Notre champion après sa course pour l'association Imagine for Margo

Bonjour à tous,

Un petit retour par rapport à notre post sur la Course enfants sans Cancer City.

Notre collaborateur Clément est revenu sain et sauf et surtout remonté à bloc après sa course de 5km pour l'association Imagine for Margo !

Bon il se déplace dorénavant en crabe, mais c'est un style ;-)

Ce qui est important c'est que l'association ait pu récolter la somme de 220 090€ avec 952 collecteurs !

Cet argent servira à faire avancer la recherche pour mieux comprendre et mieux soigner les cancers pédiatriques.

Alors n'hésitez pas si vous voulez aider ou participer à cette jolie action, vous pouvez encore donner en suivant ce lien :

https://lnkd.in/gpQZaJ4

Et pour finir, la photo de notre champion.

 

Sécurité informatique : données personnelles, on a largement dépassé l'accident nucléaire

Un super article qui recadre bien le risque que tout le monde court avec les données stockées / traitées, et en dépit des systèmes de sécurité que l'on peut mettre en place, ou du niveau affiché d'expertise en sécurité.

Lien vers l'article

Voici de quoi sensibiliser les enfants aux "dangers d’Internet" !

« Deviens un super-héros du Net » : l’édition spéciale des Incollables®, conçue par l’Association e-Enfance/3018 et Cybermalveillance.gouv.fr est disponible

Publié le 22 oct. 2021

sensibilisation cybersécurité Sensibilisation des jeunes sensibiliser les jeunes aux dangers d'internet

 L’âge moyen auquel un enfant est équipé de son premier appareil numérique est de 10 ans*. Ils n’ont naturellement pas conscience des risques encourus et leurs parents méconnaissent souvent les usages numériques de leurs enfants.

Pour les aider à sensibiliser leurs enfants aux dangers d’Internetl’Association e-Enfance/3018 et le dispositif national d’assistance Cybermalveillance.gouv.fr, dont elle est membre fondateur, proposent une édition spéciale des Incollables® : « Deviens un super-héros du Net ».

Destiné aux élèves de primaire et leurs parents, le célèbre éventail regroupe 84 questions avec différents niveaux de difficulté (facile, moyen, expert) pour tester ses connaissances sur les usages numériques, la sécurité en ligne, les dangers potentiels et les bons réflexes à adopter.

Le jeu éducatif aborde ainsi différents thèmes pour développer des usages citoyens permettant aux jeunes d’évoluer dans une société connectée et responsable :

Créée avec le soutien de Google.org, cette nouvelle édition est également disponible en version interactive.

Quiz en ligne Les Incollables

Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr : « Nous sommes très heureux d’avoir travaillé avec l’Association e-Enfance sur cette édition spéciale des Incollables. C’est un bon moyen de sensibiliser les enfants, mais aussi leurs parents sur les usages numériques et montrer que l’on peut développer une culture cyber tout en s’amusant. »

Justine Atlan, Directrice générale de l’Association e-Enfance et du 3018 : « Cette édition spéciale des Incollables sur les pratiques responsables du numérique, est une nouvelle illustration de notre partenariat historique avec Cybermalveillance.gouv.fr. A la croisée des chemins entre le salarié et le parent, notre mission commune est d’éduquer l’internaute aux usages numériques sécurisés. A travers ce jeu éducatif, les enfants participent pleinement à véhiculer auprès de leurs parents les bons réflexes à adopter en ligne. »

Les Incollables® « Deviens un super-héros du Net ! » est disponible sur demande en remplissant le formulaire dédié sur le site e-enfance.org (en fonction des stocks disponibles).

*source Etude Audirep sur le cyber-harcèlement des jeunes pour l’Association e-Enfance (avec le soutien de Caisse d’Epargne)

Lien vers l'article

Découvrez l’analyse et les conseils de Jean-Jacques Latour, responsable de l’expertise en cybersécurité de la plate-forme gouvernementale

Découvrez l’analyse et les conseils de Jean-Jacques Latour, responsable de l’expertise en cybersécurité de la plate-forme gouvernementale Cybermalveillance.gouv.fr

Selon un sondage Opinionway réalisé en janvier 2021, « 91 % des organisations françaises ont été la cible d'au moins une cyberattaque au cours des douze derniers mois et 65 % d’entre elles ont même été ciblées à plusieurs reprises. » Le contexte sanitaire a considérablement amplifié les faits de cybercriminalité. Ils concernent aussi bien les particuliers que les entreprises, de toutes tailles et tous secteurs. Jean-Jacques Latour, responsable de l’expertise en cybersécurité Cybermalveillance.gouv.fr* présente la plate-forme gouvernementale et vous donne ses conseils pour protéger votre entreprise.

Pourquoi et comment est née cybermalveillance.gouv.fr ?

Nous avons constaté une augmentation très forte d’actes de cyber malveillance auprès de publics peu adressés par l’Etat ou l’ANSII : particuliers, PME, PME, ETI et collectivités locales. L’Etat se devait d’apporter une réponse structurée à ces publics. C’est de cette volonté qu’est née, en 2017, la plate-forme en ligne cybermalveillance.gouv.fr, avec un objectif : leur apporter un premier niveau de réponse et les orienter vers les services les plus adaptés en fonction de leur problématique cyber.

Le dispositif repose sur un partenariat public/privé. Plusieurs administrations sont impliquées telles que le ministère de l’Intérieur, le ministère de la Justice, le ministère des Armés, le secrétaire d’Etat au numérique, les CCI… mais également des structures privées concernées par les questions de cybersécurité de près ou de loin : opérateurs télécoms, éditeurs anti-virus, associations de consommateurs, organisations professionnelles… Ces différents acteurs renforcent les actions de notre plate-forme grâce à leurs ressources et nous permettent de porter des messages au plus près des publics que nous cherchons à adresser.

Quelles sont les grandes tendances des menaces cyber observées depuis le début de la crise sanitaire ?

Nous avons pu observer deux phénomènes concomitants avec la crise. Le premier est l’explosion des usages numériques liée à la démocratisation du télétravail chez les particuliers et le développement des entreprises en ligne. Le deuxième phénomène est l’explosion de la cybercriminalité. Les cybercriminels, étant opportunistes et organisés, ont profité de la crise sanitaire et des changements d’usages et de processus des utilisateurs pour multiplier leurs actes malveillants à l’encontre des particuliers et des entreprises. Durant le premier confinement, nous avons constaté un pic de près de 600% des attaques par hameçonnage ou phishing en anglais (récupération de données personnelles). La plupart de ces attaques étaient liées au contexte de crise : elles prenaient la forme de faux messages portant sur les aides de l’Etat, les remboursements d’impôts, ou encore sur des colis en attente de livraison, et renvoyaient vers des sites en apparence officiels pour inciter les utilisateurs à communiquer leurs données.

Le nombre d’incidents n’a pas baissé en 2021. En 2019, la menace rançongiciel constituait la 4ème menace cyber (sur une cinquantaine recensée). Depuis 2020, elle occupe la première place.

Durant le premier confinement, nous avons constaté un pic de près de 600% des attaques par hameçonnage ou phishing en anglais (récupération de données personnelles)

Qu'avez-vous observé en termes de sophistication des cyberattaques ? Quelles structures visent-elles ?

L’écosystème cybercriminel est très structuré et performant. Nous ne sommes plus confrontés à l’archétype de l’adolescent dans sa chambre obscure devant son écran. Les cybercriminels utilisent des techniques et des méthodes très sophistiquées et leurs rôles sont répartis par spécialisation : formation, marketing, négociation de rançon… et par type d’actions. Les profils se réunissent et collaborent virtuellement par groupe d’affinités et de compétences. Le marché de la cybercriminalité évolue rapidement et il y a une concurrence forte entre les cybercriminels. La dimension marketing est donc -entre autres- essentielle pour eux, car elle permet de remporter des « appels d’offres », des « parts de marché » ou de se faire remarquer et recruter par un groupe de cybercriminel plus grand.

Leurs modes opératoires s’apparentent à ceux d’un cartel : si l’un des membres du groupe est arrêté, cela n’empêche pas les autres de continuer leurs actions malveillantes. Leurs processus sont industrialisés : ils cherchent des entreprises vulnérables et vont ensuite vendre leurs accès ou les données récoltées à des réseaux d’organisations ou à d’autres groupes de cybercriminels. On constate la mise en place d’une hiérarchie au sein de chaque organisation : les cybercriminels commencent leur carrière en s’en prenant aux petites entreprises vulnérables. Puis, lorsqu’ils ont fait leurs armes, ils peuvent gravir les échelons et viser de plus grandes organisations. Malgré les moyens dont peuvent disposer certaines grandes organisations (DSI, pole cybersécurité etc…), les attaques ne sont pas impossibles.

 

cybersecurite

Quelles sont les menaces cyber les plus courantes aujourd’hui ?

La majorité des menaces observées concernent l’hameçonnage qui revêt différentes formes. Plus qu’une attaque, il est un vecteur d’attaques. Par exemple : un cybercriminel vous envoie un mail d'hameçonnage ciblé et récupère vos données personnelles ; cette action va lui permettre de réaliser d’autres actes malveillants et de plus grande ampleur. En effet, le piratage d’un compte (hameçonnage), le plus souvent celui d’une entreprise, est une porte d’entrée pour d’autres cyberattaques : piratage de données, attaques aux faux ordres de virements / au chef d’entreprise : le pirate se fait passer pour le chef d’entreprise et fait une demande de virement bancaire exceptionnel au responsable financier ou au service comptabilité. L’arnaque au changement de RIB est également répandue : le cybercriminel se fait passer pour un fournisseur et effectue un changement des coordonnées bancaires à son profit. Il y a également des tentatives de piratages sur les sites marchands qui consistent à intercepter les données des cartes bancaires des clients avant leur paiement en ligne. Le temps que l’entreprise s’en rende compte, les cybercriminels peuvent pirater de nombreux clients pendant plusieurs mois et extorquer des sommes conséquentes (voir même substantielles) aux entreprises.

Quels sont les bons réflexes à adopter par l’entreprise pour de se prémunir de ces risques ?

Les entreprises doivent avant tout prendre conscience de ces risques. Ils sont réels et arrivent tous les jours. Plus de 10 000 entreprises ont été victimes d’une ou de plusieurs cyberattaque(s) et sont venues chercher de l’assistance sur notre plateforme cybermalveillance.gouv.fr. Ensuite, elles doivent prendre en compte ces risques et faire l’inventaire de leurs systèmes d’information numérique : boites mails, site internet… Puis se demander pour chaque système : Quelle attaque serais-je susceptible de subir ? Quels seraient les risques encourus ? Quel degré de gravité auraient-ils pour mon entreprise ? Un état des lieux de chaque système permet de se poser les bonnes questions et de prioriser les actions à mettre en œuvre. Certaines sont faciles à mettre en place : par exemple, l’utilisation de mots de passe différents et solides sur chaque système qui peut permettre d’éviter un phishing (qui cible uniquement les boites mails) et ainsi, de limiter les risques ; mettre à jour chaque système, réaliser des sauvegardes déconnectées du réseau, sécuriser les accès à distance et les limiter au strict nécessaire… Il faut souligner le fait que les cyberattaquants sont feignants : ils vont au plus simple, avec le moins d’efforts possibles et le plus de gain. D’où l’importance pour une TPE ou PME de mettre en place des bonnes pratiques et d’avoir une bonne hygiène numérique pour les dissuader de choisir leur entreprise comme cible. Si certaines actions sont hors de portée pour certaines entreprises, je leur conseille de se faire accompagner par des organismes habilités pour connaître leur état de vulnérabilité et corriger leurs failles. Elles peuvent aussi faire appel à des prestataires labellisés ExpertCyber qui ont les compétences techniques requises ; un label de premier niveau qui permet de trouver des prestataires à leur échelle et à leurs besoins, d’établir et de choisir des plans d’actions et de les mettre en place. Certes, il s’agit d’un investissement, mais qui peut leur rapporter gros.

 

cybersecurite

La transformation numérique des entreprises n’accroit-elle pas les risques ?

Oui, mais la transformation numérique des entreprises est un vecteur de croissance primordial. Les entreprises doivent se transformer mais convenablement : en prenant en compte les risques cyber et en mettant en place des bonnes pratiques. La cybersécurité est une condition essentielle à la transformation numérique réussie de chaque entreprise.

 

Lien vers l'article

Voici à quoi les autorités ont accès sur les messageries mobiles.

iMessage, WhatsApp, Telegram, Signal... Un document révèle les  données que le FBI peut siphonner

 

iMessage, WhatsApp, Telegram, Signal... Un document révèle les  données que le FBI peut siphonner

 

 

Sans surprise, Signal est la messagerie où les forces de l’ordre peuvent récupérer le moins d’informations. Les sauvegardes iCloud constituent une porte d’entrée majeure pour iMessage et WhatsApp.

On le sait, les messageries chiffrées de bout en bout représentent un grand obstacle pour les enquêteurs des forces de l’ordre. Pour autant, il n’est pas infranchissable. Ils peuvent accéder par voie légale à plus ou moins d’informations. Cela dépend de l’application et du terminal utilisé, ainsi que de la configuration choisie.

C’est en effet ce que l’on voit dans un document officiel du FBI datant de janvier 2021, obtenu par l’association américaine « Property of People » par le biais de la loi Freedom of Information Act.

 

Ce document de travail synthétise les possibilités d’accès légal aux données de neuf messageries instantanées : iMessage, Line, Signal, Telegram, Threema, Viber, WeChat, WhatsApp et Wickr. Pour chaque logiciel, différentes méthodes judiciaires sont explorées, comme l’injonction (« subpoena »), le mandat de recherche ou de perquisition (« search warrant »), la collecte active des métadonnées de communications (« Pen Register ») ou la loi sur la rétention des données de connexion (« 18 USC§2703 »).  Voici, en substance, les informations que le FBI dit pouvoir récupérer :

 

  • Apple iMessage : les données de base de l’abonné ; dans le cas d’un utilisateur d’iPhone, les enquêteurs peuvent éventuellement mettre la main sur le contenu des messages si l’utilisateur utilise iCloud pour synchroniser ses messages iMessage ou pour sauvegarder les données de son téléphone.
     
  • Line : les données relatives au compte (image, nom d’utilisateur, adresse e-mail, numéro de téléphone, identifiant Line, date de création, données d’usage…) ; si l’utilisateur n’a pas activé le chiffrement de bout en bout, les enquêteurs peuvent récupérer les textes des échanges sur une période de sept jours, mais pas les autres données (audio, vidéo, images, localisation).
     
  • Signal : la date et l’heure de création du compte et la date de dernière connexion.
     
  • Telegram : l’adresse IP et le numéro de téléphone dans le cadre d’enquêtes sur des terroristes confirmés, sinon rien.
     
  • Threema  : l’empreinte cryptographique du numéro de téléphone et de l’adresse e-mail, les tokens du service push si celui-ci est utilisé, la clé publique, la date de création de compte, la date de dernière connexion.
     
  • Viber : les données relatives au compte et l’adresse IP utilisée lors de sa création ; les enquêteurs peuvent également mettre la main sur l’historique des messages (date, heure, source, destination).
     
  • WeChat  : les données de base comme le nom, le numéro de téléphone, l’e-mail et l’adresse IP, mais seulement pour les utilisateurs non chinois.
     
  • WhatsApp : les données de base de la personne ciblée, son carnet d’adresses et les contacts qui ont la personne ciblée dans leur carnet d’adresse ; il est possible de collecter en temps réel les métadonnées des messages (« Pen Register ») ; le contenu des messages peut être récupéré par l’intermédiaire des sauvegardes iCloud.
     
  •  Wickr : Date et heure de création du compte, les types de terminaux sur lesquels l’application est installée, la date de dernière connexion, le nombre de messages échangés, les identifiants externes associés au compte (adresses e-mail, numéros de téléphone), l’image d’avatar, des données liées à l’ajout ou la suppression.
     

On constate que Signal est la messagerie qui apporte le moins d’informations aux enquêteurs. Les seules choses qu’ils peuvent savoir sont les dates d’enregistrement et de dernière connexion d’un utilisateur. Avec iMessage et WhatsApp, en revanche, c’est potentiellement le jackpot. Si la personne ciblée utilise un iPhone et que les données de ces messageries sont sauvegardées sur iCloud, les policiers peuvent accéder au contenu des messages. En effet, les sauvegardes iCloud ne sont pas chiffrées de bout en bout. Apple peut donc fournir une clé de déchiffrement aux policiers.

Dans le cas de WhatsApp, la donne va changer, car Meta est en train de déployer le chiffrement de bout en bout pour les sauvegardes des messages.

Lien vers l'article

Allons-nous avoir bientôt besoin d'une hydre schizophrène pour la gestion de nos données ?

Union Européenne : Qui veut la peau du RGPD ?

 jeudi 02 décembre 2021

L’AFCDP* est attentive au développement du « paquet » de nouvelles réglementations en cours de discussion, qui soulèvent des inquiétudes sur les impacts qu’elles pourraient avoir sur la bonne application du RGPD, et sur la protection des données personnelles des citoyens européens. A la lecture de ces textes, nous pourrions poser la question “qui veut la peau du RGPD ?” : va-t-il être dénaturé par ces nouvelles législations en cours de préparation ?

Dans le cadre de la stratégie de l’Union européenne en matière de données, plusieurs textes réglementaires sont actuellement en cours de discussion entre les colégislateurs européens : Commission, Parlement et Conseil. Ces projets de règlements portent sur les services numériques (DSA), les marchés numériques (DMA), la gouvernance des données (DGA), l’approche européenne de l'intelligence artificielle (AIR), et sur les échanges de données (DA).

Si ces projets ont pour but de faciliter l’utilisation et le partage des données par les acteurs privés et publics, y compris en soutenant l’utilisation de l’Intelligence artificielle, et en réglementant les plateformes en ligne, ils ont aussi un impact évident sur la protection des données personnelles et sur la protection des droits fondamentaux à la vie privée.

Des alertes de la part des instances de supervision

Dans ce contexte, le Comité européen de la protection des données (CEPD/EDPB), qui regroupe les 27 « CNIL » européennes, et le Contrôleur européen de la protection des données (CEPD/EDPS), qui joue le rôle de DPO des institutions européennes, ont déjà émis des avis conjoints ou individuels sur ces textes (DGA1, AIR2, DA3, DMA4 et DSA5).

Les deux autorités ont conjointement publié le 18 novembre 2021 une nouvelle « Déclaration sur le paquet “ services numériques ” et la “ stratégie de la donnée ” »6.

Ils y attirent l’attention sur le manque de protection des droits et libertés fondamentaux des individus, une fragmentation de la supervision, et des risques d'incohérences, estimant qu’en l’état, les projets auraient un impact négatif sur les droits et libertés fondamentaux des individus et conduiraient à une incertitude juridique importante conduisant à saper le cadre juridique existant et futur.

Une dégradation de la protection des droits et libertés fondamentaux

Le CEPD/EDPB estime que certains choix sont susceptibles d’avoir un impact négatif et durable sur les droits et libertés fondamentaux des citoyens européens. Ainsi, la proposition de règlement sur l’intelligence artificielle (AIR) rendrait possible l'utilisation de systèmes d'IA catégorisant les individus à partir de données biométriques (telles que la reconnaissance faciale), ou en fonction de l'ethnicité, du sexe, de l'orientation politique ou sexuelle, voire d'autres motifs de discrimination qui sont actuellement interdits, en particulier par le RGPD. Le CEPD/EDPB souhaite également voir interdits les usages de l'IA pour déduire les émotions d'une personne.

Le Comité alerte aussi sur l'usage de la reconnaissance automatisée des caractéristiques humaines dans l'espace public comme le visage, mais aussi la démarche, la voix, l'ADN, la frappe au clavier, et toutes autres caractéristiques biométriques ou comportementales. Il craint également une régulation insuffisante de la publicité ciblée, et demande l'interdiction de la publicité basée sur le suivi permanent, et celle du profilage des enfants.

Une désorganisation de la supervision, et des incohérences
Observant que tous ces projets prévoient la création de nouvelles autorités de contrôle (et de nouveaux organes de coordination) alors même que les données personnelles sont au cœur des activités réglementées par leurs propositions, le CEPD/EDPB s'inquiète de cette profusion, au détriment des autorités de contrôle de la protection des données existantes, qui sont pourtant prévues par le Traité sur le fonctionnement de l'UE, par la Charte des droits fondamentaux de l'UE et par le RGPD. D'autant plus que cette multiplication de nouveaux organes de contrôle ne s'accompagne pas de modalités de coopération avec les autorités de contrôle de la protection des données et avec le CEPD/EDPB.

Afin d'assurer la complémentarité de la surveillance et de renforcer la sécurité juridique, le CEPD/EDPB recommande vivement que chacune des propositions mentionne clairement les autorités de contrôle de la protection des données parmi les autorités compétentes avec lesquelles la coopération doit avoir lieu. En outre, chaque proposition devrait prévoir une base juridique explicite pour l'échange d'informations nécessaires à une coopération efficace et identifier les circonstances dans lesquelles la coopération devrait avoir lieu.

Ces projets devraient aussi permettre aux autorités de contrôle respectives de partager les informations obtenues dans le cadre d'audits et d'enquêtes portant sur un traitement des données à caractère personnel, avec les autorités de contrôle de la protection des données, soit sur demande, soit de leur propre initiative. Le CEPD/EDPB tient à souligner la nécessité de veiller à ce que les autorités de contrôle de la protection des données disposent de ressources suffisantes pour accomplir ces tâches supplémentaires.

Le CEPD/EDPB observe également que les projets concernent tous des activités qui impliquent des traitements de données à caractère personnel qui sont donc déjà encadrés par le RGPD, et que ces nouvelles dispositions ne peuvent que créer une ambigüité sur la cadre applicable. Le Comité demande donc un renforcement de la cohérence avec les textes existants, et en particulier, l'harmonisation de la terminologie et des concepts utilisés, avec ceux qui prévalent dans le RGPD et dans la directive « Vie privée et communications électroniques ».

Les professionnels de la protection des données souhaitent une meilleure lisibilité des textes
L'AFCDP s'inquiète de la même façon, de la possible multiplication des réglementations concernant les données personnelles, qui en rendraient le pilotage complexe au sein des organisations, de même que la multiplication des autorités de contrôles qui pourraient s'ajouter à la CNIL, au nombre de leurs interlocuteurs.

Elle s'inquiète également des incohérences entre les nouveaux textes (DSA, DMA, DGA, DA, AIR) et le RGPD, qui risquent de compliquer encore la mise en œuvre d'un cadre juridique déjà complexe.

Lien vers l'article

Page 2 sur 16

We use cookies

Nous utilisons des cookies sur notre site web. Certains d’entre eux sont essentiels au fonctionnement du site et d’autres nous aident à améliorer ce site et l’expérience utilisateur (cookies traceurs). Vous pouvez décider vous-même si vous autorisez ou non ces cookies. Merci de noter que, si vous les rejetez, vous risquez de ne pas pouvoir utiliser l’ensemble des fonctionnalités du site.

Ok Je refuse