Chrome Flaw Allows Sites to Secretly Record Audio/Video Without Indication

Chrome Flaw Allows Sites to Secretly Record Audio/Video Without Indication


Sounds really scary! Isn’t it? But this scenario is not only possible but is hell easy to accomplish.A UX design flaw in the Google’s Chrome browser could allow malicious websites to record audio or video without alerting the user or giving any visual indication that the user is being spied on. 

AOL developer Ran Bar-Zik reported the vulnerability to Google on April 10, 2017, but the tech giant declined to consider this vulnerability a valid security issue, which means that there is no official patch on the way.

How Browsers Works With Camera & Microphone

google-chrome-video-red-icon-indicator

Before jumping onto vulnerability details, you first need to know that web browser based audio-video communication relies on WebRTC (Web Real-Time Communications) protocol – a collection of communications protocols that is being supported by most modern web browsers to enable real-time communication over peer-to-peer connections without the use of plugins.

However, to protect unauthorised streaming of audio and video without user’s permission, the web browser first request users to explicitly allow websites to use WebRTC and access device camera/microphone.

Once granted, the website will have access to your camera and microphone forever until you manually revoke WebRTC permissions.

In order to prevent ‘authorised’ websites from secretly recording your audio or video stream, web browsers indicate their users when any audio or video is being recorded.

« Activating this API will alert the user that the audio or video from one of the devices is being captured, » Bar-Zik wrote on a Medium blog post. « This record indication is the last and the most important line of defense. »

In the case of Google Chrome, a red dot icon appears on the tab, alerting users that the audio or video streaming is live.

How Websites Can Secretly Spy On You

chrome-hacking-news

The researcher discovered that if any authorised website pop-ups a headless window using a JavaScript code, it can start recording audio and video secretly, without the red dot icon, giving no indications in the browser that the streaming is happening…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Source : Chrome Flaw Allows Sites to Secretly Record Audio/Video Without Indication




Leaked NSA Hacking Tools Being Used to Hack Thousands of Vulnerable Windows PCs

Leaked NSA Hacking Tools Being Used to Hack Thousands of Vulnerable Windows PCs


Script kiddies and online criminals around the world have reportedly started exploiting NSA hacking tools leaked last weekend to compromise hundreds of thousands of vulnerable Windows computers exposed on the Internet.

 

Last week, the mysterious hacking group known as Shadow Brokers leaked a set of Windows hacking tools targeting Windows XP, Windows Server 2003, Windows 7 and 8, and Windows 2012, allegedly belonged to the NSA’s Equation Group.

What’s Worse?
Microsoft quickly downplayed the security risks by releasing patches for all exploited vulnerabilities, but there are still risks in the wild with unsupported systems as well as with those who haven’t yet installed the patches.

Multiple security researchers have performed mass Internet scans over the past few days and found tens of thousands of Windows computers worldwide infected with DoublePulsar, a suspected NSA spying implant, as a result of a free tool released on GitHub for anyone to use.

Security researchers from Switzerland-based security firm Binary Edge performed an Internet scan and detected more than 107,000 Windows computers infected with DoublePulsar.

A separate scan done by Errata Security CEO Rob Graham detected roughly 41,000 infected machines, while another by researchers from Below0day detected more than 30,000 infected machines, a majority of which were located in the United States.

The impact ?
DoublePulsar is a backdoor used to inject and run malicious code on already infected systems, and is installed using the EternalBlue exploit that targets SMB file-sharing services on Microsoft’s Windows XP to Server 2008 R2.

Therefore, to compromise a machine, it must be running a vulnerable version of Windows OS with an SMB service expose to the attacker.

Both DoublePulsar and EternalBlue are suspected as Equation Group tools and are now available for any script kiddie to download and use against vulnerable computers.

Once installed, DoublePulsar used hijacked computers to sling malware, spam online users, and launch further cyber attacks on other victims. To remain stealthy, the backdoor doesn’t write any files to the PCs it infects, preventing it from persisting after an infected PC is rebooted….[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Leaked NSA Hacking Tools Being Used to Hack Thousands of Vulnerable Windows PCs




Les services Cloud au centre d’attaques d’entreprises par APT10

Les services Cloud au centre d’attaques d’entreprises par APT10


Le groupe de pirates chinois APT10 a infiltré des services Cloud managés pour remonter aux serveurs des entreprises qui les utilisent.

La maturité des attaques ciblées contre les entreprises est montée d’un cran. « Un groupe de piratage a mené l’une des campagnes d’espionnage les plus prolifiques depuis l’APT1 en 2013, employant de nouvelles tactiques pour atteindre une large audience », a alerté PwC (Pricewaterhouse Coopers) lundi 3 avril. En collaboration avec BAE Systems et le National Cyber Security Centre (NCSC) britannique, la branche réseau du cabinet d’audit a découvert ce qu’il considère comme « l’une des plus importantes campagnes mondiales de cyber-espionnage jamais organisées ». Pas moins.

PwC APT10De quoi s’agit-il ? Du piratage des infrastructures de fournisseurs de services managés à partir desquelles les cyber-attaquants remontent aux serveurs des organisations qui y ont recours. Une opération que PwC a baptisé ‘Cloud Hopper’. Les cyber-criminels derrière ces agissements seraient le groupe de hackers chinois APT10. « PwC et BAE Systems croient que le groupe de piratage largement connu sous le nom ‘APT10’ a mené la campagne d’espionnage en ciblant les fournisseurs de services informatiques externalisés comme une façon d’accéder aux organisations de leurs clients à travers le monde, leur conférant un accès sans précédent à la propriété intellectuelle et aux données sensibles », indique PwC dans son communiqué. APT10 est le nom donné par FireEye à un groupe de pirates chinois également référencé sous les appellations Red Apollo (par PwC UK), CVNX (par BAE), Stone Panda (par CrowdStrike), et menuPass Team (plus globalement).

Un grand volume de données exfiltrées

Les méthodes d’infection restent relativement classiques et s’appuient sur le spear-phishing, ou harponnage. Cette méthode de phishing ciblé fait appel à des techniques d’ingénierie sociale qui visent à tromper le destinataire d’un e-mail pour l’inciter à installer, à son insu, un malware ou visiter une page infectieuse, à partir desquels les pirates ouvrent une porte d’entrée sur le réseau. Objectif ici : prendre le contrôle des accès d’employés de prestataires Cloud, afin d’exploiter les canaux de communication existant entre les services managés de ces derniers et les serveurs des entreprises clientes. De la grande distribution aux technologies en passant par l’énergie, l’industrie manufacturière, le secteur public ou l’industrie pharmaceutique, tous les grands secteurs sont touchés par cette campagne…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Source : Les services Cloud au centre d’attaques d’entreprises par APT10




Wikileaks révèle comment la CIA a piraté des MacBook et iPhone neufs

Des produits de la marque Apple (illustration)

Wikileaks révèle comment la CIA a piraté des MacBook et iPhone neufs


L’organisation fondée par Julian Assange publie un second corpus de documents présentés comme émanant de la CIA qui décrivent les méthodes de l’agence pour pirater des ordinateurs Apple et des iPhone.

 

Wikileaks remet le couvert. Près de deux semaines après avoir mis en ligne « Vault 7, Year Zero », un ensemble de plusieurs milliers de documents internes détaillant des dizaines de programmes d’espionnage électronique et informatique de la CIA, l’organisation fondée par Julian Assange a publié une deuxième vague d’archives décrivant les techniques utilisées par l’agence du renseignement extérieur américain pour pirater des produits Apple. Baptisé « Dark Matter », ce second volet explique comment la CIA peut pirater un ordinateur Apple, même si son propriétaire y installe un nouveau système d’exploitation, ou un iPhone neuf en pénétrant le réseau d’approvisionnement et de distribution de la marque à la pomme.

Un logiciel indétectable et impossible à effacer

Selon les documents dévoilés par Wikileaks, la CIA a développé un outil en 2012 nommé « Sonic Screwdriver » permettant de passer outre le processus de démarrage d’un MacBook à partir des accessoires périphériques comme une clé USB ou un adaptateur Ethernet branché dans le port Thunderbolt. L’agence pouvait alors introduire un micro indétectable dans le logiciel profond (firmware) de l’ordinateur et bénéficier d’un accès permanent à son contenu car même une réinstallation du système d’exploitation ou un reformatage de l’appareil ne pouvait suffire à l’effacer. La CIA devait avoir accès physiquement aux appareils visés pour les infecter.

Un autre document montre que la CIA avait conçu cet outil dès 2008 pour l’installer physiquement sur des iPhone neufs. Selon Wikileaks, il est par conséquent « probable que beaucoup d’attaques physiques par la CIA aient infecté la chaîne d’approvisionnement » d’Apple « en bloquant des commandes ou des livraisons ». L’agence américaine « peut faire cadeau à une cible d’un MacBook Air sur lequel a été installé ce micro », indique un document daté de 2009. « L’outil prendra la forme d’un implant/relais opérant dans le (logiciel) profond du MacBook Air et nous permettant d’avoir les moyens de (le) commander et de (le) contrôler », peut-on lire dans ces documents.

Les produits actuels vraisemblablement pas concernés

Apple n’a pas encore réagi à ces révélations. La plupart des documents datant de plus de sept ans et concernent les premières générations d’iPhone. Il apparaît peu probable que les produits actuels du groupe soient vulnérables à ces techniques. La méthode « Sonic Screwdriver » utilisée pour infecter des MacBook rappelle la faille « Thunderstrike » découverte fin 2014, qui permettait de contaminer un Mac lors de l’allumage à l’aide d’un appareil Thunderbolt vérolé, et corrigée par Apple depuis.

Le 9 mars, Wikileaks avait déjà diffusé près de 9.000 fichiers mettant à nu les capacités d’espionnage de la CIA et le recours à des pratiques particulièrement intrusives pour transformer des télévisions et des voitures connectées en mouchards, espionner des iPhone et des smartphones Android ou contourner des antivirus commerciaux. La CIA n’a jamais authentifié les documents mais de nombreux experts les jugent crédibles. Apple avait fait savoir qu’elle avait corrigé les failles évoquées dans ces documents. Wikileaks affirme détenir des informations sur plus de 500 programmes au total et promet de les publier dans les prochaines semaines.

Benjamin Hue, Journaliste RTL


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Source : Wikileaks montre comment la CIA a piraté des MacBook et iPhone neufs




Risque de cyberattaque terroriste très élevé


© Dieter Telemans

Risque de cyberattaque terroriste très élevé


Le com­mis­saire chargé de la Sé­cu­rité nous ex­plique ce que l’Eu­rope a fait pour amé­lio­rer la sé­cu­rité de ses ci­toyens. Il avoue craindre « tous les types de me­naces ».

 

Il est « Le Dernier des Mohicans ». L’ultime commissaire britannique envoyé par Londres avant le Brexit. Dans son bureau du Berlaymont placé sous haute sécurité, trônent deux grandes photographies de Sa Majesté. Sur le sofa, des coussins décorés de l’Union Jack. « No doubt », c’est bien ici une partie de l’île encore arrimée à l’Europe.

Julian King, formé à la fois à Oxford et à l’ENA, est l’un des plus brillants diplomates du Royaume. Sa mission? Créer l’Union européenne de la sécurité ainsi que gérer la lutte contre le terrorisme et le crime.

L’Echo l’a rencontré, un an après les attentats terroristes à Bruxelles.

 

 

Comment avez-vous vécu les attaques du 22 mars?
J’étais ambassadeur du Royaume-Uni en France. Je revenais du marché de Rungis. C’était tôt le matin. J’ai mis du temps à me remettre de cette nouvelle. Dès mon retour à la résidence, j’ai demandé qu’ils mettent le drapeau en berne.

 

 

Qu’avez-vous ressenti?
Je craignais de nouveaux attentats depuis mon entrée en fonction à Paris. C’est arrivé dans la capitale du pays voisin, là où ma femme vit et travaille. Son bureau n’était pas loin de Maelbeek. J’ai eu peur que mes amis m’appellent pour m’apprendre une mauvaise nouvelle.

Trop de gens qui ont grandi dans nos pays sont partis se radicaliser en Syrie et en Irak. La prévention de la radicalisation est la clé.

 

 

Qu’est-ce que les attentats ont changé?
Après chaque attaque, à Paris, Bruxelles et Nice, j’ai été frappé de voir à quel point nos villes sont résilientes. Ces événements sont horribles. Très difficiles à vivre pour les victimes mais aussi pour les gens qui doivent monter en première ligne et tous les habitants de la ville. Je suis touché par la capacité des Belges et des Français à dépasser le drame. À reprendre leur vie. Et le lien profond qu’ils ont avec leur communauté.

 

 

Qu’a fait l’Europe, depuis lors, pour améliorer la sécurité de ses citoyens?

Nous avons commencé par renforcer les frontières extérieures. Nous avons créé un corps de garde-frontières et de garde-côtes, déployé du personnel de Frontex et d’Europol pour soutenir les autorités en Grèce et en Italie, adopté une directive sur le contre-terrorisme qui criminalise les allers-retours d’Irak et de Syrie. Nous avons renforcé le code Schengen pour contrôler systématiquement toute personne qui entre dans l’espace Schengen, y compris les citoyens Européens.

Nous avons proposé de créer un système interactif pour contrôler les nationaux des pays tiers, c’est à l’étude au Parlement. Nous allons aussi mettre en place un système de précontrôle des étrangers n’ayant pas besoin de visas, appelé Etias et calqué sur le modèle Esta des Etats-Unis.

Nous avons renforcé notre capacité de connaître ceux qui arrivent dans l’espace européen, et c’est un élément vital pour notre sécurité.

 

 

Qu’avez-vous fait pour accroître la sécurité intérieure?

Nous avons renforcé les capacités des forces de l’ordre. Nous avons mis plus d’argent, de personnel et de moyens dans Europol. Nous avons consolidé les bases de données policières et réformé la plus importante: le système Schengen. Nous voulons obliger les polices nationales à partager leurs informations à travers ce système. Dans les faits, ils le font de plus en plus. Mais ce sera encore plus vrai lorsque l’obligation d’échanger sera adoptée par le Conseil européen.

Nous devons aussi accroître la capacité des agents d’aller chercher une information là où elle se trouve.

Pour éviter, comme après les attaques de Paris, qu’un terroriste comme Salah Abdeslam puisse déjouer les contrôles…

Oui. Les renseignements existaient mais lors de ce fameux contrôle entre Paris et Bruxelles, la police n’a pas été capable d’aller les chercher. Nous allons proposer un paquet de mesures pour améliorer la qualité des informations, le traitement de données, l’utilisation plus fréquente de la biométrie et accroître la rapidité d’obtention des informations.

La moitié des business européens ont déjà subi une cyber-attaque.

 

 

Quand allez-vous proposer ces mesures?
Mon équipe y travaille, son rapport devrait être prêt d’ici avril. Nous ferons ensuite des propositions.

 

 

Les États européens appliqueront-ils ces mesures?

Nous insistons beaucoup là-dessus. Pour la première fois depuis mon arrivée l’été dernier, la Commission a lancé des procédures d’infraction contre plusieurs États qui n’appliquent pas les mesures convenues l’an dernier. Trois procédures contre des États qui n’ont pas appliqué la directive sur les explosifs et cinq procédures contre des États qui n’ont pas appliqué l’arrangement de Prüm sur les échanges d’information.

 

 

Que pensez-vous de la création d’un « FBI Européen », comme le préconise Guy Verhofstadt?
Je ne suis pas persuadé que cela arrive dans un futur immédiat. Il y a des questions légales, des difficultés constitutionnelles à lever. Mon objectif, pour le moment, est de construire une coopération pratique entre les agences de renseignements nationales. Certains prétendent qu’il n’existe aucun échange entre elles, mais ce n’est pas vrai. Cette collaboration existe, les agences européennes ont d’ailleurs depuis peu une plateforme commune aux Pays-Bas.

 

 

Vous n’aimez pas parler du Brexit. Mais dites-moi, le Royaume-Uni continuera-t-il à coopérer avec l’UE après son départ?

Je l’espère. Je ferai tout durant les deux années à venir pour renforcer notre sécurité commune contre le terrorisme, le cyberterrorisme et le crime organisé. Ces menaces affectent tous les pays d’Europe, qu’ils soient ou pas dans Schengen ou dans l’UE, et c’est le cas en particulier des cyberattaques. Notre combat sera plus efficace si nous le menons ensemble. Ce sera vrai demain, dans deux ans et dans cinq ans. Il est important qu’après le Brexit l’Union européenne et le Royaume-Uni conservent une coopération étroite en matière de lutte contre le terrorisme.

 

 

Quant à la coopération entre l’Europe et les Etats-Unis, résistera-t-elle à l’arrivée de Donald Trump?
Jusqu’à présent, tous les représentants des Etats-Unis que j’ai rencontrés ont été clairs. Ils comprennent l’importance de notre coopération et veulent la maintenir.

 

 

Quel est le niveau de risque d’attentat terroriste à Bruxelles?
Nous ne sommes pas chargés d’évaluer ce niveau, mais nous écoutons ce que chaque État nous dit. Et il est clair que la menace terroriste dans un État qui a subi une attaque est très très élevée. Il est très important de ne pas donner l’impression que la menace a disparu. Ou que nous avons réduit la menace à zéro.

 

 

Les terroristes se concentrent sur les espaces publics, les métros ou les aéroports. Comment sécuriser de tels lieux?
Chaque État a développé de très bonnes pratiques dans la gestion de la sécurité des espaces publics. Nous mettons ensemble tous les experts pour tirer les leçons des meilleures pratiques et nous dressons une liste de lignes directrices. Nous allons continuer ce travail et le faire avec les meilleurs praticiens.

 

 

Vous craignez des menaces d’isolés ou des groupes organisés?

Tous les types de menaces. Celles de loups solitaires, et c’est pourquoi la lutte contre la radicalisation est une partie importante de nos travaux. Mais aussi les menaces d’attaques organisées inspirées par Daech, qui ne sont pas réduites parce ce qu’ils sont en difficulté sur le terrain en Syrie et en Irak.

 

 

La plupart des auteurs des attaques à Bruxelles et Paris étaient Européens…
Trop de gens qui ont grandi dans nos pays sont partis se radicaliser en Syrie et en Irak. La prévention de la radicalisation est la clé.

 

 

Que fait l’Europe pour lutter contre la radicalisation?
Nous agissons à deux niveaux. D’abord nous nous attaquons à la propagande de Daech sur internet, qu’ils continuent à déverser malgré leur déroute sur le terrain. Nous travaillons pour l’instant avec les plus grands groupes du web. Nous avons besoin de leur aide pour trouver des moyens industriels qui arrêtent cette propagande.

L’autre risque majeur ce sont les gens qui, au sein des communautés, cherchent à pousser les plus fragiles à la violence. Le moyen le plus efficace pour les empêcher d’agir est de travailler localement. Nous avons développé, au niveau européen, des moyens pour œuvrer avec ces communautés, soit pas des fonds, soit par la mise en place d’un réseau d’organisations où ils reçoivent du soutien.

 

 

Craignez-vous une cyberattaque terroriste, par exemple contre une centrale nucléaire ou une tour de contrôle aérienne?
Les terroristes comme Daech n’utilisent pas, pour l’instant, de tels moyens. Mais le risque d’une cyberattaque terroriste est très élevé. La cybercriminalité augmente de manière exponentielle. Au Royaume-Uni, un pays que je connais bien, la moitié des crimes connus sont des cybercrimes. Si vous regardez l’Europe, la moitié des business européens ont déjà subi une cyberattaque.

 

 

Comment affrontez-vous ce risque?

Notre première ligne de défense consiste à avertir le public du danger de manipulation sur internet. Nous devons ensuite construire une résilience, à chaque niveau. Apprendre aux individus à protéger leurs appareils, changer leur code. Il faut aussi mettre en place les moyens nécessaires pour protéger les infrastructures critiques, comme les unités de production d’énergie, exposées aux cyberattaques. Nous travaillons à la création d’une agence européenne qui planifie la protection des infrastructures et mette en place un réseau d’échange d’information, le tout en application de la directive NIS.

Nous travaillons aussi avec le secteur privé, généralement très avancé sur ces questions de sécurité, et lancer des partenariats. Nous allons mobiliser 1,8 milliards d’euros pour des recherches en cybersécurité d’ici 2020. C’est un effort important.

Nous préparons également des exercices conjoints avec l’Otan pour contrer les cyberattaque.

Enfin, j’espère que nous pourrons faire un examen complet de tout notre travail sur la cybersécurité sous présidence estonienne, avant la fin de cette année…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Source : « Le risque d’une cyberattaque terroriste est très élevé » | L’Echo




Les dangers des jouets connectés | Denis JACOPINI

Jouet connecté : après un piratage, les données de 800000 familles fuitent sur le web

Les dangers des jouets connectés | Denis JACOPINI


La gamme Cloudpets de Spiral Toys a été piratée. Plus de 800000 comptes ont été piratés avec les informations qui y sont liées et plus de 2,2 millions de messages vocaux se retrouvent également sur la toile. Les peluches connectées de la marque permettait en effet aux parents et aux enfants de s’échanger des messages par le biais d’une application téléphonique, à travers l’ours en peluche.

Résultat de recherche d'images pour "logo atlantico"

Denis JACOPINI a été Interviewé par la revue Atlantico à ce sujet :

 

 

Atlantico  : Une société d’ours en peluche connectés a été récemment piratée, les messages laissés par les parents à leurs enfants sont désormais hackable. Ce n’est pas la première fois que ce type de piratage arrive, pour protéger nos enfants, devrions-nous les éloigner de ce type de jouets connectés ?

Denis JACOPINI : En effet, au-delà du risque relatif à la protection des données personnelles des enfants et de leurs parents, la revue Que choisir avait déjà alerté les consommateurs en fin 2016 sur des risques inhérents au connexions non sécurisée de plusieurs jouets connectés.

Qui a tenu compte du résultat de cette étude pour revoir la liste des jouets qui seraient présents dans la hotte légendaire ?

La relation entre les enfants et les jouets va bien au-delà de la technologie et des risques qu’elle peut représente.
Les jouets bénéficie également de phénomènes de mode et l’engouement, sauf erreur, se fout bien de la qualité des produits et encore moins de leur sécurité.

Manque de connaissance, inconscience, crédulité ou trop de confiance de la part des parents ? Il est vrai qu’on peut facilement croire que si des jouets se trouvent sur nos rayons, c’est qu’ils ont forcément dû passer avec succès toute une batterie de tests rassurant pour le consommateur.
Pour la part des jouets à usage familial testés, même si les normes EN71 et EN62115 ont été récemment révisées pour répondre aux exigences de la nouvelle directive 2009/48/CE, les validations se reposeront sur des niveaux satisfaisants en terme de propriétés physiques et mécaniques, d’inflammabilité, de propriétés chimiques, électriques ou bien relatives à l’hygiène et à la radioactivité.

Vous l’aurez remarqué, aucun test n’est prévu pour répondre à des mesures ne serait-ce que préventive en terme de protection des données personnelles et encore moins en matière se sécurité numérique.

Alors finalement, pour répondre à votre question : « devrions-nous éloigner les enfants de ce type de jouets connectés ? »
A mon avis, en l’absence de normes protectrices existantes, la prudence devrait être de mise. Certes, il est impossible de se protéger de tout. Cependant, il serait à minima essentiel que les parents soient informés des risques existants et des conséquences possibles que pourraient provoquer des piratages par des personnes mal intentionnées pour prendre des mesures qu’ils jugent utiles.

 

 

Atlantico : Comment pouvons-nous restreindre la possibilité de piratage de données pour ce type d’objet ?

D.J. : La situation confortable serait que le consommateur soit vigilant pour ce qui concerne les mesures de sécurité couvertes par l’appareil et celles qui ne le sont pas. Malheureusement, ces gardes-fous ne sont qu’à l’état d’étude.
Sauf à vous retrouver dans un environnement ou le voisin le plus proche se trouve à plusieurs dizaines de mètres, être prudent dans l’usage de ces objets pourrait par exemple consister à :
– Si le jouet le permet, changer le mot de passe par défaut et mettre en place un mot de passe complexe pour accéder à sa configuration ;
– Si le jouet le permet, activer les connexions sécurisées par cryptage ;
– Si le jouet le permet, désactiver les connexions à partir d’une certaine heure ;
– N’utiliser les jouets connectés que dans des environnements protégés, en raison de la portée limitée des communications Bluetooth (par des distances suffisantes entre le jouet et des pirates éventuels) ;
– Pour les jouets utilisant le Wifi,
– Mettre en place des protections physiques contre les rayonnements électromagnétiques dans certaines directions ;
– Cacher les caméras si elles ne sont pas utilisées ;
– En fin d’utilisation du jouet, ne pas se satisfaire d’éteindre l’appareil qui ne sera peut-être seulement en veille, mais retirer les piles ou placer le jouet dans un espace protégé (fabriquez une cage de Faraday) ;

Enfin, compte tenu que le bon fonctionnement du jouet est lié à l’acceptation des conditions contractuelles d’utilisation des donnés personnelles ne respectent pas les règles européennes relative à la protection de ces données et de la vie privée car les fabricants sont généralement situés hors Europe, ne pas accepter ces conditions reviendrait à être privé de l’usage des fonctions du jouet.

 
Atlantico : Concrètement, les objets connectés sont une porte ouverte à notre intimité, quels sont les dangers liés à ce type d’objets ?

A défaut d’information de la part des fabricants et d’alerte de la part des médias, il serait, à mon avis, adapté que le consommateur reconsidère les objets numériques et particulièrement les objets connectés comme étant des équipements dont les fonctions et conséquences induites risquent de se retourner contre son utilisateur.

L’année dernière, l’association de consommateurs UFC-Que choisir a mis en garde les consommateurs sur le stockage des données. Elle a d’ailleurs saisi sur le sujet la Commission nationale de l’informatique et des libertés et la Direction générale de la concurrence, de la consommation et de la répression des fraudes. En effet, tout ce que disent les enfants à la poupée testée est enregistré et mystérieusement stocké sur des serveurs à l’étranger et géré par la société Nuance Communications. L’Association européenne de défense des consommateurs a déclaré : « Tout ce que l’enfant raconte à sa poupée est transmis à l’entreprise, basée aux États-Unis, Nuance Communications, spécialisée dans la technologie de reconnaissance vocale ».
Quelles sont les conséquences d’un tel usage de nos données ?
L’objectif évident est le matraquage publicitaire des enfants, car certains jouets ont une certaine tendance à faire souvent allusion à l’univers de Disney ou à Nickelodeon par exemple.

Enfin, des tests ont montré qu’un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti. La connexion peut même se faire à travers une fenêtre ou un mur en béton et le nom Bluetooth par défaut du jouet connecté, permet très simplement de les identifier.
Plus grave encore… Un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet.
Que ça soit en en terme d’écoute et d’espionnage à distance de l’environnement de l’enfant et de celui des parents, ou en terme de prise de contrôle à distance de l’appareil risquant de terroriser ou pire, traumatiser l’enfant, la prudence doit d’abord rester de mise.

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Jouet connecté : après un piratage, les données de 800000 familles fuitent sur le web




Le piratage informatique aussi risqué pour les animaux

Le piratage informatique aussi risqué pour les animaux


Pas évident d’y penser quand on n’est pas du milieu, mais au 21ème siècle, le braconnage se joue de plus en plus sur le terrain du numérique.

Le GPS, pour le meilleur comme pour le pire

Le balisage des animaux est une pratique qui date du début du XXe siècle. Après la pose de bagues sur les oiseaux au début du siècle, les scientifiques se sont tournés vers les transmetteurs radio dans les années 1950, avant de passer au système de suivi par satellite Argos dans les années 1970. Aujourd’hui, c’est un autre système de suivi qu’utilisent les chercheurs : le GPS.

Cyber-braconnage

Cigogne équipée d’un GPS© Vasileios Karafillidis Shutterstock

 

 

Le GPS, tout le monde l’a dans son smartphone. Il nous facilite beaucoup la vie en nous aidant à nous retrouver dans une ville inconnue, en nous permettant d’appeler un taxi ou encore en nous rassurant lorsque nos enfants, rentrant seuls de l’école, utilisent leur smartphone pour partager avec nous leur localisation.

Mais au-delà de ces usages pratiques, s’en cache un plus obscur. Les balises GPS que les chercheurs placent sur les animaux ne sont pas des smartphones sophistiqués, il est donc assez facile de les pirater pour recevoir de manière indue ces données. Une faille que les braconniers exploitent à volonté, en mettant en danger la vie des animaux.

Lire aussi : la lutte contre le commerce en ligne de faune sauvage est engagée

Le cyber-braconnage, un problème qui ne sera pas résolu du jour au lendemain

Le phénomène est encore trop peu connu et réservé au milieu des chercheurs…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Source : Le piratage informatique, un risque pour les animaux




Le FBI pourra t-il accéder aux mails de Gmail ?

Le FBI pourra t-il accéder aux mails de Gmail ?


Le juge fédéral Thomas Rueter de la cour de Philadelphie a donné son verdict et a statué concernant la saisie de mails depuis des serveurs étrangers, par les autorités américaines. Ce dernier a affirmé : «Même si la récupération de données électroniques par Google à partir de ses multiples centres de données à l’étranger peut en soi représenter un risque d’atteinte à la vie privée, la véritable atteinte intervient au moment de la divulgation aux Etats-Unis».

 

En gros, le juge fédéral a estimé que le fait d’ordonner à Google de remettre aux autorités les courriers électroniques de sa messagerie Gmail, stockés à l’étranger, n’était pas contraire à la loi. La firme de Mountain View devra se conformer aux mandats et perquisitions du FBI. Google a évidemment déclaré qu’il faisait appel de la décision, en se référant à la jurisprudence Microsoft, car une affaire similaire avait donné raison à Microsoft il y a quelques semaines à New York.

Google devra fournir au FBI les mails hébergés à l’étranger

Google ne souhaite pas livrer au FBI les e-mails stockés hors des Etats-Unis, afin de garantir la vie privée de ses usagers aux quatre coins du monde. Sont concernés par la décision du juge fédéral Thomas Rueter, les six serveurs de l’entreprise présents en Belgique, en Finlande, en Irlande, à Taïwan, Singapour et aux Pays-Bas.

Le juge a estimé qu’ « aucune ingérence significative » avec les droits de propriété du titulaire du compte ne pouvait être invoquée concernant les données ciblées, car comme l’a fait remarquer le juge, Google procède déjà régulièrement au transfert de ces données vers ses serveurs aux Etats-Unis, pour ses propres business et sans que les clients en soient forcément informés. Thomas Rueter de la cour de Philadelphie a souligné : « Ces transferts n’interfèrent pas avec l’accès du client ou les droits de propriété des données utilisateur. Même si le transfert interfère avec le contrôle du propriétaire du compte sur ses informations, cette interférence est minime et temporaire ».

Il semble donc que le juge ait retourné les méthodes de Google contre lui-même pour justifier la légalité des saisies des e-mails stockés hors des Etats-Unis au FBI. Du côté de l’entreprise, on s’est contenté de déclarer : « Nous continuerons à repousser les mandats excessifs ».

 

Original de l’article mis en page : Le FBI pourra bien accéder aux mails de Gmail situés à l’étranger

 


 

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Le FBI pourra bien accéder aux mails de Gmail situés à l’étranger




Google sommé de livrer des mails stockés à l’étranger

Google sommé de livrer des mails stockés à l’étranger


Contredisant une jurisprudence Microsoft, un juge a ordonné à Google de livrer les mails stockés sur des serveurs en dehors des Etats-Unis. La firme a fait appel.

 

Décidément la jurisprudence américaine sur l’extraterritorialité des mandats de perquisitions sur les données conservées  hors des Etats-Unis joue à la girouette. A la fin janvier, Microsoft gagnait une seconde victoire sur ce sujet. Les juges de la Cour d’Appel de New York ont jugé, dans la douleur, que le Secure Communications Act (SCA) sur lequel se base les mandats n’avait pas en 1986 était conçu pour des données localisées hors du territoire américain.

 

Une jurisprudence mise à mal par une autre affaire concernant Google. Ce dernier a été sollicité par le FBI dans une affaire de fraude datant du 2 août 2016 et une autre du 19 août portant sur un vol de données industrielles sur le territoire américain. Mais certaines données des comptes des suspects étaient disséminées sur des datacenters de Google à l’étranger. La firme américaine a expliqué que pour des raisons de performances, les courriers électroniques pouvaient être découpés en petits morceaux et stockés sur différents serveurs à l’étranger. La firme de Mountain View s’appuyait donc sur les décisions favorables à Microsoft en matière de non extra-territorialité des mandats de perquisition pour refuser le mandat du FBI.

Une violation de la vie privée aux États-Unis

Mais le juge, Thomas Rueter, du tribunal de Philadelphie, en a décidé autrement. Il considère en effet que « le fait de transférer électroniquement des données d’un serveur dans un pays étranger vers le datacenter de Google en Californie ne constitue pas une saisie ». Cette notion de saisie est définie par le 4ème amendement de la Constitution américaine qui stipule, « le droit des citoyens d’être garanti dans leurs personne, domicile, papiers et effets, contre les perquisitions et saisies non motivées ne sera pas violé, et aucun mandat ne sera délivré, si ce n’est sur présomption sérieuse, corroborée par serment ou affirmation, ni sans qu’il décrive particulièrement le lieu à fouiller et les personnes ou les choses à saisir ».

La qualification de saisie n’est pas retenue par le juge, car « il n’y a aucune interférence significative avec l’intérêt possessif du titulaire du compte dans les données utilisateur ». Il poursuit en expliquant que Google transfère régulièrement des données entre ses installations sans que les utilisateurs en soient mis au courant et cela ne les empêche pas d’accéder à leur données, ni ne remet en question leur droit de propriété. Et si interférence il y a, elle est « minime et temporaire ».

Pour motiver sa décision, le juge Rueter, précise que « même si la récupération des données électroniques par Google depuis ses multiples centres de données à l’étranger a le potentiel d’une invasion de la vie privée, la violation réelle de la vie privée se produit au moment de la divulgation aux États-Unis ». Pour lui, la perquisition et la saisie ont eu lieu aux Etats-Unis et non à l’étranger, le mandat de perquisition est alors contraignant pour Google. Ce dernier a déjà annoncé sa décision de faire appel de ce jugement.


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Google sommé de livrer des mails stockés à l’étranger




La CIA donne accès à des millions de pages sur son histoire et ses opérations secrètes

La CIA donne accès à des millions de pages sur son histoire et ses opérations secrètes

La CIA propose un moteur de recherche pour explorer sa base de données, composée de 930 000 documents confidentiels qui ont été déclassifiés. L’agence lève ainsi le voile sur une partie de son histoire, bien souvent méconnue.…[Lire la suite ]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)
Plus d’informations sur sur cette page.


Denis JACOPINI Expert en cybercriminalité et en protection des données personnelles réalise des audits sécurité, vous explique comment vous protéger des pirates informatiques et vous aide à vous mettre en conformité avec le règlement Européen sur la protection des données personnelles. Audits sécurité, animations de formations en cybercriminalité et accompagnement à la mise en conformité avec le règlement sur la protection des données personnelles.. (Autorisation de la Direction du travail de l'Emploi et de la Formation Professionnelle n°93 84 03041 84).

Réagissez à cet article