Denis JACOPINI interviewé par une journaliste de Ouest France

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Comment se connecter de manière sécurisée à un wifi public ?

Il peut ainsi, en fonction des données qu’il récupère :

• accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut) ;
• vous voler, crypter des documents ou exercer un chantage pour que vous puissiez les récupérer ;
• usurper votre identité et réaliser des actes illégaux ou terroristes sous votre identité ;
• accéder à des informations bancaires et vous spolier de l’argent.

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

Nous utilisons et conseillons le logiciel VPN HotSpot Shield.

Ce logiciel rendra vos connections Wifi publiques tranquilles.

Téléchargez et découvrez gratuitement HotSpot Shield

Notre page de présentation de HotSpot Shield

Réagissez à cet article

Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?

NOTRE MÉTIER :

• FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
• EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
• AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
• MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, suivez nos formations ;

EXPERTISES TECHNIQUES : Dans le but de prouver un dysfonctionnement, de déposer ou vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettrons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des nombreuses formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration et vous accompagnons dans l’établissement d’une analyse d’impact et de votre mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettrons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assisterons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nousNOS FORMATIONS : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)

Réagissez à cet article

#Arnaque à la webcam : des conseils pour bien réagir

Pour chaque situation particulière, l’arnaque semble se dérouler à peu près de la même façon : la victime se rend la plupart du temps sur un site de rencontre, et entame la conversation avec une jeune femme ou un jeune homme au physique plutôt attrayant. La victime se voit alors proposer de continuer la conversation par Webcam, et s’exécute. Le cyber-escroc fait une capture d’écran, et menace de diffuser la vidéo ou les images de cet échange sur le compte Facebook d’un proche ou sur un site de partage de vidéos, si la personne ne lui remet pas la somme de 200 euros sous 24/48h.

Afin de faire face à cette situation, la Commission nationale de l’informatique et des libertés (CNIL) a publié une fiche pratique, destinée à informer et accompagner les victimes de ces cyber escrocs. Il y est notamment indiqué :

• qu’il ne faut surtout pas répondre aux tentatives de chantage du cyber-escroc ;
• qu’il convient d’alerter les autorités compétentes, via la plateforme du Ministère de l’intérieur ;
• qu’il faut demander au site de dépublier le contenu gênant ;

Rappelons que des sociétés, spécialisées dans l’effacement des contenus gênants, existent. De plus, et depuis un arrêt rendu par la Cour de justice de l’Union européenne, les internautes peuvent saisir les moteurs de recherche d’une demande de déréférencement d’un contenu associé à leur nom et prénom.

Quel réflexe adopter ?

1. Ne répondez surtout pas à  un cyber-escroc
   Soyez parfaitement hermétique à  toute tentative de chantage : ne communiquez aucune donnée personnelle, ne versez surtout pas d’argent quel que soit la somme demandée.
2. Verrouillez immédiatement vos comptes sociaux
   Paramétrez vos comptes sociaux professionnels et vos comptes Facebook de manière à  ce que le malfaiteur n’associe pas votre nom à  une liste d’amis / de contacts. Ne rendez accessible votre profil Facebook qu’auprès de vos amis de confiance. Enfin, ne publiez rien de personnel sur votre mur. Des personnes mal intentionnées peuvent détourner ces informations à  d’autres fins. Notre page Facebook délivre quelques conseils pour bien paramétrer vos comptes.
3. Alertez les autorités via la plateforme du Ministère de l’Intérieur
   Effectuez des captures d’écran justifiant votre situation (messages reçus, contenus à  effacer …). Voir la fiche pratique
4. Signalez directement l’escroquerie sur la plateforme www.internet-signalement.gouv.fr
   Renseignez-vous via le service Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 €/minute depuis un téléphone mobile ; Du lundi au vendredi de 9h à 18h)
5. Parlez-en à une personne de confiance
   La violence des termes employés par l’escroc et le risque d’exposition de votre vie privée peuvent être vécus comme un traumatisme. Il est conseillé d’en parler avec une personne de confiance.Vous êtes mineur ? Des télé-conseillers sont gratuitement à  votre écoute au 0800 200 000 de 9h à  19h en semaine.  Voir le site Net écoute
6. Informez vos amis de l’escroquerie
   Veillez à informer discrètement les personnes susceptibles d’être sollicitées par le cyber-escroc en mentionnant sobrement que vous êtes victime d’une escroquerie en ligne et qu’il ne faut ni ouvrir, ni partager, ni répondre à une éventuelle sollicitation provenant d’un inconnu.
7. Effectuez régulièrement des recherches à  votre nom
   Vous pouvez par exemple programmer une alerte à votre nom qui vous enverra un message sur votre webmail dès qu’un contenu associé à votre nom est mis en ligne. Certains services existent ici ou là.Si la vidéo a été diffusée …
8. Demandez systématiquement au site de dépublier le contenu gênant
   Exemple : si la vidéo a été mise en ligne sur Youtube : demandez à  Youtube de supprimer cette vidéo. Si le site ne répond pas à  votre demande sous deux mois, adressez vous à  la CNIL en suivant la procédure de notre formulaire de plainte en ligne.
9. En parallèle, demandez au moteur de recherche de déréférencer le contenu en cause
   Depuis un récent arrêt de la cour de justice européenne, les internautes peuvent saisir les moteurs de recherche d’une demande de déréférencement d’un contenu associé à  leurs nom et prénom.

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Réagissez à cet article

Astuce : Un logiciel anti-espions gratuit pour Windows

Dans cet article, je vous présente Ghostpress, un logiciel anti-keylogger portable totalement gratuit qui est en mesure de protéger votre ordinateur des logiciels espions.

Mais qu’est-ce qu’un keylogger ?

En informatique, un keylogger (enregistreur de frappe) est un logiciel espion qui espionne l’utilisateur d’un ordinateur. Le but d’un tel outil est de s’introduire entre la frappe au clavier et l’apparition du caractère à l’écran. Cela permet à un pirate informatique de récupérer toutes les informations que vous avez tapez avec votre clavier comme un login et un mot de passe, une adresse, des informations bancaires etc. [Source]

Ghostpress

Ghostpress est un outil très simple d’utilisation et peu gourmand en ressource système. Il vous suffit simplement de le télécharger, puis de le lancer pour que tous les modules de sécurité soient activés. Ainsi, chaque actions que vous exécuterez sur l’ordinateur seront cachés des regards indiscrets.

Vous pouvez également désactiver temporairement le programme en cliquant sur le gros bouton vert et exécuter le programme automatiquement au démarrage de Windows en cochant une petite case dans les paramètres de l’outil.

10 bonnes pratiques pour des soldes sur Internet en sécurité

– Faites attention aux sites Internet que vous ne connaissez pas. Au moindre doute, n’effectuez pas vos achats, car il peut s’agir d’un faux site Internet qui tente de récupérer les informations de votre carte bancaire.

– Préparez-vous aux attaques par phishing. Elles se diffusent massivement par e-mail lors des soldes, car c’est à cette période que les internautes passent le plus de temps sur les sites Internet de vente en ligne. ESET a réalisé une courte vidéo pour vous expliquer comment éviter le phishing par e-mail.

– Utilisez des méthodes de paiement sécurisé. Vérifiez que l’URL mentionne HTTPS. Effectuez toujours vos paiements sur des sites Internet chiffrés.

– Attention aux annonces sur Facebook. Les plateformes des réseaux sociaux abondent de fausses annonces et sites Internet proposant des offres intéressantes. Évitez également de partager les détails de votre carte bancaire par message : vous ne pouvez pas vérifier l’identité des personnes qui ont accès au compte et qui recevront ces informations.

– Effectuez toujours vos achats sur des appareils sécurisés et évitez de vous connecter à un Wi-Fi public. Ce genre d’arnaque, appelé Man-in-the-Middle (MiTM) est très répandu. En 10 minutes, le pirate peut voler toutes les informations vous concernant.

– Utilisez des mots de passe forts ou un gestionnaire de mots de passe. Plusieurs études ont montré que les utilisateurs ayant plus de 20 comptes en ligne et étant actifs sur Internet sont plus susceptibles de réutiliser les mêmes mots de passe pour plusieurs accès. Selon le rapport de recherche et de stratégie Javelin, cette méthode augmente de 37% le risque de voir ses comptes compromis. Aussi, les experts ESET recommandent d’utiliser des mots de passe forts mélangeant des minuscules et des majuscules à des symboles et chiffres. Les gestionnaires de mots de passe peuvent être utilisés pour ne pas avoir à les apprendre par cœur. Retrouvez les erreurs les plus courantes lors de l’utilisation d’un mot de passe en cliquant ici.

– Soyez prudent avec votre smartphone. Le nombre de cybermenaces sur cette plateforme a considérablement augmenté. Pour commencer, faites vos achats uniquement via des applications certifiées et supprimez les applications dont vous ne vous servez pas. Pensez à désactiver le Wi-Fi lorsque vous faites votre shopping dans un lieu public, privilégiez les données cellulaires, ceci permettra d’empêcher les cybercriminels de vous diriger vers un faux Wi-Fi afin de voler vos informations bancaires.

– Utilisez une e-carte bleue. Non seulement elle est déconnectée de vos comptes bancaires et est également assurée contre les fraudes.

– Respectez les règles de sécurité de base. Cela peut paraître évident, mais avant de faire vos achats, assurez-vous d’être correctement protégé : installez une solution de sécurité efficace et mise à jour. Optez pour une solution qui offre une navigation sécurisée pour les transactions bancaires. Enfin, ajoutez des mots de passe à votre écran de verrouillage ou un code PIN à votre smartphone.

– Évitez de réaliser vos achats sur différents appareils (1 à 2 maximum). Plus vous entrerez les informations de votre carte de crédit sur des appareils différents (PC, tablette, smartphone…), plus vous multipliez le risque d’être victime d’une fraude.

Victime d’un piratage informatique, quelles sont les bonnes pratiques ?

Les 3 axes vers lesquels votre structure devra progresser seront  :

• Technique, par une amélioration des mesures de sécurité  en place ;
• Juridique, par une présentation, auprès des principaux acteurs de votre structure pour une meilleure acceptation, des principales mesures de mise en conformité avec les règles françaises et européennes relatives à la protection des données personnelles ;
• Humain, par une meilleure prise de conscience des dangers numériques, pour une évolution des comportements vers une utilisation plus responsable des outils numériques.

Face à vos besoins d’accompagnement, nos formateurs ont élaboré un parcours destinés aux équipes de direction de votre structure, à l’équipe informatique et aux utilisateurs susceptibles d’être piégés.

En vous accompagnant sur ces 3 axes et auprès de ces 3 profils, vous pourrez alors comprendre comment les pirates informatiques vous ont piégé, découvrir s’ils pourront encore vous piéger et surtout, le plus important, quelles changements mettre en place pour limiter les risques à l’avenir.

63% des Français redoutent de donner des informations personnelles sur Internet

En fonction de leur identité culturelle, les internautes n’abordent pas la saisie des données personnelles sur la toile de la même manière. Selon un sondage Opinionway, réalisé en octobre 2015, les Français se montrent bien plus frileux que leurs homologues anglo-saxons: 63% d’entre eux avouent leur méfiance quand il s’agit de donner des informations personnelles sur le web contre 35 et 34% chez les Britanniques et les Américains. 14% des Français refusent de communiquer leurs informations personnelles, un chiffre qui tombe à 4 et 5% en Grande-Bretagne et aux États-Unis.

Quel que soit le pays, la donnée la plus sensible est le numéro de carte bancaire. Là encore, ce sont les Français qui arrivent en tête. 72% d’entre eux avouent leur crainte quand il s’agit de stocker cette information sur un site, contre 48% des Anglais et 41% des Américains.

Les critères qui rassurent ne sont pas les mêmes d’un pays à l’autre, selon l’enquête. Les Français se sentent en priorité protégés par le petit cadenas à côté de l’adresse qui indique une connexion sécurisée (68%), puis par l’assurance que les données ne seront pas transmises (36%). Les Britanniques et les Américains se fient, eux, à la marque ou au site Internet (53% et 47%).

En revanche, le mot de passe fait consensus. Il rime avec sécurité dans le cas de transactions pour 1/3 des Français, des Britanniques et des Américains.

Globalement, les internautes se posent beaucoup de questions quand il s’agit de payer en ligne. La vigilance reste de mise à l’égard de certains sites, de peur d’être piratés. 65% des Français évitent alors d’y utiliser leur carte. 66% des Britanniques et 70% des Américains s’abstiennent également.

Interrogés sur les systèmes sensés améliorer leur confiance, les participants se disent prêts à utiliser leur carte bancaire plus souvent, si l’utilisation une carte temporaire infalsifiable rend le piratage impossible. À cette condition, 70% des Français, 76% des Britanniques et 77% des Américains passeraient à l’acte. Autre critère jugé rassurant: une étape d’authentification supplémentaire (63% en France, 54% en Grande-Bretagne et 50% aux États-Unis).

Méthodologie : pour réaliser cette enquête, un échantillon représentatif a été constitué en fonction des critères de sexe, d’âge, de catégorie socioprofessionnelle en France, de catégorie sociale Esomar au Royaume-Uni et de revenus aux Etats-Unis. 1014 Français, 1004 Britanniques et 1009 Américains ont été soumis à un questionnaire en ligne sur système CAWI (Computer Assisted Web interview).

Attention ! Voici ce que les cyberdélinquants vous réservent

Dans le souci de vous faire de vous-même votre première protection contre ces cyberdélinquants, la Plateforme de lutte contre la cybercriminalité de Côte d’Ivoire (PLCC-CI) vous donne quelques types d’arnaque que ces derniers utilisent pour nous spolier.

Voici dans les grandes lignes, quelques-unes des arnaques auxquelles la PLCC fait face et que vous devez apprendre à identifier.

CHANTAGE A LA VIDEO

Cette escroquerie consiste pour le cybercriminel à :

• Faire connaissance avec sa victime sur les réseaux sociaux, site de rencontre, forum, etc.

• Établir une relation de confiance au fil des discussions

• Proposer à la victime de passer sur un service permettant la visiophonie par webcam

• Favoriser une conversation vidéo plus intime puis profiter pour capturer le flux vidéo des images susceptibles de porter atteinte à la vie privée de la victime

• Demander de fortes sommes d’argent à la victime en menaçant de diffuser ces vidéos sur internet

ARNAQUE AUX FAUX SENTIMENTS

Une arnaque classique. Elle consiste pour le cyber délinquant d’établir une relation de confiance avec sa proie pour mieux l’attendrir puis l’arnaquer ensuite.

ACHAT /VENTE :

En réponse à une offre de vente en ligne sur internet, un prétendu acheteur résidant ou en déplacement en Côte d’Ivoire demande les coordonnées bancaires ou autres du vendeur pour un virement ou l’expédition dudit marchandise avec fausse promesse de règlement des réceptions.

L’escroc passe des commandes de matériels à des exportateurs ou des entreprises en France au nom d’entreprises fictives et propose de payer soit par des cartes de crédit, soit par virement.

SPOLIATION DE COMPTE MAIL OU DE RESEAUX SOCIAUX :

Cette pratique consiste pour le cyber délinquant de prendre possession de votre compte mail ou autre dans le but de perpétrer une usurpation d’identité en envoyant des emails à vos correspondants, en leurs apprenant que soit vous a eu un accident soit vous êtes fait agressé et que vous avez besoin d’argent.

USURPATION D’IDENTITE :

Elle consiste pour le cyber délinquant de se faire passer pour vous. En pratique, c’est le fait pour l’usurpateur d’utiliser soit votre photo, votre carte d’identité ou toute autre chose vous appartenant et qui vous représente.

DETOURNEMENT DE TRANSFERT :

La pratique consiste pour l’escroc de faire le retrait de l’argent qui vous était destiné à votre insu. Pour ce faire, il collecte des informations sur les codes de transfert et aidé par d’autres personnes, il fait le retrait avec de fausse pièce.

FRAUDE SUR SIMBOX :

C’est une technique frauduleuse qui consiste à transiter les appels internationaux en appel et ce au préjudice de l’opérateur de téléphonie et du gouvernement.

FRAUDE SUR COMPTE / BANCAIRE :

C’est l’utilisation frauduleuse de numéro de carte ou compte pour réaliser des paiements sur internet.

FRAUDE INFORMATIQUE :

C’est le fait d’accéder ou de se maintenir frauduleusement dans un système dans tout ou partie d’un système de traitement pour l’entraver, soit pour le supprimer ou, modifier ou le copier.

« Vous avez été en contact avec une personne testée positive au Covid-19 » : Attention aux arnaques sur les smartphones 

A l’approche de la levée du confinement, profitant de l’inquiétude qui règne au sein de la population, les pirates informatiques agissent, multipliant fraudes et arnaques sur le web, notamment à travers la pratique de l’hameçonnage (ou « phishing » en anglais), particulièrement lucrative. Pour rappel, cette technique consiste à « piéger » une personne en le poussant à cliquer sur un lien dans le but d’installer un logiciel malveillant sur son appareil ou de collecter ses informations personnelles. …[lire la suite]