Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Espionnite au Royaume-Unis et en Nouvelle-Zélande

D’ici quelques mois, les britanniques seront obligés d’installer un logiciel afin de contrôler la visite d’un site pornographique. Une décision à la Big Brother pour un filtre anti-pornographie censé proteger les enfants. Si l’idée est bonne, qui ne souhaite pas protéger un enfant, l’excuse numérique laisse un léger mal de crâne aux défenseurs des droits de l’homme sur la toile.

Si un britannique adulte souhaite visiter un site coquin, il devra l’indiquer dans le logiciel espion. L’Open Rights Group, une ONG qui tente de protéger les droits en ligne des consommateurs, indique que le gouvernement britannique va étendre cette cyber-surveillance à la violence, à l’anorexie, aux troubles de l’alimentation, au suicide, au fait de fumer, à la consommation d’alcool.

D’après l’ORG, les forums peuvent aussi être « bloqués ». A l’internaute de tripatouiller dans la configuration de son logiciel. Bref, voilà aussi une excellente idée pour les « majors » du web qui, elles, ne seront pas filtrées et s’offriront de la page vue supplémentaire. Ca va être marrant de voir des émissions de télé réalité, comme celle proposée en 2012 par Channel 4, bloquer l’intégralité du site web de la chaîne en raison de l’accumulation de drogue, violence, … A noter que Google a prouvé, zataz.com vous l’a révélé en juillet, qu’il était tout à fait possible de bannir du web un site Internet.

En Nouvelle-Zélande, le parlement veut voter une loi qui donnerait plus de possibilité d’espionnage au Government Communications Security Bureau. La DGSE locale, est un service de renseignement extérieur. Sauf que les « élus » locaux veulent élargir la surveillance des communications à l’ensemble des Néo-Zélandais (soupçonnés de porter atteinte à la sécurité nationale ou non, ndlr datasecuritybreach.fr).

Bref, des 007 censés s’occuper hors des murs du pays veulent aussi s’occuper de leurs citoyens. Bilan, attaques DDoS et autres barbouillages de sites, comme le site du Premier Ministre John Key par Anonymous, chauffent le web local.

La prochaine mise à jour de l’iPhone va vous espionner

Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.

Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.

Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !

Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.

Espionner via l’API d’un HTML5

Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.

Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point.  Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.

Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web.  En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.

Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille

La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.

Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.

1.     Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.

2.     Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.

3.    Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.

4.    Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.

5.     Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.

6.     Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.

Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.

La méthode miracle anti-cellulite… des pirates

Bitdefender, éditeur de solutions de sécurité, a informé DataSecurityBreach.fr que les utilisateurs de Pinterest étaient visés par la propagation d’une arnaque publicitaire sur ce réseau social qui permet d’épingler ses photos préférées. Ce scam publicitaire concerne une solution « miracle » pour se débarrasser de la cellulite et perdre du poids, une arnaque qui apparaît bien souvent en cette saison estivale. Les scammeurs voient en Pinterest l’endroit idéal pour diffuser ce type d’arnaque puisque parmi les 49 millions d’utilisateurs du réseau social, 80 % sont des femmes. Ce scam n’est pas malveillant mais vise à tirer profit des utilisatrices qui, tombées dans le piège, achèteront le ‘pack beauté’ ou ‘l’offre du jour’.

Cette arnaque, qui a envahi Pinterest en quelques semaines, utilise le tableau d’utilisatrices pour s’y afficher en tant que ‘pin’. Ainsi, de nombreuses femmes ont épinglé malgré elles, sur leur tableau, des dizaines de photos d’un corps exhibant de la cellulite et d’une personne « avant/après » le test de cette solution miraculeuse.

Scam anti-cellulite

L’interface de Pinterest se prête particulièrement à la mise en avant de ce genre de produits. Les images utilisées sont efficaces et le slogan optimiste, ce qui pousse les utilisatrices à cliquer afin de recevoir des « informations auxquelles seulement quelques personnes privilégiées ont accès ». En cliquant sur la photo, l’utilisatrice est redirigée vers plusieurs sites qui affichent tous la même vidéo : quelques exercices basiques qui permettraient de faire fondre les excès de graisse à vitesse grand V. Après ce teasing attrayant, la visiteuse est invitée à s’offrir le pack beauté, sans oublier l’offre du jour, elle aussi à ne pas manquer.

Certains noms de domaines de ces sites sont enregistrés anonymement afin de ne pas révéler l’identité de « l’entreprise » qui fournit les produits en question. Cependant, Pinterest et Google parviennent à bloquer quelques-uns de ces sites, signalés comme dangereux. Afin de se prémunir des arnaques en ligne, Bitdefender préconise aux internautes de toujours utiliser une solution de sécurité à jour et de vérifier sur Internet les informations relatives à la société qui commercialise les produits désirés. Les internautes peuvent aussi bénéficier d’éventuels avertissements ou de l’expérience d’autres acheteurs, grâce à de simples recherches sur le Web.

Les menaces et la sécurité des centres d’assistance technique

Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).

Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :

–          Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks.  L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.

–          Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.

–          43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.

Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :

–          L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données

–          Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques

–          Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)

Messages personnels dans un ordi pro ne sont plus personnels

Le site juridique Legalis.net revient sur une décision de la cour de cassation concernant les emails envoyés depuis l’ordinateur personnel d’un salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel, sans qu’ils soient identifiés comme « personnels ». Bilan, la justice française a décidé que ces courriers étaient présumés professionnels. Telle est la conclusion qui ressort de l’arrêt de la Cour de cassation du 19 juin 2013. La Cour de cassation a affiné sa jurisprudence qui figure dans le premier attendu : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Bref, cette décision pourrait très bien être prise en compte lors de la visite de votre Facebook, via un ordinateur du bureau.

L’armée électronique Syrienne pirate True Caller

La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.

La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.

True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.« 

L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .

Attaque sur Android via un WhatsApp malveillant

Un utilisateur d’Android aurait reçu un fichier de contact WhatsApp malveillant. Document qui aurait été capable de changer le nom des personnes inscrites dans votre carnet d’adresse. Shivam, un blogueur indien, explique qu’il a reçu un fichier de contacts. Après avoir ajouté les informations dans son smartphone, le code malveillant aurait réussi à remplacer les noms par « Priyanka. »

Le malware nécessite que l’utilisateur accepte le contact. Bref, évitez d’ajouter n’importe quoi dans vos téléphones. En cas d’attaque, coupez la connexion web, wifi et Bluetooth de votre téléphone. Accédé à vos contacts, et recherchez le nom « bizarre » à supprimer. Allez ensuite dans « Réglages » de votre téléphone. Sélectionnez les applications (App Manager) puis sélectionnez WhatsApp dans la liste. Il ne vous reste plus qu’à effacer les données.

IP-tracking: une député Européenne saisit le nouveau Commissaire croate

En guise de bienvenue, l’eurodéputée Françoise Castex a enjoint le nouveau Commissaire à la protection des consommateurs, Neven Mimica, de se saisir du dossier IP-tracking. Alors que la CNIL a confirmé sur son site, vendredi 28 juin, le lancement d’une enquête conjointe avec la DGCCRF sur le développement, sur certains sites de vente de billets de transport en ligne, d’une pratique dénommée « IP Tracking », Françoise Castex a saisi l’occasion de la prise de fonction du Commissaire croate Neven Mimica pour le sensibiliser à cette pratique qui « contrevient d’une part aux dispositions européennes relatives à la protection des données personnelles, dont l’adresse IP fait partie, et d’autre part, génère une concurrence déloyale, avec un prix à la tête du client« .

Dans une lettre adressée au nouveau Commissaire croate, l’eurodéputée socialiste invite la Commission européenne à « enquêter sur la fréquence de cette pratique et protéger les consommateurs en conséquence. » Pour la Vice-présidente de la Commission des Affaires juridiques: « la création de ce nouveau portefeuille dédié à la protection des consommateurs doit amener la Commission européenne à se saisir enfin du dossier!« , estime à zataz.com et Data Security Breach, Françoise Castex.

Avant de conclure: « Alors que les vacances commencent, et que 53% des Européens réservent leurs vacances en ligne, il existe une forte attente des citoyens en la matière. La Commission enverrait un signal fort en ouvrant dès maintenant une enquête à l’échelle européenne« .

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.

La banque européene du don de sperm piratée

Data Security Breach vient d’apprendre que la base de données de la banque européenne du don de sperme avait été piratée. Plusieurs milliers d’utilisateurs diffusés sur la toile. L’European Sperm Bank, une banque dédiée à la collecte de spermatozoïde vient d’être piratée par deux internautes connus sous les pseudonymes de Dz-PARO et AngryBird de la Phenomenal Crew. Une injection SQL qui a permis aux deux bidouilleurs de mettre la main sur une base de données impressionnantes contenant les identifiants de connexion des utilisateurs (emails, mots de passe en md5, téléphones et pseudonymes). Les deux bidouilleurs ont communiqué à la rédaction de zataz.com l’exploit qui a ouvert l’accès à la base de données de la BSB. La rédaction de zataz.com a alerté cette entreprise. Dommage que les deux grey hats aient diffusé les données dans un espace web que nous ne fournirons pas ici. Data Security Breach, qui a pu consulter les données diffusées par les pirates a pu constater une dizaine de français dans le fichier mis en ligne par les deux « visiteurs ».

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ?

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? Il nous aura fallu pas moins de 4 jours pour décortiquer le contenu d’un fichier zip dédié au code malveillant Citadel. 1.9 Go de données diffusées sur certains espaces underground russes.

Un fichier zip comprenant le code source de l’outil pirate Citadel mais aussi des dizaines d’autres outils pirates et malveillants. Nous ne parlons pas de l’analyse technique, qui demande beaucoup trop de ressources, mais uniquement de chaque code source, images, textes, exécutables.

Deux gros dossiers. Le premier avec les codes source de Citadel (source builder plugins). Un seconde dossier, comportant 57 répertoires (ayant eux mêmes des centaines de codes, outils, …) et 53 fichiers rar ou bruts de décoffrage avec autant de la malveillance numérique à revendre.

Un monstre informatique proposant Loader Hook (un keylogguer) ; Zeus 2.0.8.9 ; WinSpy 17 sans parler de mystérieux fichiers textes traitant d’un certain Igor. Sans parler de cet outil qui permet d’envoyer des SMS via Skype, sans parler de ces outils d’OCR capable de retranscrire les textes vues à l’écran ou dans de simples images ; un pack dédié à BitCoin ou encore des exploits pour Windows Seven. A noter aussi une série de ver, des worms (comme Blacj JW, ndlr zataz.com) avec code source et exécutables.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? L’augmentation des attaques constatées ces derniers jours n’annonce rien de bon cet été !

Pour que les e-soldes d’été riment avec e-sécurité

Pour que les e-soldes d’été riment avec e-sécurité Pour que les bonnes affaires le restent, 6 conseils de Data Security Breach pour succomber à la tentation des bonnes affaires estivales sans tomber dans les pièges qui peuvent être tendus sur internet. 26 juin, c’est officiellement le coup d’envoi des soldes d’été. C’est l’occasion de se faire plaisir en réalisant des économies d’autant que le mauvais temps de ces dernières semaines présage d’un important stock à écouler. Malgré la crise, 80% des français ont l’intention de faire les soldes cette année selon l’étude Ifop pour Spartoo avec un panier moyen prévu de 201 euros.

De plus en plus de français font leur achat sur des sites d’e-commerce. Cependant, même si ces sites sont mieux protégés qu’auparavant, le risque de se faire arnaquer sur Internet persiste. Alors que 52% des victimes de fraude déclarent que la fraude subie « a été effectué dans un commerce en ligne », 27% des acheteurs continuent d’utiliser leur carte de crédit avec désinvolture pour effectuer des achats en ligne selon une étude Harris Interactive pour Kaspersky Lab. Les montants volés constatés sont en moyenne de 250 euros mais si 20% de ces débits sont supérieurs à 1 000 euros.

Voici une liste de 6 conseils prodigués par Kaspersky Lab pour ne pas tomber dans les mailles du filet des cybercriminels pendant cette période d’achats :

1.     Etre vigilant face aux offres trop alléchantes – Les internautes ont pour habitude de recevoir des promotions de différentes marques soit via e-mail ou sur les réseaux sociaux tels que Facebook et Twitter. Cependant, certains cybercriminels abusent de cette méthode de distribution en envoyant de faux e-mails déguisés en messages légitimes de marques (phishing). Après avoir cliqué sur le lien, l’utilisateur est alors redirigé vers un site malveillant au lieu de celui du distributeur. Les pirates pourront récupérer toutes les informations bancaires stockées sur l’ordinateur; 1/3 des internautes conservent ce type d’information sur leur ordinateur domestique.

2.     Vérifier l’authenticité et la sécurité du site – Si une bonne affaire se profile, il suffit de se rendre sur le site officiel de la marque pour confirmer qu’il s’agit bien d’une offre légitime et que le site n’est pas un faux. Le témoignage de clients, la présence de conditions générales et la réactivité du service client constituent d’autres indices prouvant la véracité du site. Le paiement en ligne doit également être sécurisé car même si 44% des acheteurs sur Internet ne sont pas particulièrement inquiets lorsqu’ils utilisent leurs cartes de crédit en ligne1, il est important de vérifier l’existence du cadenas et de la mention https dans la barre d’adresse.

3.     Privilégier les réseaux 3G/4G au Wi-Fi – Les smartphones et les tablettes peuvent aider à suivre les bonnes affaires même au sein des centres commerciaux physiques. Cependant, les cybercriminels savent que les consommateurs ont tendance à se rendre sur des sites dotés d’identifiants ou d’informations bancaires pendant ces événements particuliers. Ils peuvent facilement surveiller les informations envoyées sur les réseaux Wi-Fi publics, telles que le numéro de compte ou de carte bancaire.

4.    Favoriser des moyens de paiements fiables – Il est important de privilégier les moyens de paiement qui permettent un recours comme les systèmes de paiement sécurisés par carte bancaire et d’éviter au maximum les services de transfert d’argent, notamment à l’étranger.

5.     Eviter de renseigner les sites avec trop de données personnelles – Certains sites d’e-commerce sont très intrusifs et demandent de fournir beaucoup de données personnelles. Il faut donc éviter de laisser trop d’informations sur soi.

6.     Choisir un mot de passe sécurisé – Un bon mot de passe est la condition indispensable pour une protection optimale de ses données. Le mot de passe idéal doit combiner plusieurs combinaisons de caractères mais ne doit pas être réutilisé à l’infini. Plusieurs mots de passe sont nécessaires pour éviter de se faire pirater ses comptes.

Volkswagen France piraté pour piéger les utilisateurs de Skype et iTunes

Le piratage informatique d’un site web cache très souvent des actions biens plus malveillantes qu’un simple barbouillage. Pour preuve, le cas vécu, ce jeudi, par le site Internet du groupe Volkswagen France. Datasecuritybreach.fr et ZATAZ.COM ont pu constater qu’un pirate informatique avait réussi à s’inviter dans le serveur de la marque automobile Allemande afin d’y cacher une redirection malveillante vers une fausse page d’administration à Skype.

Au moment de l’écriture de cet article, l’adresse volkswagengroup.fr/ (…) /connect.html renvoyait les internautes sur le site usurpateur skype-france.fr. Plus grave encore, le pirate a aussi caché une fausse page iTunes Connect dans le serveur de la filiale française du constructeur automobile.

Le voleur a lancé son hameçonnage Skype (comme pour iTunes) via un courriel électronique contenant ce type de message (exemple pour skype, ndlr datasecuritybreach.fr) « Chère/Cher client Nous vous informons que votre compte Skype arrive a l’expiration dans moins de 48H. Cliquez simplement sur le lien suivant et ouvrez une session a l’aide de votre Skype ID et Mot de passe. Vérifiez maintenant. Cordialement L’assistance a la clientèle Skype 2013« .

Les Chefs d’Etat du G8 signent une Charte pour l’Ouverture des Données Publiques

Le Président de la République, François Hollande, et les Chefs d’Etat du G8 réunis les 17 et 18 juin 2013 au Sommet de Lough Erne, en Irelande du Nord, ont signé aujourd’hui une Charte du G8 pour l’Ouverture des Données Publiques. Cette Charte Open Data du G8 marque l’ambition collective des Etats Membres de promouvoir une gouvernance plus ouverte et plus transparente : en établissant un principe d’ouverture par défaut des données publiques, en affirmant le principe de gratuité de leur réutilisation et en privilégiant les formats ouverts et non-propriétaires, elle encourage l’accès de tous à l’information et promeut l’innovation entrepreneuriale, citoyenne et sociale.

Chaque Etat membre du G8 développera un plan d’action d’ici fin 2013, visant à respecter les principes de la Charte en mettant en oeuvre les meilleures pratiques et les engagements collectifs détaillés dans son annexe technique d’ici fin 2015. La France a par ailleurs contribué à dresser la cartographie des métadonnées du G8, consultable sur GitHub. Elle présente un index collectif des métadonnées des plateformes Open Data de chaque Etat Membre du G8, ainsi qu’une cartographie analytique de ces métadonnées.

Le Communiqué des Chefs d’Etat (paragraphes 46 à 50) affirme que « cette Charte contribuera à accroître la quantité de données publiques ouvertes dans les secteurs essentiels de l’action publique, comme la santé, l’environnement ou les transports ; à soutenir le débat démocratique ; et à faire en sorte de faciliter la réutilisation des données publiées ». Pour les Etats Membres du G8, « l’ouverture des données publiques est une ressource essentielle à l’âge de l’information. »

Charte du G8 pour l’Ouverture des Données Publiques (Français)

Annexe de la Charte du G8 pour l’Ouverture des Données Publiques (Français)

Pirate informatique complice de trafiquants de drogue

Le Pablo Escobar 2.0 vient d’être mis à jour, en Belgique. Data Security Breach vient d’apprendre que les policiers ont mis la main sur 1,099 tonne d’héroïne, 1,044 tonne de cocaïne, des armes et 1,3 million d’euros en liquide. Une saisie lors d’une opération d’envergure dans le port d’Anvers. Tout a débuté au Pays-Bas. Les douaniers néerlandais mettaient la main, en avril dans le port d’Amsterdam, sur plus de 110 kilos de drogue, cachée dans des poutres de bois. L’enquête va remonter chez le voisin Belge. Originalité de cette opération, deux informaticiens d’une trentaine d’années ont été arrêtés (sur les 23 perquisitions et 7 interpellations). Ils avaient orchestrés des piratages informatiques des ordinateurs du port belge, mais aussi de plusieurs transporteurs de marchandise passant par l’imposant port belge. Mission des piratages, repérer les conteneurs dans lesquels avaient été cachés la drogue. (GT)

Une nouvelle application nuisible pour Android toutes les 22 secondes

Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.

« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.

État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.

Se protéger de la cyber surveillance

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.

Chiffrez vos informations

Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).

Vos « surfs »

les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.

Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).

Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !

APT: Détecter l’espion qui est sur votre réseau

Que signifie le fait d’être la cible d’une Menace Persistante Avancée (APT ou Advanced Persistent Threat en anglais) ? Comme vous l’indique souvent DataSecurityBreach.fr, les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que ses prédécesseurs qui étaient aléatoires et généralement moins sophistiquées. Les menaces Internet sont beaucoup plus malveillantes aujourd’hui et nous ne pouvons plus compter sur les défenses basées sur les signatures pour les combattre. Nous devons battre l’intelligence par l’intelligence. Christophe Auberger, Responsable Technique chez Fortinet considère auprès de Data Security Breach Magazine le ‘sandboxing’ comme étant un outil clé dans la lutte contre les APT

Alors que la cybercriminalité évolue et progresse, elle peut également être vue comme rétrospective dans son approche. La cybercriminalité a aujourd’hui de nombreuses similitudes avec l’âge d’or de l’espionnage d’antan – infiltrer, se cacher et extraire des informations de valeur ou sensibles sans être détecté. Cette approche est très efficace dans un monde où les informations numériques sont de plus en plus précieuses.

L’infiltration furtive en ligne visant à voler des informations confidentielles et de valeur est le but ultime des cybercriminels actuels. Il est clair que les organisations doivent être particulièrement vigilantes et préparées pour détecter ces nouveaux types de menaces endémiques et continues. L’incorporation et l’exécution réussies de codes malveillants sur un réseau peuvent faire des ravages au sein d’une organisation, le plus grand risque consistant dorénavant dans le vol de propriété intellectuelle. Avantage concurrentiel, informations d’initiés, propriété intellectuelle de valeur et cessible sont autant de données précieuses aussi bien pour les cybercriminels professionnels que pour les attaquants émergents cautionnés (fait encore non confirmé) par les Etats.

De nouvelles façons de travailler comme le BYOD, où les terminaux sont également utilisés à des fins non professionnels comme pour l’utilisation des medias sociaux, favorisent les APT. Un simple lien sur Facebook vers une page Web infectée peut s’avérer être le point d’entrée dans le réseau d’une organisation. Les cybercriminels deviennent très compétents dans le ciblage des personnes avec l’objectif de les inciter à leur insu à donner accès à leurs appareils et, par conséquent, au réseau de l’entreprise.

Par chance, il existe encore des moyens pour détecter les ‘espions’ qui tentent d’infiltrer, et même ceux qui ont eu accès et sont sur le réseau. Ils laissent toujours des indices. Il suffit de chercher les signes et, dans le cas d’un ‘espion’ présumé, on le pousse à commettre des erreurs qui permettront de l’identifier et de le confondre.

Le sandboxing n’est pas une idée nouvelle, datasecuritybreach.fr vous en parle souvent, mais il se révèle être de plus en plus utile dans la lutte contre les APT. Les logiciels malveillants ont toujours essayé de se dissimuler et les hackers d’aujourd’hui rendent leurs logiciels ‘conscients’ de leur environnement. Le sandbox – qui peut être local ou en mode cloud – offre un environnement virtuel étroitement contrôlé dans lequel seules les ressources de base sont fournies pour permettre aux logiciels suspects ou inconnus de s’exécuter, et où l’accès au réseau et aux autres fonctions critiques sont restreints. Les logiciels malveillants sont dupés sur le fait qu’ils ont atteint leur destination finale de sorte qu’ils dévoilent leurs véritables comportements alors qu’ils sont observés de près. Mais, comment savoir quelle partie du logiciel doit être conduite dans un environnement virtuel de sandbox pour un examen plus approfondi ?

Il y a cinq comportements d’exfiltration et exploitations de failles qui, soit isolément ou en tandem, peuvent indiquer une activité de logiciels malveillants. En les observant plus en détails Data Security Breach voit que certaines charges d’APT génèrent de manière aléatoire des chaines d’adresses IP visant à faciliter leur propagation, ou elles tentent d’établir une connexion avec un serveur de commande et de contrôle dans le but d’exfiltrer des données ou de faire appel à d’autres ressources d’attaques via un botnet. Si les détails du serveur malveillant sont identifiés, c’est comme si un espion présumé mis sous surveillance se dévoile lorsqu’il appelle son maitre-espion.

En outre, des cas avérés d’APT ont impliqué de nombreuses techniques pour dissimuler (obfuscating) le vrai sens et l’intention du code malveillant JavaScript, et bien sûr, le logiciel malveillant va certainement imiter le comportement du terminal ou de l’application hôte pour éviter la détection. Par conséquent, la tendance à avoir des logiciels malveillants encryptés au sein des charges d’APT expose l’ensemble du trafic encrypté à un risque élevé.

Pour une protection plus efficace et un meilleur contrôle, le sandboxing devrait idéalement opérer dans le cadre d’une stratégie multi-couches. La première ligne de défense est le moteur antivirus supporté par une sandbox embarquée en ligne opérant en temps réel. Si les menaces s’avèrent appropriées, les fichiers suspects peuvent être soumis à une sandbox basée sur le cloud pour davantage d’analyses. Cette approche unifiée et multi- couches offre plus de contrôle et de rapidité pour contrer une attaque potentielle. Et c’est nécessaire. De la même façon que la cybercriminalité devient plus évoluée et multi-couches, la stratégie de sécurité de l’organisation doit l’être également.

Vers sur les réseaux sociaux

Une résurgence des vers sur les réseaux sociaux et une augmentation spectaculaire du spam. Les attaques ciblées continuent d’augmenter; retour des spams “Pump and Dump” qui surfent sur les hausses boursières record aux USA. McAfee Labs a communiqué à Datasecuritybreach.fr son rapport trimestriel sur le paysage des menaces au premier trimestre 2013, « McAfee Threats Report: First Quarter 2013 ».

Ce rapport met en lumière une hausse importante du ver Koobface sur les réseaux sociaux et une augmentation spectaculaire du volume de spam. Egalement constaté une augmentation continue de la complexité et du nombre de menaces ciblées, y compris les chevaux de Troie de collecte d’informations et les menaces ciblant les secteurs d’amorçage maître (Master Boot Record – MBR). Trois fois plus d’échantillons de Koobface que lors du précédent trimestre. Ce ver vise en particulier Facebook, Twitter et les utilisateurs de réseaux sociaux. Le cheval de Troie Koobface, un ver découvert en 2008 dont l’évolution avait été relativement stable depuis l’an dernier mais qui a triplée au cours du premier trimestre 2013 et qui a atteint des niveaux jamais vus auparavant. Sa résurgence démontre que la communauté des cybercriminels estime que les utilisateurs des réseaux sociaux représentent un environnement ciblé très riche en termes de victimes potentielles

Après trois ans de stagnation, le volume de spam a augmenté de façon impressionnante. Un élément significatif de cette croissance en Amérique du Nord a été le retour des campagnes de spam « Pump and Dump » qui visent les investisseurs néophytes espérant capitaliser sur la hausse du marché boursier. Le rapport met également en évidence une augmentation continue des logiciels malveillants Android, des URL malveillantes, ainsi que sur l’ensemble des échantillons de logiciels malveillants. Datasecuritybreach.fr a pu constater dans ce rapport la première augmentation du volume de courriers non sollicités dans le monde depuis plus de trois ans. En plus des escroqueries populaires de « Pump and Dump », une flambée d’offres d’hormones de croissance et une escalade des campagnes de spam sur les marchés émergents caractérisent principalement cette flambée. Un détail que Data Security Breach Magazine vous relatait déjà, le mois dernier via un autre rapport.

L’augmentation de la sophistication et du nombre des menaces persistantes avancées ciblées (Advanced Persistant Threats – APT) a représenté l’évolution la plus notable du paysage des menaces du fait que, dorénavant, l’information est devenue aussi précieuse que l’argent dans le paysage de la cybercriminalité. Le cheval de Troie Citadel a prouvé que les cybercriminels ont recyclé cette menace pour dérober les informations personnelles à des victimes étroitement ciblées au-delà des institutions financières. L’industrie doit s’attendre à voir de plus en plus de cas de logiciels malveillants bancaires utilisés pour des opérations de cyber espionnage au sein d’entreprises non financières et gouvernementales. · Les attaques MBR. L’augmentation de 30 % des menaces ciblant le MBR au premier trimestre est liée, par exemple, aux logiciels malveillants StealthMBR, TDSS, Cidox et Shamoon. Clé pour lancer les opérations de démarrage, le MBR offre aux attaquants une grande variété de contrôle du système, de persistance et de fonctionnalités de pénétration profonde. Cette catégorie a enregistré des niveaux record ces deux derniers trimestres.

Datasecuritybreach.fr a aussi constaté dans ce rapport une augmentation de 30 % des logiciels malveillants ciblant les zones d’amorçage, ainsi que de nouvelles variantes de chevaux de Troie voleurs de mot de passe, repensés pour dérober des informations personnelles de personnes et d’entreprises proches de l’industrie des services financiers. « Les cybercriminels ont appris à considérer les informations personnelles et organisationnelles sensibles comme monnaie de leur économie pirate », déclare à datasecuritybreach.fr François Paget, chercheur McAfee Labs. « La résurrection de Koobface nous rappelle que les réseaux sociaux continuent de représenter une opportunité importante pour l’interception des renseignements personnels. Dans l’entreprise, nous constatons que les chevaux de Troie voleurs de mot de passe deviennent des outils de collecte d’informations pour les attaques de cyber-espionnage. Qu’elles visent soit les identifiants de connexion ou de propriété intellectuelle, ou soit les secrets commerciaux, les attaques très ciblées atteignent de nouveaux niveaux de sophistication ».

Le nombre d’URL suspectes a augmenté de 12 % du fait que les cybercriminels n’ont de cesse d’intensifier leurs attaques commises à partir de botnets comme moyen de distribution principal de leurs logiciels malveillants. Les sites web malveillants de « drive-by downloads » (attaque consistant à installer secrètement un logiciel sur l’appareil d’un utilisateur à son insu, ou sans son consentement) ont l’avantage notable d’être plus agiles et moins susceptibles d’être inquiétés par des interventions des autorités. DataSecurityBreach.fr vous relate, dans cet article, comme décoder les urls réduits, vecteurs d’attaques.

Un site libertin Belge piraté : 9000 membres à poil

Un important site belge dédié aux rencontres coquines piratés. Les visiteurs ont ponctionné les données de plus de 9000 membres. Voilà qui met à mal la vie privée, très privée même, de plus de 9000 membres du site Internet Belge annonce-libertine.be. La rédaction de ZATAZ.COM et Datasecuritybreach.fr ont été informés que ce portail dédié aux rencontres libertines entre adultes consentants avait été piraté par plusieurs pirates informatiques différents.

Dans tous les cas, les intrusions ont offert la possibilité aux « visiteurs » de mettre la main sur les données privées des « clients » de ce portail pour adulte. Parmi les informations que Data Security Breach a pu consulter, les pirates ayant diffusé sur Internet les données dans un espace « privé », un extrait des données, 8.728 emails, logins et mots de passe.

A noter que les identifiants de connexion ne sont pas chiffrés, laissant apercevoir des password particulièrement ridicule allant de la date de naissance (sic!), le numéro de téléphone portable (double sic!) ou le vrai prénom de l’anonyme caché derrière le pseudonyme employé sur le site. Ok, les participants ne sont pas au fait de la sécurité informatique, mais la pénétration du portail par au moins trois groupes de pirates (Phenomenal, AB, …) met clairement à mal la vie privée des intéressés. Le site a été alerté voilà 15 jours. Aucune réponse de leur part.

Internet : le consentement explicite

Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l’industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s’ils n’ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n’est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d’expression [1] que pour le développement économique des services en ligne [2].

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d’informations les concernant.

L’enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l’actuelle législation européenne – la directive de 1995 obsolète – qui n’exige pas que le consentement soit donné « explicitement » mais « indubitablement » [3]. Qu’est-ce qu’un consentement « indubitablement donné » ? Le sens d’une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 » [4] – l’organe européen réunissant l’ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu’une personne informée du traitement de ses données ne s’y oppose pas. Cependant, la législation actuelle n’obligeant pas les entreprises à s’assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu’elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s’y opposer s’ils le désireraient.

Prenons l’exemple d’Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires. Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n’indique pas qu’Amazon collecte en réalité bien plus de données que la simple liste d’articles que vous avez consultés et, ce même s’il s’agit de votre première visite et que vous n’êtes pas inscrit sur ce site. Ces informations ne sont accessibles qu’à la toute fin des pages du site Internet. Google, quant à lui, ne prend même pas la peine d’indiquer qu’il collecte, stocke et traite l’ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité.

La proposition de la Commission La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d’un consentement explicite de l’utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque » [5], et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu’aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n’en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d’envoyer des informations concernant votre géolocalisation à un site Internet.

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement. Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu’elle n’indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l’exigence d’un consentement explicite était adoptée.

Les recommandations des géants de l’Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l’Internet, Datasecuritybreach.fr vous en parle souvent, dont les bénéfices reposent largement sur la quantité de données personnelles qu’ils collectent. Ils redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n’y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu’aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite [6]. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d’accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu’ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd’hui.

De plus, une fois qu’ils auraient accepté qu’une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n’auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité [7]. Ainsi, déclarer qu’ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n’auraient généralement à consentir, tout au plus, qu’une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l’Internet et ont voté contre l’exigence d’un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d’exiger un consentement « indubitablement donné » [8] ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d’une façon similaire à ce que prévoit déjà la directive de 1995 [9]. Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l’exigence d’un consentement explicite du règlement [10]. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd’hui, il apparaît que la plupart des députés européens sont opposés au principe d’un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n’agissons pas dès maintenant.

Ce que vous pouvez faire

Tout d’abord, Datasecuritybreach.fr vous conseille de n’utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor [11] [12], DuckDuckGo [13] [14] ou des extensions de navigateurs, tels que NoScript [15] ou HTTPS Everywhere [16], vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu’elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez [17] à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l’Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d’image, de vidéo, de son, etc. C’est maintenant que nous devons agir !

Les membres de LIBE [18] des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu’ils ne tombent d’accord sur les pires amendements.

Références

1. L’UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l’internet et la liberté d’expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. » Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd’hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d’autres informations sensibles à notre sujet ?

2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l’identité digitale peut en effet s’avérer considérable : un milliard d’euro en Europe d’ici 2020 [mais] deux tiers de la valeur totale liée à l’identité numérique ne se réalisera pas si les acteurs n’arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

3. Directive de 1995 : Article 2 – Définitions Aux fins de la présente directive, on entend par: h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Article 7 Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: a) la personne concernée a indubitablement donné son consentement

4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent : (i) clarifier la définition de consentement « indubitablement donné » et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ; (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d’une obligation générale de responsabilité) ; (iii) ajouter une exigence explicite concernant l’accessibilité et la qualité de l’information sur laquelle se fonde le consentement, et (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

« La notion de consentement « indubitablement donné » est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu’il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

« La clarification doit se concentrer sur le fait qu’un consentement « indubitablement donné » requiert l’utilisation de mécanismes qui ne laissent aucun doute sur l’intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l’utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement « indubitablement donné ». Ceci est particulièrement vrai dans l’environnement en ligne. »

« La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme « toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant ». La principale modification apportée à la position de la Commission de 1992 ayant été d’effacer le mot « expresse » qui qualifiait le mot « indication ». En même temps, le terme « indubitablement » a été rajouté à l’article 7(a) qui devenait ainsi : « la personne concernée a indubitablement donné son consentement ». » (traduit par nos soins)

5. Proposition de Règlement pour la protection des données Article 4 – Définitions Aux fins du présent règlement, on entend par: 8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l’Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d’autres documents envoyés par les lobbies [en] aux députés européens, sur d’autres sujets concernant la protection des données personnelles.

7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier. Avis de IMCO : amendement 63 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté libre, ++qui doit être++ spécifique, informée et ++aussi++ explicite ++que possible selon le contexte,++ par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque ++, et de manière explicite lorsque les données visées à l’article 9, paragraphe 1, doivent être traitées,++ que des données à caractère personnel la concernant fassent l’objet d’un traitement; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février. Avis de ITRE : amendement 82 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté, libre, spécifique, informée et –explicite– ++sans équivoque++ par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ++Le silence ou l’inaction n’équivalent pas en soi à un consentement++; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par : Lidia Joanna Geringer de Oedenberg (S&D – Pologne) Adina-Ioana Valean (ALDE – Roumanie) Jens Rohde (ALDE – Danemark) Louis Michel (ALDE – Belgique) Sarah Ludford (ALDE – Royaume-Uni) Charles Tannock (ECR – Royaume-Uni) Timothy Kirkhope (ECR – Royaume-Uni) Axel Voss (EPP – Allemagne) Seán Kelly (EPP – Irlande) Wim van de Camp (EPP – Pays-Bas) Hubert Pirker (EPP – Autriche) Monika Hohlmeier (EPP – Allemagne) Georgios Papanikolaou (EPP – Grèce) Véronique Mathieu Houillon (EPP – France) Anna Maria Corazza Bildt (EPP – Suède) Agustín Díaz de Mera García Consuegra (EPP – Espagne) Teresa Jiménez-Becerril Barrio (EPP – Espagne)

11. https://www.torproject.org/

12. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d’une forme de surveillance du réseau, telle que l’analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

13. https://duckduckgo.com/html/

14. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le  moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d’information vous concernant. https://duckduckgo.com/html/

15. https://fr.wikipedia.org/wiki/NoScript

16. https://www.eff.org/https-everywhere

17. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

18. https://memopol.lqdn.fr/search/?q=committees%3ALIBE%20is_active%3A1

Atlantic Bank Group piraté

L’entreprise financière africaine Atlantic Bank Group piraté. Base de données corrompue. Il y a quelques jours, la rédaction de DataSecurityBreach.fr a appris le piratage d’une entreprise financière africaine d’importance. Le site de l’Atlantic Bank Group a été visitée par un groupe de pirates informatiques. La structure n’est pas anodine, le Groupe Banque Atlantique est un conglomérat de services financiers d’Afrique de l’Ouest, dont le siège est à Lomé (Togo). Le groupe est composé de banques et autres sociétés de services financiers localisés en Côte d’Ivoire, Bénin, Niger, Burkina Faso, Mali, Sénégal et Cameroun. D’après les informations que data security breach a pu consulter, les pirates ont diffusé des informations sur un espace web privé, la base de données du site banqueatlantique.net a pu être consultée, et très certainement ponctionnée, par les pirates. A première vue, parmi les actions malveillantes possibles : usurpation d’identité et diffusion de fausses informations économiques.

Social engineering et cheval de Troie, vos meilleurs ennemis

Une série d’attaques particulièrement préparées, basées sur un mécanisme d’ingénierie sociale et d’infection par cheval de Troie, et ciblant des entreprises françaises a été porté à la lecture de datasecuritybreach.fr. En avril 2013, l’éditeur Symantec a été alerté d’une série d’attaques dont l’élément le plus distinctif est l’appel téléphonique que la victime de la part de l’attaquant se faisant passer pour un employé ou un partenaire de l’organisation, en français, et demandant à la victime de traiter une facture qu’il va recevoir par email. Le courriel piégé contient soit un lien malveillant soit une pièce jointe, qui se révèle être une variante de W32.Shadesrat, un cheval de Troie.

Ces attaques ont commencé en février 2013. Cependant, ce n’est que récemment, en avril, que des appels téléphoniques ont commencé à accompagner l’envoi des emails. Pour le moment, les attaques ont concerné des entreprises françaises, ainsi que certaines de leurs filiales basées à l’étranger (Roumanie et Luxembourg). L’attaquant est bien préparé et il a, bien sûr, obtenu l’adresse email et le numéro de téléphone de sa victime avant l’opération. Les victimes de ces attaques sont le plus souvent des employés des départements comptables ou financiers de ces entreprises. Comme le traitement des factures fait partie de leurs tâches quotidiennes, ce leurre s’avère plutôt convaincant. Chaque élément de cette attaque requiert une soigneuse préparation qui contribue au taux de réussite général de l’attaque.

Il semble que la motivation de l’attaquant soit pour le moment purement financière. Cibler des employés des départements comptables et financiers des entreprises concernées lui assure un paiement ou une transaction en ligne rapide, ainsi qu’un accès facilité aux informations bancaires et comptables des entreprises attaquées qu’il pourra utiliser ultérieurement.  Mais le cheval de troie permet également un accès aux documents de l’entreprise. W32.Shadesrat est en effet un Trojan d’accès à distance (RAT : Remote Access Trojan), connu et documenté dans les solutions de sécurité Symantec, déjà utilisé par une grande variété d’attaquants, et toujours actif dans différents pays.

Recommandations à destination des entreprises :

–          Informer le personnel des services concernés de ces attaques ;

–          Disposer d’une solution de sécurité de dernière génération sur chacun de ses postes de travail et la mettre à jour ;

–          Stocker les informations sensibles de l’entreprise dans un espace sécurisé, et les chiffrer ;

–          Vérifier l’identité des prestataires émettant une facture urgente avec les différents services ayant pu faire appel à leurs services, ainsi que leurs coordonnées bancaires.

Operation Hangover : La plus grande activité de cyber-espionnage jamais connue originaire d’Inde

 Norman Shark, fournisseur leadeur mondial de solutions d’analyse malware pour entreprises, fournisseurs de services et gouvernements, a communiqué à Datasecuritybreach.fr un rapport détaillant l’infrastructure d’une vaste cyber-attaque sophistiquée qui serait originaire d’Inde. Les attaques, menées par des pirates privés depuis 3 ans, ne semblent pas avoir l’appui d’un État, mais le but principal du réseau C2 (Commande/Contrôle) mondial aurait été de cibler à la fois la sécurité nationale et les entreprises du secteur privé.

« Les données que nous avons indiquent que ces attaques ont été menées par un groupe d’attaqueurs basés en Inde, avec plusieurs développeurs ayant pour tâche de livrer des malwares spécifiques. » commente à datasecuritybreach.fr Snorre Fagerland, chef des recherches dans les laboratoires de Norman Shark à Oslo en Norvège. « Ce groupe semble avoir les ressources et les relations nécessaires en Inde permettant aux attaques d’être surveillées de n’importe où dans le monde. La grande diversité des secteurs touchés est toutefois très surprenante : il s’agit des secteurs des ressources naturelles, des télécommunications, de la restauration mais aussi des secteurs alimentaire, juridique, et industriel. Il est vraiment peu probable que cette organisation fasse de l’espionnage industriel pour son propre usage uniquement, ce qui est vraiment inquiétant. »

L’enquête a présenté des preuves de pratiques professionnelles au niveau de la gestion de projet, utilisées pour concevoir des systèmes, des modules et des sous-composants. Il semblerait que les auteurs des attaques malware aient assigné certaines tâches et certains composants à des programmeurs freelances. « Il n’y avait encore jamais eu de preuves de ce genre d’attaques » ajoute à data security beach magazine M.Fagerland.

Les autorités nationales et internationales enquêtent toujours sur cette découverte. La découverte de cette affaire a débuté le 17 mars lorsque les journaux norvégiens ont publié des articles sur Telenor, un des plus gros opérateurs téléphoniques au monde, faisant partie du top 500 mondial, et considéré comme l’une des entreprises de télécommunications leader en Norvège. Cette entreprise a porté plainte pour avoir été victime d’une intrusion informatique illégale. La source de cette infection proviendrait d’emails phishing ciblant la haute direction de l’entreprise.

Grâce à la structure et au type de comportement des fichiers malware, les analystes en sécurité de Norman Shark ont pu rechercher des cas similaires dans des bases de données internes et publiques, en utilisant les systèmes d’analyse automatique du Malware Analyzer G2 de Norman. Le nombre de malwares trouvé par les analystes de Norman et de ses partenaires était étonnamment grand. Il était donc évident que l’attaque de Telenor n’était pas isolée : elle fait partie d’un effort continu cherchant à mettre en danger les entreprises et les gouvernements du monde entier.

D’après les analyses des adresses IP collectées sur les banques de données criminelles découvertes pendant l’enquête, les victimes ciblées par ces attaques seraient répertoriées dans plus de 12 pays différents. Les cibles précises de ces attaques sont les gouvernements, les organisations militaires et les entreprises. C’est grâce à une analyse détaillée des adresses IP, des enregistrements de nom de domaine, et des identifiants texte contenus au sein même des codes malveillants que les malwares ont pu être attribués.

Malgré la récente attention médiatique portée sur l’exploitation de failles de type zero day , qui utilisent les toutes dernières méthodes d’attaques, Operation Hangover semble avoir exploité les failles déjà connues et identifiées dans Java, les documents Word et les navigateurs internet. « Ces dernières années, ce type d’activité était avant tout associé à la Chine, mais à notre connaissance, c’est la première fois qu’une activité de cyber-espionnage est originaire d’Inde », conclut à datasecuritybreach.fr M.Fagerland.

La justice protège l’inventeur d’une fuite de données

Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.

Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.

Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».

Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)

Le printemps : période la plus propice au phishing

Datasecuritybreach.fr vient d’apprendre qu’avec une augmentation des attaques de 11% entre Février et Mars 2013, et de 27% d’une année sur l’autre, les pirates informatiques semblent attendre les beaux jours pour reprendre leur activité.

En Avril, ne dévoile pas tes impôts d’un fil ! Et en mai, fais ce qu’il te plait ? Rien n’est moins sûr. En effet, les « phishers » semblent reprendre du service une fois le premier trimestre de l’année écoulé. Les mails malveillants se multiplient et les pièces jointes vérolées bourgeonnent !

La cause : l’arrivée des déclarations fiscales en ligne. Les fraudeurs envoient ainsi des mails en provenance des autorités et demandent aux particuliers de fournir certaines informations. Ici, la ruse est de jouer sur la crédibilité et la peur de la majoration. Les impôts en ligne sont également une technique employée pour récolter vos informations personnelles et bancaires.

D’après le dernier rapport Anti-Fraude de RSA, plus de 24000 attaques de phishing ont été lancées en Mars, soit une augmentation de 27% par rapport à l’année dernière à la même période.

Pour se protéger :

o   Attention aux fautes d’orthographe ! Une simple erreur peut être le signe de la fausseté d’un site

o   Un lien peut en cacher un autre ! Ne cliquez pas sur les liens URL sensés vous permettre de modifier vos informations bancaires, surtout quand ils ne sont pas visibles et cachez derrière une image

o   Cadenassez vos informations ! Tout site officiel se doit de proposer à ses utilisateurs une interface sécurisée sur laquelle ils pourront fournir leurs informations sans risques qu’elles soient utilisées à mauvais escient. La présence d’un cadenas dans la barre des tâches est un signe de cette sécurité. Prudence, le HTTPS n’est pas obligatoirement signe de sécurité totale. Un pirate peut glisser une fausse page via une faille de type XSS, par exemple.

Les enfants regardent du porno en ligne dès l’âge de six ans et flirtent sur Internet dès huit ans

Selon une étude de Bitdefender que DataSecurityBreach.fr a pu consulter, recherche menée auprès de plus de 19.000 parents et enfants à travers le monde (États-Unis, France, Allemagne, Grande-Bretagne, Australie, Espagne et Roumanie), les enfants agissent aujourd’hui comme de jeunes adultes sur Internet.

Bien avant les réseaux sociaux (8.84 %) ou les sites de partage (9.71 %), les enfants s’intéressent en premier lieu à la pornographie en ligne (11.35 %).

Data Security Breach a pu lire que les enfants regardent du porno en ligne dès l’âge de six ans et flirtent virtuellement sur Internet à partir de huit ans. De plus, les enfants qui chattent avec leurs amis sur les messageries instantanées et jouent en ligne sont de plus en plus jeunes. En effet, 3.45 % des enfants qui chattent et 2% des addicts du jeu en ligne sont seulement âgés de cinq ans. Bitdefender révèle aussi que les enfants mentent sur leur âge lorsqu’ils créent leur profil sur les réseaux sociaux, notamment sur Facebook où l’âge minimum d’inscription est de 13 ans. En effet, près d’un quart des enfants interrogés dans le cadre de cette étude avaient au moins un compte sur les réseaux sociaux à l’âge de 12 ans tandis que 17% utilisaient déjà les réseaux sociaux à 10 ans.

Les adolescents, quant à eux, laissent les messageries instantanées aux plus jeunes et préfèrent pour certains d’entre eux se rendre sur des sites à caractère haineux, pour partager ce qu’ils détestent et utiliser un langage inapproprié. Plus de 17% des enfants qui lisent ou postent des messages haineux ont 14 ans, 16.52% ont 15 ans et 12.05% en ont 16.

TOP 10 Catégories Web qui intéressent le plus les enfants

Pornographie – 11.35%

Boutiques en ligne – 10.49%

Sites de partage – 9.71%

Réseaux sociaux – 8.84%

Actualités – 7.13%

Jeux – 5.91%

Rencontres en ligne – 5.77%

Business – 4.58%

Jeux – 3.14%

Sites haineux – 2.91%

Autres – 30.17%

« De nos jours, les enfants agissent comme de jeunes adultes sur Internet – donnez-leur un appareil connecté et ils trouveront le moyen d’avoir une activité totalement interdite par leurs parents. »,  Déclare à datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Les dangers sur Internet ne sont pas seulement liés à la pornographie mais aussi au piratage informatique et aux sites Web qui incitent les enfants au suicide. Les parents doivent donc protéger à la fois la vie réelle et virtuelle de leurs enfants ».

13 Comptes en banque bloqués après le piratage de RPG

Le compte en banque de l’entreprise de télécommunication RPG piraté. Plus de 32.000 euros transférés. Des pirates informatiques ont réussi, en 3 heures, à pirater l’un des comptes bancaires de l’entreprise de télécommunication indienne RPG et à transférer 32.640 euros. Un compte courant basé dans la ville de Mumbai. L’attaque a été détectée le 11 mai dernier. L’argent détourné a été placé dans 13 comptes bancaires différents à Chennai, Coimbatore, Tirunelveli, Bangalore, Hyderabad, … Les comptes bancaires ouverts par les pirates ont été bloqués, mais les e.voleurs ont déjà mis la main sur l’argent liquide. La police a arrêté trois présumés membres de ce groupe de pirates qui retiraient des billets verts dans des banques de Coimbatore et Hyderabad. Les pirates ont réussi ce piratage via un courriel piégé. Un employé aurait ouvert un fichier joint dans un email. Dans le document numérique piégé, un cheval de Troie. (TI)