratiques actuelles
Alors que les entreprises bénéficieront d’un certain délai avant d’être obligées de se mettre en conformité, il faut qu’elles commencent immédiatement à auditer leurs pratiques de partage de données, notamment l’utilisation de services américains de partage dans le cloud comme Dropbox, pour pouvoir cerner précisément où elles en sont et être prêtes à agir dès l’officialisation de nouvelles directives. Cet audit doit aussi permettre d’identifier les personnes concernées par ces changements au sein de l’entreprise et le type d’assistance nécessaire.

Il faut s’interroger sur les procédures, les stratégies ou les technologies qu’il est possible de mettre en place aujourd’hui et qui serviront les projets futurs. Une entreprise mature et agile se caractérise par la capacité de ses solutions à répondre aux besoins actuels tout en étant suffisamment souple pour s’adapter aux évolutions futures.

3 / Quels sont vos points les plus vulnérables ?
La possibilité de transférer les données en toute sécurité afin de garantir les processus opérationnels stratégiques est un point important pour les entreprises. Il n’a jamais été aussi important d’être sûr de sa politique en matière de transfert de fichiers. En l’absence de nouvelles lignes directrices concernant le remplacement du système Safe Harbor, il faut partir du principe que son remplaçant sera plus draconien et exigera des preuves.

Dans un monde où le numérique s’impose de plus en plus comme la norme, il est logique du point de vue économique de renforcer ses liens avec les partenaires, les sous-traitants ou les clients. Gérer le transfert et le stockage de tous les fichiers entre les clients, les employés, les partenaires, les systèmes de gestion, etc. peut-être une lourde tâche. La gestion des transferts de fichiers représente l’une de ces technologies facilitant l’accès aux données et la visibilité et la maîtrise complètes par le service informatique.

4 / Diffusez le message
Il ne suffit plus de mettre en place les bonnes mesures de sécurisation des transferts de données, toute entreprise se doit de garantir qu’elle a déployé les bonnes technologies de transfert de fichiers, les bons systèmes de sécurité et processus, une piste d’audit complète et, peut-être plus important encore, qu’elle a formé son personnel.

Les meilleures technologies au monde peuvent être mises en place, mais si les collaborateurs de l’entreprise ne savent pas ce que l’on attend d’eux, l’échec sera de mise. Préparer ses collaborateurs aux nouvelles exigences en matière de protection des données est aussi important que d’apprêter ses technologies.

5 / Paré à agir
Les organismes nationaux de protection des données des différents États membres de l’Union européenne sont en pleine effervescence afin d’analyser, d’intégrer et d’émettre des directives sur les procédures de traitement au quotidien par les entreprises. L’emploi de clauses contractuelles est une question débattue au sein de ces organismes nationaux. Certains experts préconisent l’usage de clauses à titre de solution provisoire en l’absence d’autres directives. Mais tous ne sont pas d’accord, L’autorité de surveillance allemande, argumente que ces clauses ne sauraient remplacer Safe Harbor. Quoiqu’il en soit, l’accent est mis sur l’anticipation de l’avenir pour que la mise en conformité puisse intervenir rapidement en temps opportun.

Si tout cela semble être un obstacle chronophage que les entreprises devront franchir, il convient de rappeler les implications de cet arrêt à propos de l’accord Safe Harbor pour tous en tant que citoyens. C’est une grande victoire pour la confidentialité des données personnelles. Il pourrait aussi se révéler être une grande victoire pour les entreprises. Pour paraphraser un principe de physique, l’innovation a horreur du vide. Le vide créé par Safe Harbor s’avérera être une opportunité d’amélioration dans un contexte où les entreprises cherchent de meilleures solutions pour renforcer le degré de responsabilité vis-à-vis des enjeux du numérique. (Par Michael Hack, vice-président senior des opérations EMEA d’Ipswitch).

Cybersécurité, Justice, loi

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)

Chiffrement, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Facebook ne doit plus suivre les Belges à la Trace

Un tribunal a donné 48 heures à Facebook pour arrêter le suivi de ses utilisateurs Belges.

La CNIL Belge [Commission de la vie privée belge], par le biais d’un tribunal local, vient de gagner une bataille intéressante face à Facebook. Le portail communautaire doit stopper le suivi des internautes du royaume. Fini le cookie inquisiteurs qui dure 5 ans. Facebook a interjeté l’appel de la décision.

Le tribunal belge a déclaré que le géant américain doit obtenir le consentement des internautes afin de recueillir les données collectées par le cookie. Pour les juges, ce cookie et son contenu sont considérés comme des données personnelles. Facebook risque 250.000 euros d’amende, par jour, si le problème n’est pas corrigé. Facebook a précisé qu’il « utilisait le cookie DATR pendant plus de cinq ans pour garder Facebook sécurisé pour 1,5 milliard de personnes à travers le monde« .

Les plus bidouilleurs garderont un petit sourire aux lèvres en se souvenant d’une méthode du « cookie stealing » permettant de prendre la main sur un compte Facebook en interceptant le précieux document. Il suffisait alors de Wireshark et cookie injector pour devenir Kalif à la place du Kalif. Il fallait, certes, être sur le même réseau que la cible, mais soyons honnête, un détail… que ce détail.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Cybersécurité, Justice, loi

Faudra-t-il, bientôt, fournir son identité pour posséder un drone ?

Jeudi 29 octobre, le Parlement européen de Strasbourg a adopté un rapport sur les drones qui pose les bases d’une prochaine législation européenne pour encadrer leur utilisation.

Certes la future réglementation européenne aura pour ambition de répondre aux inquiétudes justifiées concernant la sécurité mais tentera aussi de donner à cette filière émergente les moyens de se développer dans un cadre respectueux des citoyens et des espaces aériens. Cette filière des drones est en pleine évolution, et il est du rôle de la Commission européenne de l’appuyer tout en l’encadrant. Il est ainsi prévu qu’un volet législatif européen soit ouvert dans le futur paquet aérien qui sera présenté par la commission en décembre prochain. En effet, il n’y pas moins de 14 législations nationales (plus ou moins contraignantes) parmi les 28 pays de l’Union européenne, et la France fut l’une des premières à légiférer.

Ce rapport entend assurer la traçabilité de l’ensemble des engins, mais aussi des exploitants et propriétaires comme conditions sine qua none à toute utilisation. C’est une bonne chose car l’on a pu voir lors du survol des centrales nucléaires françaises que nous étions incapables d’en retrouver les pilotes. Il faut mettre en place un système d’immatriculation qui permettra d’identifier facilement les drones, et même à distance si possible. Les risques terroristes font craindre une véritable menace sur la sécurité du parc nucléaire français, pouvant provoquer un black-out électrique ou même un accident nucléaire majeur, comme nous avions pu le démontrer dans une lettre au gouvernement français… restée sans réponse.

Il est aussi prévu d’assurer une meilleure navigabilité pour les drones avec un partage de l’espace aérien clair. Il faudra surtout bien distinguer les usages récréatifs et professionnels, et donner des autorisations différentes à leurs utilisateurs.

Les eurodéputées Karima Delli et Michèle Rivasi (écologistes) concluent que « Ce rapport est dans la droite ligne des préoccupations écologistes, et appelle clairement à l’interdiction des survols des zones nucléaires mais aussi des zones chimiques à risque. Nous avons de plus obtenu la garantie d’une protection efficace des données de l’ensemble des citoyens européens afin que la liberté de chacun soit assurée« .

La législation est pourtant claire sur ce sujet. Le survol de zone publique, industrielle est déjà interdite ou faisant face à des règles très précises. Dans une commune, par exemple, seul un arrêté municipal peut autoriser, ou non, le survol d’un drone.

Cybersécurité, Justice, loi

Le Parlement européen a adopté l’accord législatif sur les règles relatives aux communications électroniques

Le nouveau paquet télécom est présenté comme une victoire pour les consommateurs alors que c’est tout simplement l’inverse. Ce paquet représente une réelle menace pour la neutralité du Net, principe fondateur de la liberté d’expression et d’information sur Internet selon le député européen europe écologie Pascal Durand.

Si le Parlement européen s’était initialement prononcé pour inscrire ce principe dans la législation, le compromis final négocié avec le Conseil de l’UE a produit un tout autre résultat. Non seulement la neutralité du Net n’est plus mentionnée, mais pire, l’accord autorise les fournisseurs de services Internet à introduire des « services spéciaux » et à mettre en place une gestion du trafic sur Internet, menaçant de facto la neutralité du Net.

Les pourfendeurs du paquet télécom annoncent par ailleurs la soi-disant « fin des frais d’itinérance ». Pur mensonge. En effet, si les frais d’itinérance seront abolis plus tôt que prévu, des failles et exceptions dans la législation vont permettre aux opérateurs de récupérer leur manque à gagner par d’autres moyens, au détriment des consommateurs. Les autorités nationales auront la responsabilité de vérifier et d’interpréter l’application des règles, ce qui risque de conduire à une myriade d’exceptions nationales. De ce fait, il est très incertain qu’utiliser son téléphone au-delà des frontières nationales après 2017 sera moins coûteux. Par Pascal Durand, Député européen europe ecologie.

Pendant ce temps…
Mardi 27 octobre 2015, le Sénat a adopté en première lecture la proposition de loi, adoptée par l’Assemblée nationale, relative aux mesures de surveillance des communications électroniques internationales. Ce texte fait suite à la décision du Conseil constitutionnel du 23 juillet 2015 par laquelle le Conseil a censuré certaines dispositions de la loi sur le renseignement, qui devaient devenir un chapitre du code de sécurité intérieure relatif aux mesures de surveillance des communications électroniques internationales. Le Conseil constitutionnel ne contestait pas la constitutionnalité de ces dispositions mais avait estimé que le législateur n’avait pas épuisé sa compétence en renvoyant l’édiction de certaines règles encadrant cette technique de recueil de renseignement au soin du pouvoir réglementaire.

Estimant que les dispositions législatives destinées à autoriser et à encadrer la surveillance des communications internationales doivent être votées rapidement, les auteurs de cette proposition de loi proposent un dispositif qui répond aux exigences du Conseil constitutionnel. Le texte vise donc à créer un cadre juridique spécifique pour la surveillance des communications internationales en introduisant un nouveau chapitre dans le code de la sécurité intérieure.

http://www.senat.fr/rap/l15-097/l15-097.html
http://www.senat.fr/rap/a15-100/a15-100.html
http://www.senat.fr/seances/comptes-rendus.html

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Mise à jour, Particuliers, Social engineering

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »