Les objets connectés représentent-ils un risque ? | Denis JACOPINI

Les objets connectés représentent-ils un risque ?

Les représentent-ils un risque ?

Contrôler sa maison ou son appartement du bout des doigts, voici la promesse des fameux objets connectés. Des réfrigérateurs aux télévisions, en passant par les thermostats, les caméras de surveillance, les serrures, ou encore les éclairages… de plus en plus d’équipements du foyer peuvent être pilotés à distance à l’aide d’un smartphone via un réseau local et Internet. Mais derrière ce rêve de la maison intelligente et connectée, encore inimaginable il y a quelques années, se cachent d’inquiétants problèmes de sécurité. État des lieux. 

 

Un marché en ébullition
Longtemps réservée aux technophiles fortunés, la commence vraiment à se démocratiser grâce à l’émergence des appareils et objets connectés. Après les équipements multimédias (Smart TV, systèmes Hi-Fi, imprimantes…), les appareils électroménagers connectés — réfrigérateurs, lave-linge, cafetières, réveils, etc.— commencent à débarquer sur le marché. Mais ce sont surtout les systèmes prêts à l’emploi ou les modules adaptables permettant de connecter l’éclairage, les serrures de portes, les stores, les systèmes de surveillance (caméras, détecteurs de mouvements/fumée, alarmes…), ou encore le chauffage qui rencontrent un succès grandissant.

L’embellie du marché de la domotique s’explique notamment par la simplicité d’installation et d’usage de ces nouveaux produits, mais également par leur prix de plus en plus abordable. Toutefois, comme n’importe quel appareil qui se connecte à un réseau Wi-Fi et à Internet, ils s’exposent de fait à toutes sortes de risques. D’autant que pour la plupart, ils ne possèdent aucun système de protection de type antivirus, antimalware, etc. Des failles de sécurité, plus ou moins importantes en fonction de la nature des objets, ont été soit démontrées par des experts de sécurité, soit exploitées par des hackers. Nous verrons les cas les plus effrayants qui donnent matière à réflexion.

Quels sont les éléments indispensables de la domotique ?

 

Des appareils sous haute surveillance

Outre les incidents révélés ici et là, la sécurité des objets connectés est devenue un sujet particulièrement sensible depuis la médiatisation d’un moteur de recherche public étonnant baptisé Shodan. Créé par un Américain du nom de John Matherly, ce dernier explore le Web en continu pour référencer et regrouper tous les appareils qui y sont connectés. Quelques clics suffisent pour trouver aussi bien des systèmes domotiques, que des imprimantes, des caméras, des alarmes, voire des installations industrielles sensibles telles que des centrales électriques, des raffineries, ou encore, des réacteurs.

 

Pas de quoi rassurer les utilisateurs, même si à l’origine Shodan n’aurait pas été créé pour nuire, mais au contraire pour aider les experts en sécurité à identifier les vulnérabilités des logiciels et infrastructures réseau des entreprises. Le service se targue de garder une trace de tous les faits et gestes de ses utilisateurs, qui doivent obligatoirement s’identifier et souscrire à un abonnement au-delà d’un certain nombre de recherches. Il n’en reste pas moins que désormais, tout objet connecté ayant une adresse IP peut être localisé, identifié, voire détourné.

 

 

Les promesses de la maison intelligente et connectée

Contrôler et gérer divers équipements de la maison à l’aide d’un smartphone, d’une tablette ou d’un ordinateur n’est plus une utopie. Inutile d’avoir à tirer des câbles partout et d’entreprendre de lourds et coûteux travaux avec des spécialistes. Tout le monde peut en principe concevoir une installation domotique soi-même grâce à la nouvelle génération de produits disponibles sur le marché. Au-delà du confort qu’offrent ces nouvelles technologies au quotidien, elles permettent de réaliser de substantielles économies d’énergie, de renforcer la sécurité du foyer, ou encore de se prémunir d’accidents domestiques (incendie, inondation…).

Samsung Smart Home

 

Confort, sécurité, prévention, économie d’énergie…

 

 

Domotique

Les produits ont évolué, mais la promesse de la domotique est toujours la même : centraliser et automatiser grâce à diverses technologies l’ensemble ou une partie des équipements électriques du foyer. Des serrures qui se ferment à distance, des caméras et des détecteurs de mouvements capables de s’animer en votre absence et de vous envoyer des SMS en cas d’intrusion, des thermostats intelligents permettant de gérer la température au degré près dans chaque pièce, des stores électriques qui s’ouvrent et se ferment automatiquement en fonction de la lumière, des détecteurs de fumée (obligatoires dans toute l’Union européenne à partir de mars 2015) qui lancent des alertes en cas de départ d’incendie, des éclairages qui créent différentes ambiances lumineuses selon les heures de la journée… Les possibilités sont quasi-infinies.

 

Réaliser une installation domotique est maintenant à la portée du plus grand nombre grâce, notamment, à ce qu’on appelle les box domotiques. Ces systèmes prêts à l’emploi que l’on trouve dans tous les magasins de bricolage et d’électronique (Castorama, Leroy Merlin, Electro Dépôt…) et même dans certains hypermarchés permettent de connecter et de contrôler à distance des équipements de la maison via une seule et même interface. Ces packs se composent d’un serveur domotique / multimédia (relié au réseau Wi-Fi du foyer), et d’un éventail plus ou moins important d’équipements de surveillance, d’automatisation, de loisirs, etc.

Lockitron

Ces dispositifs communiquent entre eux par le biais de différentes technologies sans fil comme le courant porteur (CPL), le Wi-Fi, les radiofréquences, ou des protocoles propriétaires. Pour les contrôler à l’aide d’une tablette ou d’un smartphone depuis le réseau local du foyer ou à distance par Internet, l’utilisateur n’a plus qu’à jouer du bout des doigts avec les icônes représentant les équipements connectés pour planifier des actions immédiates ou différées.

Vranda Somfy Semaphore(1)

 

 

Créer des scénarios

Dans le jargon de la domotique, un scénario désigne un ensemble d’actions programmées pour différents moments de la journée, de la semaine, du mois, voire de l’année. Les fabricants ont réalisé d’énormes progrès pour faciliter la gestion des produits domotiques et la création de scénarios en développant des applications très intuitives. Exit les lignes de code informatique, ou les menus interminables au vocabulaire incompréhensible, place aux icônes visuelles, aux photomontages représentant les différentes parties du foyer, et à des menus dynamiques inspirés de ceux des smartphones. Quelques clics suffisent pour créer plusieurs scénarios pour la journée, la nuit, le week-end, et les combiner entre eux.

 


Point d’orgue des maisons intelligentes, les applications mobiles facilitent la compréhension et l’utilisation des équipements domotiques

 

On peut imaginer, par exemple du lundi au vendredi, un scénario qui consisterait à déclencher une série d’actions à partir de 7 heures : ouvrir les stores, allumer le ballon d’eau chaude, faire chauffer la cafetière, lancer la radio, déverrouiller les portes, démarrer les caméras de surveillance, etc. Bien entendu, toutes les solutions domotiques n’offrent pas les mêmes possibilités. Les fabricants distillent généralement des packs spécialisés dans un domaine précis (surveillance, automatisation, éclairage, chauffage…) à compléter au fur et à mesure. En parallèle, il existe d’innombrables objets connectés autonomes (stations météo, balances Wi-Fi, réveils intelligents, ampoules connectées…) qui se connectent directement au réseau du foyer, sans passer par un serveur propriétaire.

 

2.Withings Aura iphone
Aura, le réveil intelligent de Withings qui analyse votre sommeil pour vous réveiller en douceur

 

Le problème, c’est que tout ce petit monde ne parle pas le même langage. Les standards universels, que rêvent de concevoir Apple et Google pour que tous les appareils connectés puissent communiquer entre eux via leurs plateformes mobiles respectives, ne sont pas encore d’actualité. À moins de choisir du matériel très haut de gamme comme la box universelle Lifedomus Vision (2 988 euros) compatible avec la plupart des protocoles de communication des solutions domotiques (KNX, EnOcean, MyHome, Zwave, Modbus, Zigbee…), mieux vaut s’équiper chez le même fabricant pour pallier les éventuels problèmes de compatibilité.

 

Interface de controle Lifedomus

 

 

Quels risques pour la sécurité ?

Depuis quelques mois, la sécurité de l’Internet des objets fait couler beaucoup d’encre. Aux quatre coins de la planète, des experts en sécurité prennent le sujet à bras le corps : ils multiplient les démonstrations pour montrer les vulnérabilités de certains produits et la façon dont les cybercriminels pourraient les exploiter pour réaliser des attaques. Les spécialistes n’ont pas tort d’alerter les fabricants, car les risques ne sont plus seulement virtuels. Depuis quelques mois, quelques cas concrets d’attaques basées sur des objets connectés prouvent le bien-fondé de leurs craintes.

 

Les nouveaux visages de la cybercriminalité

 

 

Failles et vulnérabilité des objets connectés

La division de sécurité Fortify on Demand du constructeur HP a récemment publié un rapport alarmant sur la sécurité des objets connectés. Elle a ainsi annoncé avoir découvert plus de 25 vulnérabilités sur 10 objets connectés parmi les plus populaires (Smart TV, thermostats intelligents, webcams, boxs domotiques…). Sans donner plus de précisions sur les marques concernées, elle déclare que la plupart ne crypte pas les données échangées sur le réseau et n’exige pas de mot de passe sécurisé mêlant caractères spéciaux et chiffres pour l’accès à distance. Ces dispositifs autorisent des mots de passe comme « 123456 » particulièrement vulnérables (un fait que nous avons effectivement pu vérifier après quelques recherches sur Shodan). Par ailleurs, la protection de leurs logiciels serait insuffisante, car non chiffrée, et certaines interfaces Web ne sont pas du tout sécurisées.

 

Toujours selon ce rapport, 90 % des produits évalués collectent des informations personnelles sensibles (adresse email/postale, date de naissance…) susceptibles de circuler en clair sur Internet à cause du manque de protection. Difficile néanmoins de contester un rapport ne précisant pas les modèles et les marques des appareils incriminés. À travers cette étude, la division déclare vouloir sensibiliser les acteurs du marché, mais elle souhaite aussi promouvoir sa solution de sécurité Fortify on Demand auprès des fabricants.

 

HP Simple Template

 

Ce n’est pas la seule étude de ce type. Le groupe de chercheurs indépendant d’AV-Test avait mis en lumière d’importantes failles de sécurité, notamment sur les systèmes domotiques iConfort de REVRitter, et XAVAX MAX ! d’Hama, permettant de contrôler le chauffage, l’électricité, les prises de courant avec interrupteur, ou encore l’éclairage. Aussi incroyable que cela puisse paraître, leur communication n’était pas sécurisée sur le réseau lors des mises à jour logicielle ou firmware, mais en plus, la solution iComfort ne nécessitait aucune authentification que cela soit pour l’accès local ou via Internet.

 

Avec un moteur de recherche comme Shodan, n’importe qui aurait pu repérer les dispositifs de la marque sur Internet et en prendre le contrôle à distance… Effrayant. Gageons que les deux fabricants ont pris les mesures qui s’imposent pour sécuriser un tant soit peu leurs systèmes.

 

 

Le lapin Karotz sécurisé ? Pas tout à fait.

Dans la sécurité informatique, les experts réalisent des « exploits », c’est-à-dire des tests (appelés Proof-of-concept, preuve de concept) visant à démontrer la présence de vulnérabilités sur des systèmes ou des logiciels pour proposer des patchs. Certains exemples sont particulièrement croustillants. La spécialiste Jennifer Savage avait ainsi montré comment elle avait réussi à exploiter une faille de sécurité du fameux lapin multifonctions Karotz qu’elle avait offert à sa fille. Cela lui avait permis de prendre le contrôle à distance de l’appareil à son insu, à l’aide d’un ordinateur, et d’utiliser sa caméra et son micro pour l’espionner.

 

Lapin Karotz

 

Des ampoules qui éclairent et déverrouillent les réseaux Wi-Fi

Plus récemment, des chercheurs sont parvenus à prendre le contrôle d’ampoules connectées Lifx en exploitant une faille de leur protocole de communication. Ils ont pu démontrer qu’ils pouvaient théoriquement s’introduire dans un rayon de 30 mètres dans le réseau Wi-Fi domestique auquel elles sont connectées et accéder à des données privées stockées sur d’autres appareils du foyer, par exemple. Depuis cette découverte, le fabricant s’est empressé de publier un correctif.

Lifx Bulb

 

 

Des Smart TV qui espionnent les téléspectateurs

Les démonstrations les plus impressionnantes ont souvent lieu lors des conférences Black Hat organisées chaque année à Las Vegas, mais aussi à Amsterdam ou à Tokyo. Elles réunissent aussi bien des chercheurs, des experts en sécurité, que des hackers de haut vol. En 2013, plusieurs conférenciers ont exposé les vulnérabilités des TV connectées. L’un d’entre eux a prouvé notamment qu’il était possible de prendre le contrôle de la caméra et du micro d’une Smart TV et d’espionner leur propriétaire à leur insu. Et cela, même quand l’appareil était éteint.

 

 

Le thermostat Nest Lab qui joue les « Big Brother »

À l’occasion de la dernière édition qui s’est déroulée au mois d’août 2014 à Las Vegas, des chercheurs d’une université de Floride ont montré comment pirater le thermostat intelligent de Nest (la start-up rachetée par Google). Avec un accès physique à l’appareil (uniquement), ils ont pu prouver qu’il est possible d’insérer un code pour détourner et récupérer les informations récoltées par l’appareil, sans que son propriétaire s’en aperçoive.

 

Nest thermostat with hand

 

Nouvelle génération de cyberattaques

La sécurité et la protection des données privées ne sont clairement pas la priorité de certains acteurs du marché des objets connectés. Sans vouloir dresser un tableau catastrophique de la situation, les cyberattaques sur les objets connectés présentant des failles de sécurité ont tendance à se multiplier ces derniers mois. Caméras de vidéosurveillance, réfrigérateurs, babyphones, Smart TV, voici quelques exemples connus d’appareils qui ont fait l’objet d’attaques diverses et variées.

 

 

Des caméras au service des voyeurs

Impossible de ne pas citer la faille de sécurité qui avait permis à des hackers de diffuser sur Internet le flux vidéo de milliers de webcams et caméras de vidéosurveillance Trendnet, installées chez des particuliers. Malgré la publication rapide d’un correctif par le fabricant après sa découverte, de nombreux utilisateurs continuaient un an plus tard à être espionnés à leur insu, car ils n’avaient toujours pas fait la mise à jour.

 

Faille TRENDnet

 

 

Un hack jusque dans… le berceau d’un nourrisson !

Début 2014, la société spécialisée en sécurité PoofPoint a révélé pour la première fois une cyberattaque réalisée à partir de toutes sortes de dispositifs connectés dont des Smart TV, des NAS, des consoles de jeux vidéo, un réfrigérateur, etc. Les pirates auraient exploité leur vulnérabilité pour installer un serveur de spams (botnet) et envoyer plus de 750 000 emails frauduleux. Dans l’État de l’Ohio aux États-Unis au mois d’avril dernier, un hacker n’a rien trouvé de mieux que de pirater un babyphone pour terroriser un bébé et ses parents. En prenant le contrôle de l’appareil équipé d’une caméra, d’un micro et d’un haut-parleur, il s’est mis à hurler des insanités sur le nourrisson.

 

Un babyphone piraté

 

 

Analyse et collecte de données en règle

En Grande-Bretagne, le blogueur spécialisé en développement informatique connu sous le nom de DoctorBeet’s a fait une étonnante découverte. Suite à l’acquisition d’une Smart TV de la marque LG, il a remarqué l’apparition de publicités ciblées comme on peut en voir sur des services Web tels que Gmail. Il en a donc déduit que la TV devait forcément analyser ses habitudes, les programmes qu’il regarde, les sites qu’il visite, etc. En cherchant à en savoir plus, il constate en effet que son téléviseur dispose d’une fonction activée par défaut de collecte d’informations de visionnage.

 

Même après avoir désactivé cette fonction, le téléviseur continuait de transmettre des informations à son insu à LG. Le constructeur ne se contentait pas de scruter ses habitudes de consommation, mais il récupérait également des données personnelles telles que des vidéos de famille qu’il avait projetées sur son écran depuis son ordinateur. Un scandale dont se serait bien passé LG qui aurait, depuis, décidé de permettre à ses clients de « vraiment » désactiver l’option de collecte de données. Outre le manque de sécurité constaté sur de nombreux objets connectés, il faudra donc aussi dorénavant se méfier des pratiques intrusives de certains fabricants !

 

Source DoctorBeet
Source DoctorBeet’s Blog

 

 

Sous l’œil de Shodan

En faisant un tour d’horizon des objets connectés pour la maison, susceptibles de présenter des risques, on se rend compte qu’ils sont tous potentiellement vulnérables. Certains ne sont pas sécurisés ou pas suffisamment, tandis que d’autres présentent des failles de sécurité plus ou moins importantes pouvant être exploitées pour mener des attaques externes ou à courte distance. Mais la principale faille qu’exploitent les hackers est encore trop souvent l’absence de vigilance des utilisateurs. Beaucoup n’ont pas conscience des risques et n’utilisent pas de mots de passe pour protéger l’accès à distance de leurs équipements, ou se contentent de laisser les identifiants par défaut fournis par les fabricants. Un vrai problème, d’autant qu’avec un moteur de recherche comme Shodan, tous les appareils connectés ayant une adresse IP visible sont désormais répertoriés sur le Web.

 

D’une efficacité redoutable, ce service permet d’effectuer des recherches globales, ou par pays, en saisissant une simple requête pour identifier, localiser, voire prendre le contrôle des appareils connectés non protégés par un mot de passe. Il suffit de saisir le nom d’une marque de produits connectés connue (Dlink, Netgear, Samsung…) ou de cliquer sur les mots recherchés les plus populaires (Webcam, Camera, Netcam…) pour voir apparaître leurs adresses IP et s’y connecter. Le service indique de surcroît de nombreux détails sur les dispositifs, comme leur système d’exploitation, s’ils sont connectés, protégés ou non par des identifiants, etc.

 

SHODAN Computer Search EngineShodan 02

Comme cela avait été démontré dans une enquête baptisée Null CTRL, réalisée par deux journalistes norvégiens pour le site Dagbladet en 2013, d’innombrables équipements connectés référencés par Shodan ne possèdent aucune protection. Quelques clics suffisent pour les repérer et visionner, par exemple, le flux vidéo de caméras de surveillance chez des particuliers, jouer avec le tableau électrique ou le thermostat d’un immeuble, s’introduire dans des bases de données, etc. Gageons qu’à terme, cette surexposition des objets connectés permette de sensibiliser les utilisateurs sur l’importance de sécuriser leur accès.

 

Dagbladet Null CTRL

 

 

Qu’en pensent les experts ?

Au-delà des rapports alarmants, des exploits des chercheurs et des affaires relatées dans les médias, nous avons souhaité donner la parole à un expert en sécurité ainsi qu’à un fabricant de solutions domotiques. Tous deux apportent une vision concrète sur les risques que représentent les objets connectés à l’heure actuelle, et donnent quelques conseils aux utilisateurs pour mieux se protéger.

Un employé du Centre européen de lutte contre la cybercriminalité à la Haye aux Pays-Bas le 11 janvier 2013

 

 

Cybermenaces sur les maisons intelligentes

Pour en savoir un peu plus sur les menaces qui planent sur les maisons intelligentes et leurs installations domotiques, nous avons rencontré un expert en sécurité qui travaille depuis plus de dix ans pour Kaspersky Lab Angleterre. Il dresse un portrait plus nuancé que celui des cabinets d’experts en sécurité que nous avons évoqué précédemment.

 

DavidEmm KasperskyLab
David Emm

 

 

Clubic : Que pouvez-vous nous dire sur la sécurité des objets connectés pour la maison ?

David Emm : Les gens utilisent Internet pour faire des achats, gérer leurs comptes en banque, aller sur les réseaux sociaux mais aussi pour chercher des informations liées à tous les aspects de leur vie quotidienne. Et cela va encore plus loin maintenant que nous utilisons les technologies informatiques pour réaliser des actions qui étaient, par le passé, purement mécaniques, voire manuelles. Malheureusement, lorsque de nouvelles technologies voient le jour, ou lorsque la technologie génère de nouveaux usages, la sécurité n’est souvent pas l’une des priorités. Ce n’est pas un phénomène nouveau et si l’on regarde en arrière, on remarque que les évolutions sont portées par une volonté de simplicité, de réduction des coûts ou d’autres bénéfices, alors que la sécurité n’est envisagée qu’après l’émergence d’un problème. Les risques sont multiples, allant du vol à la manipulation des données. Il est facile d’imaginer par exemple qu’un compteur intelligent soit manipulé pour falsifier la consommation électrique. Pour l’instant, cela reste de l’ordre du possible plus que de celui du réel car à ma connaissance il n’y a eu aucune attaque réelle visant des compteurs électriques.

 

 

Clubic : Selon vous, quels sont les types d’appareils domotiques les plus vulnérables ?

David Emm : Lorsqu’ils entendent parler de l’Internet des objets ou de maisons intelligentes, la plupart des gens imaginent leurs appareils traditionnels disposant de nouvelles fonctionnalités (réfrigérateur, contrôle des portes, chauffage central, etc.). Pourtant, ces appareils ne sont pas encore massivement connectés et pour l’instant, leur vulnérabilité a été démontrée le plus souvent au travers d’exploits d’experts dans le cadre de tests. Bien sûr, lorsque ces appareils seront plus courants dans nos vies, je pense qu’ils deviendront régulièrement la cible d’attaques. Mais il faut surtout s’inquiéter de la vulnérabilité d’appareils qui sont aujourd’hui des incontournables, comme par exemples les modems Internet, les tablettes, les smart TV, etc.

 

 

Clubic : À quel type d’attaques les maisons intelligentes (Smart Home) sont-elles exposées ?

David Emm : Je dirais qu’il y a trois principales catégories :

1 – Obtenir l’accès à un appareil et l’utiliser pour prendre le contrôle d’autres systèmes connectés dans la maison

2 – Avoir accès à des informations privées ou sensibles, y compris des mots de passe

3 – Falsifier des informations reçues / envoyées par un appareil à l’insu des personnes du foyer

 

 

Clubic : Quelles sont les vulnérabilités que vous avez pu constater ?

David Emm : L’un de mes collègues David Jacoby a publié un rapport pour alerter sur les dangers de l’exécution de code à distance et des mots de passe faibles sur les appareils de stockage NAS, mais aussi la possibilité d’orchestrer une attaque de type « man-in-the-middle » (NDRL : l’attaque de « l’homme du milieu » consiste à s’infiltrer sans être vu dans un réseau et y intercepter des informations) via une Smart TV. Il a également découvert des fonctionnalités d’analyses non référencées intégrées dans les routeurs par les constructeurs (sans doute pour des raisons légitimes), mais qui pourraient être exploitées par un attaquant. Un appareil sans fil est repérable et potentiellement vulnérable aux attaques lorsque ses communications ne sont pas cryptées, et que le mot de passe d’accès utilisé est celui par défaut ou faible.

 

 

Clubic : Est-ce que Kaspersky envisage de proposer des solutions de sécurité pour les objets connectés ?

David Emm : Ce n’est pas parce qu’il est possible d’installer une solution de sécurité sur les terminaux traditionnels (PC, tablettes, smartphones…), que cela sera possible sur tous les appareils du quotidien qui sont connectés à Internet. Ces appareils pourraient recevoir et envoyer des données sans pour autant autoriser l’installation de code ou disposer de suffisamment d’espace pour le faire. Ils pourraient être verrouillés (par exemple si une Smart TV tourne sous un OS standard, il est possible que le code ne puisse être modifié que par le constructeur). En plus, le vendeur n’est pas toujours le constructeur des composants informatiques intégrés. Cela signifie qu’il pourrait être impossible de patcher ces appareils, même en cas de mise à jour de sécurité disponible via le constructeur des composants. On comprend mieux pourquoi il est primordial que les constructeurs d’appareils et les entreprises qui les exploitent prennent en compte la sécurité dès le début de la fabrication d’un produit. Il est essentiel de pouvoir établir un dialogue entre experts en sécurité et développeurs d’appareils informatiques pour maisons connectées.

 

 

Clubic : Que peuvent faire les utilisateurs pour protéger au mieux leurs systèmes domotiques ?

David Emm : La première chose est de lister tous les objets connectés de la maison et de savoir comment et à quoi ils sont connectés (à Internet, ou à d’autres objets de la maison). Ensuite, il est impératif de mettre des obstacles sur la route du hacker. Pour ce faire, il faut tout d’abord installer régulièrement les mises à jour de sécurité et les mises à jour logicielles, pour limiter le nombre de vulnérabilités connues qui pourraient être exploitées. Après, il faut changer le nom et le mot de passe par défaut de chaque objet connecté, car c’est la première chose qu’un hacker tentera d’attaquer pour en prendre le contrôle. Pour finir, il faut limiter l’accès d’un objet connecté aux autres objets connectés dans la maison. Par exemple, si vous avez une Smart TV, vous devrez restreindre l’accès à cette TV et autoriser seulement son accès à des ressources particulières du réseau (il n’est pas vraiment nécessaire que votre imprimante soit connectée à votre TV, par exemple…).

 

 

Clubic : Selon vous, quel serait LE scénario catastrophe pour une maison intelligente ?

David Emm : C’est une question difficile, car LE scénario catastrophe impliquant un seul individu n’aura pas forcément le même impact au niveau d’une communauté. Pour les individus, le risque qui importe c’est le personnelles — par exemple, les noms d’utilisateurs, les mots de passe, etc. Ou encore, le fait que l’on puisse vous espionner vous ou votre famille (comme le hack du babyphone survenu dans l’État de Ohio). Il y aussi le risque qu’une application contrôlant la sécurité de votre porte d’entrée puisse être hackée, vous laissant enfermé dehors. Du point de vue de la communauté, l’impact peut être plus important. Si un hacker arrive par exemple à intercepter des données d’un compteur intelligent (Smart Meter), cela peut affecter les relevés : il peut remettre les compteurs à zéro, voire créer une panne générale d’électricité.

 

Inf dark side en

 

 

Le point de vue d’un spécialiste de la domotique

Pour compléter ce dossier, nous avons voulu donner également la parole à un fabricant de solutions domotiques. Somfy, l’un des leaders du marché de la domotique, a bien voulu répondre à nos questions sur la sécurité des maisons intelligentes.

 

TaHomaSomfy Box Somfy SAS D Eskenazi

 

 

Clubic : Comment la box Somfy et les appareils qu’elle permet de piloter à distance sont-ils protégés ?

Somfy : En tant que spécialiste de solutions domotiques, notre box prend en compte les problématiques de sécurité. L’ensemble des actions effectuées avec nos solutions Tahoma et Somfy Box transite sur un serveur sécurisé et est chiffré sur 128 bits. Le protocole RTS propriétaire de Somfy (10 millions de systèmes installés dans le monde) qui est utilisé pour la commande radio est sécurisé grâce à un code tournant de 16 millions de combinaisons.

 

 

Clubic : En tant que fabricant, que pensez-vous du remous médiatique autour de la vulnérabilité supposée ou avérée de certains objets connectés pour la maison ?

Somfy : Nous sommes aujourd’hui en plein boom des objets connectés, avec de nombreux nouveaux acteurs qui lancent parfois des solutions un peu trop vite et pas suffisamment abouties. Il faut veiller à bien se renseigner sur le fabricant et sa légitimité sur le secteur. Somfy possède une expertise en matière de radio et d’IP qui nous rend légitimes sur ce secteur. Depuis que nous avons lancé notre box il y a quatre ans, aucun piratage ne nous a été signalé.

 

 

Clubic : Quels sont selon vous les points faibles d’une installation, ou quels pourraient-ils être ?

Somfy : Les points faibles de l’installation seraient de ne pas avoir de système de protection, d’avoir positionné les détecteurs de mouvements aux mauvais endroits ou de ne pas couvrir tous les accès de la maison.

 

 

Clubic : Selon vous, quel serait LE scénario catastrophe pour une maison intelligente ?

Somfy : Le scénario catastrophe, s’il y en a un, serait de se faire voler son téléphone sans code pour le déverrouiller en laissant ainsi libre accès à l’application qui commande la maison intelligente. Il faut donc prendre les précautions nécessaires.

 

 

Conclusion

En moins de deux ans, la domotique est passée d’un marché de niche à un nouvel eldorado convoité par la plupart des géants de l’industrie high-tech. Apple, Google, Microsoft ou encore Samsung, pour ne citer qu’eux, se sont lancés tour à tour sur ce marché promis à une très forte croissance en multipliant les partenariats et les rachats de start-up spécialisées. Début 2014, Google n’a pas hésité par exemple à faire la troisième acquisition la plus importante de son histoire, en rachetant Nest Labs pour la bagatelle de 3,2 milliards de dollars et, plus récemment, le spécialiste de caméras IP Dropcam pour 555 millions de dollars.

 

Courant 2014, Samsung s’est offert la start-up spécialisée SmartThings (montant de l’achat non divulgué), Microsoft a noué un partenariat avec Insteon, un des leaders de la domotique aux USA, et Apple a dévoilé à l’occasion de la WWDC la plateforme HomeKit pour iOS8 qui permettra de contrôler les objets connectés de nombreux fabricants via Siri (l’assistant vocal d’Apple). En attendant les solutions des poids lourds des nouvelles technologies, le marché est déjà bien occupé par les acteurs historiques — Somfy, Philips, Haier, Legrand, etc. —, une foule de nouveaux fabricants de tous horizons, des fournisseurs d’électricité ou encore des opérateurs comme Orange et SFR, qui commercialisent en France des kits de domotique pour accompagner leurs box. Si tout ce monde frappe à la porte de nos foyers, c’est que le potentiel est énorme.

 

TaHoma Somfy SAS photo studio EKD

Il ne fait aucun doute que les produits du quotidien vont être de plus en plus connectés (comme nous avons pu le voir au CES cette année), mais pas toujours bien sécurisés. Les acteurs comme Google, Apple et Microsoft, qui ambitionnent qu’un maximum d’objets connectés puissent fonctionner à l’avenir avec leurs plateformes mobiles respectives, vont sans doute imposer aux fabricants un cahier des charges drastique en matière de sécurité s’ils veulent obtenir une certification. Cela pourrait peut-être permettre d’augmenter le niveau de protection des objets connectés, même si comme nous l’avons vu, il n’est pas toujours possible de patcher des produits comprenant des composants provenant de différents fabricants.

 

Le nombre croissant d’objets connectés risque d’intéresser de plus en plus les cybercriminels pour entreprendre des diffusions de spams ou de logiciels malveillants à grande échelle, par exemple. Mais le plus effrayant serait qu’ils puissent prendre le contrôle total des maisons intelligentes, espionner leurs habitants à l’aide des caméras de surveillance, s’introduire ni vu ni connu dans le foyer en déverrouillant la porte à l’aide d’un smartphone, couper l’électricité ou le chauffage en plein hiver, ou encore, déclencher l’alarme au beau milieu de la nuit…

 

Pour que les maisons intelligentes tiennent vraiment toutes leurs promesses, il est indispensable qu’à l’avenir leur sécurité soit garantie. En attendant, côté utilisateur, il faudra être de plus en plus vigilant, se renseigner sur le système de protection des produits, faire systématiquement les mises à jour, ou encore instaurer un mot de passe fort pour l’accès à distance de tous les appareils connectés. Le prix à payer pour que le rêve de posséder une maison intelligente ne tourne pas au cauchemar.

 

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : ://www.clubic.com/antivirus-securite-informatique/article-723729-1-objets-connectes-representent-risque.html

Par Jérôme Cartegini

 

 




Wi-Fi. Attention au piratage sur les vrais et faux réseaux gratuits | Denis JACOPINI

Wi-Fi. Attention au piratage sur les vrais et faux réseaux gratuits


Ce sont les vacances mais nombre de touristes ne se séparent pas de leurs smartphones, tablettes ou ordinateurs portables. Et pour se connecter à l’internet, quoi de mieux qu’attraper un wi-fi gratuit. Une pratique qui peut se révéler très dangereuse. Des proies faciles pour les « sniffeurs » de données. Explications de Laurent Heslault, expert sécurité chez Symantec.

 

 

Vous êtes sur votre lieu de vacances et vous avez envie de vous connecter à l’internet. Pour consulter votre messagerie ou vos réseaux sociaux, envoyer des photos à vos proches, surfer sur le net ou consulter votre compte en banque ou faire une réservation.

Solution la plus simple : se connecter à un réseau Wi-Fi gratuit. Dans votre hôtel, camping, à la terrasse d’un café ou d’un restaurant… Les accès gratuits pullulent et se généralisent.

Expert en sécurité à Symantec, Laurent Heslault tire le signal d’alarme. « Rien de plus simple que de pirater les données qui transitent sur un réseau Wi-Fi gratuit » assure-t-il. « Par exemple, je m’installe à la terrasse d’un café et je crée un vrai faux point d’accès gratuit en empruntant le nom du café. Des gens vont s’y connecter et je n’ai plus qu’à récupérer toutes les données qui m’intéressent. Des mots de passe, des identifiants… »

Des sniffeurs de données

Il exagère ? Non. « L’expérience a été faite à la terrasse d’un café. Nous avons installé un logiciel qui permet de sniffer tous les appareils qui se branchaient sur le Wi-Fi. Ensuite, des complices, qui se faisaient passer pour des magiciens, allaient voir les gens en disant que par magie, ils avaient réussi à changer le code de leur téléphone ou leur image sur Facebook. Ils étaient étonnés ! » Rien de magique mais des logiciels de piratage qui se trouvent facilement sur le net.

Les données sur le Wi-Fi ne sont pas chiffrées

« Les données qui transitent sur le Wi-Fi ne sont pas chiffrées. Sauf quand vous vous connectés à un site sécurisé avec le protocole HTTPS. Donc ce sont des données faciles à intercepter. » Danger sur les vrais faux points d’accès Wi-Fi mais aussi sur les vrais qui ne sont, dans la grande majorité des cas, pas chiffrés non plus. « Par contre pas de problème pour une connexion 3G ou 4G qui sont chiffrées. Mais pour économiser leur forfait, les gens préfèrent se connecter au Wi-Fi ».

Conseils

Alors quels conseils ? « Ne jamais, sur un Wi-Fi public, entrer un mot de passe. D’autant que la plupart des internautes utilisent le même mot de passe pour tous leurs sites. » En clair, limiter les dégâts en ne consultant que des sites qui ne demandent aucune identification.

Autre solution : protéger son smartphone ou sa tablette en y installent un logiciel qui va chiffrer toutes les données qui vont en sortir. Plusieurs types de logiciels existent dont le Wi-Fi Privacy de Norton qui est gratuit pendant 7 jours et peut s’installer sur des périphériques fonctionnant sous Ios et Androïd.

Article original de Samuel NOHRA.

 

Nous prodiguons une multitude d’autres conseils durant les formations que nous animons à destination des élus, chef d’entreprises, agents publics et salariés. [Consultez la liste de nos formations]


 

Réagissez à cet article

Original de l’article mis en page : Wi-Fi. Attention au piratage sur les vrais et faux réseaux gratuits




Piratages de sites Internet de Mairies – Sensibilisez vos agents et prestataires ! | Denis JACOPINI

Piratages de sites Internet de Mairies – Sensibilisez vos agents et prestataires !


Deface – Des dizaines de Mairies Françaises de nouveau visées par des pirates informatiques. Les communes sont restées muettes sur le sujet.

Je vous racontais, il y a quelques mois, les mésaventures vécues par des dizaines de mairies Françaises visées par des pirates informatiques. Des attaques sous la forme de defacagz (Barbouillage – remplacer ou rajouter une page, une image, un texte dans un site). Des attaques restées « secrètes » aux yeux des administrés. Personne n’a jamais su si des données privées et sensibles (mails, données des habitants, …) avaient été collectées lors de ces attaques. Nous aurions pu penser, aussi, que les Directeurs des Services (DGS) et autres services des Ressources Humaines territoriales avaient profité des formations proposées par l’ANSSI. Des rendez-vous orchestrés pour les fonctionnaires territoriaux désireux de s’informer. A première vue, le « Cela n’arrive qu’aux autres » semble être incrusté dans les esprits. Pour preuve, les attaques ayant visé des dizaines de mairies, en cette période estivale.

 

BagnereDeface – Tunisien, Albanais, Algérien, Indonésien…

Depuis quelques jours, plusieurs pirates informatiques venus des quatre coins du globe se sont attaqués aux sites Internet de communes Françaises. Des Communautés de Communes (Canton Ossun, Lunevillois …) ont aussi été visées. Les motifs sont aussi variés que futiles. La grande majorité de ces pirates ont entendu parler de la France en raison de l’Euro 2016. Le plus inquiétant dans cette histoire : le silence total des municipalités. Le pirate du site de la Ville de Béthune a-t-il mis la main sur des données sensibles ?

 

hunt3r

 

 

Celui de Sedan, Briançon, Sainte-Maxime a-t-il sauvegardé une porte cachée (Shell, Backdoor) dans les serveurs ? Les courriers que j’ai envoyé afin d’avoir une réponse à ces questions ne sont jamais revenus. L’ANSSI et la CNIL ont été saisies du sujet. Espérons qu’il ne s’agissait que de « simples » barbouillages de sites web. Mon expérience sur le sujet (30 ans) me laisse malheureusement penser le contraire. Les pirates ne se contentent plus, aujourd’hui, que d’une simple odeur numérique sur un mur 2.0.

 

 

sedan

 

 

Les villes touchées ces derniers jours par un deface

D’abord, le pirate Tunisien HUNT3RXM, membre de la team Fallaga, s’est affiché sur les sites des villes de Morez et Mezy. Un exemple de son passage se trouve en ce moment sur un site d’Aviron (avec musique irlandaise !). Deux autres Tunisiens, M.R ZAHER et Dark Shadow, ont laissé leurs « traces » sur l’Internet des Villes de Gueret et Bazas.

Ensuite, le pirate Algérien MCA-CRB a caché son message dans un dossier de l’espace territorial de Bagnere-de-Bigorre.

L’Indonésien Walkers404 affiche ses étoiles sur le web de la commune de Mezeray. On le retrouve aussi dans les pages de la Roche fort du Gard.

L’Albanais Nofawkx, qui semble converser avec des « piratins » Francophones s’est payé les sites des villes de Béthune, Du Pré Saint-Gervais, Bellerive-sur-allier, Rixheim, Sedan, Briançon, Montataire, Sainte-Maxime et Badonviller.

Enfin, l’Iranien aHor4 s’est épanché sur les Mairies de Bonson et Varengeville-sur-mer. Il aime laisser sa page Security.html dans les serveurs infiltrés. Il annonce être contre Daesh.

 

nofawkx-2 

 

Par ailleurs, cette liste est loin d’être exhaustive. Partant de ce fait, il est difficile de connaître l’ensemble des sites victimes. Le Cache de Google et d’autres sources (Iran Cyber, Zone H, defaceX, Twitter, Facebook…) n’affichent pas l’intégralité des passages malveillants. Le point commun de ces tagueurs numériques est l’envie de s’afficher sur le site des autres. Ils exploitent des failles connues, sur des serveurs, CMS non mis à jour. Certains de ces pirates se retrouvent aussi dans le blackmarket. Dans des boutiques numériques qui permettent de vendre et acheter des bases de données piratées.

 

WalkerMise à jour : La ville de Béthune m’a répondu, sur Twitter. Du moins, la commune a confirmé le piratage. Elle n’a pas communiqué sur les potentielles données que le pirate a pu manipuler.

Article original de Damien Bancal

Nous prodiguons une multitude d’autres conseils durant les formations que nous animons à destination des élus, chef d’entreprises, agents publics et salariés. [Consultez la liste de nos formations]


 

Réagissez à cet article

Original de l’article mis en page : ZATAZ Deface – Nouvelle vague de piratages de Mairies Françaises – ZATAZ




Attaques informatiques : Comment s’en protéger ?

Attaques informatiques : Comment s’en protéger  ?


Les cyberattaques se faisant de plus en plus nombreuses et sévères, les entreprises doivent apprendre à s’en protéger. Pour cela, les directions juridiques et de l’informatique peuvent s’appuyer sur l’expertise de la police judiciaire et des experts en data protection.

 

Tous les quinze jours en moyenne, une attaque sévère – où des données sont exfiltrées – est découverte. Face à ce constat, le tribunal de commerce de Paris a réuni quatre tables rondes d’experts de la sécurité informatique, des représentants de la police judiciaire et des experts-comptables fin juin pour examiner les solutions de protection dont disposent les entreprises. Julien Robert, directeur de la sécurité chez SFR, résume les trois facteurs agissant sur la sécurité : les utilisateurs, car ce sont eux qui choisissent les données qu’ils utilisent et partagent, les fournisseurs d’accès et l’encadrement d’un data center externe fortement conseillé.

 

Prévention
« Il est difficile d’agir lorsque l’attaque a déjà eu lieu », précise Sylvie Sanchis, chef de la Befti (1) de la police judiciaire de Paris. Le moyen le plus efficace dont disposent les entreprises pour se protéger est donc la prévention. Il faut avant tout investir dans la sécurité informatique. Si certaines sociétés sont réticentes en raison du coût, il est important de rappeler qu’il sera toujours moindre que celui engendré par une attaque.
Tous les salariés doivent par ailleurs être formés car certaines intrusions sont rendues possibles par leur comportement, sans qu’ils en soient conscients, notamment par leur exposition sur Internet.

 

Les modes opératoires
Les modes opératoires d’exfiltration des données se diversifient et se sophistiquent au fil des années. Certains se veulent discrets afin que l’entreprise ne prenne connaissance de l’attaque que très tardivement, d’autres relèvent du chantage ou de la demande de rançon.
L’attaque peut venir d’un mail qui, à son ouverture, téléchargera un virus sur l’ordinateur de l’employé. Les données peuvent également être extraites grâce au social engineering, pratique qui exploite les failles humaines et sociales de la cible, utilisant notamment la crédulité de cette dernière pour parvenir à ses fins (arnaque au patron). Quant aux ransomwares, il s’agit de logiciels malveillants permettant de rançonner l’entreprise pour qu’elle récupère ses données. Dans ce cas, Anne Souvira, chargée de mission aux questions liées à la cybercriminalité au cabinet du préfet de police de Paris, précise que «même si l’entreprise paye, il est très rare de récupérer toutes les données. » Si elle peut être tentée de payer la rançon sans prévenir les autorités compétentes pour une somme modique, il n’y a aucune garantie de récupérer les données et les traces de l’attaque seront perdues. D’autres techniques de chantage sont utilisées, comme lorsque l’on se voit menacer d’une divulgation des vulnérabilités du système.

 

L’importance de porter plainte
La réaction à adopter, la plus rapide possible, fait partie de la sécurité informatique : « C’est un travail de réflexion en amont qui permettra d’adopter la bonne stratégie », selon Ciryl Piat, lieutenant-colonel de la gendarmerie nationale. Suite à une cyber-attaque, la plupart des entreprises sont réticentes à porter plainte, par peur d’une mauvaise réputation ou par scepticisme vis-à-vis de la réelle utilité de cette procédure. Alice Cherif, chef de la section « cybercriminalité » du parquet de Paris, précise que la plainte présente l’avantage d’identifier les éléments d’investigation qui permettront de remonter au cybercriminel. «Toute autre alternative est bien moins efficace et fait perdre un temps précieux à l’entreprise ainsi que des éléments d’investigation. »

 

L’utilité du cloud
L’une des façons de sécuriser ses données est de les confier à un tiers spécialiste qui les stockera en ligne sur un cloud. « Il s’agit d’un système complexe connecté sur Internet, où les données sont stockées sur des disques durs physiques situés dans des salles d’hébergement, les fameux data centers », explique Julien Levrard, chef de projet sécurité chez OVH. Le cloud rend l’accès plus difficile aux malfaiteurs d’autant qu’ils ignorent la localisation de la donnée. Vigilance et prévention : les maîtres mots en matière de cybercriminalité.

Article original de Emilie Smelten

(1) Brigade d’enquête sur les fraudes aux technologies de de l’information

 



 

Réagissez à cet article

Original de l’article mis en page : Cybercriminalité : comment se protéger ? – Magazine Decideurs




Bonnes pratiques face à une tentative de cyber-extorsion | Denis JACOPINI

Ordinateur, Virus, Piratage Informatique

Bonnes pratiques face à une tentative de cyber-extorsion


Bonnes pratiques face à une tentative de cyber-extorsion

 

1. Typologie des différents cas de cyber-extorsion

Le type le plus répandu de cyber-extorsion est l’attaque par crypto-ransomware. Ce dernier est une forme de malware qui chiffre les fichiers présents sur la machine infectée. Une rançon est par la suite demandée afin d’obtenir la clef qui permet de déchiffrer les données compromises. Ces attaques touchent autant les particuliers que les acteurs du monde professionnel. Il existe cependant deux autres types de cyber-extorsion auxquels doivent faire face les sociétés.

Le premier cas est celui du chantage faisant suite à un vol de données internes. L’exemple le plus marquant de ces derniers mois est celui du groupe Rex Mundi : ce dernier dérobe des informations sensibles/confidentielles – comme une base clientèle – puis demande une rançon à sa victime sous peine de divulguer son butin et par conséquent de rendre public l’acte de piratage; ce qui peut être fortement compromettant pour la société ciblée comme pour sa clientèle. De nombreuses entreprises comme Dexia, Xperthis, Voo ou encore Labio ont été victimes des chantages du groupe Rex Mundi.

 

La deuxième pratique est celle du DDoS contre rançon, spécialité des pirates d’Armada Collective. Le modus operandi est simple et efficace : la cible reçoit un email l’invitant à payer une rançon en Bitcoin afin de ne pas se voir infliger une puissante attaque DDoS qui rendrait son site web indisponible à ses utilisateurs. La plupart des victimes sont des sociétés de taille intermédiaire dont le modèle économique est basé sur le principe de la vente en ligne – produits ou services – comme le fournisseur suisse de services de messagerie ProtonMail en novembre 2015.

 

 

2. Bonnes pratiques à mettre en place

En amont de la tentative de cyber-extorsion

Un ensemble de bonnes pratiques permet d’éviter qu’une attaque par ransomware se finalise par une demande de rançon.

Il convient de mettre en place une stratégie de sauvegarde – et de restauration – régulière des données. Ces back-ups doivent être séparés du réseau traditionnel des utilisateurs afin d’éviter d’être chiffrés en cas de déploiement d’un crypto-ransomware. Dans ce cas de figure, le système pourra être restauré sans avoir besoin de payer la rançon exigée.

La propagation d’un malware peut également être évitée par l’installation d’outils/solutions de cybersécurité notamment au niveau du client, du webmail et du système d’exploitation (antivirus). Ceci doit obligatoirement être couplé à une mise à jour régulière du système d’exploitation et de l’ensemble des logiciels installés sur le parc informatique.

L’être humain étant toujours le principal maillon faible de la chaîne, il est primordial de sensibiliser les collaborateurs afin qu’ils adoptent des comportements non-risqués. Par exemple : ne pas cliquer sur les liens et ne pas ouvrir les pièces-jointes provenant d’expéditeurs inconnus, ne jamais renseigner ses coordonnées personnelles ou bancaires à des opérateurs d’apparence légitimes (banques, fournisseurs d’accès Internet, services des impôts, etc.).

Ces bonnes pratiques s’appliquent également dans le cas d’un chantage faisant suite à un vol de données internes. Ces dernières sont en général dérobées via l’envoi dans un premier temps d’un spam contenant une pièce jointe malicieuse ou une URL redirigeant vers un site web compromis. Une fois le système d’information compromis, un malware est déployé afin de voler les informations ciblées.

La menace provient également de l’intérieur : un employé mal intentionné peut aussi mettre en place une tentative de cyber-extorsion en menaçant de divulguer des informations sensibles/confidentielles. Ainsi, il est important de gérer les accès par une hiérarchisation des droits et un cloisonnement.

 

 

Pendant la tentative de cyber-extorsion

Lors d’un chantage faisant suite à un vol de données internes, il est important de se renseigner sur la véracité des informations qui ont été dérobées. Certains groupes de pirates se spécialisent dans des tentatives de cyber-extorsion basées sur de fausses informations et abusent de la crédulité de leurs victimes. Il en va de même concernant l’origine du corbeau : de nombreux usurpateurs imitent le style du groupe Armada Collective et envoient massivement des emails de chantage à des TPE/PME. Ces dernières cèdent fréquemment à ces attaques qui ne sont pourtant que des canulars.

Il est vivement recommandé de ne jamais payer une rançon car le paiement ne constitue pas une garantie. De nombreuses victimes sont amenées à payer une somme bien plus conséquente que la rançon initialement demandée. Il n’est pas rare de constater que les échanges débutent de manière très cordiale afin de mettre la cible en confiance. Si cette dernière cède au premier chantage, l’attaquant n’hésite pas à profiter de sa faiblesse afin de lui soutirer le plus d’argent possible. Il abuse de techniques basées sur l’ingénierie sociale afin d’augmenter ses profits. Ainsi, l’escroc gentil n’existe pas et le paiement de la rançon ne fait que l’encourager dans sa démarche frauduleuse.

De nombreuses victimes refusent de porter plainte et cela pour plusieurs raisons. Elles estiment à tort que c’est une perte de temps et refusent également de communiquer sur les résultats et conséquences d’une attaque qui ne feraient que nuire à leur image auprès des clients, fournisseurs ou partenaires. Pourtant cette mauvaise stratégie ne fait que renforcer le sentiment d’impunité des attaquants, les confortent dans le choix de leurs modes opératoires et leur permet de continuer leurs actions malveillantes. Il est ainsi vital de porter plainte lors de chaque tentative de cyber-extorsion. L’aide de personnes qualifiées permet de faciliter ce genre de démarches.

En cas d’attaque avérée, il est essentiel pour la victime de s’appuyer sur un panel de professionnels habitués à gérer ce type de situation. La mise en place d’une politique de sauvegarde ou bien la restauration d’un parc informatique n’est pas à la portée de toutes les TPE/PME. Il est nécessaire de faire appel à des prestataires spécialisés dans la réalisation de ces opérations complexes.

Par ailleurs, en cas de publication de la part de l’attaquant de données sensibles/confidentielles, il convient de mettre en place un plan de gestion de crise. La communication est un élément central dans ce cas de figure et nécessite l’aide de spécialistes.

Article original de Adrien Petit


 

Réagissez à cet article

Original de l’article mis en page : Bonnes pratiques face à une tentative de cyber-extorsion [Par Adrien Petit, CEIS] | Observatoire FIC




Ce qu’il faut savoir avant de se connecter sur du WiFi public | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

 

Les voyageurs daffaires ignorent les risques du WiFi public

Ce qu’il faut savoir avant de se connecter sur du WiFi public


Aéroports, hôtels, cafés… Le WiFi public est très utilisé, mais pas sans risque. 30 % des managers ont fait les frais d’un acte cybercriminel lors d’un voyage à l’étranger, selon Kaspersky Lab.

Spécialiste des solutions de sécurité informatique, Kaspersky Lab publie les résultats d’une enquête réalisée par l’agence Toluna auprès de 11 850 salariés, cadres et dirigeants dans 23 pays, sur leur utilisation de terminaux et Internet à l’étranger. Tous ont voyagé à l’international l’an dernier, à titre professionnel ou personnel. Premier constat : 82 % ont utilisé des services WiFi gratuits, mais non sécurisés (aucune authentification n’étant nécessaire pour établir une connexion réseau), depuis un aéroport, un hôtel, un café… Or, 18 % des répondants, et 30 % des managers, ont fait les frais d’un acte cybercriminel (malware, vol de données, usurpation d’identité…) lorsqu’ils étaient à l’étranger.

Droit ou devoir de déconnexion ?

« Les businessmen assument que leurs terminaux professionnels sont plus sûrs du fait de la sécurité intégrée », a souligné l’équipe de Kaspersky Lab dans un billet de blog. Et si cela n’est pas le cas, ils considèrent que ce n’est pas leur problème. Ainsi « un répondant sur quatre (et plus de la moitié des managers) pense qu’il est de la responsabilité de l’organisation, plutôt que de celle de la personne, de protéger les données. En effet, à leurs yeux, si les employeurs envoient du personnel à l’étranger, ils doivent accepter tous les risques de sécurité qui vont avec ».

Si des données sont perdues ou volées durant leur voyage, la plupart des managers seraient prêts à blâmer leur département informatique. Et ce pour ne pas avoir recommandé l’utilisation de moyens de protection comme un réseau privé virtuel (VPN), des connexions SSL ou encore la désactivation du partage de fichiers lors d’une connexion WiFi… Quant au droit à la déconnexion, lorsqu’il existe, il se pratique peu. Pour 59 % des dirigeants et 45 % des managers « intermédiaires », il y une attente de connexion quasi continue de la part de leur employeur.

Article original de Ariane Beky



 

Réagissez à cet article

Original de l’article mis en page : Les voyageurs daffaires ignorent les risques du WiFi public




Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle

Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle


Votre boite mail est souvent la clé qui permet d’accéder ou de vous inscrire aux services en ligne.Raison de plus pour la sécuriser au maximum ! 

Sécuriser sa boite email

Pour votre boite mail : un mot de passe solide

Vous devez utiliser un mot de passe propre et unique pour vous connecter à votre webmail et surtout ne pas l’utiliser pour un autre compte.

 

Pourquoi c’est important ?

Utiliser le même mot de passe pour votre compte de messagerie et votre compte de réseau social est une pratique risquée. Si votre fournisseur de réseau social est victime d’une fuite de données comprenant vos moyens d’authentification, une personne mal intentionnée pourrait les utiliser pour non seulement accéder à votre compte de réseau social mais aussi pour accéder à votre messagerie.

De plus, une fois l’accès à votre messagerie obtenu, il deviendra possible de voir la liste des messages d’inscriptions à vos comptes sur différents sites (si vous ne les avez pas supprimés de votre boîte). Il sera ainsi possible de connaître certains de vos identifiants de compte et d’utiliser la fonction d’oubli de mots de passe pour en prendre le contrôle.

 

 

Cette absence de sécurité ou l’utilisation d’un mot de passe faible vous expose à des risques :

  • Usurpation de votre boite mail pour piéger votre liste de contacts ;
  • Ajout d’une redirection de mail (souvent indétectable après la compromission d’une boite mail) : vos emails continuent de fuiter malgré tout changement de mot de passe ultérieur…
  • Connexion du pirate à vos sites et applications tierces ;
  • Utilisation de vos coordonnées bancaires pour payer ;
  • Usurpation d’identité grâce aux données collectées dans votre boite mail ;
  • Demande de rançon suite à des données compromettantes retrouvées dans votre boite mail ;

 

 

[CONSEIL] – En parallèle d’un bon mot de passe :

  • Il est déconseillé d’utiliser sa boite mail en tant qu’espace de stockage, notamment pour les données qui peuvent vous paraitre sensibles et notamment, les bulletin de paie, les justificatifs d’identité envoyés qui peuvent notamment contenir votre adresse postale personnelle, ou les mots de passe échangés en clair. Attention également aux photos qui permettent de vous ré-identifier sur des sites de réseaux sociaux et donnent la possibilité à une personne malveillante de se créer une fausse identité.
  • Il convient de supprimer les emails reçus, envoyés ou enregistrés en tant que brouillon qui paraissent avoir une importance particulière ou de chiffrer les documents que vous mettez en pièce jointe.
  • Enfin pour protéger votre identité, il est recommandé d’utiliser une boite mail sous pseudonyme pour l’inscription à des services que vous jugez intrusifs, ou particulièrement sensibles (site de jeux concours, site de rencontre …).

 

L’initiative

haveibeenpwened est un site conçu par Troy Int, informaticien indépendant. Il recense tous les mails compromis à l’occasion de fuite de données massive. L’utilisateur n’a qu’à entrer son email pour savoir s’il figure dans une base de données piratée et si ses mots de passes sont potentiellement entre les mains de personnes malveillantes.


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article




Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Formation RGPD : l’essentiel sur le règlement Européen pour la Protection des Données Personnelles


Contenu de nos formations :

Le Règlement Général sur la Protection de Données (RGPD) entre en application le 25 mai 2018 et les entreprises ne s’y sont pas préparées. Or, elles sont toutes concernées, de l’indépendant aux plus grosses entreprises, et risqueront, en cas de manquement, des sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires.

Au delà des amendes pouvant attendre plusieurs millions d’euros, c’est aussi  la réputation des entreprises qui est en jeu. Quelle valeur lui donnez vous ? Serez-vous prêt à la perdre pour ne pas avoir fais les démarches dans les temps ?

 

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock


Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous


Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 



 




Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?

Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?


Les ordinateurs contiennent des documents privés et données confidentielles (renseignements personnels, identifiants bancaires, codes secrets) qui peuvent être convoités par une tierce personne mal intentionnée. En cas de cyberattaque, il est important de savoir réagir vite pour se protéger d’une utilisation frauduleuse de vos données personnelles. Nous expliquons ici les principales cybermenaces qui planent sur les internautes, les recommandations de sécurité pour s’en prémunir et, surtout, comment agir si vous êtes la victime d’un cybercriminel.

 

Les recommandations de sécurité pour se protéger des cyber-escrocs

Selon l’ANSII (agence nationale de la sécurité des systèmes d’information), il vous est fortement conseillé de respecter quelques règles simples pour vous protéger contre les cyberattaques. Effectuer des sauvegardes régulières de vos fichiers importants sur des supports de stockage amovibles (CD, clé USB, disque dur externe). Mettre à jour régulièrement les principaux logiciels de vos appareils numériques (ex : Windows, antivirus, lecteur PDF, navigateur, etc.) en privilégiant leur mise à jour automatique. Ne pas avoir une confiance aveugle dans le nom de l’expéditeur de l’email. En cas de doute, n’hésitez pas à contacter directement l’expéditeur par un autre moyen de communication. Se méfier de courriel type « hameçonnage ciblé » qui vous propose un contenu personnalisé pour mieux tromper votre vigilance. Ne pas ouvrir les pièces jointes et ne pas suivre les liens des messages électroniques douteux (fautes d’orthographe, caractères accentués, nom des pièces jointes trop succinct). Ne jamais répondre à une demande d’information confidentielle par courriel.

 

 

En cas de cyber-attaque, il faut immédiatement déconnecter du réseau tout appareil susceptible d’être infecté et alerter au plus vite le responsable de sécurité ou le service informatique. Dans le cadre d’un rançongiciel, il est primordial de ne pas payer la rançon, car il n’est nullement garanti que la victime récupère la clé de déchiffrement qui lui permettra de récupérer l’accès à ses données personnelles.

Comment réagir si vous êtes victime d’un rançongiciel ou d’hameçonnage ?

Vous devez vous rendre dans un commissariat de police ou une brigade de gendarmerie pour déposer plainte, ou bien adresser un courrier au Procureur de la République auprès du Tribunal de Grande Instance compétent.

Pour mener correctement l’enquête, il faudra fournir les renseignements suivants.

  • Les références du (ou des) transfert(s) d’argent effectué(s).
  • Les informations de la (ou des) personne(s) contactée(s) : pseudos utilisés, adresse de messagerie ou adresse postale, numéros de téléphone, fax, copie des courriels…
  • Le numéro complet de la carte bancaire ayant servi au paiement, la référence de votre banque et de votre compte, et la copie du relevé de compte bancaire où apparaît le débit frauduleux.
  • Tout autre renseignement utile à l’identification du cyber-escroc.

 

 

Vous pouvez également utiliser la plateforme de signalement Pharos ou le numéro de téléphone dédié : 0811 02 02 17 pour signaler les faits dont vous avez été victime. La suite de l’enquête sera prise en charge par des services spécialisés…[lire la suite]

 


NOTRE MÉTIER :

  • FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
  • EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
  • AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
  • MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, suivez nos formations ;

EXPERTISES TECHNIQUES : Dans le but de prouver un dysfonctionnement, de déposer ou vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettrons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des nombreuses formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration et vous accompagnons dans l’établissement d’une analyse d’impact et de votre mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettrons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assisterons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nousNOS FORMATIONShttps://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)


 

Réagissez à cet article

Source : Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?




Formation en Cybercriminalité : Arnaques, virus et demandes de rançons, Comment s’en protéger ?

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Formation en Cybercriminalité : Arnaques, virus et demandes de rançons, Comment s'en protéger ?

Formation en Cybercriminalité : Arnaques, virus et demandes de rançons, Comment s’en protéger ?


Le contexte de l’Internet et l’ampleur du phénomène de la cybercriminalité, nous poussent à modifier nos comportements au quotidien.
Avons-nous raison d’avoir peur ? De quoi doit-on avoir peur ? Comment se protéger ?
Les réponses évidentes sont techniques, mais il n’en est pas moins vrai que des règles de bonnes pratiques et des attitudes responsables seront les clés permettant d’enrayer le phénomène. 

 

OBJECTIF DE LA FORMATION EN CYBERCRIMINALITE :

La formation en cybercriminalité a pour but de créer des déclics chez les utilisateurs, mettre à jour les connaissances des informaticiens et faire prendre conscience aux chefs d’entreprises des risques en couvrant les règles de bonnes pratiques et des attitudes responsables qui sont les clés permettant d’enrayer le phénomène de la cybercriminalité.

 

 

PROGRAMME :

  • Etat des lieux de la cybercriminalité en France et dans le monde;
  • Les principaux cas de piratages et d’arnaques expliqués ;
  • Les bonnes pratiques au quotidien pour limiter les risques ;
  • Etude de vos témoignages, analyse de cas et solutions.
  • PUBLIC CONCERNÉ : Utilisateurs, chefs d’entreprise, présidents d’associations, élus….

 

 

MOYENS PÉDAGOGIQUES :

  • Support de cours pour prise de notes
  • Résumé remis en fin de cours.
  • Vidéo projecteur et sonorisation souhaitée selon la taille de la salle.

 

 

CONDITIONS D’ORGANISATION

  • Formations individuelles ou en groupe
  • Formations dispensées dans vos locaux ou organisées en salle de formation partout en France en fonction du nombre de stagiaires.

 

Téléchargez la fiche de présentation / Contactez-nous

 

 

QUI EST LE FORMATEUR  ?

Denis JACOPINI est Expert Informatique assermenté, diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale et en Droit de l’Expertise Judiciaire et a été pendant une vingtaine d’année à la tête d’une société spécialisée en sécurité Informatique.

Il anime dans toute le France et à l’étranger des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles.
A ce titre, il intervient régulièrement sur différents médias et sur La Chaine d’Info LCI pour vulgariser les sujets d’actualité en rapport avec ces thèmes.

Spécialisé en protection des données personnelles, il accompagne les établissements dans leur mise en conformité CNIL en les accompagnant dans la mise en place d’un Correspondant Informatique et Libertés (CIL).

Enfin, il intervient en Master II dans un centre d’Enseignement et de Recherche en Informatique, en Master Lutte contre la Criminalité Financière et Organisée, au Centre National de la Fonction Publique Territoriale et anime le blog LeNetExpert.fr sur lequel il partage et publie de très nombreuses informations sur ses thèmes de prédilection.

Denis JACOPINI peut facilement être contacté sur :
http://www.leNetExpert.fr/contact


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 


https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr


https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr