Vie privée en danger : pourquoi nous sommes tous concernés

Chaque semaine, de nouveaux scandales éclatent comme, par exemple, le vol, il y a quelques jours, de milliers de photos intimes de stars américaines. Et cela nous concerne tous : « phishing », vol d’identité, harcèlement numérique, vols de compte bancaire : chaque seconde, 17 personnes sont victimes de cyber-escroqueries à travers le monde. Car Internet a créé une nouvelle génération d’escrocs 2.0. Leur butin s’élèverait l’année dernière à 400 milliards de dollars. Un chiffre en constante augmentation. Nous avons découvert les failles des nouvelles cartes bancaires NFC, sans contact. Désormais, les pickpockets n’ont plus besoin de mettre la main dans votre sac pour voler votre argent.

Nous allons vous raconter l’histoire de différentes victimes françaises. Celle de Laetitia, en proie au cyber-harcèlement, qui a failli mettre fin à ses jours. Stéphane, lui, pensait avoir rencontré l’amour sur la toile ; il était en fait entre les mains de brouteurs de Côte d’Ivoire. Nous avons remonté leurs traces à Abidjan.

[vimeo 109233390 w=500 h=281]

Nous nous sommes également rendus en Roumanie dans une ville hors du commun que le FBI a surnommée Hacker-ville. Là-bas, une grande partie de la population vivrait des cyber-escroqueries. Certains escrocs ont accepté de nous rencontrer ; d’autres après avoir été arrêtés par les forces de l’ordre ont décidé de mettre leur génie informatique au service de la société.

Enfin, vous découvrirez que pour protéger leurs ados des dangers du web, des parents ont trouvé une solution radicale. Christophe est un papa espion : il contrôle les moindres faits et gestes de ses trois enfants. Grâce à une panoplie de logiciels et d’applications, il a accès à l’intégralité du contenu de leur téléphone et ordinateur. Internet est sans aucun doute la principale révolution de ces trente dernières années mais c’est peut-être aussi la fin de la vie privée.

Astuce : Un logiciel anti-espions gratuit pour Windows

Dans cet article, je vous présente Ghostpress, un logiciel anti-keylogger portable totalement gratuit qui est en mesure de protéger votre ordinateur des logiciels espions.

Mais qu’est-ce qu’un keylogger ?

En informatique, un keylogger (enregistreur de frappe) est un logiciel espion qui espionne l’utilisateur d’un ordinateur. Le but d’un tel outil est de s’introduire entre la frappe au clavier et l’apparition du caractère à l’écran. Cela permet à un pirate informatique de récupérer toutes les informations que vous avez tapez avec votre clavier comme un login et un mot de passe, une adresse, des informations bancaires etc. [Source]

Ghostpress

Ghostpress est un outil très simple d’utilisation et peu gourmand en ressource système. Il vous suffit simplement de le télécharger, puis de le lancer pour que tous les modules de sécurité soient activés. Ainsi, chaque actions que vous exécuterez sur l’ordinateur seront cachés des regards indiscrets.

Vous pouvez également désactiver temporairement le programme en cliquant sur le gros bouton vert et exécuter le programme automatiquement au démarrage de Windows en cochant une petite case dans les paramètres de l’outil.

Formation en cybercriminalité : Virus, arnaques et piratages informatiques, Solutions pour nos entreprises

Le contexte de l’Internet et l’ampleur du phénomène de la cybercriminalité, nous poussent à modifier nos
comportements au quotidien.
Avons-nous raison d’avoir peur ? De quoi doit-on avoir peur ? Comment se protéger ?

Les réponses évidentes sont techniques, mais il n’en est pas moins vrai que des règles de bonnes pratiques et des
attitudes responsables seront les clés permettant d’enrayer le phénomène….

Objectif

Découvrez les règles de bonnes pratiques et des attitudes responsables qui sont les clés permettant d’enrayer ce phénomène.

Durée

1 journée

ou conférence de 2 heures.

Public concerné

Chefs d’entreprise, présidents d’associations, élus, décideurs, employés, agents, ….

Moyens pédagogiques

Vidéo projecteur et sonorisation souhaitée selon la taille de la salle.

Animateur

Denis JACOPINI
Expert Judiciaire en Informatique diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale et en Droit de l’Expertise Judiciaire. Spécialisé en Protection des données personnelles et  certifié ISO 27005, il a été pendant une vingtaine d’année à la tête d’une société spécialisée en sécurité Informatique.  

Son métier : Aider les professionnels à se protéger des pirates informatiques, et à se mettre en conformité avec la CNIL et le règlement Européen sur la Protection des Données Personnelles.

Il intervient dans la France entière et à l’étranger pour former ou sensibiliser les décideurs, informaticiens et utilisateurs sur les techniques utilisées par les Pirates informatiques pour piéger leurs victimes et sur les obligations en matière de protection des données à caractère personnel.

Différentes interventions pour  :

– Le Conseil de l’Europe ;

– Un Centre d’Enseignement et de Recherche en Informatique  ;

– Le Centre d’Etudes des Techniques Financières et d’Ingénierie d’Aix en Provence ;

– Des écoles d’avocats ;

– Des Compagnies d’Experts Judiciaires ;

– De nombreux clubs ou associations de chefs d’entreprises dans la France entière et à l’étranger ;

– Le Centre National de la Fonction Publique Territoriale (CNFPT) pour des élus, des S.G. et des agents publics.

(Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle – Numéro formateur : 93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Une entreprise peut-elle être condamnée pour défaut de sécurisation de l’accès à ses outils informatiques ?

Une entreprise peut être sanctionnée par la CNIL, par exemple, si l’organisme juge que les mots de passe sont peu sécurisants : les noms des employés, inchangés depuis quelques années. Avec les nouvelles réglementations européennes entrées en vigueur en 2018, les amendes peuvent s’élever à 20 millions d’euros voire 4% du chiffre d’affaires mondial…

La durée du travail de tous les salariés peut être contrôlée par un système de géolocalisation ?

Il n’est pas possible pour l’employeur d’utiliser les résultats de la géolocalisation si ce n’est pas déclaré à la CNIL (Commission nationale de l’informatique et des libertés) et sans que le sache le salarié, encore moins si l’entreprise possède déjà un moyen de contrôler la durée de travail. Si un salarié a une liberté de son temps de travail, c’est surtout le résultat qui compte.

Quels sont les droits et devoirs des salariés en matière de sécurité informatique

Or, dans la majorité des cas, aucune sanction n’est prise par les employeurs, y compris lorsque les auteurs des faits sont animés d’intentions malveillantes et non simplement ludiques.

Dans un raisonnement inspiré du droit du travail, l’employeur – arguant par exemple de ne pas disposer de charte de sécurité informatique spécifiant les comportements à respecter, ainsi que les sanctions applicables – estime qu’à défaut d’avoir porté par écrit à la connaissance de l’employé la réglementation en vigueur au sein de l’entreprise, celui-ci ne peut être légalement sanctionné.

Il est important de rappeler que le seul fait de collecter des données à caractère personnel par un moyen frauduleux est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (article 226-18 du Code pénal) et ce, quelles que soient les intentions du salarié. De même, le fait de s’introduire frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans de prison et de 30 000 euros d’amende (article 321-1 du même code). La loi est d’application directe et ne nécessite pas d’être citée dans une charte informatique pour en assurer le respect par les salariés. Les employeurs peuvent donc prendre immédiatement les sanctions afférentes à une telle faute.

En outre, la responsabilité de l’employeur peut se voir engagée par ce type d’agissements, sur la base de plusieurs fondements :

• la personne cible/victime des menées de son/ses collègues pourra, en cas de dommage, agir contre l’employeur, responsable de ses salariés. Il reviendra alors à la société de prouver que le mis en cause a agi « hors des fonctions auxquelles il était employé, sans autorisation et à des fins étrangères à ses attributions », ce qui est rarement admis en pratique.
• de par la jurisprudence « Sarenza c/ Jonathan » du 21 février 2013, le juge a précisé que la société devait supporter, à hauteur de 30%, son propre dommage, engendré par les lacunes dans la gestion des identifiants d’accès aux bases de données. Le juge a donc instauré l’obligation, pour l’employeur, de mettre en place des mesures de protection informatique efficaces, afin de prévenir l’installation de tout logiciel espion.
• Enfin, la plupart des logiciels utilisés à ces fins proviennent de téléchargements, susceptibles de contenir des virus. Les réseaux internes des entreprises sont  régulièrement infectés par ce biais, ce qui facilite les intrusions informatiques et, partant, l’accès, l’utilisation, l’extraction, voire la destruction de données stratégiques pour l’entreprise.

Préconisations de la DGSI

La DGSI recommande à toute entreprise :

• En priorité, d’établir une charte de sécurité informatique qui permettra de sensibiliser les salariés aux enjeux numériques, tout en les responsabilisant.
• D’organiser régulièrement des conférences de sensibilisation à destination de l’ensemble des collaborateurs, qui insisteront sur leurs droits et obligations à l’ère du tout-numérique et dispenseront des mises à jour sur les évolutions technologiques en cours.
• De mettre en place des mesures de protection efficaces afin de prévenir l’utilisation potentielle de logiciels et matériels espions. L’existence de tels dispositifs de sécurité informatique permettra à l’employeur de dégager sa responsabilité juridique et d’optimiser le bon fonctionnement de son entreprise en augmentant le niveau de protection.

Vous avez besoin de recueillir des preuves, expertiser un système informatique, vérifier des contenus, Denis JACOPINI peut vous conseiller, vous accompagner et réaliser toutes les phases techniques nécessaires à la constitution d’un dossier juridique solide.

Contactez Denis JACOPINI

Ne pas avertir son employeur de propos injurieux sur Facebook peut vite devenir une #faute grave

Travaillant en tant que sellière maroquinière depuis 2002 chez Hermès, Madame X est licenciée en décembre 2011 pour faute grave. C’est-à-dire sans préavis ni aucune indemnité. Il faut dire que les reproches formulés par son employeur sont relativement sérieux.

La salariée est en effet accusée d’avoir ouvert en octobre 2011 un groupe Facebook intitulé « Les potins d’Hermès », sur lequel étaient relatées des « situations tenant à la vie privée de certains collaborateurs nommément désignés », « sous forme de messages et anecdotes ». C’est suite à des remontées internes que la direction a eu vent de ces commentaires jugés « profondément dégradants et injurieux » à l’égard des employés concernés, ce qui a poussé les responsables de l’entreprise à chercher à remonter jusqu’à leur auteur.

Problème : l’administrateur de ce groupe dispose d’un compte Facebook au nom de « Jules César ». Autrement dit, il s’agit d’un beau pseudonyme… Après enquête, l’employeur affirme que l’adresse IP de l’auteur de ces messages correspond à celle du domicile de Madame X. Dans un premier temps, la salariée reconnaît avoir eu connaissance de ce groupe, tout en niant en être à l’origine. Mais dans un second temps, elle finit par admettre que le compte « Jules César » et le groupe « Les potins d’Hermès » ont bien été crées depuis son ordinateur, mais par sa sœur…

« Même dans le cas où les déclarations de votre soeur (par ailleurs très limitées quant à son hypothétique implication personnelle) [seraient] avérées, et dans la mesure où vous nous avez déclaré avoir eu connaissance de la création de la page et de son contenu dès sa mise en ligne, vous auriez dû à tout le moins nous alerter au sujet d’une telle initiative dont la teneur et la portée ne pouvaient rester sans conséquence vis-à-vis de l’entreprise et de ses collaborateurs » retient ainsi l’employeur dans sa lettre de licenciement.

Impossible d’identifier le créateur du groupe
Sauf que l’ex-salariée estime avoir été remerciée à tort. Elle a donc tout d’abord saisi le conseil des prud’hommes de Lyon, lequel a confirmé le licenciement pour faute grave en novembre 2013. Madame X a ensuite saisi la cour d’appel de Lyon, qui a justement rendu sa décision le 20 octobre dernier.

Les magistrats se sont intéressés en particulier aux adresses IP fournies par Hermès. Ils ont cependant constaté que la connexion ayant servi à créer le profil Jules César et à alimenter « la plupart » des messages litigieux correspondait en fait à « une adresse IP algérienne dont l’employeur n’a pu identifier le titulaire ». En clair, il était impossible de prouver en l’état qu’il s’agissait de Madame X ou même de sa soeur.

Mais cela n’a pas empêché la cour d’appel de considérer qu’il y avait malgré tout eu faute grave de la part de la salariée. Cette faute ? Savoir que le groupe « Les potins d’Hermès » existait et n’avoir rien signalé. La décision, que nous avons pu consulter, retient en ce sens que « la faute commise par Mme X en n’alertant pas sa direction sur la création de ce groupe de discussion alors qu’à partir de son propre ordinateur étaient mis en ligne des propos déshonorants pour ses collègues de travail (…) est d’une gravité suffisante pour rendre impossible le maintien de cette salariée dans l’entreprise pendant la durée limitée du préavis ».

La cour d’appel n’a donc pas donné suite aux demandes de l’ex-salariée, qui réclamait plus de 40 000 euros d’indemnités.

La décision de la cour d’appel de Lyon évoquée dans l’article ci-dessus

Les grands principes de la cryptologie et du chiffrement

#Conseils clé pour #se protéger contre la #cybercriminalité

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées. L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus de 1,2 milliard de mots de passe volés.

Mais les hackers ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper, sachez surtout détecter les failles et limiter les dégâts
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données.

Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité. En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée.

Si un courriel personnel n’est pas identifié comme tel, l’employeur peut-il l’examiner ?

Si le courriel n’est pas intitulé «Personnel», mais, par exemple, «félicitations pour la naissance de…» Il est évident que c’est personnel.