Archives de catégorie : Identité numérique

CJUE: Un coup d’arrêt à la rétention des données

L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.

La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.

Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .

« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.

L’effet de conditionnement de Facebook

L’effet de conditionnement de Facebook : Que nous a appris (ou non) le réseau social sur la protection de nos données ? Voici quelques statistiques sociales étonnantes concernant les photos : plus de 250 milliards de photos ont déjà été téléchargées sur Facebook, avec une moyenne de 350 millions de photos par jour. Le téléchargement moyen par utilisateur est de 217 photos. Et ce n’est que pour Facebook ! Mark Zuckerberg a dépensé 1 milliard de dollars pour l’acquisition d’Instagram, qui atteint les quelques 55 millions de clichés téléchargés via son application chaque jour (c’est plus de 600 clichés par seconde).

Alors, que disent de nous tous ces téléchargements, outre le fait que nous aimons tous un bon «selfie» ? Les résultats d’une enquête récente ont révélé que lorsqu’on leur donne le choix, 74 % des répondants préfèrent protéger leurs photos personnelles que le terminal (téléphone portable, ordinateur portable ou tablette) sur lesquelles elles sont stockées. En fait, de tous les fichiers enregistrés sur leurs dispositifs, les consommateurs ont majoritairement déclaré qu’ils considéraient leurs photos personnelles comme les plus importantes.

Les albums photo appartiennent au passé, les nouvelles images se mettent directement sur les pages (sans poussière) des réseaux sociaux. Mais quelque chose de beaucoup plus profond et d’une plus grande envergure est en train de se passer : lorsque nous partageons des photos sur les réseaux sociaux basés dans le cloud, nous créons une deuxième copie de cette information – une copie partagée qui souvent, à l’heure actuelle, appartient à quelqu’un d’autre – même si ce n’est pas l’intention principale.

Nous appelons cela l’« Effet de conditionnement de Facebook » – l’idée que les réseaux sociaux font acte de sauvegarder au-delà de notre conscience. Le problème est que les images que nous voyons sur les réseaux sociaux sont souvent une copie de mauvaise qualité de nos photos, et ce, même si nous ne sommes pas au courant de ce fait. Et, le plus ironique dans l’histoire, c’est que même si nos « selfies » et photos de « fooding » sont stockés dans un second emplacement, bon nombre de nos documents beaucoup plus importants sont exposés à des risques. La bonne nouvelle est que l’action de télécharger et d’enregistrer une copie de ces fichiers numériques à un emplacement supplémentaire est en train de nous conditionner pour sauvegarder et protéger davantage nos données globales.

Pourquoi ne devrions-nous pas penser de cette façon ? Avec les récents progrès dans les technologies de cloud computing et l’expérience utilisateur, la sauvegarde des données est désormais aussi simple que d’appuyer sur le bouton « Envoyer ». C’est de cette manière que cela fonctionne sur Instagram, n’est-ce pas ?

Mais il y a tellement de données personnelles – les choses vraiment personnelles – qui ne sont pas sauvegardées correctement et sans risques. Pourquoi ? Pourquoi l’ensemble de nos données et non pas uniquement quelques-unes de nos photos personnelles ne seraient-elles pas stockées dans un univers numérique sans risques ? Qu’est-ce qui nous empêche de faire le grand saut depuis une tendance sociale vers une habitude saine englobant toutes les données, où tout est sauvegardé et protégé ?

La réponse la plus évidente résiderait dans le fait qu’il n’existe pas de Facebook pour vous rappeler de protéger les documents relatifs à vos impôts. Les jeunes entreprises font d’énormes progrès quant à la création de systèmes de stockage de données qui proposent une mise en forme facile à utiliser et un format comparable aux formats des sites de réseaux sociaux, mais les deux plus grandes d’entre elles combinées ont moins de 20 % du nombre d’utilisateurs de Facebook. Donc, s’il ne s’agit pas d’une question de simplicité, qu’est-ce qui empêche réellement l’effet de conditionnement de Facebook d’influer une transformation globale de nos comportements numériques ?

Le problème : vie privée et protection
Même si nous sommes devenus beaucoup plus aptes à enregistrer des fichiers non critiques dans le cloud, beaucoup d’entre nous n’ont pas encore sauvegardé la totalité de nos vies numériques, notamment en raison de la médiatisation récente d’un nombre de cas de violation de données qui ont mis en évidence notre principale préoccupation : nos données ne sont pas sûres quand elles ne sont pas manipulées directement par nous. Snapchat a été piraté et en un clin d’œil des millions de numéros de téléphone ont été rendus publics. La violation relativement tapageuse de la cible a mis les informations personnelles de 70 millions de personnes en danger.

Ainsi, alors que nous continuons à télécharger chacun des photos que nous prenons, nous oublions ce qui est réellement important – nos documents de travail, informations bancaires, dossiers de santé et autres informations personnelles et professionnelles – dans de vieux classeurs et/ou dans des fichiers portant la mention « personnel » dans nos ordinateurs.

La clé est d’identifier et de séparer la « confidentialité des données » de la « protection des données ». Alors que la confidentialité des données se concentre davantage sur les problèmes juridiques et de sécurité concernant l’utilisation de données et de stockage, la protection des données a pour objet de préserver les informations après qu’elles aient été créées et enregistrées. Tous les utilisateurs d’appareils connectés à Internet devraient être plus conscients et en alerte lorsqu’il s’agit de la protection des données – comme la lecture attentive de tous les accords de confidentialité sur les sites et applications, ainsi que le partage d’informations qui ne révéleraient aucune information, en cas de fuite – , mais pas au détriment de la protection des données.

Lorsqu’il s’agit de la protection des données, le moyen le plus sûr est de les stocker dans plusieurs emplacements sécurisés. Tout comme nos photos vivent maintenant à la fois dans nos terminaux et sur Facebook, sauvegarder les informations personnelles importantes dans de multiples endroits (par exemple : un disque dur et sur le cloud computing, un lecteur de sauvegarde, etc.) devrait être naturel et évident. Pour faire simple, il suffit de penser à la règle 3-2-1 : garder trois copies des données importantes sur deux différents types de médias, et une copie sur un emplacement à distance. Rappelez-vous que lorsque les outils de base de stockage dans un environnement de cloud computing sont un bon point de départ, ils ne sont pas sans faille quand il s’agit de sécurité, de ce fait trouver le juste équilibre entre la sécurité et la simplicité est un élément clé du processus. – Par Nat Maple, vice-président et directeur général, Global Consumer Business, Acronis.

Accès aux photos privées sur Facebook

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

Un écureuil pour sécuriser vos connexions

Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.

GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.

Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».

Voir aussi
http://xkcd.com

Le culte de la vache morte pour la NSA ?

La NSA serait capable d’infecter un ordinateur en 8 secondes avec un logiciel datant de 2004. Un porte-parole de la NSA l’a indiqué, l’utilisation de Turbine ne se fait qu’« exclusivement à des fins de contre-espionnage ou d’espionnage à l’étranger pour des missions nationales ou ministérielles, et rien d’autre ». Voilà qui va rassurer les millions de propriétaires d’ordinateurs touchés par un kit pirate concocté par les grandes oreilles américaines.

D’après le magazine The Intercept (webzine créé par G. Greenwald, L. Poitras et J. Scahill. Il a pour mission de diffuser les informations récupérées par l’ancien analyste privé de la NSA, Edward Snowden), la NSA a utilisé un système de diffusion de codes malveillants baptisé Turbine. Le « truc », géré par l’unité TAO, infecterait des ordinateurs à partir de courriels piégés ou de phishing aux couleurs de Facebook. Des attaques à « echelle industrielle » indique l’un des documents de Snowden. Le « plug-in » Facebook est baptisé QUANTUMHAND (voir la vidéo ci-dessous du document top secret de la NSA, ndr). Pour rappel, des conseillers de l’Élysée ont été piégés par de faux Facebook, voilà 2 ans.

Le journal américain indique que l’agence d’espionnage américaine « a automatisé des processus auparavant automatisés ». Turbine ne serait donc rien d’autres qu’un couteau suisse d’exploit comme les aiment tant les pirates russes. D’après le Parisien, ce système de piratage a également de lancer des cyberattaques en détournant le système de téléchargement de fichiers ou en refusant l’accès à des sites. Des actions lançaient de Fort Meade, dans le Maryland, puis du Royaume-Unis, des Etats-Unis et du Japon. Des « modifications » de cible, comme le piratage et la modification du journal électronique d’Al Qaida, Inspire 11, que nous vous expliquions en juin 2013.

La NSA, en 2004, possédait un petit réseau de 100 à 150 « implants ». Plus de dix ans plus tard, les « outils » seraient au nombre de plusieurs dizaines de milliers. Le système Turbine serait opérationnel dans une certaine mesure depuis au moins Juillet 2010, et son rôle est devenu de plus en plus centrale pour les opérations de piratage de la NSA. Entre 85.000 et 100.000 « virus » seraient en action à travers le monde. Dans les options de Turbine, UNITEDRAKE, un cheval de Troie capable de prendre la main intégralement sur un ordinateur infecté. CAPTIVATEDAUDIENCE, capable d’enregistrer le son d’un micro branché sur la machine. GUMFISH, la webcam. FOGGYBOTTOM, les mots de passe et l’historique de navigation. GROK, un keylogger qui intercepte les frappes clavier. SALVAGERABBIT, copie les données via une clé USB. Un peu comme le petit canard jaune présenté dans zatazweb.tv du mois de décembre 2013.

Bref, il ne fait plus grand doute que Stuxnet et Flame, le premier a attaqué les installations nucléaires Iraniennes, le second visait les ordinateurs du Moyen-Orient. Les cibles ? Si le terrorisme semble être la premiére mission, une note interne de la NSA, baptisée « I hunt sys admins« , explique que les cibles peuvent être aussi les administrateurs de systèmes « qui travaillent pour des fournisseurs de téléphonie et des services Internet » étrangers.

Le poste interne – intitulé « Je chasse admins sys » – indique clairement que les terroristes ne sont pas les seules cibles de ces attaques de la NSA. Compromettre un administrateur de systèmes, les notes opérationnelles, il est plus facile pour se rendre à d’autres objectifs d’intérêt, y compris les « fonctionnaire du gouvernement qui se trouve être en utilisant le réseau certaine administration prend en charge. »

Pendant ce temps, aux USA, la sénatrice Dianne Feinstein, présidente de la commission du Renseignement du Sénat, accusait la CIA d’avoir « visité » les ordinateurs de l’institution politique américaine. Une violation de la Constitution. « Rien n’est plus éloigné de la vérité », a déclaré le directeur de la CIA, John Brennan. La sénatrice affirme que l’agence a tenté de savoir ce que tramait le Sénat au sujet des interrogatoires « musclés » de la Central Intelligence Agency, entre 2009 et 2012. Des enquêtes du département de la Justice sont en cours. Elles doivent permettre de savoir si des fonctionnaires de la CIA, ou des collaborateurs privés, ont utilisé la torture pour soutirer des informations.

Les données personnelles des Européens ne sont pas à vendre !

Ce mercredi à Strasbourg, le Parlement européen a enfin adopté le paquet sur les données personnelles. Après trois ans de travail parlementaire les eurodéputés ont adopté à une forte majorité le règlement (621+, 10-, 22 abst) et, malgré l’opposition de la droite européenne, la directive (371+, 276 –, 30 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen,  Jan-Philippe Albrecht (Verts, All) et Dimitrios Droutsas (S&D, GR), un large mandat de négociation avec le Conseil et la Commission européenne.

« C’est un signal politique fort envoyé aux citoyens européens, qui tranche avec le silence du Conseil! », se félicite Françoise Castex. « Les données personnelles des Européens ne sont pas à vendre! »

« Après le scandale de la NSA et alors que nous négocions un accord de libre-échange avec un État qui espionne nos concitoyens, il était fondamental de redéfinir les règles du jeu« , souligne l’eurodéputée Nouvelle Donne.

Les deux textes visent à renforcer la protection des données des citoyens européens et à restaurer la confiance des consommateurs dans les entreprises sur internet. « Nous souhaitions un encadrement plus strict des données pseudonymes, mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois”, note Françoise Castex. « Le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Avant de conclure: “L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs montrent que la question de la protection des données personnelles est devenue une priorité pour nos concitoyens. Le Conseil ferait une grave erreur en écartant ce sujet à trois mois des élections européennes ».

Pour la Quadrature du Net, des failles majeures subsistent dans le règlement du Parlement européen sur la protection des données. Le Parlement européen vient d’adopter en première lecture le rapport [1] de Jan Philipp Albrecht concernant le règlement général sur la protection des données. Les eurodéputés sont finalement parvenus à résister aux pressions des lobbys [2] et ont rejeté la plupart de leurs propositions préjudiciables [3]. Bien que d’importants progrès ait été réalisés aujourd’hui, les dangereuses notions d’« intérêt légitime » et de « données pseudonymisées » ont été conservées, et pourraient empêcher le texte définitif de protéger les citoyens de manière effective. ***

Le 21 octobre 2013, la commission « libertés civiles » (LIBE) a adopté son rapport relatif au règlement général sur la protection des données, avant de donner mandat à son rapporteur, Jan Philipp Albrecht (Verts/ALE – Allemagne), pour négocier à huis clos un accord avec la Commission européenne et le Conseil des Ministres (trilogue). Ces négociations n’ayant pas débouché sur un consensus, le Parlement européen a finalement adopté un texte identique à celui de LIBE.

Malgré une campagne de lobbying sans précédent menée à Bruxelles par les secteurs de la banque, des technologies et des gouvernements étrangers, la mobilisation de la société civile est parvenue à convaincre les députés de préserver la plupart des progrès introduits par la Commission européenne en 2012 : le consentement explicite [4], des sanctions effectives (pouvant à présent atteindre 5% du chiffre d’affaires mondial d’une entreprise), un champ d’application territorial large et clairement défini, ainsi que des droits plus forts et équilibrés pour les citoyens.

Malheureusement, les députés ne sont pas parvenus à corriger la faille la plus dangereuse laissée dans la proposition initiale par la Commission en 2012 : la définition bien trop large de la notion d’« intérêt légitime ». En tant que tel, l’« intérêt légitime » de quiconque peut être utilisé comme fondement légal permettant d’outrepasser le consentement d’un individu afin de traiter les données le concernant. En outre, le rapport introduit le concept insidieux de données « pseudonymisées », si cher aux lobbys des technologies.

La publication de la position du Conseil sur le règlement est prévue pour les 5 et 6 juin prochains.

« Le vote d’aujourd’hui ferme le premier chapitre d’un long processus qui déterminera si les citoyens européens regagneront le contrôle de leur vie privée. Bien que la société civile se soit fermement opposée aux lobbys des banques, des géants de l’Internet et de certains gouvernements, les eurodéputés ne sont pas parvenus à corriger les failles majeures du texte. Les citoyens doivent exiger de leur gouvernement qu’il corrige ces failles, préserve les avancées, et n’introduise pas de nouvelles exceptions dans le texte. Ce règlement devant être finalisé par le prochain Parlement, les citoyens doivent attirer l’attention des candidats à l’élection européenne sur ces questions. », déclare Miriam Artino, analyste politique à La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+V0//FR
2. https://www.laquadrature.net/wiki/Lobbies_on_dataprotection
3. https://www.laquadrature.net/fr/des-failles-majeures-dans-le-reglement-relatif-a-la-vie-privee-le-parlement-doit-defendre-les-citoye
4. https://www.laquadrature.net/fr/privacy-alert-1-le-consentement-explicite

300 000 routeurs exploités par des pirates

Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.

Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.

À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet.  Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.

Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).

Etes-vous victimes ?

Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés  les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

IP-tracking: Le Parlement européen demande une enquête à la Commission européenne

Une semaine après le rapport de la CNIL et de la DGCCRF, les eurodéputés demandent à la Commission européenne d’agir. Le Parlement européen a adopté aujourd’hui à une large majorité une résolution sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans cette résolution, les eurodéputés « s’inquiètent du nombre croissant de plaintes concernant des usagers de sites d’achat de billets en ligne qui ont été victimes d’IP tracking »[1] ;

Les parlementaires demandent à la Commission européenne d’enquêter sur la fréquence de cette pratique « qui génère une concurrence déloyale et qui constitue un détournement des données personnelles des utilisateurs, et, le cas échéant, de proposer une législation adéquate pour protéger les consommateurs[2]« ;

Françoise Castex, qui avait reproché à l’enquête de la CNIL et de la DGCCRF, rendue publique le 27 janvier dernier, de ne pas lever pas le doute sur les tarifs obscurs pratiqués par les grands opérateurs de transports sur la toile, s’est félicitée de ce vote: « C’est la preuve que les usagers ne sont pas paranoïaques et que l’IP-tracking n’est pas qu’une préoccupation franco-française« .

« Nous demandons à la Commission européenne de protéger comme il se doit les millions de consommateurs victimes d’espionnage, notamment via l’utilisation de leur historique de navigation, » poursuit l’eurodéputée du Gers. « Le consentement explicite de l’utilisateur doit être la règle, et non l’exception!« , conclut Françoise Castex, qui presse le Conseil d’adopter le nouveau règlement européen sur les données personnelles.

[1] Pratique qui vise à retenir le nombre de connections d’un internaute via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires

[2] Article 18

Piratage de KickStarter

Nouvelle attaque, nouvelle fuite et nouveau vol de données appartenant à des internautes. Cette fois, c’est le portail de financement participatif KickStarter (Un MajorCompagny américain, ndr) qui vient de subir le passage d’un pirate dans sa base de données.

Une injection SQL plus tard et le malveillant est reparti avec les données clients : noms, adresses … Les mots de passe compris. Ces derniers sont chiffrés en MD5, détail technique qui ne devrait pas durer bien longtemps face à un logiciel de reverse de mot de passe.

KickStarter ne s’est jamais rendu compte de rien. C’est la police qui a contacté l’entreprise, mercredi 12 février, pour l’avertir de l’attaque. Depuis, la faille SQL a été corrigée. Pas être rassurant, KickStarter indique que les données bancaires de ses clients n’ont été impactés. Il n’avait aucune preuve de l’utilisation des données volées. Déjà qu’ils n’ont pas vu l’attaque, alors dire qu’il n’y a pas eu d’utilisation est légèrement prématurée. « Par mesure de précaution, nous vous recommandons fortement de créer un nouveau mot de passe pour votre compte Kickstarter, et autres comptes où vous utilisez ce même mot de passe« .

 

La commission « Libertés civiles » du Parlement européen ouvre la voie à une réelle protection de la neutralité du Net

Le 12 février, la commission « Libertés civiles » (LIBE) du Parlement européen a adopté son rapport pour avis [1] sur la proposition de règlement relatif au marché unique européen pour les communications électroniques. Des amendements clés ont été adoptés, qui, s’ils étaient inclus dans la version finale du texte, garantiraient l’application de la neutralité du Net au sein de l’Union européenne. La Quadrature du Net met en garde la commission « Industrie » (ITRE), en charge du dossier, contre les tentatives d’adoption d’amendements édulcorés qui permettraient aux opérateurs de télécommunication de distribuer des services spécialisés d’une manière qui limiterait radicalement la liberté de communication et l’innovation sur Internet.

Grâce aux amendements déposés par les groupes Verts, S&D et ALDE, des versions solides des articles clés 2(15) [2] et 23 [3], et de leurs considérants, ainsi que des dispositions sur les services spécialisés et des dispositions assurant l’application effective de la neutralité du Net, sont maintenant incluses dans le rapport de la commission « Libertés civiles ». Le rapporteur PPE Salvador Sedó i Alabart (ES – PPE) a lui-même soutenu des dispositions positives. La Quadrature du Net remercie tous les eurodéputés qui ont contribué à ce vote.

Le texte adopté doit maintenant être considéré comme une référence pour le reste de la procédure législative, particulièrement pour la commission ITRE, qui prépare la version finale des recommandations adressées à l’ensemble du Parlement européen sur ce dossier. Néanmoins, des inquiétudes importantes subsistent concernant l’issue du vote de la commission ITRE. Les amendements de compromis [4] proposés par la rapporteure Pilar del Castillo Vera (ES – EPP) ouvrent la porte aux abus des opérateurs de télécommunications de manière scandaleuse. Pire encore, ces amendements ignorent entièrement la substance des meilleures propositions déposées par les autres députés de la commission – y compris par les membres de son propre groupe politique [5]. Enfin, ils entrent fortement en contradiction avec les principaux amendements votés en commission LIBE aujourd’hui, qui assureraient que le futur règlement protège les droits fondamentaux.

À ce stade de la procédure, il est inquiétant que même les rapporteurs fictifs des groupes politiques favorables aux amendements positifs ne s’opposent que extrêmement timidement à la rapporteure. Soutenir les amendements de compromis de del Castillo équivaut à ignorer les intérêts et droits des citoyens européens, et à laisser carte blanche aux opérateurs télécom pour mettre en place une discrimination illégitime des communications sur Internet. Tous les rapporteurs fictifs de la commission ITRE – Jens Rohde (DK – ALDE), Catherine Trautmann (FR – S&D), Amelia Andersdotter (SE – Verts/ALE), Giles Chichester (UK – ECR) – doivent rendre leur position publique, et permettre à tous de juger leurs responsabilités dans la version définitive du rapport ITRE, adoptée durant le vote prévu pour le 24 février. Si ces députés, ou d’autres membres de leur groupe, refusent de tenir compte des recommandations émanant de leur propre groupe politique au sein de la commission LIBE, et adoptent des amendements de compromis faibles, ou même mettant en danger la neutralité du Net, les citoyens européens les tiendront pour responsables, particulièrement lors des élections européennes [6] à venir.

« Les citoyens européens doivent faire entendre aux membres de la commission « Industrie » qu’il n’existe qu’un seul vote acceptable : le rejet des soi-disant « amendements de compromis » de Mme Pilar del Castillo Vera et l’adoption d’amendements aux articles 2(15) et 23 similaires à ceux de la commission LIBE. Pour qu’Internet puisse continuer à bénéficier de l’innovation et de la liberté de communication, le droit européen doit clairement interdire aux opérateurs télécom de commercialiser des services spécialisés techniquement identiques aux services en ligne déjà disponibles sur Internet » déclare Philippe Aigrain, cofondateur de La Quadrature du Net.

« Chaque voix comptera le 24 février, lors de l’adoption de la version finale du rapport de la commission « Industrie » sur la proposition de règlement. Nous appelons chacun de ses membres à s’opposer à la position de la rapporteure Pilar Del Castillo Vera et à voter en faveur des amendements clés adoptés en commission « Libertés civiles », qui seuls peuvent assurer la protection des droits fondamentaux, de la libre concurrence et de l’innovation sur l’Internet ouvert », conclut Miriam Artino, analyste politique et juridique pour La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-523.069%2b01%2bDOC%2bPDF%2bV0%2f%2fFR
2. Article 2(15) : « « service spécialisé », un service de communications électroniques ou un service de la société de l’information qui fournit une capacité d’accès à des contenus, des applications ou des services spécifiques, ou à une combinaison de ces derniers, ou bien la capacité d’envoyer ou de recevoir des données à destination ou en provenance d’un nombre déterminé de parties ou points terminaux et qui n’est pas commercialisé ou largement utilisé comme produit de substitution à un service d’accès à l’internet; »
3. Article 23, sur la « liberté de fournir et de se prévaloir des offres d’accès à un internet ouvert, et gestion raisonnable du trafic »
4. https://www.laquadrature.net/files/NN-Castillo-ITRE-CA.pdf
5. Voir : http://edri.org/bad-leadership-kill-open-internet-europe/ [en]
6. http://www.wepromise.eu/

La gestion de l’identité au cœur des préoccupations des services informatiques en 2014

Andre Durand, CEO de Ping Identity, le leader de la gestion sécurisée de l’identité, partage ses prédictions avec les lecteurs de DataSecurityBreach.fr pour l’année 2014. Si l’on se fie à l’évolution des 12 derniers mois, 2014 va connaître d’autres avancées en matière de gestion des identités. En 2013, l’évolution a revêtu de multiples facettes. Les acronymes ont gagné en notoriété : MFA, IoE, API, REST, JSON et JWT. La norme OAuth a été approuvée et OpenID Connect approche de son terme. Le duo forme la base qui va agir sur l’évolution de l’identité numérique en 2014 : mobile, cloud, contrôle d’accès, fédération, infrastructure et plates-formes d’identité. « Le vol de millions de mots de passe en 2013 sur des sites allant d’Adobe à Facebook et GitHub peut avoir ébranlé suffisamment les utilisateurs, les fournisseurs de services et les commerçants en ligne pour que la question de la sécurité supplante finalement celle du confort d’utilisation ». Conscient de tous ces changements, voici une liste de six prédictions pour 2014 :

1. Le MFA (Multi-Factor Authentification) pour la facilité d’utilisation
Le MFA pour les terminaux mobiles va se répandre de plus en plus et gagner en qualité. Chacun possède un système différent pour s’authentifier sur son terminal mobile (mot de passe, code chiffré, etc.) mais en 2014, les plus fondamentaux vont prévaloir. Cet intérêt à l’égard du MFA marque le début d’une tendance plus vaste qui va finir par en engendrer une autre : les objets comme facteur d’authentification. Par exemple, votre bracelet Fitbit Flex pourra probablement vous permettre de déverrouiller votre smartphone…

2. L’essor du BYOI (Bring Your Own Identity)
La connexion aux applications d’entreprise se fera de plus en plus via nos identifiants et mots de passe personnels utilisés pour les réseaux sociaux. La mise en place du MFA permettra notamment de généraliser cet usage. Toutefois, les exigences en matière de sécurité ne seront pas à négliger pour autant. Ce mode d’identification conviendra pour les ressources demandant un degré minimal de sécurité, mais un autre type d’identification (fourni ou approuvé par l’entreprise) sera requis en cas d’exigences plus strictes.

3. L’authentification continue : un seul couple identifiant/mot de passe pour un accès à des milliers d’applications en toute sécurité
Le dispositif d’authentification continue renforce le degré de sécurité lors d’une ouverture de session sur un terminal, mais aussi pendant toute la durée d’utilisation du terminal. Les entreprises vont tendre de plus en plus à adopter ce dispositif d’authentification continue. Conjuguée à des solutions de gestion des identités et d’authentification biométrique, l’authentification continue va permettre de réduire les coûts et améliorer la facilité d’utilisation. Il ne sera plus nécessaire de rentrer son identifiant et son mot de passe pour accéder à une application. En revanche, la procédure de connexion à l’ouverture de cession sera plus lourde.

4. La fédération des identités évolutive
Les entreprises utilisant des solutions classiques de fédération des identités, et souhaitant multiplier par cent voire milles leur nombre de partenaires, et donc ajouter plus d’identités à leur solution de fédération, devront faire face à des limitations fonctionnelles ou technologiques. C’est là qu’intervient la fédération évolutive. Elle va permettre d’intégrer des technologies comme Trust Frameworks, Multi-Party Federation (comme par exemple InCommon), des architectures de Centralized Proxy ou encore du Metadata Peering. La fédération évolutive va demander de combiner tous ces éléments, ou une partie.

5. Le nombre de fournisseurs de solutions de gestion des identités se réduit au profit d’une meilleure qualité de prestation
La liste des fournisseurs en solutions IAM (Identity Access Management) n’a cessé de s’agrandir. Cependant, elle va se réduire en 2014. Certains d’entre eux seront sous le contrôle d’autres plus dynamiques ou mieux établis. Les solutions d’authentification sur les terminaux mobiles, la gestion des mots de passe et le SSO (Single Sign-On) en mode cloud figurent parmi les domaines d’activités où la concurrence s’avère intense car c’est là où la demande est la plus forte.

6. La gestion des identités devient un aspect fondamental de la sécurité du cloud
L’importance des solutions IAM devient de plus en plus une évidence pour les entreprises. De ce fait, ces solutions vont désormais être reconnues parmi les références en matière de gestion sécurisée des identités notamment pour l’accès au cloud. La RSA Conference en février, le Cloud Identity Summit en juillet et le Cloud Security Alliance Congress en décembre vont assoir ce statut. (Andre Durand, CEO de Ping Identity)