Denis JACOPINI interviewé par une journaliste de Ouest France

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Est-ce utile de protéger la WebCam et le microphone de son ordinateur avec de l’adhésif ?

En 2013, des chercheurs en sécurité informatique de l’université John Hopkins, aux Etats-Unis, avaient démontré qu’il était possible de prendre le contrôle des webcams des Mac, ce qui est aussi chose fréquente sur les PC.

La firme Symantec avait même alerté, la même année, sur ce qu’elle désignait comme des « creepwares »,« Certaines personnes mettent un morceau d’adhésif sur la webcam de leur portable, peut-être vous-mêmes le faites. Sont-elles trop prudentes, paranoïaques, un peu étranges ? (…)

Beaucoup d’entre nous ont entendu des histoires de gens qui étaient espionnés sur leur ordinateur (…). Mais ces histoires sont-elles vraies et les précautions prises par des gens en apparence paranoïaques sont elles justifiées ? Malheureusement la réponse est oui », écrivait alors Symantec. L’éditeur a même publié une vidéo de prévention :

[youtube https://www.youtube.com/watch?v=y_7KwQD1qgQ?version=3&rel=1&showsearch=0&showinfo=1&iv_load_policy=1&fs=1&hl=fr-FR&autohide=2&wmode=transparent&w=610&h=344]

Source Numerama

Comment se connecter de manière sécurisée à un wifi public ?

Il peut ainsi, en fonction des données qu’il récupère :

• accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut) ;
• vous voler, crypter des documents ou exercer un chantage pour que vous puissiez les récupérer ;
• usurper votre identité et réaliser des actes illégaux ou terroristes sous votre identité ;
• accéder à des informations bancaires et vous spolier de l’argent.

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

Nous utilisons et conseillons le logiciel VPN HotSpot Shield.

Ce logiciel rendra vos connections Wifi publiques tranquilles.

Téléchargez et découvrez gratuitement HotSpot Shield

Notre page de présentation de HotSpot Shield

Réagissez à cet article

Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?

NOTRE MÉTIER :

• FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
• EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
• AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
• MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, suivez nos formations ;

EXPERTISES TECHNIQUES : Dans le but de prouver un dysfonctionnement, de déposer ou vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettrons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des nombreuses formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration et vous accompagnons dans l’établissement d’une analyse d’impact et de votre mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettrons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assisterons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nousNOS FORMATIONS : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)

Réagissez à cet article

HP alerte au sujet d’une panne programmée sur des disques durs SSD !

Cette panne est irrévocable et résulte en la perte totale des données stockées.
Pour des serveurs ou équipements de stockage ayant été installés récemment avec une série de disques vulnérables, cela signifie que tous les disques s’arrêteront de façon quasi simultanée, empêchant toute récupération de données même sur des systèmes configurés avec des mécanismes de redondance de type RAID. Toutes données non sauvegardée sera donc irrécupérable.
Il est donc primordial de procéder au diagnostic et à la correction des équipements affectés.

Produits affectés :
L’avis HPE précise les modèles de disques SSD ainsi que les équipements qui les utilisent. Reference Internet :
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00092491en_us

Diagnostic : L’outil Smart Storage Administrator (SSA) permet de connaitre la durée d’utilisation des disques SSD afin de planifier les interventions sur chacun des matériels.

Correction : Un correctif existe, il s’agit de la version HPD8 du microgiciel. Ce correctif sera disponible pour certains matériels à partir du 09/12/2019 (HPE indiquant que la durée maximale de fonctionnement ne sera pas atteinte pour les produits, à cette date). Le reboot n’est pas nécessaire sur des équipements disposant d’un contrôle Smart Array.

DU en Investigation Numérique Pénale – Denis JACOPINI témoigne

Contenu de la formation :

• Acquisition des bases et des fondamentaux en matière informatique dans le cadre d’une expertise pénale ;
• Connaissance de la Procédure pénale ;
• Connaissance des missions, de l’organisation professionnelle et des bonnes pratiques d’un enquêteur numérique ;
• Acquisition des méthodes et pratiques d’extraction de données post mortem :
• Extraction de données à partir de supports physiques
• Extraction de données à partir de terminaux mobiles
• Extraction de traces internet
• Manipulation d’objets multimédia
• Acquisition des méthodes de fouille de données

2019 06 14 Plaquette INPA5 v12

Cette formation est réalisée en partenariat avec  :

• UFIN (Union Française de l’Investigation Numérique)
• CNEJITA (Compagnie Nationale des Experts de Justice en Informatique et Techniques Associées)
• AFSIN (Association Francophone des Spécialistes de l’Investigation Numérique)
• Gendarmerie nationale

Denis JACOPINI, Expert de Justice en Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles (RGPD) témoigne :

C’est avec grand plaisir que je vous témoigne ma grande satisfaction à l’issue de cette formation. Même si j’avais déjà une expérience en tant qu’Expert de Justice en Informatique, étalée sur 8 mois, le contenu de cette formation m’a permis d’être désormais mieux équipé (mentalement, organisationnellement et techniquement) et en plus grade confiance pour les futures expertises pénales qui me seront confiées.

La Joconde prend vie grâce à Samsung et son impressionnante IA

La Commission Européenne facilite l’accès aux preuves électroniques

Les nouvelles règles permettront aux services répressifs des États membres de l’UE de mieux rechercher des pistes en ligne et par-delà les frontières, tout en offrant des garanties suffisantes pour les droits et les libertés de tous les intéressés.

M. Frans Timmermans, premier vice-président de la Commission, a déclaré à ce propos: «Les preuves électroniques revêtent une importance croissante en matière pénale. Nous ne pouvons pas accepter que les criminels et les terroristes exploitent les technologies de communication électroniques modernes pour dissimuler leurs actes et se soustraire à la justice. Les criminels et les terroristes ne doivent pouvoir trouver aucun refuge en Europe, que ce soit en ligne ou hors ligne. Les propositions présentées aujourd’hui visent non seulement à mettre en place de nouveaux instruments qui permettront aux autorités compétentes de recueillir des preuves électroniques rapidement et efficacement par-delà les frontières, mais aussi à assurer des garanties solides pour les droits et les libertés de toutes les personnes concernées.»

Les propositions visent à:

• créer une injonction européenne de production ;
• empêcher l’effacement de données au moyen d’une injonction européenne de conservation ;
• mettre en place des garanties solides et des voies de recours ;
• contraindre les prestataires de services à désigner un représentant légal dans l’Union ;
• procurer une sécurité juridique aux entreprises et aux prestataires de services ;

[L’article original complet]

Comment peut-on savoir si vous êtes chez vous et dans quelle pièce grâce au Wifi ?

Nous avons tous des routeurs Wi-Fi à la maison, ils sont si pratiques pour accéder à Internet. Mais les ondes radio émises par ces appareils trahissent également, de façon involontaire, notre présence dans le foyer.
Des chercheurs des universités de Santa Barbara et Chicago viennent de montrer qu’il suffit de se munir d’un smartphone et d’un plan des locaux ciblés, puis de se balader un peu autour pour savoir si une personne est présente, et parfois même dans quelle pièce. Et cela avec une précision qui dépasse les 87 %. Pour une espion ou un voleur, c’est une information plutôt intéressante….[lire la suite]

Une faille de sécurité Bluetooth intercepte nos données et affecte nos smartphones

Il faut savoir que le protocole Bluetooth repose sur la méthode de chiffrement Diffie-Hellman (ECDH) permettant une connexion sécurisée entre deux appareils dont le principe repose sur l’échange de clés. Les chercheurs ont remarqué qu’une étape de validation n’était pas présente dans le processus. Les experts ont donc réussi à intercepter les données transférées pendant les communications sans fil Bluetooth.

Les chercheurs de Technion explique qu’un troisième appareil malveillant peut directement s’incruster dans la liaison dans un rayon de 30 mètres, et espionner la connexion entre les deux appareils afin de récupérer les données échangées. Ces experts sont d’ailleurs parvenus à développer une technologie permettant de trouver la clé de sécurité partagée entre deux appareils...[lire la suite]