Mon ordinateur  ou mon téléphone est-il espionné ? Des informations me sont-elles volées ?

Quelqu’un sait des choses qu’il ne devrait pas savoir ?
Comment savoir si mon ordinateur est espionné ?
Comment savoir si des informations me sont volées sur mon ordinateur ?
Comment savoir si je suis victime de fuites d’information ?

Il est clair que si vous êtes en conflit avec quelqu’un, il y a de fortes chances, qu’il cherche, tout comme vous, à savoir ce qui peut bien  se mijoter chez la partie averse.

Le premier réflexe que vous aurez sera probablement de penser que votre ordinateur est espionné ou que votre téléphone est espionné. Sauf à ce que vous ayez anticipé la fuite d’informations en plaçant dans votre installation informatique des systèmes destinée à détecter la fuite d’informations et éventuellement à vous alerter, il faudra passer votre téléphone ou votre ordinateur au peigne fin pour détecter à posteriori des traces d’intrusion ou des traces d’exfiltration de données.

Quelle est notre technique ?

Nous n’allons pas vous dévoiler nos petits secrets, mais notre technique est basée sur la recherche et la détection de détails et fonctionnements anormaux. C’est par une bonne connaissance des techniques utilisées par les pirates informatique et par une connaissance approfondie d’un système sain que nous pouvons identifier un système modifié, altéré, trafiqué, piégé…

Des informations dans le système d’exploitation (base de registre, journaux des événements, journaux divers) et dans tous les lieux dans lesquels le malveillant peut laisser des traces, sont collectées, analysées et traitées. Une analyse sur une « Timeline » des actions déroulées dans votre ordinateur permet aussi parfois de pouvoir découvrir la chronologie des actions et confondre les éléments recueillis avec d’autres preuves.

Comment devrez-vous vous organiser ?

Afin de vous aider à en avoir le cœur net sur l’existence ou non d’éléments douteux dans votre système, il est d’abord indispensable de pouvoir disposer des équipements à expertiser. Nous nous organisons pour vous priver de votre appareil le moins possible mais cette étape est nécessaire pour faire une photocopie de votre appareil et les premières mesures.

En fonction de vos besoins, il se peut aussi que nous déposions dans vos locaux un appareil enregistreur avec lequel nous pourrons collecter en  temps réel l’ensemble des données suspectes.

Nos rapports sont-ils utilisables en justice ?

Si vous avez opté pour la rédaction d’un rapport d’expertise privé (non judiciaire), nous le construirons sur le même modèle que les rapports d’expertise que nous produisons pour la justice. Si par la suite vous avez décidé d’aller en justice, le juge qui sera en charge de votre affaire, même s’il ne pourra pas se fier aux seuls éléments figurant dans notre rapport expertise, aura tout de même l’obligation d’en tenir compte dans son jugement.

Que faire avant qu’il ne soit trop tard ?

Par exemple, en France, 6 employés sur 10 ayant quitté leur entreprise au cours des 12 derniers mois conservent des données confidentielles appartenant à leur ancienne entreprise. Le départ d’un collaborateur constitue souvent un maillon faible de la sécurité du patrimoine informationnel qu’il faut donc s’efforcer de renforcer.

• Hiérarchiser vos documents et restreindre les accès;
• Ne pas avoir d’utilisateurs qui peuvent travailler sur leur ordinateur en mode administrateur;
• Crypter les informations les plus sensibles sur votre système informatique ou utiliser des containers cryptés;
• Utiliser toutes les consignes de sécurité relatives aux mails piégés, aux sites internet piégée et aux techniques d’ingénierie sociale risquant de donner un accès complet à votre ordinateur.

De plus, depuis le 6 janvier 1978, la loi Informatique et Libertés vous oblige, sauf si vous êtes un particulier, à protéger l’ensemble des données personnelles dont vous disposez (fichier client, contacts, fichiers fournisseurs, fichiers salariés, tableaux de congés…). Vous vous exposez à ce jour à une amende de 150 000 euros et 5 ans de prison. A compter du 24 mai 2018, l’amande pourra être portée jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.

Pensez à anticiper ce risque en mettant en oeuvre des procédures visant à protéger les données personnelles que renferme votre système informatique et des moyens techniques destinés de vous protéger contre la fuite de données.

Que faire s’il est déjà trop tard ?

Vous pensez être espionné, épié par l’intermédiaire de votre ordinateur ou de votre téléphone ?

N’attendez pas, il est nécessaire de réagir vite, compte tenu que les traces peuvent disparaître rapidement.

Deux priorités se présentent à vous et en fonction de votre choix,  des actions différentes seront menées.:

1. rechercher l’auteur de cet espionnage;
2. faire stopper l’acte de surveillance illicite;

Article de Denis JACOPINI (expert informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles).

Réagissez à cet article

#Hotspot Shield le #logiciel VPN pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public

Il peut ainsi, en fonction des données qu’il récupère, accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut).

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

Nous utilisons régulièrement un logiciel VPN #HotSpotShield. C’est un logiciel qui coûte  moins de 25 euros et qui vous rendra les connections Wifi publiques sécurisées.

HotSpot Shield existe pour Windows pour protéger par un logiciel VPN les connexions Wifi des ordinateurs assemblés, Acer, Asus, IBM, Dell ;

HotSpot Shield existe aussi pour MacOs X Lion pour protéger par un logiciel VPN les connexions Wifi des ordinateurs Apple ;

HotSpot Shield existe aussi pour Android pour protéger par un logiciel VPN les connexions Wifi des smartphones Samsung, HTC, Archos, LG, Acer, Wiko, Sony, Asus, Alcatel, ZTE… ;

Enfin, HotSpot Shield existe aussi pour IOs pour protéger par un logiciel VPN les connexions Wifi des smartphones Apple.

Téléchargez et testez gratuitement HotSpot Shield

Réagissez à cet article

Denis JACOPINI interviewé par une journaliste de Ouest France

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Quelles sont les #mentions obligatoires sur un site internet ?

• pour un entrepreneur individuel : nom, prénom, domicile
• pour une société : raison sociale, forme juridique, adresse de l’établissement ou du siège social (et non pas une simple boîte postale), montant du capital social
• adresse de courrier électronique et numéro de téléphone
• pour une activité commerciale : numéro d’inscription au registre du commerce et des sociétés (RCS)
• pour une activité artisanale : numéro d’immatriculation au répertoire des métiers (RM)
• numéro individuel d’identification fiscale : numéro de TVA intracommunautaire
• pour une profession réglementée : référence aux règles professionnelles applicables et au titre professionnel
• nom et adresse de l’autorité ayant délivré l’autorisation d’exercer quand celle-ci est nécessaire
• nom du responsable de la publication
• coordonnées de l’hébergeur du site : nom, dénomination ou raison sociale, adresse et numéro de téléphone
• pour un site marchand, conditions générales de vente (CGV) : prix (exprimé en euros et TTC), frais et date de livraison, modalité de paiement, service après-vente, droit de rétractation, durée de l’offre, coût de la technique de communication à distance
• numéro de déclaration simplifiée Cnil, dans le cas de collecte de données sur les clients

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent :

• informer les internautes de la finalité des cookies,
• obtenir leur consentement,
• fournir aux internautes un moyen de les refuser.

La durée de validité de ce consentement est de 13 mois maximum. Certains cookies sont cependant dispensés du recueil de ce consentement.

Le manquement à l’une de ces obligations peut être sanctionné jusqu’à un an d’emprisonnement, 75 000 € d’amende pour les personnes physiques et 375 000 € pour les personnes morales.

Remarque : Depuis l’entrée en application du RGPD, Règlement Général sur la Protection des Données), vous devez également prévoir des mentions relatives à la protection des données à caractère Personnel ainsi que prévoir des précautions relatives à la demande de consentement des internautes à utiliser leurs coordonnées.

Consultez notre dossier consacré à la demande de consentement

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://vosdroits.service-public.fr/professionnels-entreprises/F31228.xhtml

Phishing, repérez les faux mails et déjouez les pièges des pirates

Denis JACOPINI : Face au développement incoercible de la cybercriminalité, suivez nos formations pour anticiper les prochains piratages et prochaines arnaques dont vous risquez bien de vous retrouver la cible. Nous partons du principe que le meilleurs moyen de se protéger des pirates, c’est non seulement de connaître leur mode opératoire mais de savoir reconnaître les symptômes.

Découvrez nos nouvelles formations : les 30 plus dangereuses arnaques sur Internet

NOTRE MÉTIER :

• FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
• EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
• AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
• MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, découvrez nos formations ;

EXPERTISES TECHNIQUES : Pour prouver un dysfonctionnement,  dansl e but de déposer plainte ou de vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration, d’une analyse d’impact ou de sa mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assistons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nousNOS FORMATIONS : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)

Réagissez à cet article

Phishing, repérez les faux mails et déjouez les pièges des pirates

Denis JACOPINI : Face au développement incoercible de la cybercriminalité, suivez nos formations pour anticiper les prochains piratages et prochaines arnaques dont vous risquez bien de vous retrouver la cible. Nous partons du principe que le meilleurs moyen de se protéger des pirates, c’est non seulement de connaître leur mode opératoire mais de savoir reconnaître les symptômes.

Découvrez nos nouvelles formations : les 30 plus dangereuses arnaques sur Internet

NOTRE MÉTIER :

• FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
• EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
• AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
• MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, découvrez nos formations ;

EXPERTISES TECHNIQUES : Pour prouver un dysfonctionnement,  dansl e but de déposer plainte ou de vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration, d’une analyse d’impact ou de sa mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assistons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nous

NOS FORMATIONS : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)

Réagissez à cet article

Cybersécurité : quand les collectivités prennent la mesure du problème

Pour de nombreuses collectivités locales, la cybersécurité reste encore aujourd’hui un enjeu abstrait. A quelques exceptions près, ces dernières ne sont pas armées pour résister à des attaques très virulentes et aveugles. Et pourtant, les offensives font de plus en plus mal. En témoignent les dégâts causés en mai dernier par le rançongiciel WannaCry, qui a paralysé plus de 200 000 machines à travers près de 150 pays, dont des opérateurs d’importance vitale en France.

L’ampleur de l’offensive n’a fait que confirmer ce que tout le monde savait depuis longtemps : personne n’est à l’abri. Des solutions commencent toutefois à être mises en place par les collectivités elles-mêmes. Un changement de paradigme plus que nécessaire.

Marseille joue la carte prévention

La ville de Marseille a ainsi inauguré le 6 juin une initiative visant à permettre à la municipalité de tester l’efficacité de ses défenses à tous les niveaux. Concrètement, une vingtaine d’étudiants issus de l’école Polytech – l’initiative étant réalisée en partenariat avec l’Université Aix-Marseille – cherchera les éventuelles failles dont la municipalité n’aurait pas connaissance.

Les sites web, applications mais aussi les objets connectés seront passés au crible par ces « hackers éthiques ». Pour ce faire, ces derniers utiliseront SafeGouv, un service proposé par la start-up Net Guard…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Vote électronique : Confidentialité et sécurité des données a confirmé le Conseil d’Etat

En l’espèce, la CNIL, saisie d’une plainte d’un syndicat, prononce un avertissement à l’encontre d’une société n’ayant pas pris toutes précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel lors de l’élection des délégués du personnel organisée par voie électronique avec recours aux services d’un prestataire extérieur. La société et le prestataire forment un recours en annulation de cette délibération devant le Conseil d’Etat.

Le Conseil d’Etat rejette la requête et retient qu’il résulte des dispositions du Code du travail, « dont l’objectif est de garantir la sincérité des opérations électorales par voie électronique, que l’utilisation d’un système de vote électronique pour l’élection des délégués du personnel est subordonnée à la réalisation d’une expertise indépendante lors de la conception initiale du système utilisé, à chaque fois qu’il est procédé à une modification de la conception de ce système ainsi que préalablement à chaque scrutin recourant au vote électronique ».

Dès lors, « à supposer même que le système de vote électronique en litige n’ai fait l’objet d’aucune modification de sa conception depuis sa précédente utilisation par l’entreprise, […] une expertise indépendante était requise préalablement à sa mise en place pour les élections professionnelles organisées par la société requérante ».

Par ailleurs, « il résulte de [l’article R. 2324-5 du Code du travail sur la confidentialité des données transmises] que la transmission aux électeurs des identifiants et mots de passe leur permettant de participer au vote doit faire l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en sont les seuls destinataires ». Ainsi, « c’est à bon droit que la CNIL a estimé que la transmission par simple courriel de ces données aux électeurs méconnaissait les obligations » découlant de ce même article.

En outre, le Conseil d’Etat rappelle, conformément à un arrêté ministériel du 25 avril 2007, que « le respect de ces dispositions implique nécessairement que le chiffrement des bulletins de vote soit ininterrompu », et ce dès l’émission du vote sur le poste de l’électeur jusqu’à sa transmission au fichier dénommé « contenu de l’urne électronique ».

Enfin, si l’employeur a recours à un prestataire extérieur pour l’organisation du vote électronique, il reste malgré tout responsable de ce traitement de données. Le Conseil d’Etat précise ainsi que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données ». Cela ne méconnaît pas « le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants ont agi sur instruction du responsable de traitement ».

Le Conseil d’Etat a ainsi estimé que la sanction de la CNIL visant à rendre public l’avertissement était proportionnée au regard de la nature et de la gravité des manquements constatés, et sa publication appropriée « à la recherche de l’exemplarité ».