Archives de catégorie : Sauvegarde

La sécurité reste l’un des freins les plus importants à l’adoption du Cloud

Selon une récente enquête, la sécurité informatique reste l’un des freins les plus importants à l’adoption du Cloud pour les entreprises.

Les entreprises de la zone EMEA se tournent de plus en plus vers Office 365 de Microsoft, même si compte tenu de toutes les cyber attaques récentes, les inquiétudes concernant la sécurité restent l’un des freins les plus importants à l’adoption du cloud. Telle est une des principales conclusions d’une enquête internationale conduite auprès de plus de 1.100 organisations par Barracuda Networks, Inc., un éditeur de solutions de sécurité et de protection de données basées sur le cloud.

L’enquête, intitulée “Office 365 Adoption Survey: Drivers, Risks, and Opportunities” avait pour but de mesurer les tendances autour de l’adoption et de l’utilisation de Microsoft Office 365, y compris les facteurs contribuant à la décision pour ou contre la migration vers cette plate-forme. L’étude a également permis de rassembler des informations sur l’utilisation par les entreprises de solutions tierces de sécurité et de protection de données avec Office 365, et leur engagement vis à vis de revendeurs à valeur ajoutée (VARs) et de fournisseurs de services managés.

Commentant ces résultats, Chris Ross, SVP International chez Barracuda Networks, a déclaré : “L’adoption d’Office 365 continuant d’augmenter d’une année sur l’autre en Europe, il est naturel d’assumer que les inquiétudes concernant les cyber menaces vont persister. Mais il est encourageant de constater que les entreprises s’éveillent à l’importance d’une approche de protection multi-couches, ce qui suggère une meilleure compréhension de leurs obligations lors de l’adoption du cloud.

Un domaine où l’Europe a encore du chemin à faire pour atteindre les niveaux constatés aux États-Unis est l’adoption de solutions tierces pour ajouter une couche supplémentaire de sécurité contre les attaques de spear phishing, d’usurpation d’identité et de ‘social engineering.

Seules 14% des organisations de la zone EMEA ont déjà quelque chose en place, à comparer à 36 pour cent aux États-Unis. Nous pensons que cette situation devrait évoluer au cours de l’année qui vient, et nous incitons les entreprises européennes à y prêter attention.

Nous constatons que les cyber criminels changent de cibles, passant du top management à des employés plus bas dans la hierarchie, et de grandes entreprises à des organisations plus petites disposant de moins de ressources.”

Principales conclusions dans la zone EMEA

* Près des deux tiers (62%) des entreprises de la zone EMEA utilisent désormais Office 365, en augmentation de 50 pour cent par rapport à une enquête similaire réalisée par Barracuda en 2016.

* Parmi celles qui n’utilisent pas aujourd’hui Office 365, un peu moins de 40% indiquent qu’elles prévoient de migrer dans l’avenir – une proportion moindre qu’aux États-Unis, où près de 49% déclarent prévoir cette migration.

* La plus grande inquiétude visant la sécurité pour plus de 90% des entreprises européennes concerne les ransomwares. Près la moitié d’entre elles (48%) avouent avoir déjà été frappée par une infection de ce type, même si seulement 3% d’entre elles ont finalement payé la rançon.

* Pour les entreprises ayant déjà été frappées, le mail a été de loin le principal vecteur d’attaque pour les cyber criminels, près des trois quarts (70%) des attaques par ransomware arrivant via email. Les trafic web (18%) et le trafic réseau (12%) n’ont représenté qu’un nombre relativement faible d’infections.

* La raison la plus couramment invoquée pour ne pas migrer vers Office 365 a changé depuis l’étude de l’année dernière, les entreprises européennes rejoignant les américaines en plaçant en tête les inquiétudes concernant la sécurité (32%). Mais à la différence des États-Unis, les entreprises européennes citent toujours une politique “no cloud” comme une raison significative de ne pas migrer (28%).

* Malgré ces inquiétudes, plus de 85 pour cent des entreprises européennes interrogées ont indiqué ne pas utiliser la fonction Advanced Threat Protection (ATP) de Microsoft Office 365 – s’appuyant plutôt sur des solutions tierces pour accroître la protection de leurs environnements Office 365. Plus de deux cinquièmes d’entre elles (43%) utilisent des solutions tierces de sécurité, d’archivage ou de sauvegarde, ce chiffre étant encore plus important (68%) parmi celles qui prévoient de migrer.

* A côté de cela, 41% des organisations interrogées ont déclaré redouter des attaques de phishing, de spear phishing, d’usurpation d’identité ou de ‘social engineering’. Toutefois, seules 14% des organisations européennes ont indiqué disposer d’une solution tierce pour adresser ces menaces.

Ces résultats confirment la prise de conscience croissante des besoins de sécurité que nous constatons chez nos clients, et la nécessité d’adopter une approche multi-couches pour progresser,” a ajouté Sanjay Ramnath, Vice President of Security Products and Business Strategy chez Barracuda. “Nos clients et nos partenaires indirects qui déploient Barracuda Sentinel et Barracuda Essentials for Office 365 peuvent migrer certains de leurs processus de gestion stratégiques dans le cloud, tout en étant certains d’être protégés contre les ransomwares, les attaques de spear phishing et d’autres menaces avancées.

Chiffrement : une clé USB sensible trouvée dans la rue

Chiffrement : un homme trouve une clé USB avec les plans de sécurité d’un aéroport Londonien. Des informations qui n’étaient pas chiffrées !

Un Londonien sans emploi a découvert une clé USB dans la rue alors qu’il se dirigeait vers la bibliothèque pour vérifier sur Internet les offres d’emploi. Quand il est arrivé à la bibliothèque, il l’a branché et a découvert que cette dernière était remplie de nombreux détails de sécurité au sujet de l’aéroport international de Londres Heathrow. On pouvait également y trouver les mesures de sécurité et les détails de voyage de la reine Elizabeth II. L’homme a remis immédiatement le disque à un journaliste du Sunday Mirror.

Les informations ainsi disponibles comprenaient l’emplacement de chaque caméra de télévision en circuit fermé (CCTV), les itinéraires et mesures de protection de la sécurité pour la Reine, les ministres du Cabinet et les dignitaires étrangers en visite, mais aussi des cartes des tunnels de l’aéroport.

Une fuite, des fuites !

« Cette histoire est tout ce qui est de plus vraie hélas » indique Romain Cohen-Gonsaud, responsable des ventes et du marketing en Europe pour Origin Storage, il poursuit en indiquant « de tels faits sont très graves et il faut que tout le monde prennent conscience au niveau des entreprises, gouvernements et agences gouvernementales que les données que nous stockons sont ultra sensibles ».

Il existe de nombreux moyens de protéger nos données où qu’elles se trouvent. Si l’on reprend l’exemple de cette clé USB perdue, une telle histoire n’aurait pas vu le jour si le propriétaire des données avait mis en place un système de gestion des périphériques mobiles. En effet avec la solution SafeConsole, il est possible d’administrer à distance un disque dur ou encore une clé USB, changer le mot de passe utilisateur et même effacer la totalité du contenu stocké ! Et ceci à distance sas effort.

A l’heure où nous parlons de plus en plus de la fameuse GRPD, cette loi qui va obliger les entreprises de toute taille à mettre en œuvre des systèmes afin de sécuriser leurs données, il faut bien avouer que cette histoire doit tous nous motiver à prendre les bonnes décisions, plutôt que de les subir, et ce dans l’intérêt de tous.

Fuite de données idiotes pour le Casino Graton Resort

Un certain nombre de données sensibles appartenant aux clients de la société Graton Resort and Casino ont été diffusées par erreur par le groupe de casinos !

On ne connait pas le nombre exacte des clients touchés par la fuite de données sensibles qui vient d’impacter l’entreprise Graton Resort and Casino. Ce professionnel de l’hôtellerie vient d’annoncer une boulette. Un courriel envoyé aux clients contenait les informations personnelles, privées et sensibles des autres clients.

Bref, un service makerting (Internet ou partenaires extérieurs) qui utilise un fichier Excel contenant les informations des clients et qui se retrouve en copié collé en lieu et place de la promotion du moment. Identités, adresses et numéro de sécurité sociale (l’identité administrative, NDR) des clients ont été diffusés. La lettre envoyée par Graton Resort and Casino indique que cette erreur a été détectée le 1er septembre 2017.

La fuite a eu lieu … entre février et août 2017. Ils ne sont même pas capable de connaître la véritable date de diffusion. « Il est important de noter que ce n’était pas une violation de données ou un piratage« , a indique le communiqué de presse. « Ce fut une erreur humaine« .

Fait troublant, le 15 septembre, un bug sur le réseau informatique interne d’un casino du groupe a obligé certains joueurs à rester 4 heures devant leur bandit manchot ou les machines vidéo poker. Le réseau permettant de valider les paiement automatiques était tombé en panne !

A noter que si cette fuite était apparue après le 25 mai 2018, date de la mise en fonction du Nouveau Règlement liée aux données privées des Européens, le casino Américain aurait été dans l’obligation d’alerter les CNIL des pays liés aux clients de la zone Europe impactés.

Piratage pour Forrester Research : des rapports clients volés

Le site Internet de la société Forrester Research, Forrester.com, a été infiltré. Une vulnérabilité qui a donné accès à un pirate à des informations commercialisées par FR.

Une faille de sécurité dans le site web de Forrester Research a permis à un pirate informatique d’avoir accès à des informations sensibles commercialisées par la société spécialisée dans les audits et analyses économiques.

Le pirate a trouvé un accès à l’espace permettant d’accéder aux rapports produits par FR et mis à disposition, pour les clients, sur le site Forrester.com. Les attaquants ont été détectés après l’intrusion. Les comptes créés pour l’occasion par les malveillants ont effacé du système. Le cabinet de conseil, l’un des plus influents du monde, a indiqué qu’aucunes données clients n’avaient été impactées. Les pirates ont infiltré l’infrastructure hébergeant le site Forrester.com. Un espace qui permet également aux clients de télécharger des études de marché. Des accès en fonction de leurs contrats avec Forrester Research. Autant dire une manne d’information stratégique pour qui sait s’en servir.

Les sociétés d’audits et autres études de marché sont des cibles VIP+ pour les espions du numérique. A l’image des agences de presse spécialisée dans l’économie, porteuses de communiqués de presse non encore diffusés ou mis sous embargo.

En 2015, cinq personnes étaient arrêtées aux États-Unis pour s’être fait une spécialité boursière pas comme les autres. Ils pirataient des agences de presse spécialisées. Le but, de mettre la main sur des données encore publiées concernant des sociétés cotées en bourse. Les pirates mettaient en vente les informations volées auprès d’acheteurs initiés aux arnaques financières. Les malveillants proposaient aussi d’accéder aux serveurs compromis, soit ils offraient la possibilité de consulter des listes « d’achats » et de « souhaits » à partir d’informations qui devaient être diffusées par les agences. Une infiltration qui va durer 5 ans !

Un procédé qui ressemble comme deux gouttes d’eau à l’action pirate menée contre Forrester Research.

Le coffre-fort numérique MemoCloud se charge de votre héritage numérique

La Toussaint est souvent un moment difficile pour ceux qui ont perdu un proche. Comment accéder aux informations de la personne décédée ? Le coffre-fort numérique MemoCloud se charge de cet héritage numérique.

Un proche décède et les implications difficiles administratives rentrent en jeu. Les difficultés lors d’une succession par manque d’informations données par le défunt se font rapidement sentir. Selon un sondage, 37% des Français confient ne pas trouver d’oreille « suffisamment attentive » pour parler de la mort, notamment après celle d’un proche. Cela a, en général, pour conséquence il devient de plus en plus évident qu’il faille réfléchir à ce qui va se passer, après sa mort. À l’ère du numérique, nous effectuons toutes nos démarches en utilisant Internet, que ce soit pour nos factures, nos impôts, nos contrats, nos informations bancaires et même de plus en plus pour notre patrimoine. Nos documents importants se retrouvent alors éparpillés sur des sites divers et variés et sur notre ordinateur sans que quiconque puisse en être informé s’ils nous arrivent quelque chose (incapacité ou décès).

Il est utile de savoir qu’avec 54 millions de contrats, 37 millions de bénéficiaires et un encours de 1 632 milliards d’euros, l’assurance-vie est le premier placement financier des Français et le soutien de premier plan pour le financement des entreprises françaises (Sondage FFA Ipsos Mars 2017). Par contre chaque année, des milliards d’euros ne sont pas reversés par lesdites assurances vies faute d’avoir retrouvé le bénéficiaire ou d’avoir été réclamées. De plus, près de 9 successions sur 10 n’ont pas établi de testament ou de dernières volontés, il est alors difficile de savoir ce que l’être cher veut ou voulait réellement.

Veut-il que l’on s’acharne thérapeutiquement sur lui ? Refuse-t-il le don d’organes ? Qui héritera de la maison qu’il avait achetée ? Quels sont les contrats qu’il a souscrits ? A-t-il une assurance vie ? Veut-il être incinéré ou enterré ? Tant de questions que les personnes confrontées à ce genre d’événements ne peuvent malheureusement pas répondre faute d’informations ou d’en avoir parlé en temps et en heures. Un Français de 67 ans, Robert Bentz, vient de lancer une idée, celle d’ouvrir un cloud dédié à cette problématique. Baptisé MemoCloud, cette idée regroupe un coffre-fort numérique chiffré en ligne qui doit permettre de protéger vos documents confidentiels et d’en organiser la ventilation en cas de décès ou d’incapacité. Seuls les bénéficiaires désignés auront accès au dossier choisi au moment opportun.

Deux solutions sont proposées, un gratuite et un espace de stockage de 100M ; et une payante (40€ l’année). Cette version assure la transmission des données aux bénéficiaires choisis par le souscripteur.

La question est de savoir maintenant comment les bénéficiaires connaitront l’existence de MemoCloud. Autre point, vous avez 20/30/40 ans aujourd’hui, et que dans 40 ans vous décédez, Memocloud existera-t-il encore ?

Vidéosurveillance et Stockage : quel disque choisir ?

Lorsque se produit un événement de grande ampleur, les journalistes du monde entier se mettent en quête d’images de vidéosurveillance de l’incident, aussi isolé puisse-t-il paraître. Avec en moyenne une caméra pour vingt-neuf Terriens, il n’est donc guère surprenant qu’avec un peu de persévérance, un journaliste, un enquêteur, voire un simple particulier, finisse souvent par découvrir ces images. Selon une estimation, ce chiffre atteindrait même une caméra pour onze habitants sur des marchés développés tels que les États-Unis ou le Royaume-Uni. Un nombre aussi élevé de systèmes de vidéosurveillance actifs en permanence, génère une quantité gigantesque de données (brutes). Selon une étude de HIS Inc., en 2015, ce sont quelques 566 pétaoctets de données qui ont été produits en à peine une journée par toutes les caméras de surveillance nouvellement installées à travers le monde.

Avec l’accroissement de la demande de systèmes de vidéosurveillance, les clients rechercheront toujours les « meilleures » caractéristiques qui leur sont familières, à savoir les caméras et les logiciels de surveillance. Mais ils passeront peut-être à côté de l’aspect moins tangible – mais tout aussi important – du stockage des données collectées. De fait, bien que conçus pour l’enregistrement en continu de vidéo HD ou Full HD par des caméras multiples, de nombreux systèmes emploient encore des disques qui n’ont pas été spécifiquement testés pour les besoins particuliers des installations modernes de vidéosurveillance. Un disque optimisé pour des systèmes de vidéosurveillance doit pouvoir supporter la charge liée à ces systèmes afin de limiter les risques d’erreurs et de perte d’images. Un disque optimisé doit consommer un minimum d’énergie, donc dégager moins de chaleur et être moins sujet aux pannes. Une surchauffe pénalise les opérations de lecture-écriture dans un système de vidéosurveillance et réduit par ailleurs la durée de vie du disque. Si le coût d’un disque conçu pour des systèmes de vidéosurveillance peut s’avérer plus élevé au départ, celui-ci sera compensé par des gains de performances et une fiabilité accrue.

Un disque bureautique consomme en moyenne de 6 à 8 W tandis qu’un disque de vidéosurveillance, à l’instar du modèle WD Purple Surveillance, se contente de 3 à 5 W. La solution idéale de stockage pour ce type d’application doit tout à la fois offrir des niveaux élevés de performance, d’efficacité et de capacité pour des environnements difficiles. Mais comment faire la différence ?

Plusieurs critères spécifiques sont à examiner au moment de déterminer si un disque a été conçu dans l’optique de la vidéosurveillance :

* Fonctionnement en continu : un système de vidéosurveillance fonctionne souvent 24 heures sur 24, 7 jours sur 7. Le disque doit donc être conçu et testé pour des cycles d’écriture intensifs. En comparaison, un disque bureautique est typiquement prévu pour n’être actif que 8 heures sur 24 les jours ouvrés.

 Fiabilité des performances : certains disques, tels ceux de la gamme WD Purple Surveillance, intègrent une technologie spéciale (en l’occurrence AllFrame 4K™) qui contribue à améliorer les performances en lecture ainsi qu’à réduire les erreurs et les pertes d’images.  Capacité RAID : pour plus de sérénité, il est aussi préférable de rechercher un disque offrant une capacité RAID. Un système de ce type peut combiner deux disques durs ou plus pour assurer la redondance en cas de défaillance de l’un d’entre eux, de sorte que l’enregistrement puisse se poursuivre. Cela réduit les interruptions et les risques de perte de données.

* Faible consommation : si ce critère n’apparaît pas dans la liste des priorités concernant le choix d’un disque dur, la nécessité d’un fonctionnement en continu le rend crucial. Certains disques sont conçus dans un souci de basse consommation, ce qui est synonyme de plus grande fiabilité et d’économies.

* Prise en charge d’un grand nombre de caméras : un système NVR est conçu pour prendre en charge un nombre élevé de caméras IP et aura probablement besoin d’une plus grande capacité de stockage. La vidéo 4K consomme beaucoup plus d’espace disque que la définition standard, ce qui accroît considérablement la charge de travail et le volume d’écriture de données par seconde. Les disques de vidéosurveillance sont disponibles dans des capacités allant jusqu’à 10 téraoctets pour permettre une plus longue durée de conservation et un travail plus intensif.

* Prise en charge d’un grand nombre de baies système : à mesure que des disques durs sont ajoutés dans un système, les vibrations augmentent dans le châssis, ce qui est inévitable en raison de la rotation des plateaux. Un disque adapté doit intégrer une technologie destinée à compenser les vibrations afin de contribuer à en préserver les performances.

* Compatibilité étendue avec différents systèmes : des différences dans la conception interne du châssis et du logiciel peuvent créer des problèmes d’installation physique du disque dans une baie ou encore de reconnaissance de sa capacité complète. Il faut donc rechercher des disques compatibles avec son fabricant de systèmes DVR et NVR.

Compte tenu de l’importance du stockage dans les systèmes de vidéosurveillance, il peut aussi être utile de faire appel à un calculateur de capacité pour aider à déterminer le disque et la capacité les mieux adaptés à ses besoins.

A mesure que le nombre de caméras de vidéosurveillance continuera d’augmenter, il en ira de même pour la complexité des systèmes associés. Les installateurs doivent veiller à bien connaître les différentes options disponibles et à fournir les meilleurs conseils à leurs clients afin que ceux-ci bénéficient du niveau de fiabilité, de coût et de performances qu’ils attendent.

(Jermaine Campbell, Sales Manager North Europe, Western Digital, est spécialisé dans la gestion du marketing, la planification commerciale, les ventes, la gestion de la relation client (CRM) et la stratégie Go-to-Market.)

Seconde fuite de données pour Verizon

Découverte d’une nouvelle fuite de données concernant la société Verizon. Encore des données confidentielles et sensibles non protégées.

On prend les mêmes et on recommence pour Verizon et ses données ! Des experts du centre de recherche sur la sécurité de l’entreprise Kromtech/MacKeeper ont découvert une nouvelle fuite de données concernant l’opérateur américain Verizon. Une fois encore, des données confidentielles et sensibles sans protection.

Les données divulguées incluaient 100Mo de journaux de serveurs et d’informations d’identification pour les systèmes internes. Une fois encore, un cloud Amazon AWS S3 protégé avec les pieds ! La sauvegarde mal protégée contenait des informations sur les systèmes internes de Verizon Wireless [Distributed Vision Services].

La découverte date du 20 septembre. Pas de données clients, mais ce n’est pas pour autant rassurant pour les utilisateurs de cette entreprise. Certains documents découverts affichaient des avertissements de type « matériaux confidentiels et exclusifs » [confidential and proprietary materials]. Ils proposaient des informations détaillées sur l’infrastructure interne, y compris les adresses IP du serveur et les hôtes routeurs globaux de Verizon !

600 000 dossiers d’électeurs accessibles sur le web

Près de 600 000 dossiers d’électeurs de l’état d’Alaska ont été laissés sans protection sur le Web, accessibles à tous ceux qui savaient où aller pour les consulter.

Dossiers d’électeurs dans la nature ! Sauvegarder des données sans réfléchir et c’est la porte ouverte à une fuite de données. Des chercheurs de Kromtech Security Center ont mis la main sur 593 328 dossiers appartenant aux électeurs de l’Etats d’Alaska. Chaque dossier contenait les noms, les adresses, les préférences électorales, les dates de naissance, l’état matrimonial et l’origine ethnique. Certains dossiers contenaient aussi des renseignements comme la possession d’armes à feu, l’âge des enfants. Les informations ont été révélées à partir d’une base de données mal configurée. (Zdnet)

Espace médical infiltré, 1,2 million de données patients volé

Un internaute, s’annonçant comme étant un Anonymous, a volé 1,2 million de données appartenant à des utilisateurs d’un espace médical.

Le piratage de données de santé gagne du terrain. Je vous parlais, il y a peu, de 500.000 dossiers de patients piratés via un portail dédié aux réservations de rendez-vous chez un professionnel de santé. Aujourd’hui, c’est 1,2 millions de britanniques à être concernés par le même problème.

Un internaute, s’annonçant comme étant membre de la communauté Anonymous, a mis la main sur plus d’un million de dossiers de patients via un partenaire de la NHS, le Ministère de la santé Anglais. La fuite serait partie de SwiftQueue. Un portail qui permet aux patients de réserver des rendez-vous avec un médecin généraliste, un hôpital ou une clinique. Un outil qui exploite également des terminaux dans les salles d’attente qui affichent les rendez-vous.

« Je pense que le public a le droit de savoir à quel point les grandes entreprises comme SwiftQueue utilisent des données sensibles. » indique l’internaute. Dénoncer en diffusant les données de personnes qui ne sont pas responsables de la collecte et la sauvegarde de leurs données ? « Ils ne peuvent même pas protéger les détails des patients » termine-t-il.

Le pirate a déclaré à The Sun que le hack exploitait des faiblesses dans le logiciel de SwiftQueue. Faille qui aurait dû être corrigée il y a plusieurs années. Le « visiteur » annonce avoir téléchargé la base de données entière de l’entreprise, contenant 11 millions d’enregistrements, y compris les mots de passe. De son côté SwiftQueue a déclaré que la base de données n’est pas si importante et que leur enquête initiale suggère que seulement 32 501 « lignes de données administratives » ont été consultées.

Fuite de données pour 52 loueurs de voitures néerlandais

Plus de 180 000 clients de loueurs de voitures des Pays-Bas accessibles sur Internet sans aucune sécurité, ni restriction.

La cybersécurité prend un coup dans l’aile pour des loueurs de voitures. Dans quelques 52 entreprises de location de véhicules opérant aux Pays-Bas, cette sécurité informatique était si mauvaise qu’il n’aura fallu que quelques clics de souris pour accéder à 180 000 dossiers de clients. La fuite a été découverte par la société ESET, société basée à Sliedrecht, qui recherchait un nouveau fournisseur d’automobiles d’entreprise pour son personnel. La fuite partait du logiciel professionnel LeaseWise. Via ce logiciel, les loueurs se partagent une base de données. Un partage non protégé des regards extérieurs ! Les données divulguées incluaient les adresses des clients, les contrats de location et le nombre total de kilomètres parcourus par voiture. (NLT)

Oups ! Cisco efface des données clients par erreur dans le cloud

La société Cisco a admis avoir perdu, accidentellement, des données du client lors d’une erreur de configuration du cloud de sa filiale Meraki.

Ahhhh, le cloud, petit bonheur numérique qui permet, selon les plaquettes publicitaires de « se faciliter la vie » ; « d’économiser de l’argent » ; « de renforcer son potentiel économique« . Bref, le cloud c’est bien… sauf quand ça bug. Le dernier incident en date concerne CISCO. L’entreprise américaine a confirmé, et donc avoué, avoir perdu des données clients. Un accident en raison d’une erreur de configuration du cloud de sa filiale Meraki.

La semaine dernière, l’équipe d’ingénierie cloud de CISCO a effectué un changement de configuration sur son service de stockage basé en Amérique du Nord. Sauf que cette mise à jour a supprimé certaines données clients. Meraki est une filiale de Cisco qui offre des technologies d’information gérées par le cloud pour les caméras sans fil, et tout ce qui concerne les communications de sécurité via une interface Web.

Un outil pour savoir ce qui a été perdu dans le cloud !

L’entreprise a déclaré que son équipe d’ingénieurs a travaillé pendant le week-end de 5/6 août pour voir si elle pouvait récupérer les données de ses clients. CISCO va fournir, ce 7 août, un outil pour « aider nos clients à identifier précisément ce qui a été perdu ». Cisco n’a pas précisé combien de clients ont été impactés par cet incident. Meraki est utilisé par plus de 140 000 clients et 2 millions de périphériques réseau y sont connectés.

En juillet dernier, des centaines d’entreprises, dont la Compagnie météorologique d’IBM, Fusion Media Group et Freshworks, utilisateurs de Google Groups pour leurs messages internes et privés, ont accidentellement exposé des informations sensibles publiquement en raison d’une erreur de configuration par les administrateurs de groupe. La société Dow Jones & Co a récemment confirmé que des données personnelles et financières de près de 2,2 millions de clients avaient été exposées en raison d’une erreur de configuration dans le seau S3 d’Amazon. Plus tôt cette année, la panne massive de S3 de Amazon Web Services, pendant plusieurs heures, a été causée en raison d’une erreur d’ingénierie.

Quelques jours auparavant, Verizon avait confirmé qu’un fournisseur tiers avait exposé des millions d’enregistrements d’abonnés sur un serveur de stockage Amazon S3 non protégé. Toujours en juillet, WWE confirmait qu’une base de données non protégée contenant les détails de plus de 3 millions d’utilisateurs avait été trouvée stockée en texte brut sur un serveur Amazon Web Services S3.

 

Externaliser vos bases de données … et dites bonjour aux fuites de données !

Quand les bases de données se promenent en Europe ! Pour économiser de l’argent, des millions de données appartenant à des automobilistes Suédois se sont retrouvées accessibles à des personnels non autorisés en Tchéquie et en Serbie.

Réduction des coûts versus bases de données ! Voilà la jolie phrase qu’il est possible de lire dans toutes les plaquettes publicitaires traitant du stockage des données. C’est que sauvegarder la vie numérique d’une personne coûte énormément d’argent, mais en rapporte aussi beaucoup. Bilan, les entreprises sont de plus en plus tentées par l’externalisation (outsourcing) de leurs données. L’exemple de la société étatique suédoise Transportstyreisen devrait faire réfléchir… ou pas !

Pour économiser de l’argent, cette entité publique en charge de la mobilité a fait appel à IBM pour sauvegarder ses très nombreuses informations. Des contenus regroupant les données liées à l’ensemble des véhicules sur le territoire suédois (particuliers, police, armée, …). La gestion des données ainsi laissée à l’américain IBM se sont retrouvées gérées par des employés basés en Tchéquie. Du personnel qui n’était pas autorisé à accéder à ces informations.

Bases de données en mode Espéranto !

Cerise sur le gâteau, une autre entreprise, cette fois géo localisée en Serbie a eu, elle aussi, accès aux informations… via un courriel qui a diffusé, par erreur, des données sensibles extraites de cette base de données. Le courrier comportait la possibilité d’accéder aux noms, adresses et photos de personnes protégées, comme les témoins sensibles dans des procès en cours. Le mail offrait aussi en pâture les identités des forces spéciales de la police et de l’armée.

Comble de l’incompétence, couplée à de la bêtise sèche, lors de la correction de cette fuite d’informations, un second courriel devait permettre de faire disparaître la première liste sensible en fournissant une seconde version nettoyée. Sauf que ce second courriel ne comportait pas de liste corrigée mais une note indiquant qu’il ne faillait pas écrire, contacter telles personnes. Bref, un courriel qui montrait du doigt les personnes et véhicules sensibles… sans même le savoir !

Un demi million de patients médicaux piratés

Un pirate informatique a mis la main sur 500 000 dossiers appartenant à des patients belges en piratant le site Digitale Wachtkamer.

Le site Digitale Wachtkamer a été piraté ! Ce site dédié à la prise de rendez-vous chez un médecin, par exemple, a été visité et vidé de sa base de données. Selon le journal flamand VTM Nieuws, 500 000 dossiers de patients belges ont été copiés par un pirate informatique. Le pirate informatique me fait penser au maître chanteur Rex Mundi. Après avoir volé les données, il a envoyé un courriel à l’entreprise afin de lui demander de l’argent. Son silence contre 85 000 euros (42 BTCs). Digitale Wachtkamer n’a pas payé et a déposé plainte. Il y a de forte chance que les données de plus de 500 000 utilisateurs finissent sur le web, dans les heures à venir en représailles. D’après Digitale Wachtkamer, aucuns dossiers médicaux n’étaient accessibles, seules les prises de rendez-vous. Digitale Wachtkamera contacté ses utilisateurs afin qu’ils changent leur mot de passe.

Il y a deux ans, un pirate informatique du nom de Rex Mundi avait agit de la sorte à l’encontre de plusieurs entreprises Belges, Suisses et Françaises. En France, le laboratoire de santé Labio avait été la victime de ce type de chantage. Digitale Wachtkamer semble faire parti de ces TROP nombreuses entreprises alertées d’un manque de sécurité, alertée par des hackers et dont les messages sont restées lettres mortes. En 2013, Digitale Wachtkamer avait été alertée d’un manque de sécurité dans son code.

https://twitter.com/JeroenCeyssens/status/887380075557081088

Comment récupérer les photos effacées ou perdues de votre smartphone ?

Le smartphone à usage personnel et/ou professionnel contiennent des données devenues vitales au quotidien pour leurs utilisateurs. Parmi ses données, les photos sont des données essentielles car elles nous rappellent des moments inoubliables de nos vies, des personnes aimées. Aujourd’hui, les smartphones ont largement remplacé les appareils photo numériques, les photos sont ainsi devenues le plus gros volume de données contenu dans les smartphones.

Mon smartphone et mes photos/vidéos ! Il existe de nombreuses raisons qui peuvent entrainer la perte de vos photos. Avec l’été et les vacances qui approchent, vous serez nombreux à connaitre le désagrément de faire tomber votre précieux téléphone dans la piscine ou de le laisser dans votre poche de maillot de bain alors que vous aller faire quelques brasses.

QUE FAIRE LORSQUE MON SMARTPHONE EST TOMBE A L’EAU ?

Éteignez au plus vite l’appareil et retirez la batterie. Essayez d’enlever le plus de liquide possible. Cela peut prêter à sourire mais une astuce (qui fonctionne) consiste à retirer la batterie, la carte mémoire, la carte sim et les mettre ainsi que votre appareil dans du riz pour éliminer les liquides contenus dans les parties internes. Ensuite, il faut attendre 48 heures minimum, idéalement 72 heures, avant de rallumer votre appareil. Veillez à ce qu’il n’y ait plus de traces d’humidité sinon il faudra attendre encore.

Que votre téléphone portable soit en panne, tombé à l’eau, brûlé, victime d’un virus ou que les photos aient été supprimées par erreur, voici un guide de la marche à suivre lors de la perte de vos photos de vacances.

RÉCUPÉRATION DE PHOTOS/VIDÉO DE VOTRE IPHONE

Apple a facilité la récupération de photos et de vidéos supprimées de votre iPhone. Il suffit de suivre ces étapes :

1 : accédez à l’application Photos de l’iPhone et appuyez sur Albums dans la barre d’outils inférieure.

2 : faites défiler la liste et appuyez sur récemment supprimé. Comme son nom l’indique, c’est là que vous trouverez un album de photos et de vidéos récemment supprimées.

3 : si vous trouvez l’image manquante, appuyez simplement sur la photo individuelle et sélectionnez « Récupérer » pour l’ajouter à votre album photo, ou « Supprimer » si vous souhaitez l’effacer définitivement.

Mise en garde : « Récemment supprimé » affiche uniquement des photos et des vidéos des 30 derniers jours. Passé ce délai, les fichiers sont supprimés définitivement.

Si vous cherchez une photo de plus de 30 jours, vous pouvez la récupérer en restaurant votre iPhone à partir d’une ancienne sauvegarde à l’aide d’iTunes.

CARTE SD DE VOTRE SMARTPHONE ET TABLETTE

Si elles sont sur une carte amovible, comme une carte SD, la réussite dépend du type de téléphone et de la façon dont il a été utilisé avant et après avoir perdu les photos.

Avant de se plonger dans le processus de récupération, il faut comprendre ce qui se passe lorsque vous supprimez une photo de votre carte mémoire. Le système comprend simplement qu’il peut réécrire sur l’emplacement de la photo que vous avez supprimée. Tant que le système n’a pas réécris sur l’emplacement de la photo, celle-ci reste présente sur la carte SD. Pourtant, dans ce cas, il est important de ne pas prendre de nouvelles photos, cette action pourrait en effet écraser l’espace des photos supprimées, auquel cas elles seraient complètement perdues. Vous pourrez ensuite utiliser un logiciel de récupération de données tel que Ontrack EasyRecovery. A Kroll Ontrack, notre service Recherche & Développement a développé des outils spécifiques pour récupérer les données perdues d’un téléphone portable quelles que soient les circonstances. Nous récupérons même les données effacées volontairement ou par erreur !

Afin d’éviter d’en arriver là, voici quelques précautions à prendre avant vos vacances :

SAUVEGARDEZ VOS DONNÉES SUR UN DISQUE DUR EXTERNE

Achetez une disque externe USB 3.0 avec une capacité d’au moins 1 To – Une fois le téléchargement terminé, vous devez effectuer une sauvegarde sur un deuxième disque dur pour un maximum de sécurité.

SAUVEGARDEZ VOS DONNÉES SUR LE CLOUD 

Avec le Cloud, les fichiers sauvegardés dans votre stockage en ligne sont en lieu sûr et accessibles à tout moment avec l’application correspondante. Vous pouvez récupérer les données de votre Stockage en ligne quand vous le souhaitez, les télécharger localement, ou bien les restaurer sur un nouvel appareil. Par exemple, en cas de changement, perte, vol, casse de votre appareil (ordinateur, mobile ou tablette), les données (photos, vidéos, contacts, calendriers) sauvegardés dans le stockage en ligne sont intactes et vous pouvez les récupérer facilement sur votre nouvel appareil.

Vous pouvez utiliser iCloud pour protéger vos photos sur iOS, alors que sur Android DropBox, OneDrive, Google Drive, Amazon Cloud Drive Photo sont disponibles. Une sauvegarde en local sur un disque dur est une solution complémentaire recommandée.

SAUVEGARDEZ VOTRE SMARTPHONE ET TABLETTE

Sauvegarde de photos sur PC – Connectez votre smartphone ou tablette à votre ordinateur régulièrement et effectuez une sauvegarde de tous les fichiers en utilisant les applications appropriées (par exemple iTunes pour les appareils Apple et les programmes fournis par les producteurs avec des appareils Android). Si vous pouvez accéder à la mémoire où les photos sont stockées via PC, vous pouvez créer une copie des dossiers contenant des fichiers sur votre disque dur.

Si vous suivez nos recommandations, le risque de perdre vos précieuses photos devrait réduire de manière significative. Si tout cela n’est pas suffisant – en cas de perte de données due à leur suppression accidentelle par exemple, vous pouvez récupérer vos images grâce au logiciel Ontrack EasyRecovery et en cas de panne de votre smartphone, vous pouvez utiliser les services de récupération de données en laboratoire. (Merci à Kroll Ontrack)

Numérique : Les héritiers et les données d’une personne décédée

La justice tranche sur une condition de l’accès d’un héritier aux données d’une personne décédée.

La problématique de l’accès aux dossiers et données d’une personne décédée prend une tournure encore plus imposante avec le numérique. Un exemple, avec Facebook, en 2099, il y aura plus de personnes mortes sur le réseau social (si ce dernier existe encore, NDR) que d’utilisateurs vivants. Le site Legalis revient sur l’affaire du fils d’une personne décédée qui ne peut pas avoir accès aux données du mort. La loi de 1978 considère qu’il n’est pas un personne concernée par les informations du décédé. Toutefois, indique le Conseil d’État dans sa décision du 7 juin 2017, sera considérée comme personne concernée, l’ayant droit d’une personne décédée qui avait été victime d’un dommage. La Cnil avait clôturé sa plainte au motif que le droit d’accès conféré aux personnes physiques par l’article 39 de la loi Informatique et libertés est un droit personnel qui ne se transmet pas aux héritiers. Le Conseil d’Etat a annulé la décision de la présidente de la Cnil. Pour en savoir plus, je vous invite à lire le compte rendu proposé par Legalis.

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

RADWARE’S HACKERS CHALLENGE 2017

RADWARE’S HACKERS CHALLENGE 2017 : Radware’s et CISCO organisent un ethical hacking challenge. A gagner, entre autres, un voyage tout frais payé à au Black Hat Europe 2017.

Vouloir découvrir la sécurité informatique par le biais d’un concours, voilà une idée qui fait son chemin. Vous avez envie de vous tester à la sécurité informatique, vous avez envie d’accrocher à votre CV un concours d’ethical hacking ? Le RADWARE’S HACKERS CHALLENGE 2017, organisé par Radware’s et CiSCO, est fait pour vous. Il se déroulera le mardi 20 juin 2017 au Karé à Boulogne-Billancourt. Inscription et participation gratuite. Il est même possible de venir en simple spectacteur. ZATAZ.COM propose de découvrir les règles du jeu et le scénario.

Matrix Appliances : Ne redoutez plus les attaques de malwares !

Matrix Appliances inclus désormais le mode « Stealth » dans toutes ses solutions de sauvegarde-archivage. Vos sauvegardes restent intactes, vos restaurations sont immédiates, saines et garanties à 100%.

La société Matrix Appliances, spécialisée dans la sauvegarde informatique, annonce officiellement que toutes les versions de son logiciel Dataclone disposent désormais d’une fonctionnalité unique qui la rend invisible aux yeux des virus (dont les ransomwares) : le mode Stealth.

Qu’est-ce que le logiciel Dataclone V10 ?
Matrix Appliances commercialise depuis 10 ans des Appliances de sauvegarde et d’archivage des données destinées aux entreprises, bénéficiant de la technologie disk2disk2disk© brevetée par son Directeur Général, Stéphane Pelletier. DataClone est le logiciel embarqué dans les Appliances VP Clone. Conçu pour protéger l’infrastructure informatique des TPE/PME, administrations et grands comptes, il permet de sauvegarder, cloner, répliquer à chaud, sans agent et sans limite en nombre de serveurs ou de postes, les données, bases de données, machines physiques ou virtuelles, dans l’Appliance, puis de les archiver sur des  médias extractibles. Mais surtout, il permet de restaurer avec une facilité sans commune mesure et sans faille, 100 % des données au moment où l’utilisateur en aura le plus besoin.
 
Dataclone Version 10
1. Une interface encore plus simple

2. Le support d’ESX6 (y compris les versions  gratuites) et de VCenter6

3. La  sauvegarde dans le Cloud couplée à  Microsoft Azure

4.  Des médias extractibles de type disque de 10 To : une première sur le marché !

5. Une imperméabilité unique aux malwares en tout genre (virus, chevaux de Troie, ransomwares) : grâce à son mode Stealth qui rend ses Appliances invisibles sur le réseau, Matrix Appliances garantit l’incorruptibilité des sauvegardes si vous êtes victime d’une attaque virale, ce qui, par les temps qui courent est malheureusement devenu tragiquement commun. Le mode Stealth intégré dans les machines masque l’Appliance aux yeux des virus et assure une restauration totale en cas de besoin.

« En 2016, nos Appliances ont permis à plusieurs de nos clients, non pas d’être protégés des malwares (c’est le travail d’un bon anti-virus) mais de pouvoir récupérer toutes les données enregistrées et de reprendre leur travail (en date de la dernière sauvegarde), sans perte de données donc sans perte de temps et d’argent. La totalité des clients qui ont été infectés et qui possédaient notre Appliance ont pu restaurer l’intégralité de leurs données sans délai et avec 100% de réussite » (Stéphane Pelletier).

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Comment sécuriser vos comptes professionnels pendant les vacances de Noël

Sécuriser – Les fêtes de fin d’année peuvent être une période compliquée pour les entreprises dont les salariés voyagent, travaillent à distance, ou encore effectuent leurs achats de cadeaux sur leurs ordinateurs professionnels. Les petites entreprises, notamment, ne se posent pas suffisamment la question de la sécurité de leurs données dans le cas où l’ensemble de leurs collaborateurs devaient travailler à domicile en même temps. Les employés travaillant depuis un café en sirotant une boisson ignorent souvent totalement le risque que cela représente pour leur entreprise. En effet, sur les réseaux Wi-Fi publics, les pirates peuvent épier leurs identifiants et les historiques de leurs navigateurs, voire même obtenir leurs coordonnées bancaires.

Ajoutons à cela la sécurité parfois discutable de leurs ordinateurs personnels, les accès aux comptes depuis des appareils non professionnels et les mauvaises habitudes en matière de mots de passe, et il devient clair que les fêtes risquent de causer du tort aux entreprises.

Bien que cette recherche de productivité soit généralement animée des meilleures intentions, la sécurité est rarement la priorité des salariés. Que peuvent faire les dirigeants d’entreprises pour rester sereins pendant la période des fêtes ? Voici six conseils qui favoriseront la poursuite des activités sans accroc sur le plan de la sécurité des données.

 1. Sécuriser : Mettre les identifiants à jour

Avant que les employés ne se rendent aux quatre coins du pays pour les vacances, il est important de contrôler la sécurité de l’ensemble des identifiants professionnels. Selon des données collectées par LastPass, 91 % des adultes sont conscients que la réutilisation des mêmes mots de passe sur différents comptes n’est pas une pratique sûre. Malgré cela, 61 % d’entre eux continuent de le faire, alors que cela augmente les risques de piratage et rend l’ensemble de leur entreprise vulnérable. Bien entendu, il est difficile d’imaginer et de se souvenir d’innombrables combinaisons de caractères et de chiffres. La solution la plus simple est donc d’utiliser un gestionnaire de mots de passe pour créer des séquences aléatoires pour chaque compte.

2. Sécuriser : Ne pas tomber dans les pièges du phishing

Il n’est pas rare que certains salariés passent davantage de temps sur le Web durant la période des fêtes (que ce soit pour effectuer des achats en ligne, faire des dons à des organismes caritatifs ou télécharger de la musique de Noël). Bien que cela ne représente pas un problème de sécurité en soi, ce peut être le cas pour les entreprises s’ils cliquent sur des liens piégés. Cela pourrait en effet déclencher une attaque malveillante ou le téléchargement d’un logiciel espion sur le terminal utilisé. Les dirigeants d’entreprises doivent s’assurer que leurs employés soient conscients des risques, et envisager la mise en place de lignes directrices et de formations afin de les sensibiliser aux menaces actuelles.

3. Sécuriser : Ne pas laisser les médias sociaux devenir le maillon faible

Nous connaissons tous les avantages des médias sociaux grand public pour les entreprises : plus d’engagement et de fidélité client ; une meilleure capacité à en attirer de nouveaux ; et une notoriété de marque plus importante auprès des influenceurs et par rapport à la concurrence. En ce qui concerne les médias sociaux professionnels, les meilleures pratiques en matière de sécurité des mots de passe sont les mêmes que pour des comptes personnels, même si les enjeux sont plus élevés en cas de problème.

La sécurité des données dépend donc de celle des maillons faibles de l’organisation (et il suffit souvent d’un seul employé). La réutilisation des mots de passe est une pratique si répandue qu’il est nécessaire de savoir qui a accès à un compte sur le réseau social d’entreprise et sur quels terminaux. En effet, comme nous l’avons vu avec les fuites subies par LinkedIn et Twitter cette année, ces comptes sont des cibles de choix pour les pirates. Ne pas mettre leurs mots de passe à jour sur de longues périodes revient alors à leur donner carte blanche pour accéder à d’autres comptes utilisant les mêmes identifiants.

4. Renforcer les questions de sécurité

Beaucoup de comptes en ligne invitent les utilisateurs à choisir des questions de sécurité représentant une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si votre entreprise utilise déjà un gestionnaire de mots de passe pour stocker et partager des identifiants de façon sécurisée, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : « premier animal de compagnie : ackpioughtso ».

5. Sécuriser : Encourager les employés à ne pas enregistrer leurs mots de passe sur leurs navigateurs

Bien que cela soit pratique, stocker des mots de passe en local sur un navigateur est dangereux et laisse les identifiants vulnérables en cas de piratage. Ce confort est en effet la raison même pour laquelle cette option est moins sécurisée et fiable. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Les opérations de chiffrement/déchiffrement ayant lieu en local, leurs protocoles de vérification (via un système de preuve à divulgation nulle de connaissance) vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

6. Sécuriser : Attention au vol d’ordinateurs portables

Les voleurs sont particulièrement actifs à Noël, et sont à la recherche de proies faciles. Pour éviter le pire en cas de perte de votre ordinateur ou autre appareil professionnel, pensez à investir dans une solution de protection contre le vol qui le rendra inutilisable dans le cas où il tomberait entre de mauvaises mains.

65% des DSI anticipent une fuite massive de données dans les prochains mois

Un rapport d’OKTA montre un paradoxe saisissant : les entreprises migrent de plus en plus sur le cloud, mais n’investissent pas suffisamment en sécurité. La sécurité reste le parent pauvre du cloud, et les DSI peinent à convaincre de son impact positif sur la productivité.

Okta, le leader de la gestion des identités et des terminaux à l’heure du cloud et de la mobilité d’entreprise, annonce les résultats de la première édition de son rapport Secure Business Agility. Selon les données compilées à l’issue d’une enquête menée auprès de 300 DSI et RSSI, la plupart des organisations sont intimement convaincues de la nécessité absolue d’offrir les meilleures technologies à leurs utilisateurs pour stimuler leur productivité. Pourtant, nombreuses sont celles qui peinent à faire preuve d’agilité, à cause d’une vision de la sécurité dépassée et focalisée sur leurs systèmes internes.

L’incapacité des organisations à adapter et à mettre à niveau leurs outils de sécurité représente pour elles un risque sur le plan de la sécurité. Ainsi, 65% des répondants s’attendent à ce que leur organisation soit victime d’une fuite de données dans les 12 prochains mois, à moins qu’elles ne parviennent à mettre à jour leurs solutions de sécurité à temps.

« Dans un souci de productivité, les organisations du monde entier investissent dans des technologies cloud et mobiles permettant à leur personnel de travailler virtuellement de n’importe où. Néanmoins, cette approche n’est pas la garantie d’une véritable agilité. Les organisations étant de plus en plus connectées, l’idée que l’on se fait traditionnellement des frontières de leurs réseaux est en train de disparaître. Les entreprises doivent donc renforcer leur sécurité en priorité », déclare David Baker, responsable de la sécurité des systèmes d’information chez Okta. « Afin de bien maîtriser leur nouveau périmètre et d’éviter de compromettre la sécurité et la productivité des salariés, les DSI doivent adopter des outils allant au-delà des frontières classiques des sociétés et de leurs réseaux, et rendre l’ensemble de leur organisation agile.»

Les principaux enseignements du rapport :
–      Les organisations sont divisées quant à l’impact positif ou négatif de leurs stratégies de sécurité sur leur productivité et leur agilité : On constate des divergences d’opinions au sein des personnes interrogées sur l’effet favorable ou non de leurs mesures de sécurité sur la productivité. Ainsi, plus de la moitié des répondants (52%) affirment que leurs solutions de sécurité actuelles compromettent la productivité, tandis que 48% d’entre eux estiment que les mesures en place permettent à leur organisation d’adopter des solutions de premier plan favorisant la productivité et l’agilité. Le DSI est pris dans l’étau, entre sa mission qui est d’assurer une sécurité maximale à l’entreprise et sa volonté de ne pas brider la productivité.

–       La visibilité sur l’utilisation des applications est limitée : Selon les résultats de notre enquête, 85% des DSI souffriraient d’un manque d’informations sur les individus ayant accès aux différentes applications au sein de leur organisation. Plus inquiétant encore : 80% des répondants considèrent que la faiblesse des mots de passe ou des contrôles d’accès constitue une problématique de sécurité.

–       Investir dans de nouvelles technologies mobiles, d’automatisation et cloud s’avère être une stratégie payante pour les organisations : 92% des personnes interrogées estiment que leur organisation pourrait faire davantage pour intégrer et prendre en charge des applications cloud dans leurs infrastructure et systèmes. Les équipes informatiques ont donc une formidable opportunité de réduire ce pourcentage en augmentant l’agilité et la productivité au sein de leur entreprise.

Pour plus de renseignements sur les facteurs encourageant le renforcement de la sécurité via le cloud, et sur les risques liés au maintien d’une approche statique basée sur des technologies dépassées, consultez le rapport Secure Business Agility ICI.

Oodrive et Atos se joignent pour répondre aux nouvelles réglementations

Répondre aux nouvelles réglementations ! Oodrive, professionnel du Cloud computing en France, et Atos, au travers de sa marque technologique Bull, s’engagent dans une coopération technique. À ce titre Atos fournit des boîtiers HSM (Hardware Security Module) au leader français du Cloud.

Nouvelles réglementations et technologies ! Face aux nouvelles exigences réglementaires de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), des nouvelles réglementations et actions relatives à la cybersécurité, nombreuses sont les entreprises et OIV (Opérateur d’Importance Vitale) à devoir s’équiper de solutions ultra-sécurisées. Depuis la loi de programmation militaire adoptée en décembre 2013, les OIV font face à de nouvelles obligations que les éditeurs de logiciels sont contraints de prendre en compte. En effet, les cyberattaques se multiplient, deviennent de plus en plus sophistiquées et ont un impact qui peut être destructeur.

C’est pourquoi, afin de préserver la confidentialité des informations sensibles échangées sur ses solutions BoardNox, DilRoom et iExtranet, Oodrive s’est équipé des boîtiers HSM TrustWay Proteccio® de Bull. Ainsi, Oodrive permet à ses utilisateurs de bénéficier d’un service cryptographique certifié et de protéger les données de toutes les cybermenaces.

Les HSM TrustWay Proteccio® sont des boîtiers de chiffrement permettant de générer, stocker et protéger des clés cryptographiques à l’intérieur d’un coffre-fort virtuel. Les informations sensibles sont donc manipulées uniquement dans l’environnement protégé du HSM.

« TrustWay Proteccio® répond à des critères de sécurité de haut niveau. Ce nouveau HSM constitue la seule solution de sécurité de référence reconnue par l’ANSSI », déclare René Martin, Directeur de l’unité TrustWay chez Atos. « Grâce à ce partenariat commercial, les solutions Oodrive répondent aux préconisations sécuritaires de l’État », annonce de son côté Frederic Fouyet, Directeur Sécurité, Innovation et Produits chez Oodrive.

… pour des solutions Cloud ultra-sécurisées destinées à répondre aux nouvelles réglementations
L’enjeu est tout aussi important du côté de l’éditeur de logiciels avec lequel les entreprises s’engagent à travailler. Les DSI sont contraints aujourd’hui de gérer un parc informatique de plus en plus disparate pour lequel les solutions doivent offrir le même degré de sécurité et ce, quel que soit le périphérique concerné (tablette, PC, smartphones, etc.).

En effet, L’ANSSI est catégorique sur ce point : lorsque des informations à caractère sensible doivent être partagées, leur diffusion doit se faire dans un cadre défini et maîtrisé. « Dans l’environnement professionnel, la circulation d’informations à caractère sensible s’effectue désormais majoritairement par voie électronique. Cela représente un véritable défi en termes de sécurité et de confidentialité, explique Frederic Fouyet. Les cybermenaces sont en constante augmentation, et représentent un risque que les entreprises ont parfaitement intégré. Et c’est pour répondre à ces exigences toujours plus élevées que nous avons décidé d’associer notre expertise à celle d’Atos. Nous sommes convaincus que nos savoir-faire sont complémentaires et nous permettront de bâtir ensemble un Cloud à la fois très accessible et ultra-sécurisé. »

Si le recours à des clés de chiffrement protégées au sein d’un coffre-fort virtuel répond à la problématique de confidentialité des données, encore faut-il l’associer à un système d’authentification forte, pour gérer la protection des accès depuis internet. C’est ce que fait Oodrive en s’appuyant sur l’expertise de sa filiale CertEurope, qui travaille avec Atos depuis plus de dix ans pour la génération de certificats électroniques.

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.

Les attaques DDoS migrent vers le cloud des grands providers

Comme la plupart des “services” les attaques informatique migrent vers le cloud.

Selon Radware, la dernière tendance sur la scène du piratage international consiste utiliser les plateformes Cloud de grand fournisseurs tels que Amazon Web Services, Google ou Microsoft afin de déployer des attaques de déni de service (DDoS) à très grande échelle. Les pirates utilisent par ailleurs ces services pour mettre en œuvre des attaques de type “phishing” ainsi que d’autres activités malveillantes visant à leurrer ou contaminer les API (interfaces de programmation applicative) publiques  de manière en modifier le comportement, à les utiliser pour cacher des scripts, du codes, des fichiers malveillants etc.

En seulement quelques heures, les pirates sont alors susceptibles de “charger” des scripts d’attaque et de lancer des assauts. Les organisations qui utilisent ces plateformes cloud pour la conduite de leurs activités sont alors confrontés à un risque majeur concernant leur sécurité puisqu’ils ne peuvent pas bloquer la communication avec ces plateformes de nuage public.

Les pirates utilisent des plateformes cloud pour deux raisons: le volume et la dissimulation. Il existe des contextes d’utilisation spécifiques où une connection permanente est établie entre le réseau interne d’une entreprise et ses applications cloud.” indique Ben Zilberman, de chez Radware. “Dans ce type de scénario, si une attaque est lancée depuis le fournisseur de services cloud cela représente un véritable défi en terme de défense et de protection. La solutions de sécurité doit être suffisamment intelligente distinguer le trafic légitime du malveillant. Si les hackers parviennent à tirer parti de la puissance de grands fournisseurs de cloud publics pour effectuer des attaques par déni de service, leur seule limite est le budget dont ils disposent !

Le lancement du jeu The Division a poussé l’analytique jusqu’à la limite

Pour ceux qui vivent sur une île déserte, en mars dernier, Ubisoft a lancé Tom Clancy’s The Division, son jeu de tir à la troisième personne en monde ouvert très attendu et disponible en ligne uniquement, sur plusieurs plateformes. Le jeu a battu les records de l’entreprise, dont le plus grand nombre de ventes durant le premier jour de commercialisation, recueillant non seulement d’excellentes critiques générales mais renforçant ainsi les bénéfices de l’entreprise pour l’exercice 2015-16. En préparation du lancement, les personnes impliquées dans les analyses de données du jeu étaient bien conscientes que la pression serait immense.

La sortie de The Division marque le plus grand lancement de l’histoire d’Ubisoft. Il a fallu environ six mois avant le lancement pour que tout le monde soit sur la même longueur d’onde quant au travail d’analyse mais cela s’est tout de même avéré être un défi de taille « tout particulièrement pour notre infrastructure de suivi. Lors du lancement, notre capacité a lentement atteint sa limite, nous avons donc dû prendre de nombreuses décisions à la volée afin de maintenir notre flux analytique. Cela a demandé énormément de travail, mais nous l’avons fait« , déclare Alzbeta Kovacova, responsable analytique chez Massive Entertainment.

Presque toutes les entreprises en jeu emploient des données de nos jours, même s’il est simplement question d’indicateurs de performance ordinaires. De plus en plus de directeurs et de responsables saisissent le besoin de l’analytique et souhaitent en faire usage. L’analytique permet d’améliorer les jeux pour tous les joueurs, d’informer les équipes de développement durant la conception de nouveaux jeux améliorés et de rendre les efforts de marketing bien plus efficaces. »

Mme Kovacova insiste sur le fait que ce qui fait la principale différence entre une réussite et un échec pour un jeu de cet ampleur, et au sein du monde de l’analytique de jeu en général, ce sont les gens. Toutefois, bien que l’importance des données augmente pour tous les produits commerciaux, les gens peuvent aussi représenter un obstacle.

Lors de son effort annuel visant à rassembler les personnes impliquées dans ce domaine et à partager leurs leçons et expériences, le Game Analytics and Business Intelligence Forum se rendra à Londres en septembre (du 20 au 22) pour offrir des séminaires présentés par des acteurs tels que Rovio, Spotify, King et Miniclip.

Lors d’une présentation exclusive, Mme Kovacova parlera également plus en détail du lancement de The Division chez Massive entertainment lors de ce forum.

« J’espère que le secteur pourra tirer quelque chose de ma présentation, dit-elle. Mais je me réjouis aussi d’en apprendre davantage au sujet des différents défis et des solutions développées par les autres intervenants du panel. »

Data Loss Prevention

Prévention des pertes de données des collaborateurs mobiles. Quand la mobilité oblige à la Data Loss Prevention.

Data Loss Prevention  – La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Devenir maître dans l’art de protéger sa vie privée sur le net

Vol de ses données personnelles – Plusieurs sources ont révélé récemment la mise en vente sur le web de plus de 117 millions de profils d’utilisateurs LinkedIn dérobés en 2012. Ce type d’actualité rappelle que personne n’est à l’abri d’un vol de ses données personnelles qui risquent d’être utilisées à des fins illicites. Cette question est d’autant plus cruciale à l’heure où le nombre de logiciels malveillants, ransomwares et autres virus explose. Aujourd’hui, 67 % des Français sont soucieux quant à la protection de leurs informations personnelles sur internet et 83 % d’entre eux sont hostiles à la conservation de ces données (Source : Institut CSA).

Vol de ses données personnelles -Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.« 

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les utilisateurs doivent redoubler de vigilance face à un email leur demandant des informations sur leur compte bancaire et se souvenir que les établissements dignes de confiance ne feront jamais de telles requêtes par mail. Il est par ailleurs vivement déconseillé d’ouvrir des fichiers inconnus joints dans un email, car le phishing est l’un des moyens les plus largement utilisés par les hackers pour introduire un virus dans un terminal. Une fois celui-ci compromis, ils peuvent accéder aux informations personnelles ou chiffrer ces données et demander une rançon à la victime pour les rendre de nouveau accessibles.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)