Comment voler des données au moyens de scanners de bureau ?

Décidément les universitaires israéliens sont passionnés par le piratage à distance avec des techniques dites ‘Air Gap’ (c’est-à-dire sans connexion à Internet). Récemment, une équipe avait démontré la capacité d’extraire des données depuis le clignotement des LED des disques durs de PC.

Quelques prérequis

Toujours dans les bureaux des entreprises, une autre équipe de chercheurs a jeté son dévolu sur les scanners. Ils ont piraté à distance un scanner pour qu’il puisse transmettre des commandes à un malware installé sur un PC en mode ‘Air Gap’. Bien sûr la technique est valable dans l’autre sens, c’est-à-dire que le scanner peut être utilisé pour exfiltrer des données. Ils l’expliquent dans un document intitulé avec malice : « Oops… Je pense avoir scanné un malware »

La technique de piratage repose toujours sur la lumière. Dans le cas du scanner, un faisceau de lumière est considéré comme le binaire 1 et une absence de lumière comme le binaire 0. Pour réaliser leur expérience, les scientifiques attirent l’attention sur 2 éléments : le capot du scanner doit être ouvert pour qu’un laser puisse atteindre les capteurs des assaillants et un malware doit être installé sur un PC relié au scanner. Ce malware est programmé pour activer un scan à une date et heure précises. On est donc clairement dans une attaque ou un espionnage prémédité et ciblé.

Un laser ou via une ampoule connectée

Pour mener l’attaque, les chercheurs ont utilisé différents moyens. Ils ont ainsi mis un laser sur un drone et ont réussi à transmettre des données à une distance de 15 mètres. Avec un support fixe, cette distance est portée à 900 mètres. Ils ont testé également le piratage d’une ampoule connectée pour piloter le scanner et donner ainsi des instructions au PC compromis. Ce type d’attaques est imperceptible, constatent les chercheurs, car la variation de la lumière n’excède pas 5%.

Durant leurs tests, les chercheurs ont par exemple envoyé des commandes de suppression d’un PDF (d x.pdf) ou de chiffrement d’un dossier (en q). Les commandes ont pris entre 50 et 100 millisecondes pour être envoyées. La fuite de données est aussi possible à travers la lumière émise par le scanner, mais les chercheurs assurent que l’extraction est relativement difficile. Mais pas impossible.

[lire l’article original]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de McDonald’s Canada : les données personnelles de près de 100 000 demandeurs d’emploi volées

Dans un communiqué, McDonald’s rapporte que les données volées touchent les personnes ayant fait une demande d’emploi depuis mars 2014. Une cyber-attaque a eu lieu sur le portail de candidature, ce dernier recense les noms, adresses postales, adresses email, numéros de téléphone, historiques d’emploi, ainsi que d’autres renseignements liés à une candidature.

Pour tenter de rassurer, McDonald’s note que les informations sensibles, comme le numéro d’assurance sociale, les renseignements bancaires et les renseignements sur la santé n’ont pas été volés. C’est assez normal après tout parce que McDonald’s ne les demande pas lors des demandes d’emploi. Mais comme dit précédemment, la chaîne de restauration rapide tente de rassurer ses clients et les demandeurs d’emploi suite à l’attaque.

Dans l’immédiat, McDonald’s Canada a décidé de verrouiller son portail de candidature, le temps de mener une enquête. Par ailleurs, la chaîne de restaurant ajoute que « rien n’indique que les renseignements saisis ont servi à un usage inadapté ». Elle invite les personnes voulant travailler à postuler directement dans ses restaurants plutôt que sur Internet pour l’instant…

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Big data. Comment les entreprises recueillent et utilisent nos données ?

1 % des entreprises françaises ont traité des big data en 2015. Selon l’Insee, qui a réalisé cette enquête, la big data est constituée de  » données complexes, dont le volume important et l’actualisation constante rendent difficile l’exploitation par les outils classiques « .

7 % des entreprises traitent des données de géolocalisation

Sans surprise, les grosses entreprises sont plus nombreuses à en utiliser que les petites (24 % contre 9 %). Les barrières à l’utilisation de la data sont plus difficiles à franchir pour elles : mauvaise compréhension du sujet et de son intérêt, manque de compétences, coût trop élevé et législation contraignante.

La donnée la plus recueillie et la plus utilisée est la géolocalisation (pour 62 % des entreprises qui utilisent des data, soit 7 % de l’ensemble des entreprises françaises). Cette donnée intéresse surtout les entreprises de transports (92 %) et la construction (89 %).

Deuxième source : les médias sociaux (pour 32 % des entreprises qui utilisent des data, soit 4 % de l’ensemble). Ces données intéressent surtout l’hébergement-restauration (76 %) et l’information-communication (64 %).

Enfin, les objets connectés et capteurs sont la troisième source de data (29 % des entreprises qui en utilisent, soit 3 % de l’ensemble), utilisés principalement par l’industrie (46 %).

Traitement en interne ou externalisée des données ?

74 % des entreprises qui traitent des données le font en interne et 42 % par des prestataires extérieurs, 16 % utilisent donc ces deux méthodes. Le choix entre traitement interne ou externe dépend du secteur et de la taille de l’entreprise. 90 % des entreprises de l’infomation-communication et 84 % des activités scientifiques et techniques le font en interne,  » car les employés sont probablement mieux formés pour cela que dans d’autres secteurs ». Tous secteurs confondus, 83 % des entreprises de plus de 250 personnes traitent les data en interne, contre 73 % pour les moins de 250 salariés.

Selon l’Insee, les entreprises utilisent toutes ces données pour optimiser leurs processus internes, améliorer leurs produits ou services et/ou rendre plus efficace leur marketing ou leur gestion des ventes.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés

Encore un dommage collatéral des piratages dont ont été victimes Yahoo, Linkedin et autres. On en sait en effet un peu plus sur la base de données renfermant des centaines de millions d’accès à des services Apple que le mystérieux groupe de hackers Turkish Crime Family affirme détenir. Rappelons que cette organisation inconnue jusqu’à récemment demande à Apple une rançon en crypto-monnaie (Bitcoin ou Ethereum) ou en cartes cadeaux iTunes, faute de quoi les comptes seraient réinitialisés.

Face à cette menace que les hackers disent vouloir mettre à exécution le 7 avril, Cupertino affirme ne pas être victime d’une faille de sécurité. Un point que confirment d’ailleurs les cybercriminels. Sur Pastebin, la Turkish Crime Family indique que la base de données qu’elle affirme détenir ne résulte en effet pas d’un piratage d’Apple. « Ils ont simplement annoncé ce que nous leur avions dit », se moquent les hackers, qui ajoutent que cela ne change rien à la situation des utilisateurs concernés.

« Services tiers précédemment compromis »

En effet, selon la Turkish Crime Family, la base de données qu’elle affirme détenir « a été construite à partir de multiples bases de données que nous avons vendues au cours des 5 dernières années, comme nous avons décidé de conserver les adresses en icloud.com, me.com ou mac.com (ces deux dernières étant les anciennes adresses de messagerie d’Apple, NDLR), des domaines peu populaires parmi la communauté des crackers (soit des pirates mal intentionnés, NDLR) », écrit le groupe. Qui précise avoir désormais en sa possession 250 millions de comptes vérifiés pour lesquels il explique posséder un accès (login + mot de passe), sur un total de 750 millions de comptes associés à un service Apple. « Une faille de sécurité ne signifie rien en 2017 quand vous pouvez extraire la même information sur les utilisateurs, à des échelles moindres via des entreprises mal sécurisées », ajoutent les hackers. The Next Web a eu accès à un petit échantillon de données et confirme qu’au moins certains des couples login / mot de passe sont bien valides.

Apple semble d’ailleurs avoir pris conscience du problème. Dans les colonnes de Fortune, la firme à la pomme indique, après avoir démenti toute faille dans iCloud ou son système d’authentification Apple ID : « la liste supposée d’adresses e-mail et de mots de passe semble avoir été obtenue de services tiers précédemment compromis ».

Le risque n’en est pas moins tout aussi prégnant pour les utilisateurs des terminaux Apple. Dans une vidéo postée sur YouTube, la Turkish Crime Family montre ce qui ressemble à un accès non autorisé au compte iCloud d’une femme âgée, un accès qui ouvre la porte à l’effacement des photos sauvegardées et même à une réinitialisation du terminal associé.

637 500 comptes effacés par minute

C’est ce processus que le groupe de hackers menace d’automatiser, en créant un script permettant de réinitialiser un grand nombre de comptes simultanément. Dans son post sur Pastebin, la Turkish Crime Family affirme que, si ses développements sont conformes à ses plans, elle sera en mesure d’effacer le 7 avril – date de la fin de l’ultimatum – 150 comptes par minute et par script. En parallélisant les tâches sur 250 serveurs, et compte tenu du fait qu’un serveur serait en mesure de faire tourner 17 scripts simultanément, les cybercriminels seraient en mesure d’effacer 637 500 comptes par minute.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Wikileaks révèle comment la CIA a piraté des MacBook et iPhone neufs

Wikileaks remet le couvert. Près de deux semaines après avoir mis en ligne « Vault 7, Year Zero », un ensemble de plusieurs milliers de documents internes détaillant des dizaines de programmes d’espionnage électronique et informatique de la CIA, l’organisation fondée par Julian Assange a publié une deuxième vague d’archives décrivant les techniques utilisées par l’agence du renseignement extérieur américain pour pirater des produits Apple. Baptisé « Dark Matter », ce second volet explique comment la CIA peut pirater un ordinateur Apple, même si son propriétaire y installe un nouveau système d’exploitation, ou un iPhone neuf en pénétrant le réseau d’approvisionnement et de distribution de la marque à la pomme.

Un logiciel indétectable et impossible à effacer

Selon les documents dévoilés par Wikileaks, la CIA a développé un outil en 2012 nommé « Sonic Screwdriver » permettant de passer outre le processus de démarrage d’un MacBook à partir des accessoires périphériques comme une clé USB ou un adaptateur Ethernet branché dans le port Thunderbolt. L’agence pouvait alors introduire un micro indétectable dans le logiciel profond (firmware) de l’ordinateur et bénéficier d’un accès permanent à son contenu car même une réinstallation du système d’exploitation ou un reformatage de l’appareil ne pouvait suffire à l’effacer. La CIA devait avoir accès physiquement aux appareils visés pour les infecter.

Un autre document montre que la CIA avait conçu cet outil dès 2008 pour l’installer physiquement sur des iPhone neufs. Selon Wikileaks, il est par conséquent « probable que beaucoup d’attaques physiques par la CIA aient infecté la chaîne d’approvisionnement » d’Apple « en bloquant des commandes ou des livraisons ». L’agence américaine « peut faire cadeau à une cible d’un MacBook Air sur lequel a été installé ce micro », indique un document daté de 2009. « L’outil prendra la forme d’un implant/relais opérant dans le (logiciel) profond du MacBook Air et nous permettant d’avoir les moyens de (le) commander et de (le) contrôler », peut-on lire dans ces documents.

Les produits actuels vraisemblablement pas concernés

Apple n’a pas encore réagi à ces révélations. La plupart des documents datant de plus de sept ans et concernent les premières générations d’iPhone. Il apparaît peu probable que les produits actuels du groupe soient vulnérables à ces techniques. La méthode « Sonic Screwdriver » utilisée pour infecter des MacBook rappelle la faille « Thunderstrike » découverte fin 2014, qui permettait de contaminer un Mac lors de l’allumage à l’aide d’un appareil Thunderbolt vérolé, et corrigée par Apple depuis.

Le 9 mars, Wikileaks avait déjà diffusé près de 9.000 fichiers mettant à nu les capacités d’espionnage de la CIA et le recours à des pratiques particulièrement intrusives pour transformer des télévisions et des voitures connectées en mouchards, espionner des iPhone et des smartphones Android ou contourner des antivirus commerciaux. La CIA n’a jamais authentifié les documents mais de nombreux experts les jugent crédibles. Apple avait fait savoir qu’elle avait corrigé les failles évoquées dans ces documents. Wikileaks affirme détenir des informations sur plus de 500 programmes au total et promet de les publier dans les prochaines semaines.

Benjamin Hue, Journaliste RTL

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

300 millions de comptes iCloud piratés

Faut-il se sentir menacé par la dernière affaire de hack en cours chez Apple ? Selon le groupe de pirates Turkish Crime Family, ces derniers auraient mis la main sur plus de 300 millions de comptes iCloud, et des négociations auraient été engagées auprès d’Apple pour le versement d’une somme d’argent sans quoi les comptes pourraient être supprimés.

Les pirates ont fait l’annonce de leur exploit via le site Motherboard en transmettant une série de captures d’écran présentant des emails et des accès à la messagerie utilisée pour correspondre avec Apple au sujet du piratage. Une vidéo a également été mise en ligne sur YouTube.

Malgré tout, le doute s’installe et il ne pourrait s’agir là que d’un coup de bluff. Certes, des milliers de comptes iCloud ont déjà été piratés par le passé, ce qui avait notamment amené au Fapenning, la publication de photos intimes de stars. Et même sans passer directement via le piratage des serveurs d’Apple, la propagation d’un malware ou le phishing peuvent permettre de récupérer des comptes iCloud (et tout autre compte), mais il parait peu probable d’arriver à organiser une campagne permettant d’obtenir 300 millions de comptes actifs.

Le groupe de hackers n’a pas expliqué comment il était parvenu à mettre la main sur les comptes. D’habitude dans ce genre d’affaires, les hackers pointent du doigt une partie des failles exploitées, notamment pour assurer du sérieux de leurs menaces.

Les pirates demandent actuellement à Apple de leur régler 75 000 dollars en Bitcoin avant le 7 avril, sans quoi les données des comptes seront supprimées et les iPhones et iPad effacés à distance. Chose intrigante, ces derniers annoncent également accepter une rançon en cadeaux iTunes pour une valeur de 100 000 dollars… Autant d’indices qui laissent penser à un coup de bluff, d’autant que les preuves avancées sont maigres.

Apple a, comme à son habitude, refusé de communiquer sur le sujet.

Mise à jour :

Apple a finalement tenu à rassurer ses clients : les systèmes de son iCloud n’ont pas fait l’objet d’un quelconque hack selon la marque. Si les pirates disposent ainsi de données d’utilisateur, ces éléments ont été collectés ailleurs qu’à travers une faille des services d’Apple, l’impact pourrait donc être bien plus limité que ce qui est annoncé par le groupe de pirates.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les pirates informatiques menacent les clients des banques

En 2016, les cyberpirates ont marqué les esprits en parvenant, à plusieurs reprises, à déjouer les systèmes de sécurité des banques membres du réseau interbancaire SWIFT. Ces vastes opérations aux perspectives de gains étourdissantes n’ont pour autant pas remplacé les cyberattaques traditionnelles qui visent directement les clients des banques.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les dangers des jouets connectés | Denis JACOPINI

Denis JACOPINI a été Interviewé par la revue Atlantico à ce sujet :

Atlantico  : Une société d’ours en peluche connectés a été récemment piratée, les messages laissés par les parents à leurs enfants sont désormais hackable. Ce n’est pas la première fois que ce type de piratage arrive, pour protéger nos enfants, devrions-nous les éloigner de ce type de jouets connectés ?

Denis JACOPINI : En effet, au-delà du risque relatif à la protection des données personnelles des enfants et de leurs parents, la revue Que choisir avait déjà alerté les consommateurs en fin 2016 sur des risques inhérents au connexions non sécurisée de plusieurs jouets connectés.

Qui a tenu compte du résultat de cette étude pour revoir la liste des jouets qui seraient présents dans la hotte légendaire ?

La relation entre les enfants et les jouets va bien au-delà de la technologie et des risques qu’elle peut représente.
Les jouets bénéficie également de phénomènes de mode et l’engouement, sauf erreur, se fout bien de la qualité des produits et encore moins de leur sécurité.

Manque de connaissance, inconscience, crédulité ou trop de confiance de la part des parents ? Il est vrai qu’on peut facilement croire que si des jouets se trouvent sur nos rayons, c’est qu’ils ont forcément dû passer avec succès toute une batterie de tests rassurant pour le consommateur.
Pour la part des jouets à usage familial testés, même si les normes EN71 et EN62115 ont été récemment révisées pour répondre aux exigences de la nouvelle directive 2009/48/CE, les validations se reposeront sur des niveaux satisfaisants en terme de propriétés physiques et mécaniques, d’inflammabilité, de propriétés chimiques, électriques ou bien relatives à l’hygiène et à la radioactivité.

Vous l’aurez remarqué, aucun test n’est prévu pour répondre à des mesures ne serait-ce que préventive en terme de protection des données personnelles et encore moins en matière se sécurité numérique.

Alors finalement, pour répondre à votre question : « devrions-nous éloigner les enfants de ce type de jouets connectés ? »
A mon avis, en l’absence de normes protectrices existantes, la prudence devrait être de mise. Certes, il est impossible de se protéger de tout. Cependant, il serait à minima essentiel que les parents soient informés des risques existants et des conséquences possibles que pourraient provoquer des piratages par des personnes mal intentionnées pour prendre des mesures qu’ils jugent utiles.

Atlantico : Comment pouvons-nous restreindre la possibilité de piratage de données pour ce type d’objet ?

D.J. : La situation confortable serait que le consommateur soit vigilant pour ce qui concerne les mesures de sécurité couvertes par l’appareil et celles qui ne le sont pas. Malheureusement, ces gardes-fous ne sont qu’à l’état d’étude.
Sauf à vous retrouver dans un environnement ou le voisin le plus proche se trouve à plusieurs dizaines de mètres, être prudent dans l’usage de ces objets pourrait par exemple consister à :
– Si le jouet le permet, changer le mot de passe par défaut et mettre en place un mot de passe complexe pour accéder à sa configuration ;
– Si le jouet le permet, activer les connexions sécurisées par cryptage ;
– Si le jouet le permet, désactiver les connexions à partir d’une certaine heure ;
– N’utiliser les jouets connectés que dans des environnements protégés, en raison de la portée limitée des communications Bluetooth (par des distances suffisantes entre le jouet et des pirates éventuels) ;
– Pour les jouets utilisant le Wifi,
– Mettre en place des protections physiques contre les rayonnements électromagnétiques dans certaines directions ;
– Cacher les caméras si elles ne sont pas utilisées ;
– En fin d’utilisation du jouet, ne pas se satisfaire d’éteindre l’appareil qui ne sera peut-être seulement en veille, mais retirer les piles ou placer le jouet dans un espace protégé (fabriquez une cage de Faraday) ;

Enfin, compte tenu que le bon fonctionnement du jouet est lié à l’acceptation des conditions contractuelles d’utilisation des donnés personnelles ne respectent pas les règles européennes relative à la protection de ces données et de la vie privée car les fabricants sont généralement situés hors Europe, ne pas accepter ces conditions reviendrait à être privé de l’usage des fonctions du jouet.

 
Atlantico : Concrètement, les objets connectés sont une porte ouverte à notre intimité, quels sont les dangers liés à ce type d’objets ?

A défaut d’information de la part des fabricants et d’alerte de la part des médias, il serait, à mon avis, adapté que le consommateur reconsidère les objets numériques et particulièrement les objets connectés comme étant des équipements dont les fonctions et conséquences induites risquent de se retourner contre son utilisateur.

L’année dernière, l’association de consommateurs UFC-Que choisir a mis en garde les consommateurs sur le stockage des données. Elle a d’ailleurs saisi sur le sujet la Commission nationale de l’informatique et des libertés et la Direction générale de la concurrence, de la consommation et de la répression des fraudes. En effet, tout ce que disent les enfants à la poupée testée est enregistré et mystérieusement stocké sur des serveurs à l’étranger et géré par la société Nuance Communications. L’Association européenne de défense des consommateurs a déclaré : « Tout ce que l’enfant raconte à sa poupée est transmis à l’entreprise, basée aux États-Unis, Nuance Communications, spécialisée dans la technologie de reconnaissance vocale ».
Quelles sont les conséquences d’un tel usage de nos données ?
L’objectif évident est le matraquage publicitaire des enfants, car certains jouets ont une certaine tendance à faire souvent allusion à l’univers de Disney ou à Nickelodeon par exemple.

Enfin, des tests ont montré qu’un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti. La connexion peut même se faire à travers une fenêtre ou un mur en béton et le nom Bluetooth par défaut du jouet connecté, permet très simplement de les identifier.
Plus grave encore… Un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet.
Que ça soit en en terme d’écoute et d’espionnage à distance de l’environnement de l’enfant et de celui des parents, ou en terme de prise de contrôle à distance de l’appareil risquant de terroriser ou pire, traumatiser l’enfant, la prudence doit d’abord rester de mise.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Cybersécurité dans le monde : à quoi peut-on s’attendre ?

Selon Garry Sidaway, Vice-Président Senior de la Stratégie de Sécurité

1. L’identité restera au cœur des enjeux

Au risque de nous répéter, les mots de passe fournissent aujourd’hui des garanties insuffisantes. À l’ère du digital et de la mobilité, commodité et sécurité ne font pas bon ménage. Certes, les mots de passe sont bien pratiques, mais ils sont de moins en moins perçus comme une preuve d’identité irréfutable. Devant l’utilisation croissante des smartphones et les exigences de simplicité des consommateurs et des professionnels, les solutions d’identité resteront donc au cœur des préoccupations en 2017. C’est ainsi que le mot de passe traditionnel cèdera du terrain face à la poussée du « multi-facteurs », une méthode combinant plusieurs facteurs d’authentification (localisation, possession d’un objet, d’une information, etc.). Cette association entre physique et digital, avec en toile de fond l’émergence de méthodes d’authentification avancées, favorisera le développement de nouvelles solutions de gestion des identités.

2. Le mobile sera omniprésent

Au royaume du digital, le mobile est roi. Un roi qui bouscule l’ordre établi dans de nombreux domaines, des méthodes de paiement jusqu’aux interactions sociales. Véritables hubs digitaux, nos smartphones constituent désormais non seulement une fenêtre de contrôle et d’interaction avec le monde mais aussi une interface d’identification et d’authentification. Dans un tel contexte, 2017 verra le curseur de la menace se déplacer des ordinateurs portables vers les appareils mobiles. Si, traditionnellement, les acteurs de la sécurité se sont concentrés sur les systèmes back-end et les conteneurs, ils devront revoir leur approche pour placer le mobile au cœur de leur dispositif.

3. Les entreprises surveilleront la menace interne

Le problème des menaces internes ne date pas d’hier. Côté défense, les progrès réalisés dans les domaines de l’analytique et de la détection des anomalies devraient se poursuivre en 2017. Dans un milieu de l’entreprise de plus en plus dynamique, définir les critères d’un comportement utilisateur « normal » restera un défi de taille. Toutefois, avec le développement de nouvelles techniques de machine learning, nous verrons l’analyse comportementale s’opérer directement au niveau des terminaux.

4. Fin de la détection basée sur les signatures

Antivirus nouvelle génération, solutions de sécurité des terminaux, solutions de détection et de réponse aux incidents… Peu importe leur nom, les solutions de protection des terminaux se projetteront bien au-delà de la détection basée sur des signatures statiques, à commencer par les outils d’analyses avancées que l’on retrouvera systématiquement sur ces solutions. Leur force résidera notamment dans leur capacité à exploiter la puissance du cloud pour partager l’information sur les menaces connues. La diversité et le volume sans précédent des malwares engendreront l’émergence d’une nouvelle approche. Destinée à enrayer le syndrome dit du « patient zéro », cette démarche reposera à la fois sur une collaboration internationale et l’utilisation d’une cyberveille prédictive et proactive pour libérer toute la force du collectif.

5. Le tout-en-un fera de plus en plus d’adeptes

Alors que le marché de la cybersécurité se consolide, les entreprises se tournent vers des solutions de sécurité couvrant l’intégralité des environnements TIC. Traditionnellement, la force des prestataires de sécurité managée (MSS) s’est située dans leur capacité à intégrer un maillage d’outils complexes et pointus. Aujourd’hui, la situation a changé. Tout l’enjeu consiste à intégrer le facteur sécurité à tous les échelons du cycle opérationnel de l’entreprise. Les clients chercheront donc un partenaire capable d’agir sur tous les fronts : applications métiers, infrastructure réseau, services cloud et de data center autour d’une console de gestion centralisée. En 2017, les solutions multifournisseurs apparaîtront comme datées. Les acteurs de la sécurité devront ainsi coordonner un service complet de bout en bout pour répondre aux enjeux de l’espace de travail digital.

Selon Stuart Reed, Directeur Senior Product Marketing

6. Les consommateurs exigeront plus de transparence

Une étude récente de NTT Security a mis en lumière les attentes croissantes des cyberconsommateurs en matière de transparence, tant sur le plan des pratiques que de la gestion des incidents. Ces conclusions traduisent notamment une sensibilisation accrue des consommateurs sur les questions de sécurité suite aux scandales de violations à répétition. La tendance est appelée à se poursuivre en 2017 et au-delà. Notons enfin que les entreprises dotées de politiques de sécurité et de plans d’intervention efficaces diminueront leur exposition au risque, tout en profitant d’un puissant levier de compétitivité.

7. L’innovation en moteur de consolidation

Du point de vue de l’offre comme des fournisseurs de cybersécurité, 2016 a été placée sous le signe de la consolidation. Au rang des plus grosses opérations, on citera l’acquisition de BlueCoat par Symantec, la série de rachats par Cisco et, plus proche de nous, la création de NTT Security autour de trois piliers : analytique de pointe, cyberveille avancée et conseils d’experts en sécurité. Derrière ce phénomène de consolidation, on retrouve une constante : l’innovation. Concrètement, les grandes entreprises ont racheté des spécialistes pour accéder à leurs compétences et les englober dans une offre plus aboutie. Ces grands acteurs profitent enfin d’économies d’échelle considérables – et de l’expertise et de l’efficacité qui en découlent – pour mener des programmes d’incubation qui viendront à leur tour stimuler l’innovation. Cette tendance de fond souligne bien l’importance de l’innovation pour évoluer au rythme des besoins de sécurité des clients.

 
8. L’identité des objets

Avec l’essor de l’IoT, la frontière entre physique et digital s’estompe peu à peu pour créer des expériences clients plus pratiques, rapides et efficaces. Seulement voilà, les cybercriminels ont eux aussi investi la sphère de l’IoT à l’affût de la moindre vulnérabilité. On a ainsi recensé des cyberattaques se servant d’objets connectés (caméras de vidéosurveillance, imprimantes…) pour lancer des attaques DDoS qui sont parvenues à paralyser des sites comme Twitter et Spotify. L’année 2017 verra sans doute une recrudescence des attaques perpétrées à l’encontre des objets connectés. D’où le besoin impérieux d’intégrer ces appareils à une politique de sécurité plus complète, notamment pour mieux contrôler l’identité et la légitimité de leurs utilisateurs.

9. L’analytique changera la donn

L’un des grands défis de la cybersécurité pourrait se résumer par cette question : comment produire une information cohérente à partir d’une avalanche de données issues de dispositifs multiples ? Si l’analyse de données a pour fonction première de « donner du sens », l’évolution des menaces doit nous inciter à revoir nos méthodes d’interprétation et de contextualisation de l’information. Dans cette optique, les outils avancés d’analyse du risque vous permettront de prendre les bonnes décisions. Au-delà des événements présents, ces outils ont pour fonction de décortiquer les données historiques pour faire ressortir des tendances, mais aussi d’utiliser l’intelligence artificielle pour identifier les schémas comportementaux annonciateurs d’une attaque. Fondées sur des technologies avancées de machine learning, des outils d’analyse automatiques et des experts en astreinte permanente, les solutions d’analytique de pointe promettent de changer la donne dans le secteur des MSS.

Selon Kai Grunwitz, Vice-Président Senior Europe Centrale

10. La cybersécurité va s’imposer comme un facteur clé de succès

Pour être reconnue comme tel par tous les acteurs concernés, la cybersécurité doit s’intégrer en amont à l’ensemble des processus métiers de l’entreprise. Dans un monde connecté où le digital gagne chaque jour en importance, les entreprises veulent pouvoir compter sur une sécurité parfaitement incorporée à leurs stratégies métiers et IT. Outre son rôle indispensable de gardienne des données sensibles, du capital intellectuel et des environnements de production, la cybersécurité sera également partie intégrante de l’innovation et de la transformation de l’entreprise.

La sécurité ne sera plus seulement le problème des DSI, mais s’invitera au cœur des processus métiers et constituera l’un des ressorts de la chaîne de valeur. Enfin, la gestion du cycle de sécurité constituera un différenciateur clé autant qu’une priorité essentielle dans le cadre d’une stratégie de sécurité orientée métiers. Elle procurera aux entreprises un avantage concurrentiel et un réel levier de valeur ajoutée.

Selon Chris Knowles, Directeur solutions

11. Le RGPD sera partout !

Si vous pensiez que le Règlement général sur la protection des données (RGPD) a été l’un des grands thèmes de 2016, attendez de voir ce que 2017 vous réserve. Alors que les fournisseurs proclameront les avantages de leurs technologies et que les équipes juridiques plancheront sur la définition d’une sécurité réellement irréprochable, les clients, eux, se lanceront dans les préparatifs.

12. Au royaume des aveugles, les borgnes sont rois… mais plus pour très longtemps !

Pour beaucoup d’entreprises, la sécurité se résume à la protection d’un périmètre au moyen de périphériques inline censés analyser l’intégralité du trafic et intervenir sur la base d’éléments visibles. Toutefois, la mobilité croissante des collaborateurs, associée à l’explosion du nombre d’applications cloud en entreprise, créent des « angles morts ». À commencer par le transit d’informations via des tunnels cryptés, le stockage et le traitement de données à l’extérieur de data centers sécurisés, ou encore les communications entre machines virtuelles qui échappent totalement à la surveillance des dispositifs de sécurité existants. En 2017, les entreprises se pencheront sur ce phénomène afin d’éliminer les angles morts et de reprendre le contrôle de leur sécurité.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Précautions à prendre avant de se débarrasser du vieux matériel informatique

Les imprimantes et photocopieurs multifonctions

Les imprimantes et photocopieurs multifonctions se comportent comme un ordinateur en intégrant souvent un navigateur web, une messagerie électronique, une connectivité Wifi et Ethernet, un accès USB et un disque dur. Le fonctionnement standard de ce type de matériel implique de stocker sur le disque dur les documents à imprimer ou à scanner. Selon vos activités ou votre mission, ce disque dur pourrait stocker des données confidentielles de votre entreprise. Un point d’attention particulier doit être porté sur les contrats de maintenance qui intègrent parfois un accès distant non contrôlé à l’équipement depuis Internet.

L’imprimante ou le photocopieur propose souvent des fonctionnalités de sécurité permettant l’effacement du disque dur ou la suppression des données liées aux impressions, copies, télécopies et numérisations pouvant être enregistrées sur le disque dur. Ce processus d’effacement peut parfois être activé automatiquement après chaque utilisation, ou programmé pour s’exécuter à intervalles spécifiés. Ces fonctionnalités ne garantissent pas toujours un effacement sécurisé des données considérées, et les périphériques de stockages internes et externes devront faire l’objet d’une procédure similaire aux autres équipements informatiques avant le décommissionnement de l’appareil. Attention toutefois, ces composants restent généralement la propriété de la société louant les appareils.

Lors de la réception d’un matériel de ce type, il conviendra de désactiver les fonctionnalités de stockage «dans le cloud» lors du paramétrage initial de l’appareil si celles-ci sont disponibles, et de s’assurer du niveau de mise à jour de l’appareil. Il faudra bien sûr maintenir ce niveau régulièrement afin de limiter l’exposition de son système d’information à des failles éventuellement apportées par cet équipement.

Les autres matériels informatiques

La plupart des matériels modernes intègrent des fonctions de restauration des paramètres d’usine. Il convient a minima de réinitialiser ainsi tout équipement entrant ou sortant de l’entreprise afin de supprimer par exemple certains mots de passes ou autres paramètres de configuration sensibles qui pourraient être stockés sur ces appareils.

Une réinitialisation permet également de se prémunir d’un éventuel piégeage logiciel simple de l’appareil par son précédent propriétaire.

Documentation

• Guide technique n° 972-1/SGDN/DCSSI : Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter.

  http://www.ssi.gouv.fr/archive/fr/documentation/Guide_effaceur_V1.12du040517.pdf
  

• Instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale :

  http://www.sgdsn.gouv.fr/IMG/pdf/IGI_1300.pdf
  

• CSPN du logiciel Blancco :

  http://www.ssi.gouv.fr/entreprise/qualification/blancco-data-cleaner-version-4-8/
  

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article