Pourquoi le vol de données personnelles devient-il de plus en plus commun ?

« Dans ce type de cas, la faute ne repose pas uniquement sur les hackers. Il faut aussi prendre en compte le comportement des entreprises et celui des utilisateurs finaux face à la sécurisation des accès.

Commençons par les hackers. De nos jours, il n’est pas nécessaire d’avoir un groupe sophistiqué et étendu de pirates informatiques expérimentés pour perpétrer les plus gros cyber-crimes. Aujourd’hui une simple recherche Internet permet à quiconque de rapidement trouver toutes les informations nécessaires pour pénétrer les systèmes informatiques vulnérables. Les pirates informatiques ont même cartographié toutes les vulnérabilités de la toile, et le tout est disponible en ligne. De plus, avec l’avènement du cloud, les hackers ont une porte d’entrée supplémentaire pour accéder aux données des entreprises. On entend régulièrement parler dans nos médias de la sécurité, ou plutôt du manque de sécurité lié au cloud.

Continuons avec les entreprises. Le cloud n’est pas le cœur du problème. Le problème de fond est que les entreprises ne mettent pas assez l’accent sur la sécurité des accès, que ça soit au niveau des accès cloud, aux applications d’entreprise, ou aux applications Web. Tant que les entreprises n’auront pas assimilé le caractère critique de la protection des mots de passe, ce type de hack continuera de se multiplier.

Enfin, il faut s’intéresser au comportement des utilisateurs finaux, qui ne facilitent pas la tâche des entreprises en matière de sécurité des mots de passe. En effet, de nombreuses études l’ont révélé récemment, par souci de facilité, les mots de passe utilisés sont souvent très (trop) simples. Les utilisateurs utilisent les mêmes mots de passe pour accéder à leurs comptes bancaires, messagerie électronique qu’elle soit personnelle ou professionnelle, et compte Facebook, par exemple. Ce comportement est une aubaine pour les cybercriminels. En laissant aux utilisateurs finaux le choix de leurs mots de passe, nous confions tout simplement une étape cruciale dans le processus de sécurisation des données à ceux qui sont les moins qualifiés et surtout les moins préoccupés par la sécurité informatique. Vous comme moi, nous n’avons pas envie d’avoir à nous souvenir de mots de passe compliqués et différents pour chaque compte que nous devons utiliser au quotidien. C’est donc bien notre propre comportement en tant qu’utilisateur qui constitue le plus gros risque.

On ne peut empêcher un hacker d’agir, mais on peut le stopper aux portes de l’entreprise en ayant des solutions de sécurité globale prenant en compte toutes les potentielles portes d’entrée. C’est pourquoi il est impératif que des solutions de gestion des identités et des accès soient intégrées dans les projets de sécurité des entreprises, au même titre que peut l’être la sécurisation des réseaux, ou des terminaux. »

Un Employeur peut-il examiner les messages échangés par ses employés sur leur téléphone professionnel ?

Dès lors que le téléphone du salarié est professionnel, l’employeur a ce droit, à moins d’avoir mentionné avant le message «personnel». Dans ce cas, l’employeur n’a plus le droit. Mais souvent, on n’oublie de l’écrire…  »

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Est-il risqué de se connecter au wifi public ? 

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.ouest-france.fr/leditiondusoir/data/492/reader/reader.html?t=1431534138729#!preferred/1/package/492/pub/493/page/7

Par Corinne Bourbeillon

Place de ciné pas chère : une faille pour Gaumont Pathé ?

Les amateurs de cinémas ne me contrediront pas, le cinéma est devenu un petit luxe loin d’être négligeable dans un budget. Même si des cartes de réductions existent, cela fait rarement la sortie cinéma (deux adultes, deux enfants) à moins de 50€ (si on rajoute quelques friandises), et à la condition ou la séance n’est pas en 3D, ce qui fait gonfler la note. Bref, tout le monde n’a pas la chance d’aller au cinéma deux fois par semaine. Bilan, ce qui est mon cas, les cartes de réduction sont un bon moyen d’assouvir son plaisir de salle obscure. D’autres internautes, beaucoup plus malhonnêtes, n’hésitent pas à revendre des entrées à un prix défiant toutes concurrences.

Place de ciné pas chère ?

Dans une boutique du black market francophone, je suis tombé sur une publicité annonçant proposer des places de cinéma à 1,5€/2€. Des places ne pouvant être utilisées que dans les cinémas Gaumont Pathé! Le président des cinémas Pathé, Jérôme Seydoux et Nicolas Seydoux, président de Gaumont (Grand Père et Oncle respectifs de la dernière James Bond Girl, Léa Seydoux) auraient-ils décidé de faire des réductions aussi inattendues qu’impossibles ? Malheureusement pour les cinéphiles, ce n’est pas le cas.Il semble que le vendeur derrière cette proposition alléchante de Place de ciné pas chère a trouvé une méthode pour escroquer l’entreprise. « J’ai des places de cinéma gratuites et illimitées valables dans tous les Pathé de France, indique ce commerçant. Ces places ne sont pas cardées [comprenez acquises avec des données bancaires piratées, NDR], juste ma tête« . Le vendeur indique ne pas vouloir donner plus d’informations sur sa méthode. Une technique qu’il utiliserait depuis deux ans « pour moi et mes amis et qu’il n’est jamais rien arrivé« . D’après ce que j’ai pu constater, le pirate semble être capable de générer des codes « invitation ». Le pirate a même créé un shop (boutique automatisée) qui permet d’acquérir autant de place que le black marketeur est capable de générer contre la somme demandée. Paiement en bitcoins… [Lire la suite]

Réagissez à cet article

Pourquoi supprimer vos données personnelles si vous rendez votre ordinateur professionnel à votre employeur ?

Imaginez, votre ordinateur, protégé ou non, tombe entre les mains d’une personne malveillante. Il pourra :

• Accéder à vos documents et découvrir les informations qui peuvent soit être professionnelles et être utilisées contre vous, soit personnelles permettant à un voyou de les utiliser contre vous soit en vous demandant de l’argent contre son silence ou pour avoir la paix ;
• Accéder aux identifiants et mots de passe des comptes internet que vous utilisez (même pour des sites Internet commençant par https) et ainsi accéder à nos comptes facebook, twitter, dropbox… ;
• Avec vos identifiants ou en accédant à votre système de messagerie, le pirate pourra facilement déposer des commentaires ou envoyer des e-mails en utilisant votre identité. Même si l’article 226-4 du code pénal complété par la loi LOPPSI du 14 mars 2011 d’un article 226-4-1,  l’usurpation d’identité numérique est un délit puni de deux ans d’emprisonnement et de 20 000 euros d’amende, il sera fastidieux d’une part pour vous, de prouver que vous n’êtes pas le véritable auteur des faits reprochés, et difficile pour les enquêteurs de retrouver le véritable auteur des faits.

Ne pas effacer ses données personnelles sur l’ordinateur que l’on rend, donne, vend, c’est laisser l’opportunité à un inconnu de fouiller dans vos papier, violer votre intimité et cambrioler votre vie.

Pire ! vous connaissez bien le donataire de votre matériel et vous savez qu’il n’y a aucun risque qu’il ait des intentions répréhensibles. Mais êtes vous certain qu’il sera aussi prudent que vous avec son matériel ?
Êtes-vous prêt à prendre des risques s’il perdait ce matériel ?
Dormiriez-vous tranquille si vous imaginiez que votre ancien ordinateur est actuellement sous l’emprise d’un pirate informatique prêt à tout pour tricher, voler et violer en utilisant votre identité ?

Original de l’article mis en page : 5 applications pour effacer des données de façon sécurisée – ZDNet

Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?

Le site d’information Français Pure Player Atlantico à interrogé à ce sujet Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles

Atlantico :

Pourquoi donc, selon vous, le font-ils malgré tout ? Qu’est-ce qui rend un mail d’un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis JACOPINI :

Ça-vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu.

Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles et quelques autres messages que nous recevons avec plaisir de personnes connues et puis il y a tout le reste, les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces pourriels (poubelle + e-mail) se cachent de nombreux message ayant des objectifs malveillant à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé ou vous proposer d’échanger dans le but de faire « copain copain » et ensuite vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants de ne pas parler à un inconnu…Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ?

A mon avis, les techniques d’Ingenierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qu exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l’ignorance ou de la crédulité des personnes ciblées.
Imaginez, vous recevez un message ressemblant à ça :

« Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour la quelle vous ne recevez pas les fichier jointes.

J’ai essaye de remettre les fichier jointes dans le e-mail. »

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y pas trop de faute d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail ou similaire souvent reçu :

« Objet : Commande – CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle « Commande – CD2533″.

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE »

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fais partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

Un autre exemple : Vous recevez sur facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la « Marie » dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée qui vous aurait retrouvé sur Facebook ?

Dans le doute vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu ou cliquer sur les liens pour découvrir la suite, est une des nombreuses failles humaine : la curiosité.

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse le plus souvent en toute discrétion et en toute impunité, la pollution des moyens de communication numériques grand public est telle que le niveau de prudence doit être augmenté au point de ne plus laisser de place au hasard. Le jeu vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Un oeil sur vous, citoyens sous surveillance – Documentaire 2015 2h24

[youtube https://www.youtube.com/watch?v=_H9Wqp7cNBM&w=850&h=700]

#cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Quoi et comment supprimer vos données si vous rendez votre ordinateur professionnel à votre employeur ?

La première étape consiste à identifier les données à supprimer et celles à sauvegarder avant de procéder au nettoyage.

Sur la plupart des ordinateurs professionnels, parfois sans le savoir, en plus de nos documents de travail nous stockons :

• Des programmes ajoutés ;
• Nos e-mails ;
• Nos traces de navigation ;
• Nos fichiers téléchargés ;
• Divers identifiants et mots de passe ;
• Les fichiers temporaires

Afin d’éviter l’accès à ces informations par le futur locataire / propriétaire / donataire de votre ordinateur, il sera important de procéder à leur suppression minutieuse.

Concernant les programmes ajoutés

Facile sur Mac en mettant le dossier d’un programme à la corbeille, n’utilisez surtout pas la corbeille pour supprimer des programmes sous Windows. La plupart des programmes apparaissent dans la liste des programmes installés. Pour procéder à leur suppression, nous vous conseillons de procéder :

• soit par le raccourcis de désinstallation que le programme a créé ;
• s’il n’y a pas de raccourci prévu à cet effet, passez par la fonction « Ajout et Suppression de Programmes » ou « Programmes et fonctionnalités » (ou fonction équivalente en fonction de votre système d’exploitation de sa version) ;
• Enfin, vous pouvez utiliser des programmes adaptés pour cette opération tels que RevoUninstaller (gratuit).

Concernant les e-mails

Selon le programme que vous utiliserez, la suppression du/des compte(s) de messagerie dans le programme en question suffit pour supprimer le ou les fichiers contenant les e-mails. Sinon, par précaution, vous pouvez directement les localiser et les supprimer :

• fichiers « .pst » et « .ost » de votre compte et archives pour le logiciel « Outlook » ;
• fichiers dans «  » »% »’AppDataLocalMicrosoftWindows Live Mail » pour le logiciel « Windows Live Mail » ;
• les fichiers contenus dans ‘ » »% »’APPDATA%ThunderbirdProfiles » pour le programme Mozilla Thunderbird
• le dossier contenu dans « ..Local SettingsApplication DataIMIdentities » pour le programme Incredimail.

Concernant nos traces de navigation

En fonction de votre navigateur Internet et de sa version, utilisez, dans les « Options » ou les « Paramètres » la fonction supprimant l’Historique de Navigation » ou les « Données de Navigation ».

Concernant les fichiers téléchargés

En fonction de votre système d’exploitation l’emplacement de stockage par défaut des fichiers téléchargés change. Pensez toutefois à parcourir les différents endroits de votre disque dur, dans les lecteurs réseau ou les lecteurs externes à la recherche de fichiers et documents téléchargés que vous auriez pu stocker.

Concernant divers identifiants et mots de passe

Du fait que le mot de passe de votre système d’exploitation stocké quelque part (certes crypté), si vous êtes le seul à le connaître et souhaitez en conserver la confidentialité, pensez à le changer et à en mettre un basic de type « utilisateur ».

Du fait que les mots de passe que vous avez mémorisé au fil de vos consultations de sites Internet sont également stockés dans vote ordinateur, nous vous recommandons d’utiliser les fonctions dans ces mêmes navigateurs destinées à supprimer les mots de passes et les informations qui pré remplissent les champs.

Concernant les fichiers temporaires

En utilisant la fonction adaptée dans vos navigateurs Internet, pensez à supprimer les fichiers temporaires liés à la navigation Internet (images, cookies, historiques de navigation, autres fichiers).

En utilisant la fonction adaptée dans votre systèmes d’exploitation, supprimez les fichiers temporaires que les programmes et Windows génèrent automatiquement pour leur usage.

Pour finir

Parce qu’un fichier supprimé n’est pas tout à fait supprimé (il est simplement marqué supprimé mais il est toujours présent) et dans bien des cas toujours récupérable, vous pourrez utiliser une application permettant de supprimer définitivement ces fichiers supprimés mais pourtant récupérables telle que « Eraser »,  « Clean Disk Security », « Prevent Restore »…

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Déplacements professionnels. Attention au Wi-Fi de l’hôtel…

Cela devient d’autant plus problématique lorsque nous voyageons : une étude Kaspersky Lab révélait récemment que 82% des personnes interrogées se connectent à des réseaux Wi-Fi gratuits non sécurisés dans des terminaux d’aéroports, des hôtels, des cafés ou des restaurants.

Dans la tribune ci-dessous, Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord analyse les vulnérabilités des réseaux Wi-Fi dans les hôtels, une mine d’or pour des cybercriminels en quête de données personnelles ou d’informations confidentielles.

Depuis 10 ans, le cyber crime s’est largement professionnalisé pour devenir une véritablement industrie, portée sur la rentabilité. Les cybercriminels sont en quête permanente de victimes qui leur assureront un maximum de gains pour un minimum d’investissements techniques.

De son côté, l’industrie hôtelière a passé la dernière décennie à se transformer pour répondre aux nouvelles attentes digitales de ses clients. Alors que plus d’un quart d’entre eux annoncent qu’ils refuseraient de séjourner dans un hôtel ne proposant pas de Wi-Fi, la technologie n’est plus un luxe mais bien une question de survie pour les établissements hôteliers. Face aux ruptures liées à la numérisation, il a donc fallu repenser les modèles existants et s’équiper, parfois en hâte, de nouvelles technologies mal maîtrisées. Il n’était donc pas surprenant de voir émerger rapidement des problèmes de sécurité, dans les hôtels bon marché comme dans les 5 étoiles.

Par Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord

Le paradoxe du Wi-Fi à l’hôtel : privé mais public

Ils ont beau être déployés dans des établissements privés, les Wi-Fi d’hôtels restent des points d’accès publics. Ils sont même parfois complètement ouverts. Le processus de connexion, qui nécessite le plus souvent de confirmer son identité et son numéro de chambre, limite l’accès au réseau mais ne chiffre pas les communications. Il ne garantit pas non plus leur confidentialité. Est-ce que cela signifie que nos informations sont à la portée de tous ? La réalité n’est pas aussi sombre, mais elles sont à la portée de n’importe quel criminel équipé d’un logiciel de piratage, dont certains sont disponibles gratuitement en ligne, et disposant de connaissances techniques de base.

Concrètement, il suffit à un criminel de se positionner virtuellement entre l’utilisateur et le point de connexion pour récupérer toutes les données qui transitent par le réseau, qu’il s’agisse d’emails, de données bancaires ou encore de mots de passe qui lui donneront accès à tous les comptes de l’internaute. Une approche plus sophistiquée consiste à utiliser une connexion Wi-Fi non sécurisée pour propager un malware, en créant par exemple des fenêtres pop-up malveillantes qui invitent faussement l’utilisateur à mettre à jour un logiciel légitime comme Windows.

Le mythe de la victime idéale

En 2014, le groupe de cybercriminels Darkhotel avait utilisé une connexion Wi-Fi pour infiltrer un réseau d’hôtels de luxe et espionner quelques-uns de leurs clients les plus prestigieux. Un an plus tard, les activités de ce groupe étaient toujours en cours, continuant d’exfiltrer les données des dirigeants d’entreprises et dignitaires. Pour autant, les cybercriminels ne ciblent pas que des victimes à hauts profils. Beaucoup d’utilisateurs continuent de penser qu’ils ne courent aucun risque car les informations qu’ils partagent sur Internet ne méritent pas d’être piratées. C’est oublier que la rentabilité d’une attaque repose aussi sur le nombre de victimes. Parmi les 30 millions de clients pris en charge par l’hôtellerie française chaque année, seuls 20% sont des clients d’affaires. Les 80% de voyageurs de loisirs représentent donc une manne financière tout aussi importante pour des cybercriminels en quête de profit.

Dans certains cas, une faille Wi-Fi peut même exposer l’hôtel lui-même, en servant de porte d’entrée vers son réseau. Si l’on prend le cas d’une chaîne d’hôtellerie internationale qui disposerait d’un système de gestion centralisé et automatisé, une intrusion sur le réseau pourrait entrainer le vol à grande échelle d’informations confidentielles et bancaires sur les employées, le fonctionnement de l’hôtel et ses clients.

Hôtels indépendants vs. chaînes hôtelières : des contraintes différentes pour un même défi

Pour une industrie aussi fragmentée que celle de l’hôtellerie, la sécurité est sans aucun doute un défi. Les hôtels indépendants ont une capacité d’accueil réduite et traitent donc moins de données. Le revers de la médaille est qu’ils disposent souvent d’une expertise informatique limitée et leur taille ne permet pas de réaliser les économies d’échelle qui rentabiliseraient un investissement important dans la sécurité informatique. Quant aux grands groupes, qui comptent des ressources humaines et financières plus importantes, ils sont mis à mal par l’étendue de leur écosystème, qui rend difficile l’harmonisation d’une politique de sécurité sur des centaines, voire des milliers de sites.

Il est important que tous les hôtels, quelle que soit leur taille ou leur catégorie, respectent quelques règles simples à commencer par l’isolation de chaque client sur le réseau, l’utilisation de technologies de chiffrement et l’installation de solutions de sécurité professionnelles. Enfin, le réseau Wi-Fi offert aux clients ne doit jamais être connecté au reste du système informatique de l’hôtel, afin d’éviter qu’une petite infection ne se transforme en épidémie généralisée. En respectant ces règles, la sécurité pourrait devenir un argument commercial au moins aussi efficace que le Wi-Fi.

Article original de Robert Kassous

Denis JACOPINI est Expert Informatique et aussi formateur en Cybercriminalité (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous pouvons vous animer des https://www.lenetexpert.fr/formations-en-cybercriminalite-et-en-protection-des-donnees-personnelles

Piratage informatique : bien plus sûre que le « mot de passe », la « phrase de passe » (à condition que…) | Denis JACOPINI

Atlantico : Selon de nombreuses études menées par des chercheurs de l’Université américaine Carnegie-Mellon, un long mot de passe facile à retenir tel que « ilfaitbeaudanstoutelafrancesaufdanslebassinparisien » serait plus difficile à pirater qu’un mot de passe relativement court mais composé de glyphes de toutes sortes, tel que « p8)J#&=89pE », très difficiles à mémoriser. Pouvez-vous nous expliquer pourquoi ?

Denis Jacopini : La plupart des mots de passe sont piratés par une technique qu’on appelle « la force brute ». En d’autres termes, les hackers vont utiliser toutes les combinaisons possibles des caractères qui composent le mot de passe.

Un long mot de passe est donc plus difficile à pirater qu’un mot de passe court, à une condition cependant : que la phrase choisie comme mot de passe ne soit pas une phrase connue de tous, qui sort dès qu’on en tape les premiers mots dans la barre de recherche de Google. Les pirates du Net ont en effet des bases de données où ils compilent toutes les phrases, expressions ou mots de passe les plus couramment utilisés, et essayent de hacker les données personnelles en les composant tous les uns derrière les autres. Par exemple, mieux vaut avoir un mot de passe court et complexe plutôt qu’une « phrase de passe » comme « Sur le pont d’Avignon, on y danse on y danse… ».

Il faut également bien veiller à ce que cette « phrase de passe » ne corresponde pas trop à nos habitudes de vie, car les pirates du Web les étudient aussi pour arriver à leur fin. Par exemple, si vous avez un chien qui s’appelle « Titi » et que vous habitez dans le 93, il y a beaucoup de chance que votre ou vos mots de passe emploient ces termes, avec des associations basiques du type : « jevaispromenermonchienTITIdansle93 ».

De plus, selon la Federal Trade Commission, changer son mot de passe régulièrement comme il est habituellement recommandé aurait pour effet de faciliter le piratage. Pourquoi ?

Plus généralement, quels seraient vos conseils pour se prémunir le plus efficacement du piratage informatique ?

Je conseille d’avoir une « phrase de passe » plutôt qu’un « mot de passe », qui ne soit pas connue de tous, et dont on peut aisément en changer la fin, pour ne pas avoir la même « phrase de passe » qui vérouille nos différents comptes. 

Enfin et surtout, je conseille de ne pas se focaliser uniquement sur la conception du mot de passe ou de la « phrase de passe », parce que c’est très loin d’être suffisant pour se prémunir du piratage informatique. Ouvrir par erreur un mail contenant un malware peut donner accès à toutes vos données personnelles, sans avoir à pirater aucun mot de passe. Il faut donc rester vigilant sur les mails que l’on ouvre, réfléchir à qui on communique notre mot de passe professionnel si on travail sur un ordinateur partagé, bien vérrouiller son ordinateur, etc…

Article original de Denis JACOPINI et Atlantico

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article