Denis JACOPINI sur LCI : Les techniques des cybercriminels pour pirater votre CB

En direct sur LCI avec Serge Maître Maître, président de l’AFUB (Association Française des Usagers des Banques) et Nicolas CHATILLON, Directeur du développement-fonctions transverses du groupe BPCE et Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité débattent le 7 mars 2016 sur les techniques des cybercriminels pour vous pirater votre CB.

http://lci.tf1.fr/france/societe/cartes-bancaires-les-fraudeurs-ont-toujours-une-longueur-d-avance-8722056.html

Une liste non exhaustive avec 10 techniques de cybercriminels pour vous pirater votre carte bancaire :
http://www.lenetexpert.fr/10-techniques-de-cybercriminels-pour-vous-pirater-votre-carte-bancaire/

Le phishing, ça c’était avant : place aux fraudes au paiement par autorisation dans lesquelles on vous fait dire OK par téléphone

Le APP (Authorised Push Payment Fraud – fraude au paiement par autorisation) serait une des techniques de fraude en forte croissance au Royaume Uni, et combinerait des techniques sophistiquées, au travers de SMS et d’appels, pour soutirer de l’argent aux victimes. 19 370 cas auraient été répertoriés au Royaume Uni au cours de ces 6 derniers mois selon le daily mail. Quelles sont les techniques ici employées ? La France est-elle touchée ? 

Denis Jacopini : Cette technique de fraude utilise de nombreux ingrédients de base :

• L’ingénierie sociale (pratique utilisant des techniques de manipulation psychologique afin d’aider ou nuire à autrui)
• L’usurpation (d’identité);
• Le passage en mode émotionnel par la peur ;
• L’interlocuteur est votre sauveur et est là pour vous aider.

Dans le cas précis, nous avons aussi :

• L’usurpation du nom de la banque ;
• L’usurpation du numéro de téléphone de la banque ;
• Le passage en mode émotionnel de la victime basé sur la peur du piratage mais heureusement elle est en ligne avec un sauveur (baisse de la prudence, confiance aveugle…) ;
• La création d’une ambiance téléphonique de centre d’appel ;
• Un excellent comédien qui joue le rôle de l’employé de banque ;
• Une excellente connaissance des procédures internes des banques dont la banque usurpée.

En France, ce type d’arnaque n’est pas encore médiatisé. En effet, les banques n’aiment pas tellement communiquer sur leurs failles car :

• Ce n’est pas bon pour leur image ;
• Elles sont ensuite obligées de dépenser beaucoup pour corriger ;
• Elles préfèrent investir lorsque la fraude commence à leur coûter plus cher que les mesures de sécurité à mettre en place (gestion du risque).

Ces nouvelles techniques de fraude marquent elles une réelle professionnalisation de cette forme de criminalité ? 

Denis Jacopini : Cette forme de criminalité existe depuis très longtemps et n’a pas attendu l’informatique et Internet pour se développer et se professionnaliser. Prétexter un gros risque et usurper l’identité des pompiers, des policiers, du plombier en utilisant leur costume, leur jargon, leur outils pour vous rassurer et reviennent ensuite pour mieux vous arnaquer ou vous cambrioler existe depuis que les escrocs existent.

Plus récemment, Gilbert Chikli Pionnier de l’arnaque au faux président, utilisait des techniques de manipulation psychologique et se servait de sa parfaite connaissance des procédures internes aux très grandes entreprises et sa maîtrise du langage juridique ou financier en fonction de l’identité de la personne usurpé pour obtenir de ses victimes des virements définitifs pour des sommes détournées de plusieurs dizaines de millions d’euros.

Chaque fois que des techniques d’arnaque ou d’escroquerie sont déjouées, décortiquées et dévoilées au grand jour, il y a des millions d’escrocs du dimanche vont analyser l’arnaque pour la reproduire et l’utiliser pour eux. Une fois que l’arnaque commence à être connue et de plus en plus de gens sont sensibilisés, les escrocs professionnels et utilisant leur génie à des fins illicites modifient leurs techniques pour toujours utiliser des moyens basés sur les ingrédients de base + des failles inexploitées utilisant ou non la technologie.

Comme les banques ont mis en place des mesures de sécurité utilisant l’internet, le SMS, le téléphone, les escrocs utilisent ces mêmes technologies en recherchant le moyen d’exploiter les failles qui ne seront jamais suffisamment protégées : Les failles du cerveau humain.

Quels sont les réflexes à avoir pour éviter tout problème de ce type ?

Denis Jacopini : Le seul moyen que nous avons pour nous protéger est d’une part la prudence ultime en plus de la sensibilisation. Selon moi, les médias devraient signaler ce type d’arnaque afin de sensibiliser le plus grand nombre. Cependant, cette solution ne plait pas aux banques qui considèrent inutile de répandre la peur car cela risquerait d’écorcher de manière irréversible la confiance que nous avons mis des années à avoir envers les moyens de paiement électronique sur Internet.

A notre niveau, si j’ai un conseil à vous donner pour éviter tout problème de ce type, si vous vous trouvez dans une situation anormale qui vous est présenté par un interlocuteur, contactez directement l’établissement à l’origine de l’appel à partir des coordonnées dont vous disposez, et allez jusqu’au bout de la vérification AVANT de réaliser des opérations financières irréversibles et partagez le plus possible les cas d’arnaques.

Quand on sait à quoi ressemble le loup, on ne le fait pas rentrer dans sa bergerie. Par contre, s’il met un nouveau costume, le piège fonctionnera tant que ce nouveau costume ne sera pas connu du plus grand nombre. (d’où l’utilité de mon livre CYBERARNAQUES 😉

https://www.amazon.fr/Cyberarnaques-Denis-JACOPINI/dp/2259264220

3 points à retenir pour vos élections par Vote électronique

L’expertise préalable par un expert indépendant.

La déclaration à la CNIL.

Un guide pour aider les entreprises face à #Facebook ou #Twitter

Facebook, Twitter, LinkedIn, Viadeo: les réseaux sociaux n’ont plus secret pour des millions de Français. Les entreprises, elles, ne sont pas forcément à l’aise avec la question. Ces outils, qui sont souvent à la limite des sphères privées et publiques, induisent de nouveaux risques pour les sociétés: se faire dénigrer sur la Toile, se faire usurper son identité, ou voir des salariés, par des conversations sur les réseaux professionnels livrer, sans s’en rendre compte, des informations confidentielles. Pour aider les chefs d’entreprise, le Medef vient d’éditer un guide sur le sujet, intitulé «réseaux sociaux et entreprises, quels enjeux juridiques». Le petit livret est très didactique puisque le premier chapitre consiste à expliquer… ce qu’est un réseau social.

«On s’est rendu compte que les entreprises avaient en la matière des pratiques très différentes. Certaines encouragent leurs salariés à communiquer sur les réseaux sociaux, mais sans fixer aucun cadre. Dans d’autres, la communication est beaucoup plus contrôlée. Certaines ont déjà mené des actions de sensibilisation auprès de leurs salariés, dont une avec une pièce de théâtre», explique-t-on au Medef, où un groupe de travail avait été constitué pour rédiger le guide. D’après une étude du cabinet Proskauer, la manière forte est aussi de mise. 29% des 120 grandes entreprises internationales interrogées ont bloqué l’accès à Twitter, Facebook et autres réseaux sur le lieu de travail, et 27% en contrôlent l’utilisation. A vrai dire, ce sont les PME qui sont le plus «en retard»: elles n’ont souvent pas le temps de se pencher sur la question, ni les moyens de monter des cellules de veille. Le guide est donc là pour les sensibiliser.

Sur ces réseaux, les règles de droit classique – code du travail, code civil, code de la propriété intellectuelle etc… – s’appliquent. Mais il existe également des dispositifs spécifiques. Et tout cela s’entremêle. Le poids d’une charte sur l’utilisation des réseaux sociaux par les salariés ne sera pas le même si cette charte est inscrite dans le règlement intérieur, ou pas. Les salariés ont le droit de parler sur les réseaux de l’organisation et du fonctionnement de l’entreprise, à condition que leurs propos ne soient pas injurieux. L’entreprise elle-même doit évidemment respecter les règles de droit à l’image lorsqu’elle publie sur ces réseaux. Bref, un guide n’est pas de trop dans ce maquis!

Lien pour télécharger le guide

Conseils pour assurer la sécurité numérique des nomades

#Identification et authentification fortes de l’utilisateur

Ce n’est pas l’outil qui doit être tracé, mais l’individu qui s’en sert. « Il s’agit d’identifier et d’authentifier, avec la plus grande attention, l’ayant-droit aux ressources de l’organisation », indique Gérard Peliks, expert et enseignant en sécurité de l’information. Première étape : l’identifiant ou login. Seconde phase : l’authentifiant, autrement dit la preuve de l’identité de l’utilisateur. « Le plus fiable est la combinaison de deux paramètres : ce que l’on a (par exemple une calculatrice, un token usb…) et ce que l’on sait (un code pin). En attendant les solutions de biométrie multimodale… », précise Gérard Peliks.

#Intégrité et confidentialité des transactions

Les échanges entre l’organisation et le collaborateur nomade doivent être sécurisés dans leur confidentialité et leur intégrité. « Il s’agit de créer un tunnel chiffrant dont les deux extrémités sont mutuellement identifiées », souligne Gérard Peliks. Les virtual private networks (VPN) ou réseaux privés virtuels (RPV) garantissent la confidentialité des données transmises, donc vulnérables, sur Internet. La signature électronique peut en garantir l’intégrité. Ce qu’on appelle le protocole de « tunnellisation » ou d’encapsulation consiste à chiffrer les transmissions entre le poste nomade et l’Intranet de l’organisation.

#Chiffrement des données sur disque

En cas de perte ou de vol d’un PC, ou d’un téléphone portable, la confidentialité des informations contenues n’est plus assurée, si elles sont stockées en clair. « On ne perd pas seulement l’objet, mais des données, avec tout ce que cela peut entraîner comme risque d’image, de réputation et même de conséquences juridiques », pointe Gérard Peliks. Tout l’enjeu est donc de rendre illisibles les informations contenues dans l’appareil, si on ne possède pas les clefs pour les déchiffrer. « Le chiffrement de fichiers, de partitions, voire même de l’intégralité du disque, permet de sécuriser les contenus sensibles », explique-t-il.

#Destruction des fichiers

Quand il s’agit d’éliminer un fichier, la touche « delete » et le vidage de la corbeille ne détruisent rien mais se contentent de cacher le document. Et des outils de récupération permettent de pister les anciennes données. Pour effacer définitivement, ou « massicoter » les contenus, il convient d’utiliser des méthodes de suppression sécurisée. « En utilisant des utilitaires de destruction, on s’assure que les fichiers sont réellement passés à la « déchiqueteuse », préservant ainsi leur confidentialité », indique Gérard Peliks.

#Sensibilisation des collaborateurs

Dans un contexte de dématérialisation généralisée, tous les collaborateurs sont potentiellement amenés à travailler un jour en mode nomade, ou avec des collègues en télétravail. D’où l’importance de sensibiliser l’ensemble des collaborateurs de l’organisation aux processus de sécurité. « Dès le début de la collaboration, mais aussi tout au long de la vie du collaborateur dans l’organisation, les règles de sécurité et de confidentialité doivent être rappelées », insiste Gérard Peliks. En plus de faire signer une charte sur l’utilisation du réseau, l’organisation doit communiquer sur les conséquences juridiques de tout manquement au règlement intérieur.

Comment se protéger sur Internet ? Denis JACOPINI vous répond sur Sud Radio à l’occasion de la présentation de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

Commandez CYBERARNAQUES

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.
Marie Nocenti est romancière.

Le site Internet d’une entreprise peut-il être contrôlé à distance par la Cnil ?

Oui. Depuis la loi du 17 mars 2014 relative à la consommation, la Commission nationale de l’informatique et des libertés (Cnil) a la possibilité de procéder à des contrôles en ligne, sur internet.

Ils permettent de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi informatique et libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur seront opposables.

Voici 320 millions de mots de passe … à éviter pour votre cybersécurité !

Les 5 règles essentielles pour se protéger de la Cybercriminalité que les PME doivent absolument respecter

Des PME de plus en plus touchées par la cybercriminalité

Les PME n’ont pas toujours conscience d’être devenues les cibles de prédilection des pirates informatiques, et pourtant celles-ci concentrent désormais près de 80 % des attaques en France ! Un chiffre en constante augmentation qui démontre un changement de stratégie de la part des «hackers» et «crackers» qui ciblent les petites structures du fait de leur sécurité souvent défaillante.

Cette montée de la cybercriminalité concerne surtout le vol de données numériques (les fichiers clients, les coordonnées bancaires ou les contrats) qui sont ensuite revendues au plus offrant sur le marché noir. On note également des cas d’espionnages économiques, d’escroqueries financières ou de sabotages des sites de commerce en ligne.

Cibler une PME peut aussi être un moyen de s’attaquer à un plus gros poisson, dans le cadre d’une attaque de long terme. Puisqu’en infiltrant le réseau de cette petite structure, il devient plus facile de pénétrer par la suite dans celui d’un grand groupe dont elle est le sous-traitant.

Une problématique sérieuse d’autant que les entreprises victimes de cyberattaques font face à de sévères répercussions en termes de pertes économiques et d’impact sur l’image de marque. Ce risque peut néanmoins être réduit en appliquant quelques bonnes pratiques.

Les règles essentielles pour bien protéger votre entreprise

1. Sensibiliser les employés de l’entreprise

Il est recommandé d’organiser une campagne de sensibilisation pour informer les employés sur le danger bien réel de la cybercriminalité en insistant sur la nécessité de :

• choisir des mots de passe d’au moins 12 ou 14 caractères mélangeant chiffres et lettres,
• effectuer des sauvegardes fréquentes sur des supports externes ou une plateforme cloud,
• adopter un usage prudent des messageries électroniques et des systèmes de paiement.

2. Sécuriser l’ensemble des accès Internet

L’entreprise doit protéger tous les accès Internet (y compris les accès Wi-Fi) qui sont les principaux points d’entrée des pirates. De plus en plus de sociétés choisissent d’ailleurs d’installer un réseau privé virtuel (VPN) comprenant un seul et unique point d’échange sécurisé avec Internet.

3. Uniformiser les logiciels et les maintenir à jour

Pour faire face aux nouvelles techniques d’attaques, il faut régulièrement mettre à jour les logiciels installés sur votre parc, dont les dernières versions doivent toujours être téléchargées sur les sites officiels des éditeurs. Une démarche qui peut être simplifiée en uniformisant le parc informatique avec un système d’exploitation et un logiciel de protection unique pour l’ensemble des appareils.

4. Redoubler de vigilance avec les appareils mobiles

Il convient de faire preuve d’une vigilance particulière avec tous les appareils mobiles (smartphones et tablettes tactiles) qui sont généralement beaucoup moins sécurisés que les ordinateurs fixes, car chaque machine constitue une porte d’entrée potentielle pour les attaques informatiques.

5. Adopter une politique de sécurité informatique

L’entreprise doit enfin mettre en place une politique de sécurité informatique précisant clairement les responsabilités de chacun et les procédures prévues en cas d’attaque, afin que les équipes ne soient pas prises au dépourvu et puissent reprendre l’activité le plus rapidement possible… [Lire la suite]

Mise en conformité RGPD : ce que les PME doivent faire

Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données a déjà commencé à bouleverser l’organisation globale des entreprises, quelle qu’en soit leur taille. Apparues complexes, ces nouvelles règles finissent par cacher une démarche qui s’avère finalement simple en respectant quelques étapes. Denis JACOPINI, notre Expert RGPD nous en dit plus.

LeNetExpert : Où en sont aujourd’hui la plupart des PME vis à vis de la démarche de mise en conformité RGPD ? 

Denis JACOPINI : Avant de commencer l’animation d’une formation sur le RGPD, je demande toujours ce qu’on retenu les personnes ayant déjà assisté à des petits déjeuners, des déjeuners, dîners thématiques ou des Webinars sur ce thème.

Systématiquement elles me confient qu’elle n’ont retenu des informations sur leurs obligations, sur la complexité de la démarche mais pas sur la démarche concrète à réaliser.

Ce constat m’a permis de me conforter dans l’idée qu’il était important de construire le contenu de nos formations pour que les dirigeants de PME ou leurs futurs DPO (Data Protection Officer = en français Délégué à la Protection des Données) repartent à la fois en ayant compris l’intérêt de la démarche d’un tel règlement (et ils ont un intérêt direct) mais surtout avec de nombreux outils et des méthodes leur permettant une démarche de mise en conformité RGPD en toute autonomie.

LNE : Quelle sont les démarches que les PME devraient réaliser selon vous ?

Denis JACOPINI : Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL ont disparu mais en contrepartie, la responsabilité des organismes a été renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Ces démarches doivent être réalisées avec méthode et étapes.

La CNIL a mis à disposition de tout les organismes concernés par ces démarches un guide : RGPD : se préparer en 6 étapes.

Dans ce guide ont peut y trouver 6 étapes indispensables pour initier la démarche de mise en conformité :

1/ DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

2/ CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

3/ PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

4/ GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

5/ ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). 

6/ DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LNE : Combien peut coûter à une PME ce type de démarche ?

Denis JACOPINI : Les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou ou remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

LNE : Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Denis JACOPINI : Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

LNE : Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations auprès de l’organisme auprès duquel ils versent leur taxe pour la formation professionnelle. Il vous suffit ensuite de nous formuler votre demande. Après quelques échanges, nous pouvons vous envoyer rapidement une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.