Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.
Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.
Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».
Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?
La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?
Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?
Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »
Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.
Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.
Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.
Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.
Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.
Après OpenSSL, voici une nouvelle vulnérabilité mondiale qui vient toucher la sécurité informatique. Après Heartbleed, qui touchait les serveurs ayant implémenté le protocole TLS (OpenSSL), voici venir les modules de connexion basés sur les protocoles OAuth et OpenID. C’est un chercheur de Singapour qui a mis à jour la chose. Wang Jing, un étudiant local, a découvert que ces « outils » utilisés par Facebook, Google, Yahoo, Spotify, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sina, Sohu… pouvaient être malmenés.
A la base, OAuth et OpenID permettent à des sites Internet de partager nos informations (avec notre accord, ndr). Jing a découvert qu’en créant un site frauduleux, mais qui affiche une pop-up contenant l’accès légitime au site visé, un pirate pourrait intercepter le certificat de sécurité renvoyé par le site légitime. Google et Facebook indique être au courant et préparent un correctif qui ne sera pas lancé rapidement. Il faut tout réécrire !
Il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins
« Comme l’Internet devient de plus en plus connecté, il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins » explique Jing. « Le patch de cette vulnérabilité est plus facile à dire qu’à faire. Si toutes les applications tierces respectaient strictement les régles, alors il n’y aurait pas de place pour les attaques. Cependant, dans le monde réel, un grand nombre d’applications tierces ne le font pas pour diverses raisons. Cela rend les systèmes basés sur OAuth 2.0 ou OpenID très vulnérables. » Bref, nous ne cessons pas de le dire, lier des sites entre-eux, pour un « confort » dans l’authentification de votre compte est dangereux. En voici une nouvelle preuve criante !
Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».
Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.
Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.
Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.
Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».
La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service».
420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.
114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle. France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.
Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».
Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.
Démonter un bureau de vote en 59 secondes… pour le piéger
C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique? » Alain Anziani et Antoine Lefèvre ne le pensent pas.
Un collectif Anonymous, via une filiale baptisée Lulz Lab, vient d’annoncer sur GitHub la création du projet AirChat. Dans une vidéo mise en ligne sur Vimeo, Lulz Lab explique que « nous croyons fermement que les communications devraient être libres. Libre autant que l’air lui-même. » AirChat a pour mission d’aider ceux qui n’ont pas les moyens de communiquer. Pauvres, dissidents, ONG, … « Maintenant le feu de notre liberté se consume. Nos voix sont soumises à des contrôles innombrables : financier, brevets, droits, règlements, censure…«
L’outil se compose d’une radio, d’un ordinateur, de quelques outils faits maison. AirChat permet de communiquer gratuitement, sans passer par Internet, ni d’un réseau de téléphonie cellulaire. C’est du moins ce que propose, sur le papier, AirChat. Il s’appuie sur une liaison radio disponible « ou tout autre appareil capable de transmettre de l’audio » souligne Lulz Lab.
Pour le moment, le projet n’est qu’en mode « papier », même si les inventeurs annoncent des essais sur plusieurs centaines de kilomètres de distance. « Ce projet a été conçu de nos leçons apprises lors d »es révolutions égyptienne, libyenne et syrienne« . Des appareils radios bon marché, des minis ordinateurs de poche « Fabriqués en Chine ». Voilà un projet qui pourraient être utilisés par un grand nombre de personnes dont les libertés sont baffouées. On ne peut qu’applaudir des deux mains.
Jusqu’à présent, Lulz Lab a pu jouer à des jeux interactifs d’échecs avec des personnes situées à plus de 200 kilomètres de distance. « Nous avons partagé des photos et établies des chats chiffrés. Nous avons pu aussi lancer une impression 3D sur des distances de 80 miles (128km) et transmis des dossiers médicaux à des distances de plus de 100 miles (160km). »
La vulnérabilité Heartbleed est l’une des plus importantes failles découverte sur Internet depuis 10 ans. Depuis mars 2012, une part considérable des serveurs sur Internet a été vulnérable à des attaques qui ne laissent pas de traces, et peuvent accéder à des informations essentielles (identifiant, mot de passe, informations personnelles, numéro de carte de crédit, clé de cryptage). Cette vulnérabilité a été révélée publiquement le 7 avril, mais il est impossible de connaître l’étendue des dommages qui ont eu lieu avant le 7 avril ou même depuis.
La vulnérabilité Heartbleed arrive comme une piqure de rappel de deux faits importants lié à la sécurité personnelle sur Internet, à l’heure où tant de nos informations personnelles sont désormais sur Internet : Il est vital d’utiliser un mot de passe diffèrent sur chaque site web. Cela limite les risques, même en cas d’une faille – les dommages ne pourront s’étendre. Si vous réutilisez le même mot de passe sur plusieurs sites web, vous êtes clairement exposé et vous devriez modifier cela au plus vite.
« Vous devriez changer tous vos mots de passe le plus rapidement possible, confirme Emmanuel Schalit, CEO de Dashlane, car chacun d’entre eux a pu être dérobé, et vous assurez que vous utilisez un mot de passe différent pour chaque site web« . De plus, pour les sites web les plus importants (voir ci-dessous, NDR DataSecurityBreach.fr), vous devriez probablement changer vos mots de passe dans les 10 jours, au cas où les sites en questions n’auraient pas encore appliqué les correctifs nécessaires depuis le 7 avril.
Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.
Les sites les plus utilisés
Facebook annoncé avoir ajouté des protections supplémentaires avec OpenSSL. Des sécurités avant l’annonce de la faille de sécurité. Facebook a tout de même conseillé de changer les mots de passe. Même proposition pour Tumblr. Twitter n’a rien dit… pour le moment. Google a confirmé des problèmes avec OpenSSL. Google Chrome et Google OS ne sont pas concernés. Google, lui aussi, que nous changions nos mots de passe. Yahoo Mail, Yahoo Finance, Yahoo Sports, Flickr ont été sécurisés. Changement de mot de passe conseillé, comme pour DropBox. Hotmail n’utilise pas OpenSSL. Même confiance chez eBay et Paypal.
Le cabinet Ovum vient de publier un rapport qui devrait faire tendre l’oreille. Cette étude commanditée par Vormetric met en évidence le faible contrôle des utilisateurs privilégiés au sein des entreprises françaises et la reconnaissance du chiffrement comme la technologie la plus efficace pour prévenir le risque des menaces intérieures. En outre, 53% des entreprises européennes trouvent ces menaces plus difficiles à détecter qu’auparavant.
Cette enquête, réalisée auprès de plus de 500 décideurs dans le domaine des hautes technologies de moyennes et grandes entreprises au Royaume-Uni, en France, en Allemagne, conclut que seuls 9% des entreprises se sentent à l’abri des menaces provenant de l’intérieur, avec presque la moitié des sondés en France (42%) reconnaissant que ce sont les « utilisateurs privilégiés » (administrateurs systèmes, de bases de données, réseaux, etc.) qui représentent le plus grand risque pour leur entreprise.
Les menaces intérieures ne proviennent plus seulement des utilisateurs habituels ayant des droits d’accès légitimes et qui en abuseraient pour voler des données et d’en retirer un gain personnel. Les utilisateurs privilégiés qui administrent les systèmes et les réseaux représentent désormais une inquiétude supplémentaire puisque leurs métiers requièrent évidemment un accès à toutes les données accessibles sur les systèmes pour effectuer leur travail. Une troisième menace intérieure identifiée comme étant particulièrement préoccupante concerne les infiltrations par des cybercriminels cherchant activement le moyen de compromettre des comptes d’utilisateurs internes (en visant principalement les comptes avec les privilèges les plus avancés) afin de s’infiltrer dans les systèmes et d’y voler des données en utilisant les identifiants usurpés.
« Environ la moitié des organisations estiment que ces menaces internes sont de plus en plus difficiles à détecter, et les responsables informatiques sont extrêmement inquiets de ce que leurs utilisateurs peuvent faire avec les données de leur entreprise, déclare Andrew Kellet, analyste principal chez Ovum, le cabinet d’analystes en charge de l’enquête.Ce risque se combine avec la menace posée par les cyberattaques qui visent les comptes utilisateurs – ce qui n’est pas complètement ignoré puisque 30 % des organisations citent les Menaces Persistantes Avancées comme motivation principale pour l’amélioration des défenses contre le vol de données. »
Selon l’étude menée, Seulement 9 % des organisations européennes interrogées se sentent à l’abri des menaces internes contre 11% des entreprises françaises ; 47 % des organisations estiment actuellement qu’il est plus difficile de détecter des incidents provenant des menaces internes qu’en 2012 ; Le contrôle d’accès aux données est identifié comme la plus grande menace pour les organisations. Pour certaines, les employés non-techniciens avec un accès autorisé aux données sensibles et aux ressources IT représentent le risque le plus important (49 %), tandis que pour d’autres, ce sont les postes de haut niveau tels que les Directeurs Administratifs et Financiers ou les PDG qui sont le principal risque (29 %) ; Le passage au cloud augmente les risques de sécurité, en raison d’une perte de visibilité sur les mesures de sécurité autour des données stockées dans le cloud, représentant une inquiétude pour 62 % des personnes interrogées ; Le Big Data peut également poser problème, avec plus de la moitié des entreprises concernées par la sécurité du Big Data (53 %) indiquant que des données sensibles peuvent y être contenues ; Il y a de bonnes nouvelles : les organisations prennent des mesures pour lutter contre les menaces intérieures avec 66 % d’entre elles qui envisagent d’augmenter leurs budgets de sécurité en réponse directe à ce risque. « Les entreprises accentuent leur utilisation du cloud computing afin de profiter de la flexibilité et des avantages financiers qu’il apporte, indique Danièle Catteddu, Responsable EMEA pour la Cloud Security Alliance. L’étude démontre qu’elles sont conscientes des nouveaux risques lié à cet usage accru, et détaille la façon dont les fournisseurs peuvent améliorer leurs offres afin de mieux satisfaire les besoins des entreprises en matière de sécurité pour contrebalancer les menaces intérieures»
« Clairement, les exigences liées à la conformité légale, les contraintes concernant la vie privée et les vols de données incessants ont un effet marqué sur les entreprises, déclare Stewart Room, partenaire du Field Fisher Waterhouse’s Technology and Outsourcing Group. Avec 66% d’entre elles qui envisagent d’augmenter leurs dépenses en sécurité pour bloquer les menaces intérieures, et en fonction du défi que la protection des données dans le cloud, les environnements mobiles et Big Data représente, les entreprises comprennent que leur niveau de sécurité doit être mis à jour et font ce qu’il faut pour. »
De plus, les entreprises reconnaissent que le chiffrement est la technologie la plus efficace pour bloquer les menaces internes, avec la plus grande proportion des organisations (38 %) la citant comme la mesure de sécurité la plus importante. (étude)
L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.
La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.
Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .
« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.
Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions : maitriser ce que vous diffusez ou ne diffusez rien du tout !
Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !
La NSA serait capable d’infecter un ordinateur en 8 secondes avec un logiciel datant de 2004. Un porte-parole de la NSA l’a indiqué, l’utilisation de Turbine ne se fait qu’« exclusivement à des fins de contre-espionnage ou d’espionnage à l’étranger pour des missions nationales ou ministérielles, et rien d’autre ». Voilà qui va rassurer les millions de propriétaires d’ordinateurs touchés par un kit pirate concocté par les grandes oreilles américaines.
D’après le magazine The Intercept (webzine créé par G. Greenwald, L. Poitras et J. Scahill. Il a pour mission de diffuser les informations récupérées par l’ancien analyste privé de la NSA, Edward Snowden), la NSA a utilisé un système de diffusion de codes malveillants baptisé Turbine. Le « truc », géré par l’unité TAO, infecterait des ordinateurs à partir de courriels piégés ou de phishing aux couleurs de Facebook. Des attaques à « echelle industrielle » indique l’un des documents de Snowden. Le « plug-in » Facebook est baptisé QUANTUMHAND (voir la vidéo ci-dessous du document top secret de la NSA, ndr). Pour rappel, des conseillers de l’Élysée ont été piégés par de faux Facebook, voilà 2 ans.
Le journal américain indique que l’agence d’espionnage américaine « a automatisé des processus auparavant automatisés ». Turbine ne serait donc rien d’autres qu’un couteau suisse d’exploit comme les aiment tant les pirates russes. D’après le Parisien, ce système de piratage a également de lancer des cyberattaques en détournant le système de téléchargement de fichiers ou en refusant l’accès à des sites. Des actions lançaient de Fort Meade, dans le Maryland, puis du Royaume-Unis, des Etats-Unis et du Japon. Des « modifications » de cible, comme le piratage et la modification du journal électronique d’Al Qaida, Inspire 11, que nous vous expliquions en juin 2013.
La NSA, en 2004, possédait un petit réseau de 100 à 150 « implants ». Plus de dix ans plus tard, les « outils » seraient au nombre de plusieurs dizaines de milliers. Le système Turbine serait opérationnel dans une certaine mesure depuis au moins Juillet 2010, et son rôle est devenu de plus en plus centrale pour les opérations de piratage de la NSA. Entre 85.000 et 100.000 « virus » seraient en action à travers le monde. Dans les options de Turbine, UNITEDRAKE, un cheval de Troie capable de prendre la main intégralement sur un ordinateur infecté. CAPTIVATEDAUDIENCE, capable d’enregistrer le son d’un micro branché sur la machine. GUMFISH, la webcam. FOGGYBOTTOM, les mots de passe et l’historique de navigation. GROK, un keylogger qui intercepte les frappes clavier. SALVAGERABBIT, copie les données via une clé USB. Un peu comme le petit canard jaune présenté dans zatazweb.tv du mois de décembre 2013.
Bref, il ne fait plus grand doute que Stuxnet et Flame, le premier a attaqué les installations nucléaires Iraniennes, le second visait les ordinateurs du Moyen-Orient. Les cibles ? Si le terrorisme semble être la premiére mission, une note interne de la NSA, baptisée « I hunt sys admins« , explique que les cibles peuvent être aussi les administrateurs de systèmes « qui travaillent pour des fournisseurs de téléphonie et des services Internet » étrangers.
Le poste interne – intitulé « Je chasse admins sys » – indique clairement que les terroristes ne sont pas les seules cibles de ces attaques de la NSA. Compromettre un administrateur de systèmes, les notes opérationnelles, il est plus facile pour se rendre à d’autres objectifs d’intérêt, y compris les « fonctionnaire du gouvernement qui se trouve être en utilisant le réseau certaine administration prend en charge. »
Pendant ce temps, aux USA, la sénatrice Dianne Feinstein, présidente de la commission du Renseignement du Sénat, accusait la CIA d’avoir « visité » les ordinateurs de l’institution politique américaine. Une violation de la Constitution. « Rien n’est plus éloigné de la vérité », a déclaré le directeur de la CIA, John Brennan. La sénatrice affirme que l’agence a tenté de savoir ce que tramait le Sénat au sujet des interrogatoires « musclés » de la Central Intelligence Agency, entre 2009 et 2012. Des enquêtes du département de la Justice sont en cours. Elles doivent permettre de savoir si des fonctionnaires de la CIA, ou des collaborateurs privés, ont utilisé la torture pour soutirer des informations.
Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.
Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.
A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.
« Bonjour,
Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.
A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.
J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.
Avoir besoin de communiquer de manière anonyme et sécurisé peut se faire sentir. Protéger un courriel et son contenu n’est pas à négliger. Il est évident que la première protection d’une fuite de donnée, d’un espionnage… et de ne rien diffuser sur Internet. Mais aujourd’hui, bien malin celui qui pensera que l’Internet, les mails peuvent être mis de côté. Dans cet article, nous allons voir comment écrire sans laisser de trace (ou presque, ndr), autodétruire un courriel, le chiffrer. Nous ne parlerons pas des outils déjà présenté ICI et LA, mais des sites web offrant des services gratuits d’anonymisation de vos correspondances. Je rappellerai tout de même qu’aucun système n’est infaillible et rien ne remplacera le chiffrement fort et un mot de passe sérieux. Bien entendu, évitez de communiquer des informations « top » sensibles: données bancaires, …
PrivNote
PrivNote est un service Web gratuit qui vous permet d’envoyer des notes secrètes sur Internet. C’est rapide, facile, et ne nécessite pas de mot de passe ou l’enregistrement des utilisateurs. Il suffit d’écrire votre lettre, et vous obtiendrez un lien. Ensuite, vous copiez et collez ce lien dans un mail (ou un message instantané) que vous envoyez à votre correspondant. Lorsque cette personne clique sur le lien pour la première fois, il pourra lire le message dans son navigateur. Au même moment, la missive sera automatiquement détruite, ce qui signifie que personne (même cette personne) ne lira le courrier ensuite. Le lien ne fonctionnera plus.
Vous pouvez, éventuellement, choisir d’être averti lorsque votre note est lue en laissant votre email et une référence. https, rapide, les adresses IP sont supprimées dès qu’elles ne sont plus nécessaires à des fins de communication. Les notes sont détruites au bout de 30 jours si elles n’ont pas été lues. Les administrateurs ont enregistré PrivNote en Uruguay. https://privnote.com
Note shred
Les messages envoyés avec Noteshred s’autodétruisent après la lecture ou après un certain temps. Programmable entre 1 heure et 24 semaines. Chaque note est obligatoirement envoyée avec un mot de passe que votre correspondant devra connaitre. Les messages sont chiffrés (256 bits AES), connexion https, une version mobile est disponible. Noteshred est un service gratuit. http://www.noteshred.com
One time secret
Même principe que PrivNote. Ce site propose un lien, vers le message. Le premier lecteur qui ouvrira l’url pourra lire le message. Les suivants se retrouveront face à un message d’erreur : “It either never existed or has already been viewed.” sauvegarde IP, information sur le navigateur et la provenance du visiteur (site web, moteur de recherche, …) Les messages sont gardés 7 jours pour les « anonymes », et 30 pour les internautes qui se sont inscrits. Le code source de l’outil est proposé. https://onetimesecret.com
This message will self-destruct
Comme ses cousins One Time Secret et PrivNote, This message will self destruct propose d’envoyer un lien vers un message qui s’autodétruira une fois que ce dernier sera lu. Une option de création d’un mot de passe est possible. Simple, efficace, sans fioriture. Petit détail, tout de même, s’inscrire à ce service (pas obligatoire, ndr) permet d’afficher un historique des messages envoyés et reçus. https://tmwsd.ws
cloak my
Parmi les nombreux services que nous avons testés pour vous, cloak my propose une originalité qui n’est pas négligeable. Le service permet de décider une plage horaire de lecture en plus de l’autodestruction. Il est possible de choisir une destruction manuelle (déconseillée, ndr). Log les IP, Https, basé en Californie (USA). Les mots de passe, si vous en décidez un, sont hachés en utilisant Bcrypt. Les adresses IP sont également enregistrés au cours de tentatives de connexion « seulement après un mauvais mot de passe et ou un mauvais lien, souligne les administrateurs. Afin de prévenir contre les attaques et pour nous permettre d’interdire les demandes excessives. » http://www.cloakmy.org
Destructing message
Voilà un service intéressant. Les messages sont minutés. Vous décidez de la durée de présence du message chiffré, de 15 secondes à 5 minutes. Le site propose un lien qui servira d’accès à la missive. Dès que le lien est cliqué, le compte à rebours est lancé. Les messages doivent être affichés dans les 90 jours. Le site existe depuis 2006, il est édité par Spiffy. http://www.Destructingmessage.com
ZeroBin
ZeroBin de Seb Sauvage est un outil qui est indispensable dans ses adresses. Outil simple et très efficace, qui chiffre les données avec un clé AES 256 bits. Il vous suffit de communiquer le lien à votre correspondant. Permet de choisir un temps d’expiration de votre message, de 5 minutes à 1 an. http://sebsauvage.net/paste/
Il existe aussi des applications pour vos navigateurs. Pour Firefox, TrashMail. Permet de créer des adresses jetables. Il faut cependant ouvrir un compte pour utiliser le service. Pour vos fichiers, AnonFiles permet de sauvegarder des fichiers de manière anonyme. Le plus intéressant, à mon avis, reste CryptoBin. Il permet de chiffrer un message, garder lisible la missive entre 10 minutes (1 heure, 1 journée, 1 an) et à l’infini. Il utilise l’AES 256 pour chiffrer les informations.
Côté image, Let’s Upload that Image (LUT.IM) permet d’envoyer une image et de la faire disparaitre à sa premiére lecture. Possibilité de choisir sa durée de rétention, entre 24 heures et un an. Un outil Français, signé par Luc Didry. Si les fichiers sont bien supprimés, et si vous en avez exprimé le choix, leur empreinte SHA512 est toutefois conservée. L’IP de la personne ayant déposé l’image est stockée de manière définitive pour des questions légales. https://lut.im ; Même possibilité pour IMG.BI. Ici aussi, les images sont chiffrées en AES-256. Les auteurs utilisent aussi TLS pour éviter les attaques dites de l’homme du milieu (Man-in-the-Middle), entre vous et le serveur de stockage. Les adresses IP sont codées en SHA-3 durant une journée. Les auteurs rappellent que les sociétés tierces peuvent sotcker, de leur côté, votre IP. https://img.bi
N’hésitez pas à nous faire partager vos propres outils.
Ce mercredi à Strasbourg, le Parlement européen a enfin adopté le paquet sur les données personnelles. Après trois ans de travail parlementaire les eurodéputés ont adopté à une forte majorité le règlement (621+, 10-, 22 abst) et, malgré l’opposition de la droite européenne, la directive (371+, 276 –, 30 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All) et Dimitrios Droutsas (S&D, GR), un large mandat de négociation avec le Conseil et la Commission européenne.
« C’est un signal politique fort envoyé aux citoyens européens, qui tranche avec le silence du Conseil! », se félicite Françoise Castex. « Les données personnelles des Européens ne sont pas à vendre! »
« Après le scandale de la NSA et alors que nous négocions un accord de libre-échange avec un État qui espionne nos concitoyens, il était fondamental de redéfinir les règles du jeu« , souligne l’eurodéputée Nouvelle Donne.
Les deux textes visent à renforcer la protection des données des citoyens européens et à restaurer la confiance des consommateurs dans les entreprises sur internet. « Nous souhaitions un encadrement plus strict des données pseudonymes, mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois”, note Françoise Castex. « Le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »
Avant de conclure: “L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs montrent que la question de la protection des données personnelles est devenue une priorité pour nos concitoyens. Le Conseil ferait une grave erreur en écartant ce sujet à trois mois des élections européennes ».
Pour la Quadrature du Net, des failles majeures subsistent dans le règlement du Parlement européen sur la protection des données. Le Parlement européen vient d’adopter en première lecture le rapport [1] de Jan Philipp Albrecht concernant le règlement général sur la protection des données. Les eurodéputés sont finalement parvenus à résister aux pressions des lobbys [2] et ont rejeté la plupart de leurs propositions préjudiciables [3]. Bien que d’importants progrès ait été réalisés aujourd’hui, les dangereuses notions d’« intérêt légitime » et de « données pseudonymisées » ont été conservées, et pourraient empêcher le texte définitif de protéger les citoyens de manière effective. ***
Le 21 octobre 2013, la commission « libertés civiles » (LIBE) a adopté son rapport relatif au règlement général sur la protection des données, avant de donner mandat à son rapporteur, Jan Philipp Albrecht (Verts/ALE – Allemagne), pour négocier à huis clos un accord avec la Commission européenne et le Conseil des Ministres (trilogue). Ces négociations n’ayant pas débouché sur un consensus, le Parlement européen a finalement adopté un texte identique à celui de LIBE.
Malgré une campagne de lobbying sans précédent menée à Bruxelles par les secteurs de la banque, des technologies et des gouvernements étrangers, la mobilisation de la société civile est parvenue à convaincre les députés de préserver la plupart des progrès introduits par la Commission européenne en 2012 : le consentement explicite [4], des sanctions effectives (pouvant à présent atteindre 5% du chiffre d’affaires mondial d’une entreprise), un champ d’application territorial large et clairement défini, ainsi que des droits plus forts et équilibrés pour les citoyens.
Malheureusement, les députés ne sont pas parvenus à corriger la faille la plus dangereuse laissée dans la proposition initiale par la Commission en 2012 : la définition bien trop large de la notion d’« intérêt légitime ». En tant que tel, l’« intérêt légitime » de quiconque peut être utilisé comme fondement légal permettant d’outrepasser le consentement d’un individu afin de traiter les données le concernant. En outre, le rapport introduit le concept insidieux de données « pseudonymisées », si cher aux lobbys des technologies.
La publication de la position du Conseil sur le règlement est prévue pour les 5 et 6 juin prochains.
« Le vote d’aujourd’hui ferme le premier chapitre d’un long processus qui déterminera si les citoyens européens regagneront le contrôle de leur vie privée. Bien que la société civile se soit fermement opposée aux lobbys des banques, des géants de l’Internet et de certains gouvernements, les eurodéputés ne sont pas parvenus à corriger les failles majeures du texte. Les citoyens doivent exiger de leur gouvernement qu’il corrige ces failles, préserve les avancées, et n’introduise pas de nouvelles exceptions dans le texte. Ce règlement devant être finalisé par le prochain Parlement, les citoyens doivent attirer l’attention des candidats à l’élection européenne sur ces questions. », déclare Miriam Artino, analyste politique à La Quadrature du Net.
Le nouvel épisode de ZATAZ Web TV vient de sortir. Au menu de ce mois de Mars 2014 (S3E7) : Piratage d’un site Internet pour piéger les smartphones qui le visite. La sécurité des caméras de surveillance IP loin d’être fiable. La preuve… en vidéo ! Retrouver un mot de passe Facebook, simple comme un clic de souris. Rakabulle, un logiciel Français qui permet d’assembler plusieurs fichiers en un seul. Retour sur le FIC 2014. Watch Dogs, c’est le 27 mai. ZATAZ Partenaire avec des versions PC, PS3, PS4 à gagner. Lecture : Loi et Internet ; Digital Warketing. Rencontre avec un journaliste Iranien, réfugié politique en France. Il nous parle de son utilisation d’Internet. A déguster sans modération.
Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.
Alors sécurisé ou pas ?
Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net, nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.
L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.
C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.
L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.
L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.
Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.
La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.
Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.
Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.
Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)
Une semaine après le rapport de la CNIL et de la DGCCRF, les eurodéputés demandent à la Commission européenne d’agir. Le Parlement européen a adopté aujourd’hui à une large majorité une résolution sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans cette résolution, les eurodéputés « s’inquiètent du nombre croissant de plaintes concernant des usagers de sites d’achat de billets en ligne qui ont été victimes d’IP tracking »[1] ;
Les parlementaires demandent à la Commission européenne d’enquêter sur la fréquence de cette pratique « qui génère une concurrence déloyale et qui constitue un détournement des données personnelles des utilisateurs, et, le cas échéant, de proposer une législation adéquate pour protéger les consommateurs[2]« ;
Françoise Castex, qui avait reproché à l’enquête de la CNIL et de la DGCCRF, rendue publique le 27 janvier dernier, de ne pas lever pas le doute sur les tarifs obscurs pratiqués par les grands opérateurs de transports sur la toile, s’est félicitée de ce vote: « C’est la preuve que les usagers ne sont pas paranoïaques et que l’IP-tracking n’est pas qu’une préoccupation franco-française« .
« Nous demandons à la Commission européenne de protéger comme il se doit les millions de consommateurs victimes d’espionnage, notamment via l’utilisation de leur historique de navigation, » poursuit l’eurodéputée du Gers. « Le consentement explicite de l’utilisateur doit être la règle, et non l’exception!« , conclut Françoise Castex, qui presse le Conseil d’adopter le nouveau règlement européen sur les données personnelles.
[1] Pratique qui vise à retenir le nombre de connections d’un internaute via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires
Nouvelle attaque, nouvelle fuite et nouveau vol de données appartenant à des internautes. Cette fois, c’est le portail de financement participatif KickStarter (Un MajorCompagny américain, ndr) qui vient de subir le passage d’un pirate dans sa base de données.
Une injection SQL plus tard et le malveillant est reparti avec les données clients : noms, adresses … Les mots de passe compris. Ces derniers sont chiffrés en MD5, détail technique qui ne devrait pas durer bien longtemps face à un logiciel de reverse de mot de passe.
KickStarter ne s’est jamais rendu compte de rien. C’est la police qui a contacté l’entreprise, mercredi 12 février, pour l’avertir de l’attaque. Depuis, la faille SQL a été corrigée. Pas être rassurant, KickStarter indique que les données bancaires de ses clients n’ont été impactés. Il n’avait aucune preuve de l’utilisation des données volées. Déjà qu’ils n’ont pas vu l’attaque, alors dire qu’il n’y a pas eu d’utilisation est légèrement prématurée. « Par mesure de précaution, nous vous recommandons fortement de créer un nouveau mot de passe pour votre compte Kickstarter, et autres comptes où vous utilisez ce même mot de passe« .
Le 12 février, la commission « Libertés civiles » (LIBE) du Parlement européen a adopté son rapport pour avis [1] sur la proposition de règlement relatif au marché unique européen pour les communications électroniques. Des amendements clés ont été adoptés, qui, s’ils étaient inclus dans la version finale du texte, garantiraient l’application de la neutralité du Net au sein de l’Union européenne. La Quadrature du Net met en garde la commission « Industrie » (ITRE), en charge du dossier, contre les tentatives d’adoption d’amendements édulcorés qui permettraient aux opérateurs de télécommunication de distribuer des services spécialisés d’une manière qui limiterait radicalement la liberté de communication et l’innovation sur Internet.
Grâce aux amendements déposés par les groupes Verts, S&D et ALDE, des versions solides des articles clés 2(15) [2] et 23 [3], et de leurs considérants, ainsi que des dispositions sur les services spécialisés et des dispositions assurant l’application effective de la neutralité du Net, sont maintenant incluses dans le rapport de la commission « Libertés civiles ». Le rapporteur PPE Salvador Sedó i Alabart (ES – PPE) a lui-même soutenu des dispositions positives. La Quadrature du Net remercie tous les eurodéputés qui ont contribué à ce vote.
Le texte adopté doit maintenant être considéré comme une référence pour le reste de la procédure législative, particulièrement pour la commission ITRE, qui prépare la version finale des recommandations adressées à l’ensemble du Parlement européen sur ce dossier. Néanmoins, des inquiétudes importantes subsistent concernant l’issue du vote de la commission ITRE. Les amendements de compromis [4] proposés par la rapporteure Pilar del Castillo Vera (ES – EPP) ouvrent la porte aux abus des opérateurs de télécommunications de manière scandaleuse. Pire encore, ces amendements ignorent entièrement la substance des meilleures propositions déposées par les autres députés de la commission – y compris par les membres de son propre groupe politique [5]. Enfin, ils entrent fortement en contradiction avec les principaux amendements votés en commission LIBE aujourd’hui, qui assureraient que le futur règlement protège les droits fondamentaux.
À ce stade de la procédure, il est inquiétant que même les rapporteurs fictifs des groupes politiques favorables aux amendements positifs ne s’opposent que extrêmement timidement à la rapporteure. Soutenir les amendements de compromis de del Castillo équivaut à ignorer les intérêts et droits des citoyens européens, et à laisser carte blanche aux opérateurs télécom pour mettre en place une discrimination illégitime des communications sur Internet. Tous les rapporteurs fictifs de la commission ITRE – Jens Rohde (DK – ALDE), Catherine Trautmann (FR – S&D), Amelia Andersdotter (SE – Verts/ALE), Giles Chichester (UK – ECR) – doivent rendre leur position publique, et permettre à tous de juger leurs responsabilités dans la version définitive du rapport ITRE, adoptée durant le vote prévu pour le 24 février. Si ces députés, ou d’autres membres de leur groupe, refusent de tenir compte des recommandations émanant de leur propre groupe politique au sein de la commission LIBE, et adoptent des amendements de compromis faibles, ou même mettant en danger la neutralité du Net, les citoyens européens les tiendront pour responsables, particulièrement lors des élections européennes [6] à venir.
« Les citoyens européens doivent faire entendre aux membres de la commission « Industrie » qu’il n’existe qu’un seul vote acceptable : le rejet des soi-disant « amendements de compromis » de Mme Pilar del Castillo Vera et l’adoption d’amendements aux articles 2(15) et 23 similaires à ceux de la commission LIBE. Pour qu’Internet puisse continuer à bénéficier de l’innovation et de la liberté de communication, le droit européen doit clairement interdire aux opérateurs télécom de commercialiser des services spécialisés techniquement identiques aux services en ligne déjà disponibles sur Internet » déclare Philippe Aigrain, cofondateur de La Quadrature du Net.
« Chaque voix comptera le 24 février, lors de l’adoption de la version finale du rapport de la commission « Industrie » sur la proposition de règlement. Nous appelons chacun de ses membres à s’opposer à la position de la rapporteure Pilar Del Castillo Vera et à voter en faveur des amendements clés adoptés en commission « Libertés civiles », qui seuls peuvent assurer la protection des droits fondamentaux, de la libre concurrence et de l’innovation sur l’Internet ouvert », conclut Miriam Artino, analyste politique et juridique pour La Quadrature du Net.
* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-523.069%2b01%2bDOC%2bPDF%2bV0%2f%2fFR
2. Article 2(15) : « « service spécialisé », un service de communications électroniques ou un service de la société de l’information qui fournit une capacité d’accès à des contenus, des applications ou des services spécifiques, ou à une combinaison de ces derniers, ou bien la capacité d’envoyer ou de recevoir des données à destination ou en provenance d’un nombre déterminé de parties ou points terminaux et qui n’est pas commercialisé ou largement utilisé comme produit de substitution à un service d’accès à l’internet; »
3. Article 23, sur la « liberté de fournir et de se prévaloir des offres d’accès à un internet ouvert, et gestion raisonnable du trafic »
4. https://www.laquadrature.net/files/NN-Castillo-ITRE-CA.pdf
5. Voir : http://edri.org/bad-leadership-kill-open-internet-europe/ [en]
6. http://www.wepromise.eu/
Un internaute, propriétaire du compte Twitter N piraté via un social engineering bien préparé. Nous vous en parlons très souvent, le social engineering est la base du piratage informatique. Connaitre sa cible, son environnement, avant de s’attaquer à son informatique. C’est ce que vient de vivre l’ancien propriétaire du compte Twitter @N, Naoki Hiroshima. Son espace de micro blogging a été, d’après ses dires, très souvent sollicités pour être racheté. Des marketeurs lui auraient même proposé 50.000 dollars. Bref, une cible pour les pirates. L’un d’eux a pris la main sur la vie numérique de cet ancien de chez Google. L’idée, lui voler son compte @N. La méthode d’attaque : compromettre le Paypal, Facebook et GoDaddy du créateur de l’application Cocoyon et développeur d’Echofon. Le pirate a expliqué s’être fait passer pour un employé de Paypal pour récupérer les données bancaires de Naoki et récupérer quatre chiffres qui auraient donné l’occasion, ensuite, de valider son identité chez GoDaddy. « C’est difficile de dire ce qui est le plus choquant, le fait que PayPal donne les quatre derniers chiffres du numéro de ma carte de crédit par téléphone au pirate ou que GoDaddy l’accepte comme moyen de vérification ». Naoki a du fournir son compte Twitter @N au pirate afin de récupérer son compte, et ses sites web, gérés par GoDaddy. Depuis, Naoki a ouvert un nouveau Twitter baptisé @N_is_stolen, qui se traduit par N a été volé. (The Verge)
À l’occasion de l’examen du projet de loi relatif à la géolocalisation [1] par la commission des lois de l’Assemblée nationale, les députés Sergio Coronado et Lionel Tardy proposent de revenir sur certains points de l’article 20 de la loi de programmation militaire [2]. La Quadrature du Net appelle l’ensemble des parlementaires à saisir cette opportunité de revenir sur les dispositions adoptées au mois de décembre, et ce afin de répondre aux nombreuses inquiétudes exprimées par les citoyens et d’en protéger les droits fondamentaux.
Déposé dans l’urgence en décembre 2013 par Christiane Taubira, ministre de la Justice, le projet de loi sur la géocalisation a pour objectif d’encadrer plus rigoureusement la procédure de géolocalisation judiciaire, considérée [3] par la Cour de cassation comme une ingérence illicite dans la vie privée des citoyens. Adoptée dans sa version actuelle, cette loi limiterait le recours à la géolocalisation par les services de police aux seules enquêtes et instructions portant sur des infractions punies d’au moins trois ans d’emprisonnement [4], et la soumettrait à l’autorisation du procureur de la République, ou à celle d’un juge si ces mesures durent plus de huit jours.
Bien que perfectible, ce texte est surtout l’occasion d’ouvrir un débat plus urgent, sur les dangereuses ambiguïtés de la loi de programmation militaire, puisqu’il porte précisément sur l’encadrement des procédures de géolocalisation. Les députés Sergio Coronado (ECOLO) et Lionel Tardy (UMP) ont ainsi déposé deux amendements (n°CL16 [5] et n°CL1 [6]) proposant de corriger la définition trop vague des données visées par l’article 20 de la loi de programmation militaire, portant justement sur les mesures administratives de géolocalisation. Actuellement, la rédaction de cet article [7] autorise l’administration à intercepter les données de connexion (identité des correspondants, lieux, date et durée) des communications, leur contenu, ainsi que tout document stocké en ligne, et ce pour des finalités très larges et avec un contrôle bien trop faible.
L’amendement déposé par Sergio Coronado propose de lever toute ambiguïté sur cette définition afin qu’elle ne recouvre plus que les données de connexion. En effet, Jean-Jacques Urvoas, président de la commission de lois de l’Assemblée nationale [8] et membre de la CNCIS [9], avait vigoureusement défendu la loi de programmation militaire, en répondant aux nombreuses critiques exprimées par la société civile que l’article 20 ne concernait que les données de connexion [10]. Cet amendement sera débattu aujourd’hui au sein de la commission des lois de l’Assemblée nationale, lors de l’examen du projet de loi géolocalisation. La Quadrature du Net invite l’ensemble de la commission à se saisir de cette opportunité pour corriger l’ambiguïté de l’article 20, et s’assurer que la lettre de la loi corresponde sans équivoque à l’intention du législateur, telle que l’a définie à plusieurs reprises le président de cette commission Jean-Jacques Urvoas.
« Au cours des débats sur la loi de programmation militaire, le président Urvoas n’a eu de cesse d’affirmer que seule l’interception de données de connexion était en jeu. Il a aujourd’hui l’occasion de corriger certains points ambigüs de cette loi, afin de la faire correspondre aux intentions qu’il a régulièrement exprimées. Mais au-delà de cette question, l’ensemble des parlementaires devrait considérer ce projet de loi comme une opportunité de revenir sur les nombreuses autres dérives de l’article 20 de la loi de programmation militaire, qu’il s’agisse de ses finalités trop nombreuses et trop vagues, ou de l’absence d’encadrement satisfaisant à la surveillance administrative » déclare Benjamin Sonntag, cofondateur de La Quadrature du Net.
Première journée chargée pour le Forum International de la Cybersécurité qui se déroule, jusqu’au 22 janvier, au Zénith Arena de Lille. Conférences, ateliers et challenge Forensic au menu de deux jours dédiés aux problématiques de la sécurité informatique. L’occasion pour la gendarmerie nationale de présenter son « Permis Internet », une opération de sensibilisation des jeunes élèves en classe de primaire. Emmanuel Valls, Ministre de l’Intérieur, en a profité pour saluer des élèves de CME2 venus recevoir ce document scolaire qui fait de ces enfants des internautes dorénavant avertis. « Nous en avons parlé à nos parents, soulignaient les élèves. Nous avons pu leur apprendre à mieux comprendre ce qu’est l’identité numérique sur Internet et comment bien la sécuriser« .
Ethical Hacking
Durant ces deux jours, deux challenges « Forensic » sont proposés. Le premier, celui du mardi, mis en place par les enseignants et les universitaires de la licence CDAISI de l’Université de Valencienne, antenne de Maubeuge. Sténographie, recherche d’informations cachées dans des images, analyses de son, gestion du … morse, analyse de trame, jouer avec un son stéréo et analyser ses… silences. Trente équipes (France, Belge, Bénin, …) ont participé à cette première pour le FIC. Un challenge qui permet, aussi, aux étudiants, chercheurs ou professionnels travaillant pour Thalès, Google de croiser la souris et les techniques de hack. « Appréhender, évaluer les épreuves, explique Octave, étudiant en 3ème année CDAISI, Nous nous sommes concentrés sur la question – Comment cacher un mot de passe – Nous avons auto testé nos épreuves en cours, avec nos professeurs. » Des créations d’épreuves qui sont intégrées dans le cursus des futurs diplômés, sous forme de projets. Lors du challenge ACISSI, les recruteurs, venus scruter, poser des tonnes de questions. Bref, les challenges se démocratisent, les langues se délient et les « décideurs » peuvent enfin de pencher sur ces têtes biens faîtes. Dommage, cependant, que le Ministre de l’Intérieur n’a pas pris 30 secondes pour venir saluer, voir s’intéresser (alors qu’il a frolé l’espace du challenge ACISSI), aux participants. Il aurait pu croiser des « hackers ethiques » français, des vrais, étudiants ou salariés dans de très importantes entreprises hexagonales ou… tout juste débauché par l’Américain Google. Il est vrai que le nid de lobbyiste qui l’entourait lui donner plutôt envie d’accélerer le pas, que de rester devant ce qui est véritablement la sécurité informatique de demain… des hommes et des femmes qui réfléchissent plus loin qu’une norme ISO et un bouton à pousser proposés par un logiciel d’audit !
A noter que Data Security Breach et zataz.com diffuseront dans quelques heures les réponses aux épreuves du Challenge FIC 2014 ACISSI.
CECyF
Pas de doute, l’argent va couler à flot dans le petit monde de la sécurité informatique. Le milliard d’euro annoncé par le Ministre de la Défense, dans le cadre de la sécurisation des infrastructures informatiques du pays, fait briller les petits yeux des commerciaux. Il suffit de voir le nombre de CERT privés sortir du terre pour s’en convaincre… tous avec LA solution miracle de prévention, sécurisation, …
Mardi après-midi, à l’occasion du Forum international sur la Cybersécurité ont été signés les statuts du CECyF, le Centre Expert contre la Cybercriminalité Français. Le CECyF est une association qui rassemble les acteurs de la lutte contre la cybercriminalité : services d’investigation, établissements d’enseignement et de recherche, entreprises impliquées dans la cybersécurité ou impactées par la cybercriminalité. L’association sera aussi ouverte à des adhérents individuels qui souhaiteraient participer aux projets du CECyF (notamment des chercheurs ou des étudiants). Le CECyF se veut un espace de rencontre et de créativité en matière de lutte contre la cybercriminalité. Il a pour vocation de favoriser les projets collaboratifs en la matière en aidant à la recherche de financements et en proposant un soutien juridique et opérationnel (communication, conférences, hébergement de plateformes collaboratives de développement, etc.).
Les premiers projets proposés aux membres au cours de l’année 2014 concerne les thématiques suivantes :
– développement d’outils opensource d’investigation numérique ;
– contribution à la création de supports de sensibilisation aux cybermenaces ;
– développement de formations à distance pour les services d’investigation, mais aussi les acteurs du secteur privé ou des collectivités locales ;
– partage d’informations et nouvelles études sur les besoins en formation et cartographie des formations disponibles ;
– participation des membres à des conférences existantes pour dynamiser les échanges entre les différentes communautés sur les différents aspects de la prévention et de la lutte contre la cybercriminalité : Journées francophones de l’investigation numérique de l’AFSIN, Botconf, SSTIC, conférences du CSFRS, de Cyberlex, etc.
Le CECyF s’inscrit dans le projet 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education), un réseau de centres d’excellence européens visant le développement et la mise en œuvre de projets de recherche et de formation coordonnés, associant des services enquêteurs, des établissements d’enseignement et de recherche, ainsi que des spécialistes des industries des technologies numériques. Le premier d’entre eux, dénommé 2CENTRE, a reposé sur les relations préexistant en Irlande et en France. D’autres pays travaillent à l’établissement d’un centre d’excellence national, en particulier la Belgique avec BCCENTRE, mais aussi l’Allemagne, la Bulgarie, l’Estonie, l’Espagne, la Grèce, le Royaume-Uni, la Roumanie et la République Tchèque. Pour le moment, au sein du CECyF, la gendarmerie, la police nationales, les douanes, des écoles d’ingénieurs et universités (EPITA, enseigné privé), l’Université de Technologie de Troyes, Orange, Thalès, Microsoft France et CEIS (Organisateur du FIC).
Allocution de Manuel Valls, ministre de l’Intérieur
Vous n’y étiez pas, pas d’inquiétude. Data Security Breach vous propose l’allocution de Ministre de l’Intérieur effectuée mardi, lors du lancement du Forum Internet de la Cybersécurité.
A la même époque, l’année dernière, j’avais le plaisir de clore les travaux de la 5ème édition du Forum International de la Cybersécurité. C’est avec un plaisir renouvelé que je viens, aujourd’hui, ouvrir cette 6ème édition. Je tiens, tout d’abord, à féliciter et à remercier le conseil régional du Nord Pas-de-Calais, et son premier vice-président Pierre de SAINTIGNON, pour l’organisation de cette manifestation, conduite en partenariat avec la gendarmerie nationale et CEIS. La qualité des invités, la présence de membres de gouvernements étrangers, que je salue chaleureusement, témoignent de la réputation désormais établie de cet espace de réflexion et d’échanges, lancé en 2007. Le caractère précurseur de cette initiative montre combien la gendarmerie, au même titre que la police nationale, sont des institutions en phase avec leur temps.
Nous tous sommes – et chaque jour davantage – immergés dans un monde de données. Nous les créons, les exploitons, les transmettons, faisons en sorte de les protéger. Ces données sont intellectuelles, commerciales, juridiques, ou encore financières et fiscales. Elles sont, aussi et surtout, des données d’indentification, constitutives de notre identité numérique. Elles disent ce que nous sommes, ce que nous faisons. Et même ce que nous pensons.
Cette identité est, par définition, précieuse. Elle peut cependant être attaquée, détournée, usurpée. Ces atteintes nuisent alors profondément à la confiance, pourtant indispensable pour l’essor du cyberespace. Face à cela, chaque acteur a une responsabilité et un rôle à jouer. L’État joue pleinement le sien. Il doit assurer dans la sphère virtuelle – autant que dans la sphère réelle – la sécurité de nos concitoyens, mais aussi celle de nos entreprises et plus largement des intérêts de la Nation. Cette action intervient dans un cadre indépassable, celui du respect des libertés fondamentales : respect de la vie privée et de la liberté d’expression. Le débat autour de la géolocalisation illustre bien ma volonté de concilier liberté et sécurité.
La géolocalisation permet en effet de connaitre en temps réel ou en différé les déplacements d’une personne. Cette technique d’enquête est utilisée dans le domaine judiciaire mais aussi dans le domaine administratif et préventif. En matière judiciaire, nous avons immédiatement réagi aux arrêts de la cour de cassation. Avec la Garde des Sceaux, nous avons rédigé un texte qui répond désormais aux exigences de la CEDH et de la Cour de Cassation. Il est actuellement soumis au Sénat, dans le cadre de la procédure accélérée. En matière administrative, l’article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l’ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991.
Nous aurons donc d’ici quelques semaines un arsenal juridique complet et solide, confortant l’action des services de renseignement et de la police judiciaire. A la lumière de l’actualité récente [enrôlement de mineurs dans le Jihad], je m’en félicite. Lutter contre les cybermenaces demande d’intégrer une triple exigence :
tout d’abord, en avoir une bonne connaissance, sans se limiter à la cybercriminalité ;
ensuite, adapter les réponses opérationnelles, en portant, notamment, une attention particulière à la politique de prévention ;
enfin, mieux piloter et coordonner les moyens engagés et les différents services impliqués.
Ce sont ces trois exigences que je veux détailler devant vous.
1. Face à une sphère virtuelle en mutation permanente, une connaissance des usages et des menaces potentielles est indispensable. Nous sommes, en effet, devant un phénomène en pleine expansion ; un phénomène complexe et global, mal appréhendé par un droit qui est soit peu adapté, soit en construction, et en tout cas sans réelle cohérence.La cybercriminalité nous renseigne de façon parcellaire sur l’état réel de la menace : que sont les 1 100 faits d’atteintes aux systèmes d’information dénoncés aux services de police et aux unités de gendarmerie, en 2011, par rapport à la réalité vécue par les entreprises et les administrations ? Un simple aperçu !
La plateforme PHAROS de signalement de contenus illicites de l’Internet, opérée par l’OCLCTIC, donne un éclairage complémentaire. Avec près de 124 000 signalements en 2013, elle atteint un nouveau record, signe de la vigilance des internautes. Nous devons être en mesure d’appréhender des menaces toujours plus diverses : risques de déstabilisation de l’activité économique, atteintes à l’e-réputation, menaces pesant sur l’ordre public et la sécurité du territoire mais aussi radicalisation, embrigadement, recrutement par des filières terroristes et diffusion de messages de haine (racistes, antisémites, antireligieux, homophobes…).
Je veux insister devant vous sur la lutte contre les messages antisémites et racistes sur internet qui passe bien entendu, par la fermeté et le refus de la banalisation de la haine. Mais elle passe aussi par une responsabilisation du public. Ainsi, la décision du Conseil d’Etat relative au spectacle de Dieudonné M’bala M’bala aura permis une prise de conscience.
Elle passe enfin par un travail avec les acteurs du net et notamment les réseaux sociaux comme nous l’avons fait avec Twitter. Ainsi, grâce à la concertation conduite avec cet opérateur, des engagements de sa part
ont pu être obtenus concernant :
– la suppression des contenus illicites : Twitter a mis en place des techniques permettant de restreindre l’affichage des contenus prohibés dans les seuls pays où ils sont illicites [exemple des contenus xénophobes et discriminatoires illicites en France mais pas aux USA] ;
– le gel de données : Twitter s’engage à procéder au gel de données d’enquête sur simple courriel sans aviser ses utilisateurs si les enquêteurs demandent expressément à ce que ces mesures restent confidentielles ;
– l’obtention de données d’enquêtes : Twitter communique des données sur simple réquisition pour des affaires non urgentes mais d’une particulière gravité, qualifiées de serious crimes. Des travaux sont encore à cours sur ce sujet ;
– le déréférencement des hashtags : Twitter déréférence les hashtags à succès mais illicites quand ils apparaissent dans les « tendances » de sa page d’accueil, pour limiter leur résonnance. De telles mesures ont déjà été prises à la demande des autorités ou d’associations françaises telles que SOS Homophobie ;
– un référent pour la France concernant le respect des obligations légales.
D’autres travaux se poursuivent pour : – rendre plus accessible le formulaire de signalement public, – développer les partenariats avec les acteurs français d’internet : SAFER Internet (protection des mineurs), SOS Homophobie, SOS Racisme, etc. ; – développer un formulaire en ligne destiné à faciliter les démarches officielles des enquêteurs internationaux. Le réseau mondial est aussi celui où se rencontrent, se fédèrent, se préparent, souvent dans l’obscurité, les pires intentions. Internet est un lieu de liberté certes, mais cela ne doit pas être une zone de non droit où l’on pourrait tout se permettre. Les menaces de l’Internet concernent tout le monde, ne serait-ce que du fait de la progression de la fraude sur les moyens de paiement à distance. Mais elles ciblent, en particulier, les plus jeunes. Une étude récente a ainsi souligné que 40% des élèves disent avoir été victimes d’une agression en ligne. Nous devons donc mettre en œuvre des politiques publiques à la hauteur de ces enjeux.
Des enjeux qui sont éclairés par un travail qui va au-delà de nos frontières. Le monde virtuel n’en connaît pas. A ce titre, je veux saluer la contribution du centre de lutte contre la cybercriminalité EC3 d’Europol. En un an, il contribué à la résolution de plusieurs dossiers d’enquête complexes et permis de compléter la vision des risques cyber auxquels nous, pays européens, sommes confrontés. Seule une démarche globale peut nous permettre de prendre la mesure d’une menace elle-même globale.
Ceci passe par une approche décloisonnée ; décloisonnée entre services, entre matières. Travaux de recherches, observatoires thématiques, veille des réseaux numériques, surveillance des activités des groupes criminels et terroristes, alertes sur la sécurité des systèmes d’information : c’est l’ensemble de ces démarches qui permettent d’appréhender les risques et de piloter au mieux la réponse opérationnelle.
2. De nombreuses actions sont mises en oeuvre, chaque jour, pour contrer ces nouvelles formes de menaces qui ont chacune leur spécificité3 Je connais la mobilisation des acteurs européens, étatiques, industriels. Je vais visiter, dans quelques instants, les stands des partenaires institutionnels, des industriels, des PME-PMI, des écoles et des universités. Je sais que leur objectif commun est d’améliorer la confiance dans l’espace numérique, de proposer un cyberespace plus sûr et protecteur de nos libertés fondamentales.
Je sais que les attentes les plus grandes à l’égard de l’action de l’État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d’information, les fraudes, l’espionnage industriel.
Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€. Pour l’une d’entre elle, les escrocs ont pris la main sur le système d’information de la société pour finaliser la transaction. Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s’adapter à une concurrence internationale de plus en plus forte.
La loi de programmation militaire, récemment adoptée, renforce le dispositif de protection des entreprises les plus sensibles. Elle conforte et amplifie le rôle de l’Agence nationale de la sécurité des systèmes d’information – dont je salue le directeur présent aujourd’hui – dans le contrôle de nos opérateurs d’importance vitale. Cette mesure était prioritaire. Au-delà, les entreprises qui forment notre tissu économique, bénéficient au quotidien de l’action des services de la police et des unités de la gendarmerie qui les sensibilisent aux cyber-risques dans le cadre de leurs missions d’intelligence économique. Cette action territoriale, s’adressant tant aux grandes entreprises qu’aux PME-PMI participe de la réponse globale de l’État.
Une réponse qui doit concerner l’ensemble de nos concitoyens. J’ai d’ailleurs la conviction que le niveau de sensibilisation à la cybersécurité est encore insuffisant et que nous avons, dans ce domaine, de grandes marges de progression. Aussi, je me félicite des initiatives de la police et de la gendarmerie à destination des plus jeunes, à l’image de l’opération « Permis Internet » mise en place par la gendarmerie nationale, en partenariat avec AXA Prévention. Je viens d’ailleurs de remettre des « Permis Internet » aux élèves de CM2 de l’école Roger Salengro
d’Hallennes-lez-Haubourdin. Au sein de leur établissement scolaire, depuis quelques semaines, ils apprennent à utiliser en sécurité l’Internet, à mieux identifier les dangers auxquels ils peuvent être confrontés. Ils deviennent donc des Internautes avertis.
L’année dernière, je m’exprimais devant vous à l’issue de longs débats sur la loi antiterroriste. Je vous avais alors fait part de ma volonté et de celle du gouvernement de lutter plus efficacement encore contre le cyber terrorisme. Plus largement, renforcer notre efficacité en matière de cybercriminalité nécessite de prendre un certain nombre de mesures : adapter notre arsenal juridique, coordonner l’action de tous les services de l’État, sécuriser les titres d’identité et leur exploitation ou encore améliorer la formation des personnels de tous les ministères concernés. C’est pourquoi, j’ai souhaité la constitution d’un groupe de travail interministériel, réunissant, sous la présidence d’un haut magistrat, des représentants des ministères de l’Economie et des Finances, de la Justice, de l’Intérieur et de l’Economie numérique. Les travaux menés, depuis l’été 2013, sous la présidence du procureur général Marc ROBERT, sont achevés. Les conclusions seront remises aux quatre ministres dans les prochains jours.
J’attends des propositions ambitieuses, notamment en termes de techniques d’enquête ou de recueil et de traitement des plaintes. J’attends, également, des propositions permettant d’améliorer l’organisation de nos services et d’offrir aux citoyens un dispositif plus lisible et plus proche de leurs préoccupations. Il s’agira naturellement, à court terme, et en parallèle des évolutions de l’organisation du ministère de la Justice, de renforcer les capacités d’investigation pour les infractions spécifiques liées au monde cyber en s’appuyant sur les enquêteurs spécialisés en technologies numériques de la gendarmerie et de la police.
3. Je souhaite également qu’au sein du ministère de l’Intérieur soit menée une réflexion de fond pour développer une capacité fine de pilotage et de coordination dans la lutte contre les cybermenaces. Nous devons fédérer les actions des différents services, faire le lien entre les capacités d’anticipation, la politique de prévention, les efforts de recherche et développement et les dispositifs de répression.
L’attention que je porte aux moyens consacrés, au sein du ministère de l’Intérieur, à la lutte contre les cybermenaces s’étend bien évidemment à ceux dédiés à la sécurité et la défense de ses propres systèmes d’information. Les systèmes d’information mis en oeuvre pour la sécurité intérieure et pour la conduite de l’action territoriale de l’État ne peuvent souffrir d’aucun manquement à leur propre sécurité. Ces outils permettent, au quotidien, l’action de notre administration, de nos forces. Le ministère de l’Intérieur est ainsi engagé au premier chef dans les démarches entreprises par les services du Premier ministre, afin de renforcer et garantir la sécurité de nos systèmes d’information.
J’ai donc demandé aux directeurs de la gendarmerie et de la police nationales de me proposer une stratégie de lutte contre les cybermenaces, sous trois mois, et de définir un véritable plan d’action. Cette réflexion s’appuiera sur les compétences développées au sein du ministère mais devra également, le cas échéant, définir ce qui nous manque. Elle pourra déboucher sur des évolutions structurelles. En outre, dans le cadre de la réforme des statistiques, j’avais demandé que l’on améliore la mesure des phénomènes de cyber-délinquance, et ce dans le cadre rigoureux des principes de la statistique publique. Les travaux de conception sont désormais bien avancés et je demanderai au chef du nouveau service statistique ministériel (SSM), dès sa prise de fonction fin février, de se prononcer sur le nouvel indicateur composite. Celui-ci devra clairement distinguer les atteintes directes aux systèmes d’information, les infractions liées aux contenus, les fraudes et escroqueries réalisées par l’internet, etc. Il est grand temps d’améliorer la qualité, la disponibilité et la régularité des données publiques sur ces enjeux fondamentaux de sécurité.
Enfin, si la sécurité du cyberespace relève en premier lieu de l’État, elle passe, aussi, nécessairement, par une mobilisation autour de partenariats avec le monde académique et les acteurs privés, fournisseurs de services et industriels de la sécurité des systèmes d’information.
Aussi, je salue la création cet après-midi, dans cette même enceinte, du « centre expert contre la cybercriminalité français (CECyF) », qui associera dans un premier temps la gendarmerie et la police nationales, les douanes, des écoles d’ingénieurs et universités – l’EPITA, l’Université de Technologie de Troyes – et des industriels – Orange, Thalès, Microsoft France et CEIS. Ce centre permettra l’émergence d’une communauté d’intérêts autour de la lutte contre la cybercriminalité. Les objectifs sont clairs : contribuer à la réflexion stratégique dans ce domaine, développer des actions de formation et encourager la mise au point d’outils d’investigation numérique et de travaux de recherche.
Mesdames, messieurs, Chaque époque connaît des mutations techniques, technologiques. Elles sont porteuses de progrès pour nos sociétés tout en générant des contraintes, des menaces nouvelles qu’il faut savoir intégrer. Comme vous le voyez, les pouvoirs publics se sont pleinement saisis des enjeux liés au monde cyber. Chaque phénomène, chaque menace doit pourvoir trouver une réponse adaptée. Mais l’essor du réseau mondial nous oblige à agir en réseau, à mobiliser l’ensemble des acteurs pour assurer la cybersécurité, c’est-à-dire simplement la sécurité de tous.
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.
Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.
Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix.
Cette campagne est menée par :
– Access Now (Bruxelles)
– Digitale Gesellschaft e.V (Allemagne)
– European Digital Rights (EDRI) (Bruxelles)
– Initiative für Netzfreiheit (Autriche)
– La Quadrature du Net (France)
Pendant ce temps, chez l’Oncle Sam, Un tribunal local vient de notifier que des portions de règles relatives à la neutralité du net ne s’appliqueraient plus aux Fourniseurs d’Accès à Internet. L’affaire a débuté quand Verizon et la Federal Communications Commission (FCC), le régulateur télécom américain ont décidé de se confronter à grands coups d’avocats. La justice US a annoncé que la FCC n’avait plus le droit de contraindre les FAI à traiter de manière équivalente l’ensemble du trafic. Depuis 2010, les ISP doivent accorder la priorité à du trafic spécifique (site web, …). Sauf qu’avec la décision de la justice américaine, c’est celui qui mettra le plus de dollars sur la table qui pourra se targer d’avoir un plus gros tuyaux. Bref, Youtube (Google) pourra écraser ses concurrents. Une manipultation du trafic qui devra donné lieu à communication auprès des internautes touchés par ce « péage ». La FCC a expliqué à The Verge qu’elle va continuer à lutter pour la neutralité du net. Bref, couper certains services et sites web risque d’être une nouvelle mode, d’ici quelques semaines.
Le président Obama a ordonné la fin de la collecte « en vrac » des messages téléphoniques des Américains. Vendredi, il est revenu sur la vaste restructuration des programmes de surveillance qui ont « ponctionné » les données de millions de citoyens américains. Une cybersurveillance exposée, l’an dernier, par l’ancien analyste du renseignement Edward Snowden.
Obama a appelé la National Security Agency (NSA) à renoncer au contrôle de son énorme base de données de relevés téléphoniques, à la mise en place d’un tribunal des programmes de surveillance, et l’arrêt des écoutes de dirigeants étrangers, alliés des États-Unis. Mais n’applaudissons pas trop vite, la surveillance continuera, mais avec des contrôles plus stricts.
Dans son discours donné ce vendredi au ministère de la Justice, M. Obama a appelé à une « nouvelle approche« . Un plan de transition doit être élaboré d’ici le 28 mars, autant dire un travail d’Hercule qui risque d’accoucher d’une souris. Le 28 mars étant la date butoir de la fin de la collecte de « métadonnées » par la NSA. Collecte qui a débuté après les attentats du 11 septembre 2001. « Dans notre empressement à répondre à des menaces très réelles et nouvelles (…) nous avons une eu réelle possibilité de perdre certaines de nos libertés fondamentales dans cette poursuite de la sécurité. Cela est particulièrement vrai lorsque la technologie de surveillance et de notre dépendance sur l’information numérique évolue beaucoup plus vite que nos lois. » Le Président Américain a indiqué que dorénavant, le programme de surveillance fonctionnera en deux étapes « À compter de maintenant, nous allons seulement suivre des appels téléphoniques qui sont associés à une organisation terroriste (…) J’ai demandé au procureur général de travailler avec le Foreign Intelligence Surveillance Court de sorte que pendant cette période de transition, la base de données (des métadonnées, Ndr) pourra être interrogée qu’après une décision judiciaire, ou dans une véritable situation d’urgence. » Obama a également demandé au Congrès à créer un groupe de « défenseurs publics » qui pourra représenter les intérêts de la vie privée. Pour rappel, les données collectées par la NSA comporteraient uniquement le numéro de téléphone de l’émetteur, la durée de l’appel et le numéro qu’il a composé.
Surveillance des alliés
Le président Obama a également abordé un autre programme de surveillance de la NSA, celui qui implique la collecte des courriers électroniques et des appels téléphoniques de cibles basées à l’étranger, y compris quand ils sont en contact avec des citoyens ou des résidents américains. Obama a déclaré que la nouvelle directive « indiquera clairement ce que nous pouvons et ne pouvons pas faire. »
Dorénavant, les Etats-Unis vont utiliser le renseignement que « pour des raisons de sécurité nationale légitimes(…) et non plus pour donner aux entreprises américaines un avantage concurrentiel. » En ce qui concerne les alliés, Barack Obama a expliqué qu’il allait préférer prendre son téléphone pour poser la question directement aux chefs d’Etat que de lancer une opération d’espionnage.
La directive d’Obama s’applique à la collecte de la NSA et précise que cette « moisson » ne doit être utilisée que pour la lutte contre le terrorisme, la prolifération des armes de destruction massive et les cybermenaces, pour la lutte contre la criminalité transnationale et à la protection de l’armée américaine et les forces alliées.
Obama a taclé la Russie et la Chine qui ont ouvertement et bruyamment critiqué les actions de la NSA, en indiquant qu’il ne voyait pas ses deux pays avoir une discussion ouverte sur « leurs programmes de surveillance et la gestion de la vie privée de leurs citoyens« .
Pendant ce temps, en Europe
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.
Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.
Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix. Cette campagne est menée par : Access Now (Bruxelles) ; Digitale Gesellschaft e.V (Allemagne) ; European Digital Rights (EDRI) (Bruxelles) ; Initiative für Netzfreiheit (Autriche) et La Quadrature du Net (France). (WP)
Décidément, les fuites de données sont légions ces derniers temps, surtout celles qui sont dues à la mauvaise manipulation d’un être humain. Nouveau cas en date, Pôle Emploi, un courriel baptisé « opportunité de formation« .
Les récipiendaires de la missive se sont retrouvés avec un fichier Excel baptisé SCAMAI contenant pas moins de 2119 noms, prénoms et emails. Les identités ont dû servir au publipostage de Pôle Emploi. Dans ce cas, l’agence Pôle Emploi Cadres Paris Diderot et le Conseil Régional Ile de France sont la source de cette fuite. Bien entendu, l’adresse utilisée pour la diffusion de ce « courriel » reste lettre morte. En fait, c’est l’adresse qui est morte « service-candidat@pole-emploi.fr – L’adresse de messagerie que vous avez entrée est introuvable » annonce, laconique le message d’alerte. Pas vraiment envie de communiquer ?
A noter que se plaindre auprès de la CNIL ne sert à rien. Le site de la CNIL est fait pour que ce soit Pôle emploi qui signale la boulette et non les milliers de personnes touchées par cette fuite d’informations. La seule procédure proposée serait de faire un courrier recommandé auprès de l’agence.
Ce n’est pas nouveau… et c’est inquiétant En août 2013 un autre courrier de Pôle Emploi diffusait les identités de demandeurs. A cette époque, c’est l’option CCi (adresses mails cachées, Ndr) qui avait été oubliée permettant la mise en pâture de 150 personnes. A l’époque, la CNIL n’avait pas communiqué sur une probable saisine, comme l’oblige la loi Française depuis 2011, et l’Europe depuis le 25 août dernier, sur les actions menées pour alerter les personnes touchées par la boulette.
Les risques ?
Les données concernant des demandeurs d’emploi, voilà qui pourrait attirer les escrocs du web, comme les pirates spécialisés dans le blanchiment d’argent en offrant de faux contrat de travail (mais vrai recrutement de mules, Ndr) comme ce fût le cas, en novembre dernier, avec 6 escrocs (et plus de 1 millions d’euros détournés) via de fausses petites annonces. (Merci à D.)
Attention, ceci peut vous concerner car il s’agit de routeur « grand public » ou utilisés par certains opérateurs. Sur du matériel personnel, il est conseillé de flasher le firmware avec une solution DD-WRT (http://www.dd-wrt.com/site/index). Pour les routeurs d’opérateurs, vous pouvez demander des explications afin d’être rassurés sur la sécurité de vos informations/connexions. Pour Netgear et LinkSys, les backdoors découvertes dans les boitiers permettent d’interroger le harware à distance. Un accès aux parametres, mot de passe et aux programmes.
Pour Siemens, c’est un chercheur de chez IOActive qui a découvert deux vulnérabilités dans les commutateurs Ethernet Siemens. Des failles qui peuvent permettre à un attaquant distant d’exécuter des opérations administratives sans passer par la case « mot de passe ». Les vulnérabilités ont été découvertes par Eireann Leverett, consultant en sécurité principal pour IOActive. Les failles ont été signalées à Siemens.
La première vulnérabilité (CVE-2013-5944) pourrait permettre à des pirates d’effectuer une opération administrative sur le réseau sans authentification. La deuxième vulnérabilité (CVE-2013-5709) offre la possibilité à un acteur malveillant de détourner des sessions Web sur le réseau sans authentification. Siemens a annoncé fournir un patch de sécurité dans les trois mois. Les clients Siemens doivent appliquer le SCALANCE X-200, une mise à jour du firmware. (Baidu)
Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s’adapter aux flots de données que déverse le numérique. Relèvent-ils ce pari 2.0 ? Quels sont leurs outils d’investigation ? Découverte ! C’est dans la caserne d’Arras, au sein du Groupement de la Gendarmerie Départementale (commandé par le Colonel Jérôme Bisognin), que les rédactions de zataz.com et datasecuritybreach.fr ont été invitées à rencontrer les N’Tech, les cybergendarmes du Pas-de-Calais. L’occasion pour les quatre Sherlock Holmes 2.0 de la Cellule d’Investigations Criminelles de nous présenter une partie de leurs outils d’investigations numériques.
Vous avez perdu votre téléphone portable ? Un malveillant tente d’y accéder ou vient de vous le voler. Voici notre top 3 DataSecurityBreach.fr des outils qui devraient vous servir afin de vous protéger, et protéger votre précieux. L’article sur comment sécuriser sa tablette vous a particulièrement intéressé. Nous nous sommes dit que nos téléphones, de plus en plus couteux et aux contenus de plus en plus sensibles méritaient aussi un véritable focus.
L’idée de cet article m’est venu aussi en lisant un Tweet envoyé par un lecteur, sur le twitter de ZATAZ Media : @zataz. Le papa du lecteur a eu son iPhone volé. Fier de lui, le voleur a tenté d’y accéder… seulement il n’a pas pensé au système antivol embarqué. Bilan, le « monte en l’air » s’est retrouvé en photo… sur le web. « Le #Voleur s’est fait grillé en mettant sa photo après le vol du téléphone de mon père #Abidjan #civ225 @zataz » s’amusait notre lecteur. Plus drôle encore, une américaine, Danielle Bruckman, a diffusé un an de photos de son voleur. L’idiot ne s’étant pas rendu compte que chaque cliché qu’il prenait de lui fût communiqué et sauvegardé sur le cloud de la belle. Bref, vous allez voir que surveiller et tracer une smartphone est très simple et n’oblige pas l’internaute à être un agent de la NSA et utiliser l’outil DROPOUTJEEP pour surveiller un iPhone.
Comment faire ?
Il existe pléthore d’outils qui vont vous permettre de protéger votre précieux. Etre alerté par SMS (sur un autre téléphone), par eMail, via une photo, un plan, une données GPS, … Voici notre sélection. N’hésitez pas à nous proposer votre choix.
LockWatch
Efficace, rapide d’installation, l’outil fonctionne sous Android. Il permet de recevoir la photo de toutes personnes rentrant un mauvais mot de passe dans votre téléphone. Il est possible de configurer le nombre d’essai. En plus de sa photographie, un plan et l’adresse du lieu d’utilisation du téléphone est envoyé par courrier électronique. Totalement transparent, le « curieux » ne voit pas l’intervention de LockWatch. Il est possible de configurer l’option « fausse alerte ». Dès que le bon mot de passe est tapé, aucune alerte n’est envoyée.
Lockout security
Même ordre d’idée que LockWatch. LockOut propose un service gratuit qui vérifie la sécurité de vos applications, la sauvegarde de vos contacts. Une version premium, donc payante, rajoute une sauvegarde sur le cloud de vos photos et journaux d’appels, une protection de vos informations en analysant les capacités des applications à intercepter vos données confidentielles. Les deux options, gratuites et payantes, proposent un plan pour retrouver le portable égaré. Il est possible de faire retentir une sirène, faire vibrer et clignoter l’écran de l’appareil pour retrouver la bête. Coût de la version premium, 24,99€ par mois. A noter un paiement possible pour acheter Lockout Security via le smartphone (sic!). A noter que l’outil, version gratuite, est proposée dans les smartphones Orange.
Samsung dive
Une application disponible uniquement pour smartphone Samsung. Samsungdive permet de localiser la position actuelle du mobile perdu ainsi que l’historique des déplacements durant les 12 dernières heures. Vous pouvez verrouiller votre mobile à distance afin que personne d’autre ne l’utilise. Une alerte peut sonner pendant 1 minute, quels que soient les réglages du son et de la vibration du mobile. Un contrôle des appels peut être effectué via les journaux sauvegardés. Samsung Dive a une petite finesse que Data Security Breach vous conseille de surveiller. Il est possible, à distance, via le site web de Samsung, de déverrouiller votre tablette/smartphone protégé par un mot de passe. Bref, faire sauter la protection d’entrée, en un seul clic de souris. A contrôler sans modération car une fois déverrouillé, le matériel n’est plus protégé. Il faut lui implémenter un nouveau password.
Autre outil à ne pas rater, Cerberus. Commercialisé moins de 3 euros il propose une série d’options qui méritent de s’y pencher. Cerberus permet de protéger 5 téléphones avec le même compte. Il est possible de contrôler l’appareil à distance depuis le site web cerberusapp.com ; contrôle à distance par SMS et de vérifier la carte SIM et d’être alerté en cas du clonage de la puce et de son utilisation dans un autre téléphone. Des options de sécurité classique, mais des « bonus » qui sont étonnants comme enregistrer le son depuis le micro du smartphone ou encore avoir des informations sur le réseau et l’opérateur utilisé par le smartphone. Il est aussi possible d’afficher les SMS sauvegardés dans le téléphone ou encore avoir accès au journal des appels. L’application fonctionne même si vous n’avez pas de connexion internet, via la carte SIM. L’outil est bluffant et… flippant. Autant dire que la sécurité du site web a intérêt à être blindé de chez blindé, tout comme le mot de passe que vous allez employer.
Mise à jour :PlaymoGeek nous indique que l’outil Avast Mobile et Security fonctionne aussi très bien. « je l’ai testé pour mon mobile volé« . La version Premium ne coûte que 15 euros par an.