Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Augmentation de faux services de paiement en ligne au mois de juin

Les achats en ligne de voitures, motos et produits électroniques sont les plus risqués pour les acheteurs, comme pour les vendeurs !

Bitdefender, éditeur de solutions de sécurité, a indiqué à Datasecuritybreach.fr une étude sur les arnaques de services de paiement en ligne, pour la vente de particulier à particulier, dont le nombre et l’ampleur augmentent avant les vacances. Ces arnaques concernent de faux sites de paiement en ligne, créés par des pirates se présentant comme des tiers de confiance, censés assurer une transaction sécurisée entre vendeur et acquéreur et ainsi leur éviter les déconvenues d’une transaction en direct (non-réception de la marchandise ou non paiement). Bitdefender prévoit une augmentation de ce type d’arnaque au mois de juin, avant le début des vacances d’été, particulièrement pour la vente de voitures, de motos et de produits électroniques.

Après 10 mois de recherche, cette étude révèle que 16.8 % des arnaques de ce type, enregistrées ces 12 derniers mois, ont été créées au mois de juin. Les scammeurs sont, en effet, plutôt actifs dans la création de faux sites de paiement en ligne avant les périodes de vacances. Après une diminution stable de juillet à octobre, le nombre de ces faux sites commence ainsi à augmenter avant les vacances d’hiver, et plus particulièrement en décembre. Une recrudescence est ensuite notée en février, avec un pic à plus de 17% des arnaques détectées.

Cette étude de Bitdefender, réalisée sur plus de 2 000 faux sites Web de paiement en ligne, montre aussi que les voitures, les motos et les produits électroniques sont en tête de liste des articles utilisés par les scammeurs pour escroquer les clients en ligne. Les scammeurs se font généralement passer pour des vendeurs légitimes, sur de vrais sites de vente en ligne, et redirigent ensuite les acheteurs sur le faux site de paiement qu’ils contrôlent. Les scammeurs récupèrent ainsi l’argent et ne livrent bien entendu jamais les marchandises.

Top 5 des articles utilisés dans les arnaques de faux paiements en ligne :    Les voitures ;    Les motos ;    Les produits électroniques  ;   Les articles de valeur ;    Les vélos. Parmi les services également pris en charge par les scammeurs, via de fausses transactions, Bitdefender dénombre : les dépôts bancaires (versements), le transfert de dossiers médicaux ou encore d’échantillons liés à des analyses médicales.

« Les scammeurs peuvent être tout à fait convaincants – c’est précisément comme cela qu’ils gagnent de l’argent » déclare à Datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Ils se donnent beaucoup de mal pour donner l’impression d’être légitimes, au point même de conseiller à leurs cibles de se protéger contre la fraude à la carte bancaire. Afin de rassurer leurs victimes, l’usage classique est qu’ils ne demandent jamais d’informations bancaires, ce qui au final ne change rien dans le cas de cette arnaque, puisque les escrocs reçoivent directement un transfert d’argent. »

Datasecuritybreach.fr conseille vivement aux utilisateurs de vérifier les informations WHOIS (enregistrement de domaine, hébergement, activité en ligne) avant tout paiement en ligne ou utilisation d’un service de transfert d’argent, censé sécuriser la transaction. En effet, contrairement aux vrais sites, plus de 90% des faux sites de paiement en ligne sont enregistrés seulement pour un an.

De plus, les vrais sites de paiement en ligne utilisent des serveurs de connexions sécurisées (SSL) pour protéger les clients. Ces derniers doivent donc voir apparaître une adresse commençant par « https:// » dans la barre de leur navigateur. Malgré tout, les sites frauduleux peuvent « emprunter » le logo des services de vérification SSL, les utilisateurs sont donc invités à vérifier que le site est bien identifié par la société d’authentification et à effectuer quelques vérifications en ligne concernant ce tiers de confiance. Bien souvent, une simple recherche Web permet d’éventer le piège en tombant par exemple sur des témoignages d’utilisateurs, victimes de ce type d’arnaque.

Twitter obligé de fournir les infos d’un utilisateur Français

La justice Française oblige Twitter à fournir les données d’identification d’un usurpateur. Il y a quelques jours, le Tribunal de Grande Instance de Paris, a fait une injonction à Twitter de fournir les données d’identification d’un usurpateur ayant utilisé le système de micro blogging. La société américaine est menacée de 500€ d’amende, par jour, en cas de non fourniture des informations réclamée par la justice. Des données qui doivent permettre de remonter à l’usurpateur. On se souvient que Twitter avait refusé de fournir des informations sur des diffuseurs de messages racistes. On doute que 500€ par jour face plier le géant américain. (Legalis)

Chiffrer sa vie privée sur le web

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.

Vague de piratage de comptes Twitter

Piratage des Twitters de la FIFA, Justin Bieber, Angelina Joli, Guy Birenbaum, … mais comment font les pirates ? Explication ! Depuis quelques semaines, les comptes Twitter de nombreux média, stars ou journalistes se font pirater, un par un. Des attaques qui donnent l’impression aux témoins de la cybercriminalité que nous sommes depuis plus de 20 ans que les pirates ont un « sésame ouvre toi » en main. Ce fameux petit bouton pressoir qui permet de prendre la main sur un Twitter en deux clics de souris.

L’une des possibilités de ces attaques, des cross-sites scripting cachés dans Twitter ou dans des outils tiers comme TwittDeck. Comme le montre les captures écrans si dessous, Twitter recèle quelques XSS, des Cross-Sites Scripting, qui permettent de mettre la main sur le cookies de connexion (bilan, un pirate pourrait prendre la main sur la session en cours) ; afficher une page phishing via l’url officiel (Bilan, l’internaute pense être chez Twitter et se retrouve à fournir login et mot de passe au pirate). Il se peut, aussi, que les malveillants ont réussi à mettre la main sur les données de connexion en piégeant leurs cibles via d’autres outils (Cheval de Troie), page d’hameçonnage ou tout simplement usant de social engineering. Dernière méthode plus hasardeuse, mais qui a déjà prouvé son efficacité. Le mot de passe utilisé n’est-il pas inscrit dans le blog, le Facebook de la personne piratée ? (date de naissance, ville, métier, famille, …)

  

Pour se protéger d’une attaque utilisant une XSS :

1- Ne cliquer sur aucun lien extérieur. Préférez, toujours, taper l’url dans votre navigateur.

2- Après chaque utilisation de Twitter ou tout autre outil, effacez vos cookies. Pour cela, un outil gratuit comme Ccleaner vous sera un précieux allier.

3- Vérifiez toujours que l’url indiqué dans votre barre de recherche est bien https://www.twitter.com

4- Utilisez des applications tiers pour vérifier l’origine du serveur que vous allez utiliser. Netcraft vous prouvera, par exemple, que vous êtes bien sur Twitter (voir notre capture écran) ; Sous FireFox, l’addon NoScript vous indiquera aussi l’utilisation d’une XSS au moment de votre promenade numérique.

5- Un mot de passe fort (chiffres, lettres, ponctuation, …) permet de freiner les assauts d’un malveillant.

6- datasecueritybreach.fr vous conseille aussi d’utiliser un programme qui vous décortique les urls raccourcis. Le site urlex.org, par exemple, vous transforme une adresse http://is.gd/G41r6x, qui ne veut rien dire, en son véritable url, ici Intel.com. Cela permet de s’assurer que derrière le lien recueilli n’est pas un piège. Je vous conseille, cependant, de suivre ma règle n’1. Une extension pour Chrome permet, en passant sa souris sur un lien réduit, de découvrir l’adresse d’origine cachée derrière un tinyurl, bit.ly, is.gd …

Cette hygiène de vie numérique n’est pas infaillible, mais comme pour la grippe, se laver les mains est déjà une premiére protection. Il en va de même sur la toile.

Projet de loi consommation : les DRM expurgés de la future loi Hamon ?

Le projet de loi relatif à la consommation présenté le 2 mai 2013, veille de la Journée internationale contre les DRM, semble vouloir réduire à néant l’information du consommateur sur la présence de menottes numériques.

Le projet de loi relatif à la consommation a été présenté en Conseil des ministres par Benoît Hamon (ministre délégué à l’Économie sociale et solidaire et à la Consommation) le 2 mai 2013 puis déposé à l’Assemblée nationale. Ce projet de loi porte sur la mise en place de l’action de groupe [1] mais également sur la transposition de la directive européenne relative aux droits des consommateurs adoptée en 2011. Celle-ci avait timidement mis en place une information minimale du consommateur concernant les DRM (des menottes numériques, appelées trompeusement « mesures de protection technique » [2]). Ainsi, dans l’article 5 de la directive on peut lire :

    Article 5

    Obligations d’information concernant les contrats autres que les contrats à distance ou hors établissement

    1. Avant que le consommateur ne soit lié par un contrat autre qu’un contrat à distance ou hors établissement, ou par une offre du même     type, le professionnel fournit au consommateur les informations suivantes, d’une manière claire et compréhensible, pour autant     qu’elles ne ressortent pas du contexte :

    […]

    g) s’il y a lieu, les fonctionnalités du contenu numérique, y  compris les mesures de protection technique applicables ;

    h) s’il y a lieu, toute interopérabilité pertinente du contenu numérique avec certains matériels ou logiciels dont le professionnel  a ou devrait raisonnablement avoir connaissance. »

Le projet de loi de Benoît Hamon a réduit fortement cette information. Ainsi, dans l’article 4 du projet de loi on peut lire :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat de vente ou de fourniture de services, le professionnel     communique, de manière lisible et compréhensible, au consommateur     les informations suivantes :

    […]

    4° Les informations relatives à son identité et ses activités, aux     garanties, aux fonctionnalités du contenu numérique et le cas     échéant à son interopérabilité, à l’existence et aux modalités de     mise en œuvre des garanties et aux autres conditions contractuelles,     dont la liste et le contenu sont fixés par décret en Conseil d’État. »

Cette information est donc très limitée, et le texte entretien le flou sur les informations transmises aux consommateurs. Pourtant, ceux-ci ont souvent besoin d’avoir des informations précises sur d’éventuels DRM, car de tels verrous empêchent bien souvent l’usage complet des produits.

« S’assurer que la présence de DRM soit explicitement mentionnée ainsi les restrictions qu’elles entrainent est une base minimale pour l’information des consommateurs. La protection réelle des droits des consommateurs passe par l’interdiction pure et simple de la pratique détestable de ces menottes numériques » a déclaré à datasecuritybreach.fr Frédéric Couchet, délégué général de l’April.

L’April demande donc que le texte soit amendé pour assurer le respect des droits des consommateurs.

Notons qu’une pré-version du projet reprenait les formulations de la directive :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat, le professionnel est tenu de fournir d’une manière claire     et compréhensible au consommateur les informations suivantes :

    […]

    8° S’il y a lieu, les fonctionnalités du contenu numérique, y     compris les mesures de protection technique applicables ;

    9° S’il y a lieu, toute interopérabilité pertinente du contenu     numérique avec certains matériels ou logiciels dont le professionnel     a ou devrait raisonnablement avoir connaissance.

    Ces dispositions s’appliquent également aux contrats portant sur la     fourniture d’eau, de gaz ou d’électricité, lorsqu’ils ne sont pas     conditionnés dans un volume délimité ou en quantité déterminée,     ainsi que de chauffage urbain et de contenu numérique non fourni sur     un support matériel.»

Par ailleurs, le projet de loi remet aussi sur la table le blocage des sites internet.

Références

  * 1. L’action de groupe telle qu’elle est présentée actuellement ne correspond d’ailleurs pas à nos attentes, comme le montre la     réponse de l’April à la consultation publique lancée par le  gouvernement à l’automne 2012 .

  * 2. Pour plus d’information sur les DRM, voir la synthèse publiée par l’April à ce sujet.

Privacy Alert

Depuis plus d’un an, le Parlement européen étudie la proposition de règlement [1] de la Commission européenne qui vise à réformer la législation encadrant la protection des données personnelles au niveau européen. Jusqu’à présent, les différentes commissions parlementaires ayant travaillé sur ce projet se sont exprimées pour l’assouplissement des règles protégeant notre vie privée. Alors qu’un vote crucial approche [2] au sein de la commission « libertés civiles » (LIBE), La Quadrature du Net commence la publication d’une série d’analyses [3] abordant les points clefs, enjeux, progrès et dangers de cette réforme. ***

Face au développement de pratiques dangereuses pour notre vie privée de la part d’entreprises peu scrupuleuses, et afin d’encadrer la collecte, le traitement, et la vente des données personnelles des citoyens européens, la Commission européenne a présenté en janvier 2012 une proposition de règlement [1] destinée à réformer la législation en vigueur, datant de 1995. Ce règlement, qui devrait entrer en vigueur en 2015, sera directement applicable dans l’ensemble des États membres de l’Union européenne et se substituera immédiatement à toutes les lois nationales existantes en la matière [4]. Tel que proposé par Viviane Reding, commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté, il pourrait constituer une réelle avancée pour la protection de notre vie privée.

Adopté en l’état, le règlement permettrait de :

   – renforcer considérablement les droits des citoyens, les obligations des entreprises et les pouvoirs conférés aux autorités de contrôle, à l’instar de la CNIL [5] en France ;    – définir plus largement la portée de ce cadre légal afin de couvrir les activités de toute entreprise – quelque soit sa situation géographique – analysant les comportements des citoyens européens ou leur proposant des biens ou des services.

Une campagne de lobbying sans précédent

En réponse à la proposition de la Commission, de puissantes entreprises, principalement américaines (banques, assurances et services Internet), ont mené une campagne de lobbying sans précédent [6] afin de faire exclure de la version finale du règlement les propositions destinées à protéger les données personnelles des citoyens. Comme l’a clairement démontré le site Internet LobbyPlag [7], certains députés européens clés ont ainsi recopié mot pour mot les demandes des lobbies dans leurs propositions d’amendements.

Quatre commissions [8] du Parlement européen ont déjà exprimé leur avis sur les modifications à apporter à la proposition de la Commission. Directement influencées par les lobbies, elles se sont chaque fois exprimées en faveur de l’affaiblissement du cadre législatif protégeant la vie privée des citoyens européens et de la réduction des responsabilités incombant aux entreprises.

Ces avis n’ont cependant qu’une valeur consultative, et la situation peut encore être renversée : la liste des amendements que le Parlement européen dans son ensemble pourra adopter lors de la première lecture du texte, prévue pour la fin de l’année 2013, doit être adoptée par la commission « libertés civiles » (LIBE) lors d’un vote devant avoir lieu avant la fin du mois de juin.

Agissons !

Avant ce vote, nous devons nous assurer que ces députés ne céderont pas aux pressions des lobbies, comme ont pu le faire ceux des commissions ayant déjà exprimé leur avis, mais qu’ils garantiront une mise en œuvre efficace des avancées proposées par la Commission. Dès à présent et jusqu’au moment du vote, les citoyens doivent contacter [9] leurs députés européens et réclamer une réelle protection de leur droit fondamental à la vie privée. Comme l’a démontré le rejet d’ACTA [10] l’été dernier, les appels des citoyens à protéger l’intérêt général plutôt que les intérêts privés de quelques uns peuvent être entendus par les élus, à condition que cette mobilisation citoyenne soit suffisamment importante, soutenue et relayée.

Pour permettre à tous de s’approprier les enjeux et points clés de ce débat, La Quadrature du Net démarre la publication d’une série d’analyses présentant les principaux aspects du projet de règlement. Chacune abordera les avancées que pourraient constituer les propositions de la Commission, les raisons pour lesquelles les lobbies de l’industrie s’y opposent et les positions exprimées par les députés européens jusqu’à présent.

Privacy Alert : #1

Le consentement explicite La première analyse (à venir) de cette série abordera la question du « consentement explicite » et son rôle central dans le contrôle de nos données personnelles.

Références

1. http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

2. Le vote de la commission LIBE était initialement prévu pour les 29-30 mai, mais devrait finalement avoir lieu au mois de juin.

3. https://www.laquadrature.net/fr/privacy-alert-0-introduction#sommaire

4. La Commission européenne est l’institution disposant de l’initiative législative au niveau européen. Le Parlement européen et le Conseil de l’Union européenne (formé de ministres des différents États membres) peuvent amender les textes législatifs proposés par la Commission jusqu’à arriver à un accord sur le texte à adopter, qui entrera alors en vigueur, ou à le rejeter.

Au terme de ce processus, deux types d’actes législatifs peuvent être adoptés : une directive, qui pose des objectifs et des principes que chaque État membre devra intégrer dans son droit national, quitte à adopter une loi nouvelle ; ou un règlement, qui s’appliquera directement à l’ensemble des États membres.

Le choix du règlement semble particulièrement adapté pour contrôler la circulation des données personnelles sur Internet, qui est par essence transfrontalière. L’actuelle réglementation européenne en la matière – la directive de 1995 – pâti, entre autres, d’une transposition et d’une interprétation hétérogènes au sein des différents pays membres de l’Union européenne, dont certaines entreprises peu respectueuses de la vie privée profitent.

5. La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés individuelles ou publiques, ni à aucun autre droit de l’Homme.

6. Voir la page du wiki de La Quadrature [en] recensant un grand nombre des documents envoyés aux députés européens par des entreprises privées : https://www.laquadrature.net/wiki/Lobbies_on_dataprotection

7. http://lobbyplag.eu/

8. Avant de voter en formation plénière, les députés du Parlement européen travaillent au sein de commissions parlementaires, chacune chargée de thèmes différents (libertés civiles, emploi, agriculture, etc) et composées de quelques dizaines de membres. Ces commissions parlementaires étudient les propositions législatives faites par la Commission européenne et proposent les amendements que l’ensemble du Parlement européen votera lors des sessions plénières.

Les commissions « consommateurs » (IMCO), « emploi » (EMPL), « industrie » (ITRE) et « affaires juridiques » (JURI) ont chacune proposé des amendements à la commission « libertés civiles » (LIBE), chargée de rédiger le rapport destiné à l’ensemble du Parlement.

Voir le wiki de La Quadrature pour une analyse détaillée des amendements les plus dangereux proposés par chaque commission : pour IMCO [en] https://www.laquadrature.net/wiki/Data_protection:_IMCO pour ITRE [en] https://www.laquadrature.net/wiki/Data_protection:_ITRE pour JURI [en] https://www.laquadrature.net/wiki/Data_protection:_JURI

9. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

10. https://www.laquadrature.net/fr/acta-victoire-totale-pour-les-citoyens-et-la-democratie

L’auteur de SpyEye extradé aux USA

Hamza Bendellaj, surnommé le « hacker souriant » et reconnu sur la toile sous le pseudonyme de BX1, accusé d’être l’auteur/diffuseur du virus informatique SpyEye, a été extradé vers les Etats-Unis. Pour rappel, le jeune homme avait été arrêté en grande pompe par la police Thaïlandaise le 5 janvier 2013. Il était poursuivi par le FBI depuis son inculpation, en décembre 2011. Hamza Bendellaj a été présenté devant une cour fédérale d’Atlanta. Il est accusé de 23 chefs d’inculpation pour avoir participé au développement, à la vente et à la distribution du virus « SpyEye ».

Ce logiciel malveillant a pour mission de recueillir secrètement des informations financières, mots de passe. But final, détourner l’argent des comptes en banques d’internautes ainsi piéger. Le procureur en charge du cas Hamza, Sally Yates, indique que 253 établissements financiers américains ont été touchés par cette intrusion malveillante. Infiltrations qui auraient rapporté plusieurs millions de dollars au(x) pirate(s). L’Oncle Sam s’intéresse à ce présumé pirate car ce dernier avait loué des serveurs, à Atlanta, ayant permis les attaques informatiques.

« L’acte d’accusation fédéral et l’extradition de Bendelladj doivent être  un message très clair aux cybercriminels internationaux qui se sentent en sécurité derrière leurs ordinateurs dans des pays étrangers : ils sont, en fait, à portée de main», a pu lire datasecuritybreach.fr dans le communiqué de presse diffusé par Mark F. Giuliano agent du FBI d’Atlanta en charge de l’affaire.

BX1 risque 30 ans de prison pour fraude bancaire; 5 ans pour fraude informatique; 5 ans par chef d’accusation. Bref, il risque de perdre rapidement le sourire face à 155 ans de prison ferme !

Wawamania : le pirate Français caché aux Philippines

Comme l’explique ZATAZ.COM, l’administrateur/fondateur du site de diffusion et partage de fichiers piratés, WawaMania coule des jours heureux aux Philippines. Zac, le pseudo de ce pirate, a fuit la France, la Justice et ses anciens amis. Datasecuritybreach.fr a demandé à l’ancien administrateur du forum Mamie Tracker, Fabien L. (@Skull) ce qu’il pensait de ce P2P là. Fabien a été jugé et condamné, il y a peu, à une très lourde peine en tant qu’administrateur d’un forum « pirate ».

Datasecuritybreach.fr – Que pensez-vous de ce pseudo mode de l’échange communautaire qui engraisse surtout certains ?

Skull : Malheureusement, cela a toujours existé. Dans le peer-to-peer (P2P) il y a deux catégories : il y a ceux qui font cela pour le plaisir du partage ; et ceux qui ne sont là que pour amasser de l’argent. Naturellement, ça nui énormément au peer-to-peer, car depuis quelques années tout le monde est dans le même panier.

Datasecuritybreach.fr – Parlez-nous de ce que vous avez vécu

Pour ma part, j’étais l’administrateur du tracker Mamietracker.com. A la base, j’avais créé ce site justement pour couper le pied aux gros trackers comme T411, Snowtigers et bien d’autres qui étaient/sont là pour le flux d’argent qui draine, ceux qui ne parlent que d’échange, de gratuité, … et qui s’en mettent plein les poches. MamieTracker est né pour cela. Au départ ce n’était que du tout « gratuit », 1 an plus tard il m’a fallu faire un appel aux dons car le site grandissait et il me fallait payer des serveur pour gérer tout cela. Alors oui, certains diront que j’ai gagné de l’argent ce qui n’est pas faux (3.000€ en tout et pour tout sur 3 ans). La suite, vous la connaissez. Visite des policiers et des cyberpoliciers de Bayonne à 6h00 du matin à mon domicile. Des gens très polis et compréhensifs. J’ai été condamné à 6 mois de prison avec sursis – 1000€ d’amende – 300 000 Euros à reverser aux ayants droit (SACEM, Warner, Scpp).

Datasecuritybreach.fr – Aujourd’hui que devennez-vous ?

Aujourd’hui j’ai complètement coupé les ponts avec le peer to peer, passionné d’informatique j’ai remonté un site web nommé www.anywheres.fr, spécialisé dans l’assistance informatique et le dépannage informatique à distance, j’essaie de faire de ma passion mon métier mais les temps sont durs en ce moment il est donc difficile d’acquérir de nouveaux clients.

Datasecuritybreach.fr – Avec le recul, referiez-vous un site d’échange ?

Oui et non. Au niveau du partage et du contact humain oui. Maintenant, le jeu n’en vaut pas la chandelle. J’ai eu très peu de soutient le jour de mon arrestation. Sur mes 120 000 membres actifs, seulement une dizaine de personnes m’ont soutenu. Merci à eux. Les autres ne sont que des bouffeurs de copies. Faut pas croire, passer au tribunal, en correctionnel, c’est nerveusement terrible. Comme j’ai fait appel, je me suis ensuite retrouvé en cour d’assise. Autant vous dire que vous passez un sale quart d’heure (dont 4 heures d’audience, ndlr). Alors non, refaire un site d’échange pour toutes ces raisons, je ne le referai pas! Et je le déconseille à quiconque.

Datasecuritybreach.fr – Existe-t-il une solution pour que les internautes, en mal de nouveautés ?

Oui, aujourd’hui il y’a la VOD. cela reste cependant cher, et les nouveautés sont inexistantes. Des nouveautés qui sortent bien après les diffusions sur le peer-to-peer. Ca reste un vrai problème !

Datasecuritybreach.fr – Vous devez rembourser beaucoup ?

Comme dit plus haut, oui. Je dois payer énormément. Je dirai même que c’est démesuré. Je pense que j’ai servi d’exemple malheureusement. J’assume complétement. Je savais ce que j’encourrai dès le départ. DSB – Comment faites-vous ? Aujourd’hui, je survis. Je suis sans emploi et je m’occupe exclusivement de anywheres.fr. Mentalement j’ai tiré un trait sur MamieTracker. Tout ceci est derrière moi, ce n’est pas simple tous les jours. Je dois verser 300.000€ aux ayants droits. Des huissiers me rendent visite régulièrement. Je sais qu’ils attendent des saisies sur salaires dés que ma situation le permettra. Je me dis que la vie continue et que peut être un jour, je pourrai vivre de ma passion, l’informatique.

Datasecuritybreach.fr -Que pensez-vous du site Wawamania qui fait énormément parler de lui ?

Pour moi, et depuis le début, Wawamania n’est qu’une pompe à fric. Souvenez-vous, il y a 2/3 ans, une association s’était monter pour aider ce pauvre administrateur. Le reportage de TF1 risque d’en faire flipper plus d’un, au sujet du comportement de l’administrateur à l’époque et aujourd’hui. Pour rappel, il s’était vanté, il y a peu, de gagner entre 10 000 et 15 000€ par mois. C’est aussi pour cela qu’il est parti vivre au Philippine. C’est ce genre de type qui nuit au P2P. Les gros sites sont tous dans la course au gain. Regardez FrenchTorrentDB. Les dons sont effectués vers un pseudo hébergeur Canadien, Fouweb. Bilan, Paypal n’y voit rien à redire. Les internautes ne payent pas le pirate, mais font un don à un … herbergeur !

Un règlement dépouillant les citoyens de leur droit à la vie privée

Une coalition d’organisations internationales et européennes, dont Access, Bits of Freedom, Digitale Gesellschaft, EDRI, La Quadrature du Net, Open Rights Group, et Privacy International, démarre une campagne commune et un site Internet, nakedcitizens.eu. Ce site permet aux citoyens de contacter leurs représentants au Parlement européen pour les appeler à protéger leur droit fondamental à la vie privée.

Un règlement dépouillant les citoyens de leur droit à la vie privée Des organisations citoyennes exigent que les membres du Parlement européen protègent la vie privée des citoyens. Depuis son lancement, la révision de la législation européenne encadrant la protection des données donne lieu à une campagne de lobbying sans précédent de la part d’entreprises privées et de gouvernements étrangers. Le Parlement européen examine en ce moment le texte proposé par la Commission européenne, et envisage d’y faire de dangereux amendements. Selon une coalition d’organisations citoyennes, si ces amendements étaient adoptés, ils dépouilleraient les citoyens de leur droit à la vie privée. Cette affirmation est basée sur l’analyse des 4 000 amendements actuellement examinés par le Parlement européen.

« Sans une protection efficace de nos données, nos vies privées sont mises à nu, pour être utilisées et exploitées abusivement par des entreprises privées et des gouvernements. » déclare Joe McNamee de l’organisation citoyenne European Digital Rights (EDRI) et porte-parole de la coalition. « Nous appelons les membres du Parlement européen à faire primer les droits des citoyens et à rejeter ces propositions dangereuses. »

En prévision du vote final de la commission « libertés civiles » le 29 mai, la coalition de la société civile met en lumière les cinq amendements les plus dangereux proposés par les membres du Parlement européen pour modifier le règlement encadrant la protection des données. Le règlement proposé par la Commission européenne a pour objectif de renouveler et de moderniser le cadre législatif existant pour l’adapter à l’ère numérique, et de conférer aux citoyens un plus grand contrôle sur leurs données personnelles. Le lobbying démesuré venant de grandes entreprises et de gouvernements risque au contraire de réduire à néant ce cadre juridique. Les citoyens doivent pouvoir faire confiance aux services en ligne qu’ils utilisent. Le niveau de confiance exceptionnellement bas rapporté par des études tant européennes qu’américaines n’est tout simplement pas viable, tant pour les citoyens que pour les entreprises. La confiance doit être reconstruite en rendant aux citoyens le contrôle de leurs données grâce aux droits : (1) d’accéder à leurs données personnelles et de les supprimer, (2) de transférer simplement leurs données d’un service à un autre, (3) d’être assurés que leurs données personnelles ne seront utilisées que pour la finalité précise et limitée à laquelle ils ont consenti, (4) d’être assurés que leurs données sont à l’abri des gouvernements étrangers, (5) d’être assurés qu’en cas de faille de sécurité impliquant leurs données, les entreprises responsables les en informeront.

* Références * 1. https://www.accessnow.org/

2. https://www.bof.nl/

3. https://digitalegesellschaft.de/

4. http://www.edri.org/

5. http://www.openrightsgroup.org/

6. https://www.privacyinternational.org/

7. https://nakedcitizens.eu/

8. https://www.laquadrature.net/fr/un-reglement-depouillant-les-citoyens-de-leur-droit-a-la-vie-privee

Les arnaqueurs ont récemment montré un fort intérêt pour le football

Les arnaqueurs ont récemment montré un fort intérêt pour le football. En effet, une grande variété d’attaques de phishing (faux sites web) se basant sur le football a été observée en 2012. Les arnaqueurs se sont déjà intéressés à la Coupe du Monde de la FIFA 2014, mais aussi aux stars et aux clubs phares du ballon rond.

Datasecuritybreach.fr vous a d’ailleurs présenté, l’arnaque ciblant les fans de Lionel Messi et celle visant les supporters du FC Barcelone. Deux bons exemples de ces pratiques. Les pirates informatiques comprennent qu’utiliser des célébrités avec une énorme base de fans offre un plus grand choix de cibles, et augmente ainsi leurs chances de récolter les identités des utilisateurs. Ces arnaques persistent encore en 2013 avec une stratégie toujours identique consistant à mettre en place de faux sites web en utilisant des hébergeurs gratuits.

Les sites de phishing ont incité des internautes à entrer leurs codes d’accès Facebook sur des pages consacrées à Lionel Messi, au FC Barcelone ou à Cristiano Ronaldo. Ces dernières affichent ostensiblement des images de Lionel Messi, du FC Barcelone ou de Cristiano Ronaldo, et essaient de donner l’impression qu’elles en sont les pages Facebook officielles. Certains de ces faux sites sont intitulés, « premier réseau social dans le monde ». Les utilisateurs sont ensuite incités à entrer leurs identifiants Facebook afin de se connecter à leur compte. Une fois que les identifiants ont été renseignés, les utilisateurs sont redirigés vers une page communautaire dédiée à Lionel Messi, au FC Barcelone, ou à Cristiano Ronaldo pour créer l’illusion qu’une session légitime s’est ouverte.

Si les utilisateurs sont victimes de sites de phishing en ayant entré leurs identifiants, alors les pirates ont réussi à voler leurs données à des fins d’usurpation d’identité. Pour éviter les attaques de phishing, les internautes sont invités à suivre les conseils ci-dessous :

§  Faites attention lorsque vous cliquez sur des liens qui semblent trop attractifs, envoyés par email ou postés sur les réseaux sociaux

§  Ne renseignez pas de données personnelles lorsque vous répondez à un email

§  N’entrez pas de données personnelles dans un pop-up qui apparaît dans une page ou à l’écran.  Composez plutôt, de façon manuelle, le site web que vous souhaitez consulter, au lieu de cliquer sur un lien suspect.

§  Assurez-vous que le site web est crypté avec un certificat SSL en vérifiant que la mention « https » soit présente dans la barre d’adresse, ou que celle-ci soit de couleur verte lorsque vous entrez des données personnelles ou financières

§  Utilisez des suites de sécurité comme Norton Internet Security ou Norton 360, qui vous protègent contre le phishing et les fraudes sur les réseaux sociaux

Rapportez les faux sites web, emails ou pages Facebook via phish@fb.com.

Le top 10 des arnaques sur Facebook

Data Security Breach a reçu un nouvelle étude sur les arnaques se propageant sur Facebook, les plus répandues à l’échelle mondiale étant de type « qui a vu mon profil ». En seconde position et parmi les stars les plus dangereuses pour la sécurité de votre compte : Rihanna et sa fausse sex tape. Continuer la lecture de Le top 10 des arnaques sur Facebook

FIA-NET publie son Livre Blanc Certissim 2013 sur la fraude à la carte bancaire

Au cours de l’année 2012, avec 26 millions de transactions analysées pour un chiffre d’affaires de plus de 4 milliards d’euros, Certissim a constaté un taux de tentatives de fraude de 2,98 % en nombre et de 3,91 % en valeur. Cependant, datasecuritybreach.fr moins d’une tentative sur trente se traduit par un impayé frauduleux pour les e-commerçants. En supposant que tous les sites marchands disposent d’un système de lutte contre la fraude efficace et en extrapolant ces analyses à l’ensemble du e-commerce français, soit 45 milliards d’euros de chiffre d’affaires1, les tentatives de fraude auraient représenté plus de 1,7 milliard d’euros en 2012.

Professionnalisation et industrialisation de la fraude dans le e-commerce

Selon Certissim, deux facteurs ont contribué à l’augmentation du risque de fraude sur Internet ces dernières années. D’une part, la démocratisation de la vente en ligne a créée de nouvelles opportunités, tant en volume qu’en valeur, pour les fraudeurs. D’autre part, le secteur a fait face à l’arrivée de nouveaux fraudeurs, professionnels, intégrés au sein d’organisations criminelles, améliorant sans cesse leurs méthodes et cherchant à industrialiser la fraude afin de maximiser le gain.

Cette industrialisation est la différence majeure entre un fraudeur opportuniste et un fraudeur professionnel. Le premier ne donne pas suite à sa tentative lorsqu’elle est réussie alors que le second réitèrera autant que possible une fraude aboutie. Les secteurs traditionnellement fraudés, tels que l’électroménager, la téléphonie et la parfumerie restent parmi leurs cibles de choix. « Néanmoins, le contexte économique fait que toute marchandise est susceptible d’être fraudée et revendue, de l’alimentaire aux voyages jusqu’aux couches pour bébés » explique Alexandre Arcouteil, Responsable d’Activité Certissim.

Usurpations d’identités et procédés frauduleux

Cette professionnalisation implique une structuration des réseaux de fraudeurs. En amont des commandes, ils ont un besoin de données usurpées. Cet aspect est alimenté par des vols ayant lieu dans la vie de tous les jours comme sur Internet, par le biais de phishing ou de hacking. Les fraudeurs utilisent toutes sortes de données, coordonnées bancaires ou simple adresse de livraison. Elles leur permettent d’effectuer des commandes frauduleuses sur Internet en minimisant les risques d’être repérés. Juste après la commande, ils ont un besoin d’intermédiaires complices ou non pour récupérer les marchandises. Le fraudeur peut embaucher une personne honnête, une « mule », via des sites de petites annonces. Son travail est de réceptionner et réexpédier des colis depuis son domicile, sans savoir qu’il s’agit de marchandises volées.

Enfin, ces réseaux ont besoin de débouchés. Les marchandises doivent être revendues, ce qui sous-entend l’existence d’un marché parallèle et d’acheteurs potentiels, ce que datasecuritybreach.fr, ou encore zataz.com vous présente souvent dans leurs colonnes. Certissim rappelle que la vigilance est indispensable pour les e-commerçants comme pour les particuliers afin de se prémunir contre la fraude et les usurpations. Par exemple, appliquer une gommette sur le code CVV2 de la carte bancaire permet de limiter les risques de vol des données au moment d’un règlement en magasin.

2012, Certissim observe un taux de tentatives de fraude de 2,98 % (en nombre) alors que le taux de fraudes abouties n’est que de 0,10 %, soit moins d’une tentative sur trente se traduisant par un impayé frauduleux pour le e-commerçant. Le panier moyen des impayés frauduleux retrouve un niveau équivalent à celui de 2010 à 297 euros, soit 8 % de moins qu’en 2011 (323 euros). Cela s’explique par le fait que les fraudeurs ont compris que les paniers élevés faisaient systématiquement l’objet de contrôles. En conséquence, leurs tentatives portent désormais sur des montants moins importants mais leur nombre a augmenté. La forte capacité d’adaptation des méthodes employées pour détecter les fraudes est également à l’origine de la baisse de ce panier moyen. L’extrapolation des résultats des analyses de Certissim à l’ensemble du marché français identifié par la Fevad, soit 45 milliards d’euros de chiffre d’affaires, montre que l’impact de la fraude reste important. L’ensemble des tentatives de fraude se chiffrerait à plus de 1,7 milliard d’euros en 2012. La cybersécurité et la mutualisation des connaissances doivent donc être plus que jamais des éléments clés de la stratégie des e-commerçants, d’autant plus que tous ne disposent pas des mêmes moyens de contrôle.

Depuis 2000, FIA-NET édite un Livre Blanc annuel consacré à la fraude à la carte bancaire sur Internet. Sa finalité est d’apporter une vision objective de la fraude sur le marché du e-commerce et ainsi d’être un outil d’aide pour les marchands souhaitant optimiser leur gestion de la fraude. Le Livre Blanc Certissim présente les grands indicateurs de la fraude sur Internet, grâce aux chiffres provenant des déclarations d’incidents de paiement de ses sites marchands clients et des fraudes détectées par Certissim. Le savoir-faire de Certissim et son implication dans la lutte contre la fraude lui permet également de détailler les nouvelles techniques des cybercriminels.

Documents électroniques d’identité (eID et e-Passeport): quels sont les défis à relever ?

La gestion des documents d’identité est en pleine mutation : avec la généralisation des programmes de cartes nationales d’identification électronique (appelés également CNIe), les gouvernements souhaitent déployer un véritable bouclier contre les fraudes et la contrefaçon à grande échelle. Cependant, certains programmes nationaux prennent du retard – notamment en France – et certains écueils ne semblent toujours pas résolus.

Quels sont les défis technologiques auxquels les administrations et gouvernements doivent faire face ?
Sur le terrain, la sécurité des documents officiels d’identité reste une préoccupation majeure : les populations n’ont jamais été aussi mobiles et nous sommes toujours plus nombreux à passer les frontières ; du côté de l’administration électronique, le but est de gagner en simplicité. Car les administrations ont besoin non seulement de documents d’identification robustes et multiservices bénéficiant d’une sécurité optimale, mais facilitant aussi les mouvements transfrontaliers et l’accès à des services sociaux ou de santé.

En 2015, 85% des documents d’identification seront électroniques, et les gouvernements qui proposeront ces CNIe seront jusqu’à 4 fois plus nombreux que ceux qui resteront sur des formats plus classiques (sans technologie), selon l’analyste Acuity Market Intelligence. L’utilisation d’identifiants multi-applicatifs semble devenir la norme pour le développement de carte d’identité multiservice et durable, et, dans ce contexte, la prévention des fraudes, le déploiement de programmes de bout en bout et l’expertise en matière d’intégration sont essentiels pour le développement de programmes d’identification nationaux.

Il s’agit, en effet, d’éliminer les problématiques d’interopérabilité technologique, d’assurer les mises à jour des cartes existantes et des systèmes sous-jacents, et d’encourager la longévité des documents d’identification, autant de vecteurs qui peuvent induire des coûts supplémentaires. C’est la raison pour laquelle une expertise en matière de conception, de technologie et de fabrication est essentielle pour s’assurer que les documents d’identification soient conformes aux normes internationales qui régissent leurs dimensions, leur sécurisation, leurs fonctionnalités et leur longévité.

Une longévité optimale
La longévité des documents d’identification est un point crucial : ces documents doivent en effet résister à une utilisation intensive et à différents vecteurs d’usure. Les matériaux comme le polycarbonate se sont imposés en tant que matériau de choix en matière de durabilité et de résistance. On note néanmoins que l’ajout de technologies intelligentes embarquées telles que le RFID ou les puces avec ou sans contact pourraient être considérés comme des freins potentiels à la durabilité des supports en plastique.

Ce constat est à l’origine du développement de nouvelles technologies qui, à l’image de la technologie polycarbonate prévenant la formation de fissure, brevetée de HID Global, assure l’intégrité de la structure des documents d’identification.

La mise à jour des documents d’identification
Le retour sur investissement des programmes CNIe évolués fait l’objet de nombreux débats. En effet, les discussions portent notamment sur l’investissement initial du projet, qui varie selon les fonctionnalités et la durée de vie des cartes d’identité. La possibilité et le processus de mise à jour des cartes déjà en circulation sont essentiels en matière de conception du programme et d’allocation des budgets.

Pourquoi en effet payer pour une carte qui devra être rapidement renouvelée (par ex. suite à un changement d’adresse)? Dans un tel scénario, les cartes à puce déployées dans le cadre d’applications embarquées et sécurisées de gestion des données peuvent être mises à jour. Grâce à ces programmes, la mise à niveau des informations sur la carte est assurée, incluant la possibilité de télécharger de nouvelles applications ou d’activer de nouveaux services, dès que ces derniers sont disponibles. Cette évolutivité offre aux gouvernements la possibilité d’étendre leurs programmes de manière sécurisée, même lorsque les cartes sont déjà entre les mains des citoyens.

Des technologies innovantes, telles que l’OSM (Optical Security Media) facilitent les mises à jour des documents d’identification en circulation. D’ailleurs, cette technologie a fait ses preuves et a été utilisée dans le cadre de la délivrance des permis de résident américains dits « Green Cards » . L’information présente sur la piste optique de ces cartes ne peut être modifiée de manière frauduleuse, et ne peut être mise à jour que par des instances légitimes, le tout, sans avoir à remplacer la carte.
 
Un document d’identification valable 10 ans, durera-t-il vraiment 10 ans ?
Le remplacement des cartes d’identité traditionnelles par des cartes de type eID, l’intégration d’une ou de plusieurs technologies de carte à puce en d’identification, et l’innovation qui favorise la durabilité des cartes sont autant de leviers qui assurent la pérennité des identifiants de demain.

Dans les 5 années à venir, les priorités porteront sur les fonctionnalités des cartes multi-technologiques, davantage d’intégration au niveau de la conception des cartes, l’amélioration des systèmes de délivrance, les différentes possibilités de mise à jour, et l’innovation en matière de production des cartes. Ce sont ces facteurs, entre autres, qui feront de la carte d’identité à puce, valable 10 ans, une réalité. (Par Craig Sandness, pour Data Security Breach, Vice-président chez HID Global, en charge des solutions d’identification officielle.)

Cyber criminels se penchent sur Bitcoin

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Faille pour BitCoin Central

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Les failles fatales de la neutralité du Net selon le CNNum

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Les scammeurs lancent leurs campagnes de malwares sur le thème des vacances

Le secteur du tourisme ayant déjà commencé à communiquer sur leurs offres d’été, les scammeurs suivent la tendance et mettent en place des campagnes de spam contenant des malwares sur le thème des vacances. Ce sont les e-mails de confirmation de vol qui sont les plus utilisés cette année, suivis des offres d’hôtel, des offres de croisières somptueuses et de prêts divers pour les vacances. BitDefender s’en fait l’écho auprès de DataSecurityBreach.fr et alerte les internautes.

Pendant la saison, 6% de l’ensemble du spam concerne le thème des vacances. Et si l’on comptabilise 1.8 million de spams standards par jour, environ 108 000 messages sont sur le thème des vacances au plus fort de la saison, parmi lesquels les fausses confirmations de vol qui sont les plus répandues. Les e-mails de confirmation ou les reçus issus de compagnies aériennes constituent environ 60% de l’ensemble du spam sur le thème des vacances d’été cette année. Ces messages délivrent généralement des malwares dans une pièce jointe ou comportent un lien vers des pages Web malveillantes.

Le second type de scam saisonnier le plus fréquent est la fausse newsletter présentant de fausses bonnes affaires pour les réservations à l’avance de séjours de luxe dans le monde entier. Ces messages sont rédigés dans différentes langues selon les destinations qu’ils proposent. Les croisières, les offres d’assurance de voyage et les prêts vacances sont également utilisés pour séduire tous ceux qui préparent la parfaite escapade estivale.

Bitdefender a également découvert que Delta Air Lines et US Airways étaient les entreprises les plus ciblées, puisqu’elles comptent parmi les plus grandes compagnies aériennes aux États-Unis, offrant leurs services à des millions de clients à travers le monde. Il est en effet logique que plus les clients sont nombreux à utiliser un service, plus il y a de chances que les scams fonctionnent. Pour vous protéger, suivez les conseils de DataSecurityBreach.fr qui vous permettront d’organiser et de profiter de vos vacances en toute sécurité :

Renseignez-vous sur le site Web que vous utilisez avant de réserver un vol ou un hôtel.

Consultez les opinions des autres utilisateurs sur les sites Web de vente de billets/de réservation. Lisez leurs commentaires et leurs avis au sujet des services de ces sites.

Essayez d’entrer en contact avec un représentant de l’entreprise afin d’obtenir autant d’informations que possible sur le lieu de vacances.

Ne cliquez pas sur les liens inclus dans les e-mails, surtout si vous n’avez pas expressément demandé des renseignements sur des offres de voyage ou réalisé des réservations de vol/hôtel et n’ouvrez jamais les fichiers joints à ce type d’e-mails.

Lorsque vous partez en vacances, ne l’annoncez pas sur les réseaux sociaux. Une maison vide peut être extrêmement tentante pour des cambrioleurs. En effet, sécuriser les informations que vous mettez en ligne  peut aussi contribuer à protéger votre environnement physique.

Évitez de réaliser des achats en ligne ou de consulter des comptes bancaires lorsque vous utilisez des hotspots Wifi tels que ceux des aéroports, des cafés ou des centres commerciaux. Ne le faites pas non plus dans un hôtel.

Attaque de masse : des milliers de données de Français piratées

Un fichier malveillant réussi, en quelques heures, à voler des milliers de logins et mots de passe de Français crédules. Un pirate informatique a diffusé un fichier malveillant, en multi-urls, proposant de télécharger un logiciel de création de code StarPass. Bien évidemment, derrière ce pseudo programme, promu par des vidéos sur Youtube, ce cache un logiciel d’espionnage. Mission du « malveillant », intercepter les logins et mots de passe pouvant trainer sur les ordinateurs des victimes.

Le « fouineur », il utilise un email dixi7z@xxxx.ch a mis la main sur plusieurs milliers d’informations de Français : sites web, logins, emails, mots de passe. Par un tour de magie, la rédaction de Data Security Breach a pu mettre la main sur les données volées.

Zataz.com, via son protocole d’alerte, a  alerté l’ensemble des internautes touchés par cette infiltration malveillante. Plus de 700 personnes sont concernées avec des accès à des boutiques en ligne, des comptes Googles, Facebook, sites Internet, forums, accès wifi (SFR, FREE, …), clés Windows.

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires

Be2bill, solution spécialisée dans le paiement en ligne éditée par Rentabiliweb Europe, est le premier établissement acquéreur en France à être certifié « Merchant Agent » et la troisième société française à se voir délivrer cette certification de tiers de confiance par VISA, premier réseau mondial. En effet, les réseaux bancaires imposent désormais aux commerçants, pour continuer à garantir leurs transactions, de travailler exclusivement avec des opérateurs agréés comme Be2bill.

Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.

Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).

Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.

En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.

L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.

*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.

Aux calendes grecques la protection des données

Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.

Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!« 

Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »

Rendre la transparence des cyber-attaques obligatoire

Propositions de la Commission européenne de rendre la transparence des cyber-attaques obligatoire dans certaines industries. La proposition de la Commission européenne reflète la prise de conscience que les cyber-attaques ne sont pas uniquement un problème militaire. Comme dans tous les conflits, les infrastructures critiques seront aussi prises pour cible. Les gouvernements doivent avoir une idée claire et immédiate de la menace qui impose aux entreprises d’industries critiques, de signaler l’intégralité des attaques dont elles sont victimes, dès qu’elles sont découvertes. Il est également essentiel de partager les informations sur les attaques, les vulnérabilités et les dégâts causés, pour pouvoir développer des moyens de lutte qui permettront à d’autres entreprises de ne pas être victimes du même genre d’attaques.

Les protestations des entreprises concernant des données confidentielles et les secrets commerciaux ne sont pas fondées. En ne se focalisant que sur leur réputation et leur valeur boursière, les entreprises oublient le fait que ce sont les données des utilisateurs qui sont la cible d’une attaque. C’est-à-dire, nos données.

Nos informations ont été volées ? Il nous faut le savoir ! L’entreprise risque d’en souffrir et nous devons être tenus au courant des attaques secondaires potentielles, auxquelles nous pourrions avoir à faire face, pour des données que nous pensions en sécurité avec nos fournisseurs de services, nos banques, nos hôpitaux, et même les magasins où l’on fait nos achats et les médias auxquels on s’abonne. N’importe quelle information sensible nous concernant, nous ou notre conduite, pourrait être la cible d’attaques « phishing » (comme celles qui ont été utilisées pour pirater l’éditorial du New York Times). Il est donc clair que la prochaine ébauche de proposition de l’Union Européenne pour la Stratégie de la Cybersécurité a besoin d’une clause obligeant les entreprises à signaler leurs attaques sur des systèmes publics, puisque leur propre bon sens ne les a pas encore convaincues de le faire.

Etude mondiale sur la sécurité de l’information

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 »  de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011.  Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période[1]. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

… mais celles-ci ne savent pas sécuriser ces nouvelles menaces.

Si l’adoption des nouveaux outils technologiques croît de manière exponentielle, leur sécurisation est beaucoup plus lente : seules 30% des entreprises françaises interrogées possèdent une stratégie de sécurité pour le Cloud, et seules 35%  ont mis en place une stratégie de sécurité spécifique à l’utilisation des appareils personnels (BYOD).

L’enquête de PwC révèle la difficulté des entreprises à gérer l’utilisation de leurs données. Si 80% des directeurs de sécurité interrogés affirment que la protection des données de leurs clients et de leurs salariés est un enjeu important pour leur entreprise, ils ne sont que 31%  à savoir exactement où les données personnelles de leurs clients et collaborateurs sont collectées, transmises et stockées – et seulement 23% en France. Ce décalage est d’autant plus risqué que selon une étude récente[2] de PwC, 73% des consommateurs interrogés affirment être prêts à partager des informations personnelles avec des entreprises mais 87% souhaitent contrôler la quantité d’information partagée.

 « Le “combat” des entreprises pour la sécurité de l’information est devenu complètement asymétrique.  La surface d’exposition des entreprises aux attaques informatiques ne cesse de croître, et il suffit à un attaquant de trouver une faille – le maillon le plus faible dans la surface exposée –  pour pénétrer dans les systèmes d’information et dérober des informations sensibles. Les règles ont changé, et les adversaires – anciens et nouveaux – se sont armés de compétences d’experts en technologie. Les risques encourus n’ont jamais été aussi élevés pour les entreprises » explique à Datasecuritybreach.fr Philippe Trouchaud, associé PwC, spécialiste de la sécurité informatique.

Un niveau de confiance des entreprises démesuré par rapport à la faiblesse des moyens mis en œuvre

Paradoxalement, alors que les menaces n’ont jamais été aussi fortes pour les entreprises, les dirigeants interrogés restent extrêmement confiants en France et dans le monde. En 2012, 63% des sondés en France, et 71% dans le monde affirment ainsi avoir toute confiance en l’efficacité de leurs systèmes de sécurité de l’information. Or, PwC n’a identifié que 8% des entreprises interrogées comme « leader », celles ayant su s’adapter, mettre en place la stratégie et les savoir-faire adaptés pour vaincre les nouvelles menaces.

L’étude montre aussi que seules 49% des entreprises réalisent une évaluation des menaces et des vulnérabilités.

« Cette confiance des entreprises dans leur système de protection semble démesurée. » commente à Data Security Breach Philippe Trouchaud. « Etant donné l’environnement actuel de menace élevée, les entreprises ne peuvent plus se permettre de jouer à un jeu de hasard. Elles doivent s’adapter à de nouvelles règles du jeu, qui exigent des niveaux de compétences plus élevés, des outils plus performants et une nouvelle stratégie pour gagner. »

Les budgets dédiés à la sécurité de l’information sont en faible hausse

Les budgets dédiés à la sécurité de l’information augmentent en France, mais faiblement. En 2011, 41% des entreprises françaises interrogées prévoyaient d’augmenter leur budget, elles sont 45% à le prévoir en 2012. Les entreprises françaises ont ainsi rattrapé le niveau mondial, qui lui accuse un net retrait, passant de 51% de dirigeants anticipant une hausse de leur budget sécurité en 2011 à 45% en 2012. Ce recul s’explique en grande partie par le contexte économique tendu.

En effet, presque la moitié des répondants (46%) classent les conditions économiques comme le principal facteur orientant les dépenses de sécurité. En France, le poids comparatif des conditions économiques dans l’orientation des budgets est encore plus net, puisque 44% des dirigeants interrogés expliquent que leur choix budgétaire en matière de sécurité de l’information est réalisé en fonction des conditions économiques, loin devant le risque pour l’image de l’entreprise – 27%.

Méthodologie « Global State of Information Security Survey 2013

L’Enquête « Global State of Information Security Survey 2013 » sur l’état général la sécurité de l’information a été publiée par PwC, CIO magazine et CSO magazine. Elle a été réalisée via internet du 1er février 2012 au 15 avril 2012. Plus de 9 300 CEO, CFO, CISO, CIO, CSO, vice présidents, et directeurs des technologies et sécurité de l’information de 128 pays étaient invités par mail à répondre à l’enquête.

Vidéos : attention aux contenus inappropriés

Les enfants et adolescents raffolent d’internet. Visionnage, micro-blogging, medias-sociaux, chats : internet est une fenêtre sur l’extérieur, une connexion avec ses amis et proches, un lieu  d’apprentissage  et de divertissements. Mais, c’est aussi un lieu où les contenus se mélangent, et ils se trouvent potentiellement exposés à toutes sortes de contenus et rencontres. « Autant d’interactions qu’il faut savoir anticiper pour préserver les plus sensibles et vulnérables », met en garde David Emm expert analyste de Kaspersky Lab.

 Avertissement : les plus jeunes à seulement quelques clics de contenus inappropriés ou/et pour adultes 

L’expérience menée est simple pour qui a déjà visionné un dessin animé jusqu’au bout. Passées les publicités, quels sujets sont vraiment recommandés à la fin d’un épisode de leur dessin animé préféré ? D’ailleurs, certains contenus proposés dès la 1ère page du site, surtout lorsque la fonction sécurité du site est désactivée, peuvent déjà paraitre peu adapté à une audience en bas âge.

Après examen des vidéos «suggérées» à la fin des épisodes d’émissions populaires chez les plus jeunes, force est de constater que, en moyenne, les utilisateurs ne sont qu’à 3 à 5 clics de contenu non adapté à leur âge.

 Sensibiliser à la nécessité de découvrir le monde numérique en toute sécurité

Ces résultats mettent en évidence les risques potentiels que ces sites posent si le contrôle parental est désactivé ou si les enfants sont laissés sans surveillance pendant la navigation. Certains clips mettant en vedette violence, armes, langage inapproprié ou nudité. On peut citer aussi comme exemple les compilations d’accidents de voitures qui font partie des vidéos les plus virales du moment et rarement adapté aux plus jeunes.

Internet est un outil du quotidien, un passe temps simple d’accès pour ces plus jeunes générations qui ont toujours connu internet. Les sites de partage sont volontairement intuitifs, ce qui rend leur contenu facilement accessible, mais ne permet pas toujours d’afficher le contenu approprié pour les yeux des enfants.

David Emm, expert analyste chez Kaspersky Lab commente à Data Security Breach « Les jeunes générations sont nées avec internet et les parents sont, quant à eux, souvent tentés d’utiliser les fabuleuses ressources d’internet comme moyen de divertir leurs enfants. Cette expérience souligne l’importance de prendre des mesures pour les protéger lorsqu’ils sont connectés et d’adopter un comportement plus responsable. Avoir le contrôle parental en place est essentiel et peut être très efficace dans la lutte contre un contenu répréhensible. En outre, le mode sécurité des principaux sites de partage de vidéo vise à aider les parents, mais il ne peut pas fournir une protection à 100%. »

Les 3 conseils de Datasecuritybreach.fr

1.     Supervision

Cela peut sembler évident, mais surveiller l’utilisation d’Internet des enfants est un conseil qu’on ne répète jamais assez. Encouragez-les à visiter et rester sur les sites que vous connaissez. Si vous avez des doutes, vous pouvez consulter leur historique de navigation. Assurez-vous de connaître tous les sites protégés par mot de passe auxquels ils pourraient avoir accès et leur demander de partager leurs informations de connexion avec vous

2.     Dialogue 

Encouragez votre enfant à parler ouvertement de ce qu’ils font en ligne et avec qui ils socialisent. Développez une culture de « prévention » au sein de la maison et d’éveiller leurs attentions sur les dangers potentiels.

3.     Protection

Mettez en place un contrôle parental sur les sites pour lesquels vous voulez défendre votre enfant d’y accéder – c’est un moyen facile d’éviter le désastre.

The Secret Files

Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan piraté via l’infiltration d’un serveur de la société de crédit Equifax. Dans la série, j’ai une faille dans mon serveur, la société de crédit Equifax ne pouvait pas faire pire. La semaine dernière, le 11 mars, un pirate informatique a diffusé via un site créé pour l’occasion, et baptisé Exposed, les données sensibles et privés d’une quinzaine de vedettes américaines. Des peoples acteurs ou politiques comme Kim Kardashian, Donald Trump, le patron du FBI Robert Mueller, le boss de la police de Los Angeles Charlie Beck, Eric Holder l’US Attorney General, Hillary Clinton, Joe Biden, Sarah Palin, Britney Spears, Mel Gibson, Ashton Kutcher, Paris Hilton, Al Gore, Arnold Schwarzenegger, Beyonce, Jay Z ou encore Hulk Hogan. Le pirate a pu récupérer, dans ce piratage, les adresses de ces personnalités, leurs numéros de sécurité sociale, téléphones et, plus grave, les données financières. Les sociétés Equifax et TransUnion Inc Corp ont confirmé une intrusion dans leurs systèmes. Une troisième société de crédit, Experian, recherche toujours à savoir si quelqu’un était passé dans ses bits. La question est de savoir si le pirate n’est pas passé par le portail Annualcreditreport.com, via une injection SQL. Ce site regroupe les informations financières des clients des trois sociétés de crédits cités dans cet article. Le pirate, dans un dernier défit, affichait avant la fermeture de son compte Twitter et site web « Si vous croyez que Dieu fait des miracles, vous devez vous demander si Satan en a quelques-uns dans sa manche« .

Convention entre la Cyber Police et la CNIL

Les amis du petit déjeuner et la CNIL vont coopérer pour renforcer la lutte contre la cybercriminalité. A quelques jours du Forum International de la CyberSecurité (28 & 29 janvier – Lille), le FIC 2013, l’AFP nous apprend que le ministre de l’Intérieur Manuel Valls et la ministre de l’Economie numérique Fleur Pellerin ont décidé de renforcer la lutte contre la cybercriminalité sur le territoire Français. Pour cela, une convention a été signée. Cette convention a été noircie par les « Amis du petit déjeuner » (terme inventé par zataz.com, ndlr Datasecuritybreach.fr) de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et la Commission nationale de l’informatique et des libertés. « La Cnil et la police vont coopérer ensemble » souligne le Ministre de l’Intérieur, M. Valls. Parmi les propositions : dialogue avec les dirigeants de Twitter, Facebook et autres réseaux sociaux pouvant regrouper des « vilains ; meilleures coopérations entre les Etats et le privé ; le blocages actifs des sites illicites et quantifier et qualifier le phénomène.