Spécial Phishing 1/3 : Quelle est la technique des pirates informatiques ?

1. Vous recevez un courriel piégé

Le courriel suspect vous invite à :

• cliquer sur une pièce-jointe ou un lien piégés
• communiquer des informations personnelles

2. L’attaquant se fait passer pour une personne ou un tiers de confiance

L’attaquant est alors en mesure de :

• prendre le contrôle de votre système
• faire usage de vos informations

3. Impact de l’attaque

• Intégrité
• Authenticité
• Disponibilité
• Confidentialité

Motivations principales

• Atteinte à l’image
• Appât du gain
• Nuisance
• Revendication
• Espionnage
• Sabotage

Mise en conformité RGPD : Ça veut dire quoi ?

Imaginez qu’un jour des inconnus puissent connaître les problèmes médicaux que vous avez eu par le passé et ceux qui hantent votre vie actuellement ?

Imaginez qu’un jour, pour la nième, fois vous deviez bloquer votre actuelle carte bancaire et en commander une autre car votre compte bancaire s’est à nouveau fait pirater ?

Imaginez qu’un jour vous soyez obligé(e) de changer d’adresse e-mail privée car vous recevez chaque jour des centaines de spams (emails non désirés) ?

Imaginez qu’un jour vous découvrez que vos identifiants et mots de passe se retrouvent en clair sur Internet ?

Imaginez qu’un jour vous receviez sans cesse des sollicitations publicitaires sur le téléphone perso dont seuls vos amis et quelques professionnels essentiels ont le numéro ?

Imaginez qu’un jour on puisse découvrir au grand jour vos listes de courses, vos déplacements, vos choix politiques, votre religion, vos empreintes digitales, la liste de vos éventuelles condamnations…

Face à l’explosion du nombre de cas de piratages informatiques ces dernières années, les cas de vols de données devraient eux aussi considérablement augmenter.

VOUS TROUVERIEZ ÇA NORMAL ?

Si vous avez répondu OUI, c’est que certainement vous n’avez pas vécu ces situations.

Si vous avez répondu NON, vous comprenez alors l’intérêt d’obliger les professionnels à protéger vos données personnelles.

14 MILLIONS DE FRANÇAIS VICTIMES DE HACKERS EN 2016

57% DES ENTREPRISES VICTIMES D’UNE CYBERATTAQUE EN 2016

SEULEMENT 102629 DOSSIERS DE MISE EN CONFORMITÉ AVEC LA CNIL REÇUS EN 2016 (sur 4,4 millions d’entreprises)

Vous commencez à comprendre l’intérêt d’obliger les professionnels à protéger les données qu’ils détiennent ?

Depuis 1978 une loi, la Loi Informatique et Libertés, oblige tout professionnel, association et administration qui détient des données personnelles (données appartenant à des personnes permettant de les identifier à l’échelle de la population nationale). Presque 40 ans plus tard, le résultat est catastrophique. Seulement, ces 2 dernières années, les millions de victimes de a cybercriminalité s’enchaînent à un rythme effréné sans que tous ces « fraudeurs » de la données personnelles, responsables de toute la nourriture numérique que l’on peut donner aux pirates informatique ne soient inquiétés.

C’est pour remettre tous ces organismes sur le droit chemin que les membres de la communauté Européenne on souhaité s’unir pour établir un règlement qui entrera en vigueur le 25 mai 2018. Ces règles Européennes consisteront à définir le cadre juridique selon lesquelles tous les organismes concerné seront tenus de protéger les toutes les données que nous leur avons communiquées en toute confiance.

A quoi ça sert de restreindre l’accès aux informations et aux photos du compte de votre réseau social préféré si par ailleurs, tous les dépositaires de vos données personnelles n’appliquent pas les mêmes précautions que vous !

CHERS PROFESSIONNELS

Le Règlement Général sur la Protection de Données (RGPD) entre en application le 25 mai 2018 et les entreprises ne s’y sont pas préparées. Or, elles sont toutes concernées, de l’indépendant aux plus grosses entreprises, et risqueront, en cas de manquement, des sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires et des conséquences sur leur réputation. Un point indispensable sur cette mise en conformité obligatoire.

Au delà des amendes pouvant attendre plusieurs millions d’euros, c’est maintenant la réputation des entreprises qui est en jeu. Quelle valeur lui donnez vous ? Serez-vous prêt à la perdre pour ne pas avoir fais les démarches dans les temps ?

Les étapes d’une mise en conformité :

1. Établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique ;
2. Vérifier les spécificités et dispenses propres à l’activité ou au statut de l’établissement ;
3. Analyser chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement ;
4. Tenir un registre dans lequel seront référencés les différents traitements des données à caractère personnel conformes et à modifier ;
5. Tenir compte de l’évolution de l’entreprise et s’assurer que la conformité est maintenue.

Les meilleurs reportages vidéo sur la #Cybercriminalité – A voir et à revoir

[youtube https://www.youtube.com/watch?v=JrFoFBNfv7A?feature=oembed&w=610&h=343]

Envoyé spécial. Cyberattaques : les braqueurs de l’ombre – 14 décembre 2017 (France 2)
Les hold-up 2.0 par des « rançongiciels », logiciels de rançon, se multiplient : en France, une entreprise sur deux aurait déjà été piratée de cette façon. Enquête du magazine « Envoyé spécial » sur un fléau invisible en pleine explosion. Vous êtes tranquillement installé derrière votre ordinateur, vous ouvrez un mail anodin… et soudain, un message d’alerte apparaît : votre ordinateur est bloqué, tous vos documents sont cryptés, vous devez payer une rançon pour en retrouver l’usage. Vous venez de vous faire braquer par un « rançongiciel », ces programmes informatiques qui diffusent des virus et qui vous réclament de l’argent : 150 euros pour un particulier, 6 000 euros pour une PME, des millions d’euros pour une multinationale. Et vous n’avez que quelques heures pour payer, sinon vous perdez tout ! Une enquête de Clément Le Goff et Guillaume Beaufils.

[youtube https://www.youtube.com/watch?v=lDw3kI7ra2s?feature=oembed&w=610&h=343]

06/04/2018 – A l’occasion de la sortie de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »,Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l’étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d’avance sur les pirates informatiques ? Quelle est l’arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités

France 2 – Envoyé Spécial : Toute ma vie sur internet
La collecte d’informations personnelles – âge, sexe, centres d’intérêts – par les sites de réseaux sociaux est désormais connue et relativement acceptée par les utilisateurs. Le dernier exemple en date vient de Facebook, qui a annoncé, mercredi 26 novembre, une révision de ses conditions d’utilisation. Jugeant que ses 1,32 milliard de membres y consentiront aisément, le réseau social entend récolter ainsi encore plus de données personnelles qu’aujourd’hui, notamment des informations bancaires.

M6 – En quête d’actualité – Facebook,Twitter les réseaux : sociaux sont ils vraiment nos amis
Les réseaux sociaux sont en train de conquérir la planète entière. Après Facebook, d’autres sont apparus comme Twitter, Pinterest ou Foursquare. Quelles méthodes utilisent-ils pour faire de l’argent avec des données personnelles ? Raconter sa vie privée à tout le monde, est-ce sans danger ?

France 2 – Envoyé Spécial : le côté obscur du Net Darknet
Plongée au coeur du Darknet, ce réseau internet caché où la seule règle est l’anonymat. Repaire pour les trafiquants d’armes ou de drogue, le Darknet est aussi un moyen d’échapper à la surveillance des dictatures.

France 2 – Envoyé Spécial : Les Objets Connectés à Internet WiFi / 4G
Les Objets Connectes WiFi / 4G / H+ / 3G, quels sont les conséquences aujourd’hui et ses prochaines années ?

Arte – Thema : Hackers, les nouveaux maîtres du monde
D’un côté, il y a les black hats (chapeaux noirs), les délinquants virtuels mus par l’appât du gain ; de l’autre, les white hats (chapeaux blancs) ou pirates .
Ici vous trouverez des documentaires sur l’histoire de l’informatique, du hacking et des jeux vidéo.

France 2 – Envoyé Spécial : Darknet, le côté obscur du Net
Au quotidien, avec les moteurs de recherche classique, vous n’avez accès qu’à une petite partie d’Internet. Il existe un internet parallèle, sans limites ni protection. Sur Darknet on trouve un supermarché de la drogue, des sites de cartes bleues volées, des sites pédopornographiques et même… des annonces de tueurs à gages.
Documentaire de Thomas LELONG, Marion CANTOR, Guillaume MAURICE, Antonin MARCEL, Jennifer ROLNIN et Lorraine De FOUCHER
Première diffusion le jeudi 29 novembre 2013

Arte – Théma : La Guerre invisible
Documentaire de Antoine Vitkine
Première diffusion le mercredi 03 octobre 2012

France 2 – Envoyé Spécial – Les cybercriminels
Reportage complet sur la cybercriminalité les hacker, les anonymous, le vols de carte bleu de compte d ejeux. les enjeu des hacker les risque qu’il encours toute les réponse a vos question.
Documentaire de Anne Richard, Jérôme Pavlovsky et Stéphane Rossi
Première diffusion le jeudi 7 mai 2009.

Vote électronique – Mode d’emploi

Les mesures de sécurité sont donc essentielles pour un succès des opérations de vote mais mettent en œuvre des mesures compliquées, comme par exemple l’utilisation de procédés cryptographiques pour le scellement et le chiffrement. Pour éclairer les responsables de traitement, les fournisseurs de solution de vote et les experts sur les sécurités que la CNIL estime indispensables, une recommandation a été adoptée en 2003 et mise à jour en 2010.

Pour être valide, un système de vote électronique doit strictement respecter les obligations légales applicables aux systèmes de vote électronique, énoncées notamment dans le décret n° 2007-602 et l’arrêté correspondant du 25 avril 2007 relatifs aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise, et dans le décret n° 2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l’Etat.

Le système de vote électronique doit également respecter la délibération n°2010-371 du 21 octobre 2010 de la CNIL portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique qui précise notamment :

• Tout système de vote électronique doit faire l’objet d’une expertise indépendante.
• L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
• Le rapport d’expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.

Source : http://www.cnil.fr/les-themes/vie-citoyenne/vote-electronique/
http://www.cnil.fr/documentation/deliberations/deliberation/delib/249/

Devis pour la mise en conformité avec le RGPD de votre établissement

Vous souhaitez faire appel à un expert informatique qui vous accompagne dans la mise en conformité avec le RGPD de votre établissement ?

Je me présente : Denis JACOPINI. Je suis Expert en informatique assermenté et spécialisé en RGPD (protection des Données à Caractère Personnel) et en cybercriminalité. Consultant depuis 1996 et formateur depuis 1998, j’ai une expérience depuis 2012 dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données (DPO n°15845), en tant que praticien de la mise en conformité et formateur, je vous accompagne dans toutes vos démarches de mise en conformité avec le RGPD20.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Pour cela, j’ai créé des services sur mesure :

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisissez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » (nous vous apprenons et vous poursuivez le maintien de la mise en conformité tout en ayant la sécurité de nous avoir à vos cotés si vous en exprimez le besoin) ;
• ou « Nous laisser faire » (nous réalisons les démarches de mise en conformité de votre établissement en totale autonomie et vous établissons régulièrement un rapport des actions réalisées opposable à un contrôle de la CNIL).

contactez-nous avec le formulaire ci-dessous

Pour ceux qui veulent apprendre à faire, nous proposons 3 niveaux de formation

1. Une formation d’une journée pour vous sensibiliser au RGPD : « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » ;
2. Une formation de deux jours pour les futurs ou actuels DPO : « Je veux devenir le Délégué à la Protection des Données de mon établissement » ;
3. Une formation sur 4 jours pour les structures qui veulent apprendre à mettre en conformité leurs clients : « J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

Comment détecter e-mail malveillant

Comment repérer une arnaque reçue dans votre messagerie ou votre boîte mail ?

• Est-ce que le message/courriel vous est réellement destiné ?

1. Généralement, les messages malveillants sont envoyés à destination d’un grand nombre de cibles, ils ne sont pas ou peu personnalisés.
2. Le message évoque un dossier, une facture, un thème qui ne vous parle pas ? Il s’agit certainement d’un courriel malveillant.

• Attention aux expéditeurs inconnus : soyez particulièrement vigilants sur les courriels provenant d’une adresse électronique que vous ne connaissez pas ou qui ne fait pas partie de votre liste de contact.
• Soyez attentif au niveau de langage du courriel : même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas correctement écrits. Si le message comporte des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, c’est qu’il n’est pas l’œuvre d’un organisme crédible (banque, administration …).
• Vérifiez les liens dans le courriel : avant de cliquer sur les éventuels liens, laissez votre souris dessus*. Apparaît alors le lien complet. Assurez-vous que ce lien est cohérent et pointe vers un site légitime. Ne faites pas confiance aux noms de domaine du type impots.gouvv.fr, impots.gouvfr.biz, infocaf.org au lieu de www.caf.fr.* A noter : cette manipulation est impossible à effectuer depuis un écran de smartphone.
• Méfiez vous des demandes étranges : posez-vous la question de la légitimité des demandes éventuelles exprimées. Aucun organisme n’a le droit de vous demander votre code carte bleue, vos codes d’accès et mots de passe. Ne transmettez rien de confidentiel même sur demande d’une personne qui annonce faire partie de votre entourage.
• L’adresse de messagerie source n’est pas un critère fiable : une adresse de messagerie provenant d’un ami, de votre entreprise, d’un collaborateur peut facilement être usurpée. Seule une investigation poussée permet de confirmer ou non la source d’un courrier électronique. Si ce message semble provenir d’un ami – par exemple pour récupérer l’accès à son compte – contactez-le sur un autre canal pour vous assurer qu’il s’agit bien de lui !

Comment réagir ?

Si vous avez un doute sur un message reçu, il y a de fortes chances que celui-ci ne soit pas légitime :

• N’ouvrez surtout pas les pièces jointes et ne répondez-pas;
• Si l’escroquerie que vous souhaitez signaler vous est parvenue par un spam (pourriel), rendez-vous sur www.signal-spam.fr;
• Supprimez le message puis videz la corbeille;
• S’il s’agit de votre compte de messagerie professionnel : transférez-le au service informatique et au responsable de la sécurité des systèmes d’information de votre entreprise pour vérification. Attendez leur réponse avant de supprimer le courrier électronique.

Comment s’en prémunir ?

• Utilisez un logiciel de filtre anti-pourriel ou activer l’option d’avertissement contre le filoutage présent sur la plupart des navigateurs.
• Installez un anti-virus et mettez-le à jour.
• Désactivez le volet de prévisualisation des messages.
• Lisez vos messages en mode de texte brut.

Si vous êtes victime d’une escroquerie en ligne ?

Signalez les escroqueries auprès du site www.internet-signalement.gouv.fr, la plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements. Pour s’informer sur les escroqueries ou pour signaler un site internet ou un courriel d’escroqueries, un vol de coordonnées bancaires ou une tentative d’hameçonnage : contacter Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 €/minute depuis un téléphone mobile) – Du lundi au vendredi de 9h à 18h

Rendez-vous sur cybermalveillance.gouv.fr , la plateforme nationale d’assistance aux victimes d’actes de cybermalveillance. Que vous soyez un particulier, une entreprise ou une administration, retrouvez :

• des conseils / vidéos pour sensibiliser votre entourage professionnel ou personnel,
• des services de proximité en cas de dommages causés par une attaque informatique.

…[lire la suite]

Comment bien sécuriser ses e-mails ?

Selon une étude récente de SilverSky, Email Security Habits Survey Report, 53 % des employés ont déjà reçu des données sensibles d’entreprise non cryptées par e mail ou en pièces jointes,  que 21 % des employés déclarent envoyer des données sensibles sans les chiffrer  et que 22 % des entreprises sont concernées chaque année par la #perte de données via e-mail.

Inquiétant vous direz-vous ? Catastrophique quand on sait que tout détenteur de données à caractère personnel est tenu à la sécurisation de ces données, conformément à la loi informatique et libertés, encadrée par la CNIL.

Et c’est encore pire quand on prend en compte les informations soumises au secret professionnel ou revêtues de confidentialité que nous échangeons quotidiennement… (plus de 100 milliards d’e-mails sont échangées chaque jour…)

Un des derniers incidents en date : la récente #divulgation des numéros de passeport de 31 leaders mondiaux…

Malgré l’évolution du contexte législatif il est bien étonnant que les entreprises ne soient pas plus nombreuses à choisir de sécuriser leurs échanges par e-mail.

Des solutions ?

Oui, heureusement, et je vais partager avec vous mes conseils :

Mettez en place des procédés de signature numérique et le chiffrement des e-mails garantissent la confidentialité d’un message.

Vous éviterez ainsi que des données sensibles ne tombent dans de mauvaises mains.

Avantage pour le destinataire : l’assurance de l’identité réelle de l’expéditeur de l’e-mail et que le contenu du message n’a pas été modifié après son envoi.

L’utilisation simultanée de ces procédés vous permettront ainsi de répondre à un besoin de Confidentialité (par le chiffrement) et un besoin d’Intégrité (par la signature électronique).

Enfin, aucun de ces deux procédés vous assurera une protection contre la fuite d’informations ou de données confidentielles à votre insu. POur cela, nous vous recommandons d’utiliser des système de « Protection contre la fuite des données » ou de « Data Leak Protection ».*

Plus d’info sur la confidentialité des e-mails ici

Nous vous conseillons les ouvrages suivants :