De l’intelligence artificielle pour épauler les experts en cybersécurité

Contrôles biométriques en entreprise : vos obligations changent !

Ces autorisations uniques fixent un nouveau cadre légal afin d’encadrer le recours aux dispositifs biométriques et protéger au mieux les libertés individuelles des personnes concernées par de tels systèmes d’identification.

Ainsi, les entreprises ayant recours à la mise en place de dispositifs biométriques ne seront plus soumises à une autorisation préalable de la Cnil. Elles devront simplement réaliser une demande d’autorisation unique et se conformer aux obligations prévues par l’autorisation.

La Cnil distingue désormais 2 types de dispositifs :

1/ l’autorisation unique 052 (3) pour les dispositifs garantissant la maîtrise par la personne concernée sur son gabarit biométrique. Ce peut être soit :
– un système recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées ;
– si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu uniquement par la personne concernée ;

Dans ces deux hypothèses, l’utilisation du gabarit biométrique est conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.

2/ l’autorisation unique 053 (4) pour les dispositifs reposant sur une conservation des gabarits en base par le responsable du traitement.
Un « gabarit » biométrique désigne les mesures qui sont mémorisées lors de l’enregistrement des caractéristiques morphologiques, biologiques ou comportementales de la personne concernée.

Ainsi, à chaque demande d’autorisation unique visant à mettre en place un dispositif biométrique dans leur entreprise, les dirigeants doivent se conformer à certaines exigences :

• justifier de la nécessité et de la pertinence d’avoir recours à un dispositif biométrique. Le recours à ce dernier ne doit pas avoir pour effet de se substituer à des dispositifs non biométriques ;
  privilégier les dispositifs biométriques qui garantissent aux personnes concernées la maîtrise de leur gabarit ;
  justifier et garantir la protection et la conservation des gabarits en base ;
• prendre toute mesure permettant de limiter les risques d’atteinte à la vie privée.
  Si vous avez mis en place un dispositif biométrique sous couvert de l’ancien cadre légal, vous devez vérifier s’il répond à ces nouvelles exigences :

si c’est le cas : un engagement de conformité à l’une de ces nouvelles autorisations peut être réalisé ;
si ce n’est pas le cas : vous avez 2 ans pour vous mettre en conformité.

2ans pour être en conformité

Si vous ne vous êtes pas mis en conformité d’ici la fin de ce délai, sachez néanmoins que la Cnil pourra à tout moment contrôler que le dispositif de biométrie mis en place dans votre entreprise répond aux obligations imposées par les nouvelles autorisations uniques.

Références :
(1) Article 25 de la Loi n°78-17 du 6 janvier 1978 modifiée, modifié par la Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)
(3) Délibération n°2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)
(4) Délibération n°2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)…[Article source et complet]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment pirater des codes PIN en sniffant le WiFi des smartphones ?

Quand un utilisateur déplace ses doigts sur l’écran tactile de son téléphone, il perturbe le signal WiFi émis par son terminal. Ces interruptions peuvent être interceptées par un pirate, analysées et en appliquant de la rétro-ingénierie deviner quelle sont les frappes saisies sur le téléphone ou dans les champs de saisie de mot de passe.

Ce type d’attaque est nommé WindTalker (messager du vent), par des chercheurs chinois et elle n’est possible que si le pirate contrôle le point d’accès WiFi (un hotspot par exemple dans un rayon de 1,5 mètre) afin de collecter les perturbations du signal WiFi. Un contrôle impératif pour analyser le trafic et savoir quand l’utilisateur accède à des pages nécessitant une authentification.

Le CSI en ligne de mire

Si l’attaque semble issue du domaine de la science-fiction, cette menace se sert du CSI (Channel State Information),  un composant du protocole WiFi chargé de fournir les informations générales sur l’état du signal WiFi. Quand l’utilisateur tape du texte sur l’écran, sa main modifie les propriétés de CSI du signal WiFi sortant et la modification peut être captée par un point d’accès malveillant.

Dans une démonstration exposée lors de la ACM Conference on Computer and Communications Security à Vienne, les chercheurs ont montré qu’en réalisant une analyse et un traitement basique du signal, un pirate peut avoir accès aux signaux CSI perturbés et deviner avec une précision moyenne de 68,3% les caractères qu’un utilisateur a tapé. La précision de WindTalker est différente selon les modèles de smartphones et elle peut être améliorée avec le niveau de données collectées…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Un système de chauffage d’immeubles victime d’attaque informatique

Avec des températures tournant autour de 0 degré Celsius au mois de novembre, les problèmes de chauffage sont loin d’être anecdotiques pour les habitants de la ville de Lappeenranta, dans l’est de la Finlande. Au début de novembre, certains d’entre eux ont été confrontés à une coupure de chauffage un peu particulière. Deux immeubles ont en effet vu le système de contrôle de leur chauffage paralysé par une attaque informatique, ce qui les a privés de chauffage et d’eau chaude.

Selon l’Agence de régulation des communications finlandaise (Ficora), citée par la radio-télévision publique Yleisradio Oy mardi 8 novembre, il s’agirait d’une attaque par déni de service (DDOS), qui consiste à surcharger un serveur de requêtes afin de le saturer. Néamoins, l’agence précise que ces systèmes de chauffage « n’étaient pas la cible de cette attaque, ils ont été compromis dans une cyberattaque visant des entités européennes », a déclaré son responsable cybersécurité, Jarkko Saarimäki. « Cette attaque a été réalisée de façon à faire passer son trafic à travers différents systèmes vulnérables », parmi lesquels ces systèmes de chauffage, explique-t-il, évoquant l’acte d’un « groupe criminel »…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Disney va lancer des spectacles de drones dans ses parcs d’attractions

Internet : il n’y a plus d’adresses IPv4 disponibles

Le décret du fichier biométrique TES attaqué en justice

L’offensive judiciaire est lancée. Mardi, le collectif des Exégètes Amateurs a annoncé sa décision d’engager un recours au Conseil d’État — la plus haute des instances administratives en France — contre le décret du fichier TES (Titres Électroniques Sécurisés), qui a été publié discrètement au Journal officiel le 30 octobre 2016, en plein week-end de la Toussaint.

Découvert à ce moment-là, le fichier TES inquiète. Il s’agit d’une base de données qui réunira les données personnelles et biométriques de la quasi totalité des Français. En effet, il est destiné aux passeports et aux cartes d’identité. Néanmoins, il inquiète par l’ampleur et la nature des informations qu’il est amené à recevoir. Surtout, il pourrait servir tôt ou tard à d’autres fins que celles actuellement prévues.

La stratégie exacte des Exégètes Amateurs — qui rassemble La Quadrature du Net, la fédération de FAI associatifs FFDN et l’opérateur French Data Network (FDN) — contre le décret n’a pas été précisée. La coordinatrice des campagnes de La Quadrature du Net, Adrienne Charmet, a simplement indiqué sur Twitter que les détails seront communiqués ultérieurement.

Parmi les angles d’attaque éventuels, l’avocat des nouvelles technologies Rubin Sfadj suggère sur son blog une incompatibilité du décret avec l’article 34 de la Constitution. Celui-ci expose que c’est au législateur que revient le pouvoir de fixer les règles applicables en matière de libertés publiques et de procédure pénale. Dit autrement, c’est au parlement de décider par à l’exécutif.

Les Exégètes Amateurs — une expression de l’ex-député socialiste Jean-Jacques Urvoas, désignant, de manière dédaigneuse, ceux qui s’opposent par des arguments de droit à la loi sur le renseignement dont il était le rapporteur — regroupent des juristes et bénévoles qui ont pris l’habitude de multiplier les recours en justice contre des textes législatifs et réglementaires qu’ils jugent dangereux…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’industrie de l’IoT fait route vers un standard commun

Sécurité des Objets connectés : le plus gros danger reste devant nous

Si les experts pointent depuis longtemps les problématiques de sécurité que soulève l’IoT, la récente attaque dont a été victime le prestataire DNS Dyn a fait plus pour la prise de conscience de tous que des années de discours sur le sujet. Une table ronde organisée le 26 octobre dans le cadre du salon IoT Planet de Grenoble, et faisant intervenir plusieurs spécialistes du sujet, a permis de mesurer l’étendue du problème, qui ne se limite pas aux seules attaques par déni de service. Responsable du réseau d’Objenious, la filiale de Bouygues Telecom qui déploie un réseau pour l’Internet des objets sur la base du protocole Lora, Arnaud Vandererven décrit la surface d’attaques et les possibilités s’offrant aux assaillants. Des possibilités multiples. Celles-ci vont de la corruption des objets – pour y implanter un malware, pour en réutiliser les clefs d’authentification, pour en corrompre les données… – à l’attaque DDoS visant le cœur de réseau ou ses passerelles, en passant par l’espionnage des communications, l’usurpation d’identités ou le blocage des connexions légitimes via des interférences.

« Dès qu’on aborde des cas d’usage en entreprise, convaincre les clients que le système est sûr et sécurisé est réellement crucial. Imaginons une compagnie travaillant dans la distribution d’eau et installant des compteurs communiquant ; si le système tombe en panne, elle ne peut tout simplement plus facturer ses clients », illustre Arnaud Vandererven. La problématique est d’autant moins simple à appréhender que les capteurs déployés doivent ne coûter qu’une poignée d’euros, afficher une durée de vie d’environ 10 ans… et sont bâtis par un grand nombre de sous-traitants.

Prévoir le ‘suicide’ des objets

En face des assaillants dont les motivations peuvent être diverses. La reconnaissance de leurs pairs – c’est le cas des chercheurs en sécurité notamment -, le détournement d’argent, mais aussi la création d’un climat de terreur. Andrew Patterson, le directeur du développement de la société américaine Mentor Graphics, évoque notamment le cas de la voiture connectée. Si la fameuse prise de contrôle à distance d’une Jeep Cherokee visait à alerter le public des dangers d’un manque de sécurité de ce type de véhicules – avec toutefois des conséquences financières très concrètes pour le constructeur -, ce type de vulnérabilités pourrait également être exploitées afin d’instaurer un climat de terreur. Et Andrew Patterson d’évoquer notamment des attaques DDoS contre les Lidar, ces mécanismes de télédétection par radar utilisés sur les véhicules autonomes ou possédant des dispositifs d’assistance à la conduite. « Une forme d’attaques par déni de service contre laquelle il est très difficile de se préparer », avertit-il.

« L’important, c’est d’être en mesure de maintenir la sécurité durant toute la durée de vie des capteurs, via le déploiement de nouvelles clefs, de patchs de sécurité ou de mises à jour de firmwares », dit Pierre Girard, expert en solutions de sécurité chez Gemalto. Bref se préparer à réagir. « Dès la conception, les fonctions de détection d’incidents et de réaction aux attaques doivent être intégrées, reprend Pierre Girard. Comme la capacité à organiser le ‘suicide’ des objets connectés, leur remise sur pied et la mise à jour de leur firmware. Et ces fonctions doivent être testées et leur sécurité validée. »

Dès le niveau du silicium

Car il semble bien difficile de prévoir tous les scénarios d’attaque ou de mettre au point une solution miracle capable de parer toutes les tentatives. « J’aimerais vous dire que nous avons conçu une brique capable de sécuriser tous les objets, mais ce n’est pas le cas, lance Ruud Derwig, un architecte logiciel de Synopsys, éditeur développant des services intégrés au silicium. Sécuriser l’IoT signifie travailler sur une chaîne complète d’acteurs et de technologies, en commençant au niveau du silicium ». Bref, un travail collaboratif, où la sécurité globale de la chaîne dépend de l’élément le plus faible, comme l’a souligné le malware Mirai, utilisé pour monter le botnet qui a ciblé Dyn notamment. La propagation de Mirai a été facilitée par les erreurs de sécurité grossières commises par certains fabricants de caméras IP et autres enregistreurs vidéo (comme des mots de passe par défaut codés en dur).

Une chaîne d’intervenants pour laquelle le coût de la sécurisation doit, qui plus est, demeurer modique, faute de quoi c’est le modèle économique de l’IoT qui s’effondre. « Pour un fabricant (de capteurs connectés, NDLR), la difficulté se résume à bâtir un objet totalement protégé à un coût très bas, résume Stéphane Courcambeck, expert en sécurité de STMicroelectronics. Avec le chiffrement, la difficulté réside dans les techniques mises en œuvre pour protéger les clefs pendant toute la durée de vie du dispositif. Et il faut aussi s’assurer que ces clefs sont employées correctement, en étant très attentifs aux interfaces. » Inutile d’espérer voir les concepteurs de systèmes embarqués et autres objets connectés se lancer dans les certifications les plus exigeantes en matière de sécurité du code. Avec ces dernières, tester une ligne de code revient à environ 10 dollars, selon Andrew Patterson. Soit le coût du capteur dans son entier dans bien des cas !

Une loi pour responsabiliser ?

Pour Pierre Girard, nous faisons face à un défi collectif : « l’impact de l’insécurité technologique va de plus en plus ressembler à celui de la pollution. Nous devons trouver un moyen de changer les comportements pour obliger tout un chacun à agir dans le sens du bien-être de la société dans son ensemble ». Autrement dit, une régulation qui impliquerait notamment la responsabilité des acteurs en cas de manquement à leurs obligations minimales de sécurisation. Pour Ruud Derwig, l’enjeu réside également dans la formation et les compétences impliquées sur les projets : « en matière d’IoT, une bonne part de l’innovation provient des start-up ou de la communauté des makers. Or, ces organisations comptent souvent peu d’experts en sécurité. »…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’adresse IP est une donnée personnelle, encadrée par la CNIL

Voici une jurisprudence qui devrait mettre fin à un débat : l’adresse IP est-elle une donnée personnelle ? La Cour de Cassation vient de répondre par l’affirmative dans un arrêt du 3 novembre. La plus haute juridiction judiciaire avait été saisie en pourvoi dans une affaire de piratage d’un cabinet immobilier, Logisneuf.

Petit rappel des faits, lors d’un contrôle de sécurité sur ses serveurs, le service informatique du cabinet immobilier constate des centaines de connexions illicites provenant toutes d’adresses IP n’appartenant pas à son réseau. Par recoupement, les adresses provenaient d’un cabinet immobilier nantais, Peterson. Logisneuf a donc saisi le tribunal de commerce pour qu’une ordonnance réclame aux opérateurs de révéler le nom des utilisateurs des adresses IP suspectes. Cette opération a permis d’identifier plusieurs personnes chez Peterson et une plainte a été déposée auprès du procureur de la République contre ces personnes. Or les deux sociétés ont continué à se disputer sur la question de la conservation sous forme de fichier des adresses IP et l’obligation de le déclarer à la CNIL. Un arrêt de la Cour d’Appel de Rennes avait statué que « l’adresse IP ne constituait pas une donnée même indirectement nominative » et que le fait de « conserver les adresses IP des ordinateurs… ne constitue pas un traitement des données à caractère personnel ».

Une adresse IP est une donnée à caractère personnel

La Cour de Cassation était donc invité à se positionner sur ce sujet. Dans sa décision, les juges de la Première chambre civile se sont appuyés en premier lieu sur la loi du 6 janvier 1978 modifiée en 2004 et notamment son article 2 qui définit une donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Pour la juridiction, l’adresse IP entre dans cette catégorie. Elle suit ainsi la position de la CNIL qui s’est prononcée sur le sujet depuis 2007, ainsi que l’ensemble des CNIL européennes. Le régulateur s’inquiétait des évolutions jurisprudentielles qui ne considéraient plus l’adresse IP comme une donnée personnelle. La Cour de Cassation a finalement tranché en faveur de la qualification de donnée à caractère personnel de l’adresse IP…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article