Site sécurité- Crédit Agricole

Information Sécurité

Les risques sur internet

Protéger mes données bancaires

Nos engagements

L'actu sécurité informatique by Crédit Agricole Pyrénées Gascogne

Édition #2 (Mars 2018)

Édito


La sécurité faisant partie des préoccupations premières d’une banque comme le Crédit Agricole Pyrénées Gascogne, sa dimension informatique (cyber) est devenue un enjeu majeur aujourd'hui.

Il nous semble important de partager notre connaissance dans ce domaine avec l'ensemble de nos clients. Hameçonnage, cryptage de données, demande de rançon, ingénierie sociale... ces cas sont nombreux et arrivent régulièrement.

La CyberSécurité est une problématique majeure pour notre Caisse Régionale, c'est en effet le thème retenu par 7 Caisses Locales comme sujet principal de leurs Assemblées Générales en 2018. Nous participons également à de nombreux événements de sensibilisation comme les Rencontres de la CyberSécurité le 21 mars 2018 au Palais Beaumont de Pau, dont nous sommes partenaires et organisons le 11 avril prochain le deuxième Café de la CyberSécurité, à Cologne (32).

Aussi, au travers de cette newsletter, nous vous proposons de retrouver un ensemble d'articles traitant de cas concrets rencontrés par des entreprises mais aussi des clients du territoire, de bonnes pratiques en matière de sécurité et un article thématique sur un sujet d'actualité.

Bonne lecture,


Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sécuriser son poste de travail"


La protection du poste de travail est essentielle. En effet un ordinateur mal protégé peut mettre en péril non seulement les informations stockées sur le poste lui-même, mais aussi l’ensemble des systèmes auquel il se connecte.

Une fois qu'un accès non autorisé est utilisé, l'appareil peut devenir la porte d'entrée vers des systèmes plus sensibles dès lors qu'un logiciel espion a pu être installé à l'insu de l'opérateur..

Votre comportement face à ce risque est essentiel, il faut prendre conscience des règles élémentaires afin de renforcer la sécurité de cet outil de travail :

  • Sauvegarde systématique et quotidienne des données
  • Mise à jour régulière de vos logiciels
  • Chiffrement des supports de stockage
  • Mots de passe robustes et personnels
  • Utilisation prudente d’Internet (téléchargements,utilisation de services en ligne)

Que faire ?

Ne jamais laisser un ordinateur allumé avec une session utilisateur ouverte, laissé sans surveillance, même peu de temps (pause-café, etc.). Ceci permet à un intrus d’usurper facilement votre identité sans votre mot de passe principal et même de voler les autres mots de passe présents sur votre poste de travail.

Astuce : La simple combinaison de touches : CTRL - Alt - Suppr puis Entrée permet de verrouiller instantanément votre session de travail et protège votre poste des intrusions.

Sécuriser son poste : Les Bonnes Pratiques

Indicateurs sécurité


  • 2.25 millions d'€ c’est le coût des cyberattaques subies par les entreprises françaises en 2017.
  • 6 milliards d’individus victimes de cyberattaques d’ici 2022.
  • 54% des utilisateurs s’estiment prêts à débourser plus de 100$ pour récupérer leurs fichiers en cas de ransomware.
  • 12 millions d’identifiants subtilisés grâce au phishing en 2017.

Évènements


  • 21 mars / Pau / Les Rencontres de la Cybersécurité
  • 3 avril / Le Mans / 6ème Congrès de la Sécurité des SI de Santé
  • 11 avril / Cologne / 2ème Café de la CyberSécurité
  • 23 avril / Lyon / The Web Conference

C'est arrivé ailleurs
"Le Scandale Ashley Madison"


Le site de rencontres extraconjugales américain Ashley Madison a connu durant l'été 2015 le plus gros revers de son histoire.

La société avait en effet négligé l'importance de la sécurisation de son système informatique, celui-ci n'était pas suffisamment robuste et la société violait même de nombreuses dispositions légales concernant la protection de la vie privée.

Cette insuffisance a permis à un groupe de pirates nommé "The Impact Team" d'exploiter la faille de sécurité et par là même de s'approprier les données personnelles de plus de 30 millions d'utilisateurs du service de par le monde (emails, noms, adresses, téléphones voire les préférences sexuelles...).

Ce scandale a entraîné dans son sillage des milliers de divorces dans les rangs des abonnés et de nombreuses démissions dans la société. Ashley Madison a en outre dû débourser plus de 15 millions de dollars de dédommagement suite aux nombreux procès qui ont été intentés contre la société américaine..

L'entreprise a survécu à ce séisme et il y a fort à parier que les questions de sécurité informatique sont au centre de leurs nouvelles préoccupations.

C'est arrivé ailleurs : le scandale ashley madison

Ça n'arrive pas qu'aux autres
"Vengeance amère"


Après avoir quitté son poste au sein d'un établissement scolaire français réputé pour son excellence et sa rigueur, un professeur de mathématiques se rend compte que ses habilitations au système d'information de l'établissement sont toujours actives.

Ayant quelques griefs à la suite de son éviction de son poste, celui-ci décide de se venger en publiant sur les réseaux sociaux des informations relatives aux bulletins scolaires de certains de certains élèves ainsi que des informations confidentielles concernant des échanges entre enseignants.

Outre le scandale que ces agissements a occasionné, l'école a dû débourser plus de 18 000 euros afin de réparer les dommages causés.

Cette affaire a effectivement nécessité des frais d'identification et de résolution de la faille informatique, de reconstruction des données volées ou détériorées, des frais de communication et des honoraires d'avocats pour faire disparaître les informations divulguées sur les réseaux sociaux. L'image de cet établissement réputé a bien entendu été entachée et les conséquences sur les inscriptions s'en font sentir depuis.

Ça n'arrive pas qu'aux autres : Vengeance amère

C'est arrivé près de chez vous
"Être vigilant"


Voici une aventure qui est arrivée à l'un de nos clients :

Ce dernier effectuait une anodine recherche sur son ordinateur personnel lorsque lui est apparu sur l'écran un message lui indiquant qu'il était victime d'un virus. La fenêtre en question bloquait apparemment son moteur de recherche et lui enjoignait de rappeler un numéro d'assistance qui s'affichait à l'écran.

Lors de cet appel, notre client paniqué a communiqué son numéro de carte et son RIB, afin que le pseudo expert lui débloque son ordinateur. Un prélèvement de 200€ a été débité sur son compte. Ayant été prévenus suffisamment tôt, nous avons pu annuler l'opération par la suite et restituer la somme au client.

En pratique :

Il s’agit en réalité d’une simple fenêtre intempestive, lavictime va payer pour un service qui ne sert à rien...

Notre conseil :

Nous vous recommandons de ne jamais répondre auxsollicitations et de faire analyser en cas de doute votreordinateur par un informaticien professionnel.

C'est arrivé près de chez vous : Être vigilant

Sujet du mois
"Meltdown et Spectre"


C’est une nouvelle qui a donné le ton pour l’année 2018 :quelques jours seulement après le nouvel an, ont étédévoilées les failles Meltdown et Spectre . Ces deux faillesont en commun d’exposer des défauts présents dans laplupart des puces Intel construites au cours des deuxdernières décennies et s’étendent même à celles des autresfabricants qui utilisent la même architecture.

Fait nouveau par rapport aux précédentes attaquesdévoilées dans les médias, ces failles potentielles netoucheraient pas un système d’exploitation spécifique, maisla très large majorité des nos appareils informatiques(téléphones portables, tablettes, ordinateurs, serveurs...).

Le vecteur d'infection : le processeur

Celui-ci est un composant indissociable à la bonne marchede nos appareils. C’est le « cerveau » qui effectueles opérations indispensables au fonctionnement del’ordinateur et aux programmes qui y sont installés. Toutesles données d'un système informatique y sont traitées à unmoment ou un autre. Les principaux constructeurs de cesprocesseurs sont Intel, AMD et ARM.

Le Système d’exploitation, quant à lui, est la coucheintermédiaire qui fait le lien entre les applications et leprocesseur (Ex : Windows, MacOs, Android, iOS etc.).

Comment fonctionnent ces failles?

Les informations traitées par un processeur doivent, enthéorie, être isolées dans des zones hermétiques. Pourtant,les chercheurs qui ont découvert ces failles ont prouvé qu’ilétait envisageable de détourner les mesures de protections etd’accéder aux données, réputées impénétrables, traitées parles processeurs (données privées de type empreintesdigitales, mots de passe...).

C'est l’architecture même de la puce qui revêt une faille. Eneffet, son exploitation est réalisable en raison des choix desconstructeurs : pour améliorer les performances, lesfabricants Intel, AMD et ARM autorisent des codes às'exécuter de façon prédictive, en allant même récupérer desdonnées dans un logiciel voisin.Les 2 vulnérabilités utilisent ce défaut de conception quipermet à la puce unité centrale (CPU) d’accéder à la mémoire :

  • L'étanchéité de la mémoire par application a pu êtrecontourné.
  • Un logiciel pourrait donc lire des données sauvegardéesconcernant une autre application.

Quelles sont leurs différences ?

Meltdown qui concerne la plupart des processeurs Intel(qui est le plus gros acteur du marché) a été, nous pouvons ledire à ce jour, repoussée par les mises à jour des différentsconstructeurs.

Il en est tout autre pour la faille Spectre . En raison de sonimplantation plus profonde, les constructeurs vont devoirmodifier l’architecture même de leurs puces pour s’enprémunir.

Certains appareils resteront donc exposés pendant desmois, voire des années. C’est une faille très complexe quiconcerne tous les processeurs installés sur nos machines et lasolution définitive pour combler cette brèche n’a pas ététrouvée même si des contre-mesures sont en cours d'étude.

Que faire ?

Le premier conseil est bien évidemment un conseil debon sens : vous devez impérativement procéder àl’installation des mises à jour proposées par les ordinateurs,les tablettes ou les Smartphones.

Il se peut que certaines mesures liées à ces mises à jourentraînent un ralentissement du fonctionnement desprocesseurs et du coup de la performance de votreordinateur.

Par ailleurs il est fortement recommandé pour lesutilisateurs de produits Microsoft, de disposer d’un antivirusà jour.

Le point sur : Meltdown et Spectre

Conclusion


A la suite de la découverte de ces failles par le grand public, le PDG d'Intel avait voulu rassurer lors du CES (Consumer Electronics Show) àLas Vegas. Il a en effet affirmé qu’aucun piratage n’avait été décelé et que ces deux menaces étaient contenues. Il n’en reste pas moins que lefabricant est entré de plein pied dans une crise sans précédent qui marque la hausse des vulnérabilités de nos systèmes informatiques. Desrecours collectifs ont déjà été lancés contre Intel aux Etats-Unis.

Édition #3 (Mai 2018)

Edito - Edition Spéciale "Protection des données personnelles"


Les données personnelles sont devenues le nouvel or noir de nos économies modernes, elles représentent un réel enjeu économique, stratégique et même parfois politique comme nous avons pu le voir avec le scandale Facebook & Cambridge Analytica découvert il y a peu.

Avec l’expansion d’Internet, des réseaux sociaux, et des objets connectés il est parfois difficile de garder la main sur ses données personnelles. Elles sont devenues un modèle économique à part entière que les entreprises du numérique ont largement adopté et sur lequel elles ont axé l’aspect social et personnalisé des services proposés.

Nous avons décidé de consacrer une édition spéciale à ces problématiques en revenant largement sur ce sujet notamment avec un dossier complet sur l’actualité brûlante mise au jour par le scandale Facebook, des articles qui illustrent bien l’importance de protéger ses données personnelles mais également sur le RGPD (Règlement Général sur la Protection des Données) qui entre en vigueur le 25 mai.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sauvegarder régulièrement ses données"


Finis les classeurs, les albums photos poussiéreux, les CD... Toutes nos données sont aujourd’hui numériques, disponibles immédiatement et classées facilement sauf quand...

...un disque dur tombe en panne, un virus informatique infecte votre ordinateur, une tasse de café se renverse sur votre Smartphone !

Dans ces situations il y a un risque réel que vos précieux documents, photos, fichiers musicaux soient perdus corps et biens !

Sauvegarder, oui mais pourquoi ?

Enregistrer, nous le faisons tous naturellement : nous créons des dossiers, rangeons méthodiquement nos fichiers, mais nous réalisons souvent trop tard la nécessité de sauvegarder, de mettre à l’abri nos données essentielles ailleurs que sur nos postes de travail, mobiles et tablettes.

Il n’est pas si compliqué de procéder à des sauvegardes, reste à adopter les bons réflexes. Vous devez impérativement protéger vos fichiers stockés localement sur vos appareils : les contacts, les photos, les vidéos personnelles, les documents importants et les emails... Tous les fichiers sont concernés.

Quelles solutions existent

Important :Trier les fichiers que l’on veut sauvegarder est primordial, il n’est pas nécessaire de garder des fichiers en double ou des photos floues... vous verrez que chaque mégaoctet est précieux !

Les deux principales possibilités sont la copie vers un disque dur externe ou bien l’utilisation d’un service de stockage en ligne (Cloud)

  • Les disques durs externes : Ceux-ci présentent un très bon support pour sauvegarder des données, il existe différents types de disques durs : les disques durs externes, les disques SSD, les serveurs NAS... Le choix est varié mais il est important de choisir une capacité de stockage bien supérieure à celle de l’appareil où sont stockées les informations à protéger.
  • Les services de stockage en ligne (Cloud) : Ces services offrent une grande facilité d’utilisation et une accessibilité aux données très rapide. Il est en effet possible d’accéder à ses fichiers depuis n’importe quel appareil connecté au Web (ordinateur, Smartphone, tablette..). La plupart des grands opérateurs proposent aujourd’hui des solutions comprenant des forfaits de stockage adaptés à vos besoins en matière de sauvegarde (Google, Amazon, Dropbox...).

Notre Conseil :

Rien n’empêche d’utiliser l’une ou l’autre des solutions voire de combiner les deux en privilégiant le stockage en ligne pour les fichiers susceptibles d’être rapidement utilisés ou partagés ; ces services offrant une grande simplicité de diffusion notamment par le biais de liens rapides.

Sauvegarder régulièrement ses données

Indicateurs Sécurité


securite
  • 87 millions de personnes ont été victimes du scandale Cambridge Analytica / Facebook.
  • 92% des dirigeants français s’inquiètent de ne pas être en conformité au regard du RGPD.
  • 5,6 millions de données personnelles sont piratées ou perdues chaque année.
  • 15h11, c’est le nombre d’heures passées par semaine par les 13-19 ans sur internet en 2017.

Evénements


Evenements
  • 15 mai – Paris - Les ateliers du CLUSIF – “Société de notation, risques et opportunités pour le RSSI”
  • 23-25 mai – St Tropez - Rencontres de l’Identité, de l’Audit et du Management de la Sécurité
  • 24 mai – Paris - Matinée Stratégique CIO
  • 12-14 juin – Monaco - DataCloud Europe

C’est arrivé ailleurs
"Facebook et l’utilisation des données personnelles"


Le scandale est né des révélations du lanceur d’alerte canadien Christopher Wylie, fin mars. Celui-ci a accusé la société britannique Cambridge Analytica d’avoir utilisé les données de millions d’individus sur Facebook.

Il estime ainsi que les algorithmes de la firme auraient massivement influencé les électeurs lors de la présidentielle américaine et auraient favorisé l’actuel président des États-Unis, Donald Trump, lors de sa campagne électorale.

Cette firme d'analyse de données, spécialisée dans la communication stratégique, a collecté les données de pas moins de 87 millions de membres Facebook afin de mettre en œuvre des opérations de ciblage politiques. La société a développé un logiciel capable de prédire et d’influencer le vote des électeurs américains en 2016 grâce à la formidable base de données ainsi collectée.

Pour ce faire Cambridge Analytica a utilisé un quizz psychologique, "This is your digital life", afin de récolter des informations sur les profils publics des utilisateurs de Facebook. Non seulement les répondants ont vu leurs données « aspirées » mais également celles de leurs amis et connaissances.

En France ce sont « seulement » 76 personnes qui ont répondu à ce questionnaire, mais Cambridge Analytica a pu également collecter des informations concernant les amis des personnes qui ont effectué le test. Ce sont en fait les données de 211 591 français qui ont pu être récupérées.

Facebook et les données personnelles :

Facebook a développé depuis 2004 un modèle économique qui repose sur l'exploitation des données personnelles. Son fonctionnement est essentiellement basé sur la monétisation des données des utilisateurs auprès des publicitaires. Imaginez quelques secondes l’immensité des informations qu’a amassé Facebook au cours de ces 14 ans d’existence !

On peut légitimement s’interroger sur l’enjeu que représente notre patrimoine numérique... Nos données sont à l’instar des « Bit Coins » devenues une monnaie virtuelle, que s’échangent de grandes firmes.

A savoir :

Pour vérifier si vos données Facebook ont été partagées avec Cambridge Analytica il suffit de vous rendre sur la page d'aide du réseau social. Si la section « Mes informations ont-elles été partagées ? » apparaît c’est que vous ou vos amis se sont connectés au quizz en question.

#DeleteFacebook Le réseau fait désormais face à un mouvement de désabonnement massif de ses utilisateurs qui ont, par ce scandale, perdu confiance dans le géant américain. Le milliardaire Mark Zuckerberg, patron et fondateur du réseau social comptant 2 milliards d’abonnés, vient de témoigner ce mardi 10 avril devant le Congrès américain et a dû se défendre pendant plus de 10 heures. Le groupe a en outre perdu plus de 10 % en Bourse depuis mars. Les géants américains du net vont devoir faire face à une nouvelle donne : la protection des données personnelles au moment où le Règlement Général sur la Protection des Données (RGPD) doit entrer en vigueur (le 25 mai prochain).

utilisation des données personnelles

Ça n’arrive pas qu’aux autres
"Ransomware"


Voici un cas typique d’attaque informatique qui peut toucher n’importe quelle administration ou entreprise quelle que soit sa taille.

Il y a un an le journal Sud-Ouest révélait que près de la moitié des écoles bordelaises avaient été victimes d’un ransomware (ou rançongiciel). Cette attaque démarrée en septembre 2016, avait fini par infecter un nombre important de serveurs de l’académie de Gironde paralysant ainsi 40 des 101 établissements de la ville de Bordeaux.

Cette attaque a été possible par la diffusion d’ordinateurs en ordinateurs d’un virus qui crypte et bloque l’accès aux données, les pirates réclamant alors une rançon pour restituer les données ainsi collectées.

L’origine de cette attaque serait liée à la négligence d’un employé de l’académie qui aurait téléchargé un fichier joint contenant le code malveillant.

Bien que l’académie bordelaise dispose d’un contrat avec un éditeur de logiciel antivirus il semble que cette solution de protection n’ait pas été correctement installée sur l’ensemble des machines.

Cette histoire illustre à quel point les utilisateurs que nous sommes peuvent devenir le point faible de la chaîne de sécurité. Ainsi il est conseillé de ne pas ouvrir de mails dont la provenance est inconnue. Ces mails peuvent contenir des liens risqués ou des fichiers corrompus à télécharger en pièce-jointe.

Ransomware

C’est arrivé près de chez vous
J’ai besoin de ton aide !


Les piratages de messagerie se multiplient. Les pirates s'emparent du mot de passe, usurpent l'identité du titulaire et envoient de faux mails aux "contacts" pour leur soutirer de l'argent.

Revenons sur le cas d’une collaboratrice du Crédit Agricole Pyrénées Gascogne qui a retrouvé dans sa messagerie un mail énigmatique de l’une de ses clientes :

« Bonjour, Comment vas-tu ? Bien j'espère.
De mon côté, quelques pépins liés à des soucis de santé.
Aurais-tu du temps à me consacrer par mail ? Car j'ai une faveur à te solliciter dans l'immédiat.
PS : Je suis temporairement injoignable par tél.
Sophie »

Alertée par le caractère urgent mais étonnée par le tutoiement inhabituel dans leurs échanges, notre collègue a contacté par téléphone la cliente qui bien évidemment n’était pas à l’origine de cet envoi. Sa messagerie avait été piratée et tous les contacts de son carnet d’adresse avaient été destinataires de ce message.

L’intérêt pour les malfaiteurs ? En cas de réponse, les pirates se faisant passer pour un ami en détresse demandent toujours de l’argent via des mandats-cash.

Que faire ?

Si vous recevez ce type de mails dans votre boîte électronique, supprimez-les immédiatement. Si le nom est celui de l’un de vos proches mais le message est semblable au mail cité plus haut, contactez-le par téléphone pour vous assurer qu’il ne s’agit pas d’une arnaque.

utilisation des données personnelles

Le sujet du mois Le RGPD


Le 25 mai prochain, le Règlement Général pour la Protection des Données (RGPD) entrera en vigueur. D’une façon générale, il fournira aux internautes un nouveau cadre pour protéger leur vie privée.

Au cœur du texte, l’internaute

Selon la définition classique, un internaute est un utilisateur du réseau internet. Il désigne donc une personne qui utilise un navigateur web pour visiter des sites web et, par extension, toute personne employant une application informatique permettant d'obtenir sur internet des informations, ou de l'interactivité avec d'autres personnes : courrier électronique, chat, transfert de fichiers par FTP ou peer to peer, forums de discussions sur Usenet, etc.

Un internaute en d’autres termes...c’est vous !

C’est pourquoi le RGPD vous concerne, et plus précisément l’empreinte numérique que vous laissez sur la toile : vos données à caractère personnel.

Les données personnelles :

Ce terme englobe l’ensemble des informations qui permettent d’identifier un individu en fonction de critères établis. Ce sont des données qui concernent personnellement les utilisateurs de manière directe ou indirecte ; elles peuvent être de nature très différentes : adresse email, numéro de téléphone, adresse postale, photographie, numéro de sécurité sociale, numéro client...

En résumé : toutes les informations que nous sommes amenés à saisir quotidiennement au travers de tous nos appareils (ordinateurs, Smartphones, tablettes et objet connectés...).

Ces données représentent pour tous les grands acteurs de l’internet un véritable enjeu économique de développement. L’analyse et la collecte de ces précieuses informations sont devenues leur objectif N°1. Ces dernières sont ainsi traitées et classées pour être ensuite utilisées voire vendues.

Nous sommes désormais ultra-connectés, à tel point que nous oublions parfois combien nous pouvons être amenés à communiquer d’informations personnelles et confidentielles sur le web. Ce sont précisément ces données qui seront encadrées et protégées par ce nouveau texte.

Quel est son objectif et son contenu ?

Ce règlement, dont le texte a été adopté en avril 2016, vise principalement à protéger les données à caractère personnel de tout citoyen au sein des 28 états membres de l’Europe.

Il doit en effet cadrer la collecte de ces informations, leur traitement mais surtout leur utilisation. Des principes de protection sont établis et en conséquence, toutes les entreprises devront se plier aux règles de bonne conduite précisées par le règlement. Elles devront se mettre en conformité afin que lorsque un internaute navigue sur leurs sites ou utilise leurs applications, les données collectées soient protégées. Ces données ne pourront plus faire l’objet d’un commerce visant par exemple à être revendues pour vous cibler comme prospect.

En outre, le RGPD concerne toutes les entités dès lors qu’elles détiennent des données, y compris celles qui n'ont pas d'activité sur internet. En effet, un fichier client d’une PME ou bien la liste des salariés d'une société sont considérés comme des fichiers de données personnelles même si elles n’ont pas d’exposition sur la toile.

Que va-t-il changer pour les citoyens européens ?

Le droit à l’oubli est une nouveauté instaurée par ce règlement, sur simple demande formulée par l’utilisateur une entreprise devra mettre tout en œuvre pour effacer les données le concernant.

D’autres nouveaux droits font également leur apparition. En premier lieu la portabilité des données d’un service internet à un autre devra être effective et facilitée. Ceci afin que chaque citoyen européen puisse transférer ses informations d’une entreprise ou d’un service à un concurrent de façon aisée. Comme nous l’avons vu plus haut l’encadrement des mineurs est aussi au centre des prérogatives du RGPD, il définit ainsi une « Majorité Numérique » fixée à 15 ans, âge à compter duquel un enfant mineur peut s’inscrire seul sur les réseaux sociaux et consentir à l’utilisation de ses données personnelles (en deçà l’autorisation des parents est obligatoire).

Pour les entreprises ?

La première des étapes pour chaque entreprise est bien évidemment de connaître le périmètre des données traitées qui leurs sont confiées. Il est impératif de répertorier tous les fichiers contenant des données personnelles. Les entités doivent aussi s’interroger sur la nécessité de les conserver mais aussi s’assurer de leur validité au regard de leur conservation (recueil du consentement des utilisateurs).

Ensuite il va être nécessaire d’effectuer un travail informatique pour permettre la mise en place des outils pour pouvoir exercer les nouveaux droits à la portabilité et à l'oubli. Les sociétés devront créer et tenir un registre des traitements de données personnelles dans lequel elles définiront le bien fondé et l’usage de chaque collecte de données en y associant le nom d'un responsable.

Les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir également aux services d'un data protection officer (DPO), obligatoire pour les grandes entreprises technologiques, et vivement recommandé pour les autres. Ce délégué à la protection des données personnelles permettra de fluidifier les relations entre l'entreprise et le régulateur.

Enfin, pour chaque processus de traitement des données, elles devront mener une étude d'impact pour s'assurer qu'elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les mesures et protections, notamment en matière de cybersécurité des données personnelles, devront être clairement définies et mises en place.

Les moyens d’action : des sanctions renforcées

Le bras armé du RGPD réside principalement dans le fait que des amendes pourront être infligées. Les sanctions évoquées sont particulièrement sévères et d'un montant très élevé. Jusqu'ici limitée à 3 millions d'euros en France, l'amende pour non-respect du RGPD peut grimper jusqu'à 3 à 4% du montant du chiffre d’affaires pour une entreprise à envergure mondiale, soit plusieurs centaines de millions d’euros pour certaines des entreprises contrevenantes.

Des notifications en cas de fuite de données

les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection (en France : l'Anssi - Agence Nationale de la Sécurité des Systèmes d'Information) en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement). Cette information pourra en outre générer pour ces entreprises un risque de réputation entraînant également des répercussions sur leurs résultats.

Les entreprises prennent le risque en cas de pertes ou de divulgations de données personnelles à devoir affronter des actions de groupe qui pourront être initiées par des citoyens européens et qui ne manqueront pas d’apparaître dans les mois à venir.

utilisation des données personnelles

Édition #4 (Juillet 2018)

Edito


La période estivale est enfin là, nous allons pouvoir souffler et nous reposer lors de vacances bien méritées. Pour autant il n’est pas rare que, durant ces périodes de congés, notre vigilance baisse et que nous soyons plus enclins à baisser notre garde.

C’est pourquoi nous avons décidé de vous accompagner encore cet été en vous donnant quelques clés pour comprendre certains risques qui se glissent dans nos usages quotidiens de l’informatique.

Vous trouverez au fil de nos articles une revue de détails sur quelques pièges à éviter en cette période de vacances.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Les réseaux Wi-Fi Publics"


Votre réseau Wi-Fi privé est en général sécurisé et permet des échanges de données cryptées. Ce n’est pas le cas sur un réseau Wi-Fi public qui est ouvert à toute personne après une simple authentification. Durant cette période estivale propice aux déplacements il est bon de rappeler quelques règles simples.

En vacances et en manque de connexion Internet, il n’est pas rare que vous décidiez d'utiliser un réseau Wi-Fi public pour vérifier vos mails et consulter les réseaux sociaux.

Attention, ces connexions peu sécurisées peuvent être dangereuses.

À peine arrivé dans un lieu public (à l'hôtel ou au restaurant), lorsque vous faites défiler les réseaux Wi-Fi disponibles la tentation est grande de vous connecter à celui qui n'affiche pas de cadenas (ce que l’on appelle un "réseau ouvert").

Le problème, c’est que ce dernier n'est pas du tout sécurisé.

C’est un sport prisé par les hackers dans les lieux publics : ils créent un réseau avec un nom approchant à celui du lieu dans lequel se trouvent les utilisateurs mal avisés. En effet, le nom d’un réseau est facile à créer, il est impératif de bien s’assurer de l’origine du réseau Wi-Fi gratuit sur lequel vous vous connectez. Il ne faut en aucun cas sélectionner au hasard ce dernier car vous risqueriez de tomber sur un pirate qui en profitera pour récupérer toutes les données personnelles que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d'identification permettant d'accéder à votre réseau d'entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent, à leur gré, accéder à vos systèmes en votre nom. Autre pratique utilisée par les pirates, se placer entre vous et le hotspot Wi-Fi. Par ce biais au lieu de communiquer en direct avec le point de connexion, toutes les informations passent par les pirates qui les relaient ensuite au point d’accès (en conservant ces données pour les utiliser plus tard bien entendu).

Comment se protéger ?

La règle la plus simple est d’éviter les réseaux publics qui ne nécessitent pas de mot de passe. Dans un lieu public comme un hôtel ou un restaurant, n’hésitez pas à demander systématiquement le nom du réseau Wi-Fi mis à disposition ainsi que le code associé pour vous assurer que vous êtes sur le bon réseau. Les autres réseaux ne renvoyant pas vers un site Internet au nom de l’établissement ou ceux ne demandant pas de code ne sont à fuir.

Une autre solution consiste à utiliser un Virtual Private Network, ou VPN, qui se charge de crypter les données que vous échangez.

Les réseaux Wi-Fi Publics

Indicateurs Sécurité


securite
  • 5 000 postes sont actuellement à pourvoir dans le domaine de la cybersécurité.
  • +100 millions d’augmentation du nombre d’utilisateurs des réseaux sociaux depuis le 1er janvier.
  • 42 % des internautes français ont été victimes d'un comportement cybercriminel l'an passé.
  • 71% des attaques en entreprises sont initiées par des faux emails (Phishing).

Evénements


Evenements
  • 07-12 juillet – Strasbourg – Rencontres Mondiales du Logiciel Libre
  • 6 août – Bordeaux – STHACK – Rencontres sur la Sécurité Informatique
  • 21-22 août – Paris – Conférence Internationale "Intelligence Artificielle et IoT"
  • 4 octobre – Pays Basque – 3ème Café de la CyberSécurité

C’est arrivé ailleurs
"Netflix"


Pas moins de 110 millions de clients de la plateforme de streaming Netflix ont été ciblés aux mois de septembre et novembre derniers par une campagne de piratage d’envergure. Ce piratage a pris la forme d’un phishing (Les phishing sont des "cyber-arnaques" ou "cyber-escroqueries" par email) qui consiste à faire croire à l’internaute qu’il s’adresse à un tiers de confiance.

Ce mail, adressé à des millions d’utilisateurs du célèbre service de streaming était envoyé depuis l’adresse supportnetflix@checkinformation.com et reprenait soigneusement les codes et la charte graphique du géant américain du streaming.

Celui-ci indiquait à l’utilisateur que son compte avait été suspendu en raison d’un problème dans le paiement de sa dernière facture. La victime était alors invitée à fournir les renseignements de sa carte de crédit pour régler le problème.

Le bénéfice était double pour les pirates : la revente des codes d’identification de l’utilisateur et bien évidemment l’utilisation frauduleuse des données bancaires ainsi récupérées.

Netflix s’est expliqué au site Mashable, déclarant :
"Nous prenons la sécurité des comptes de nos abonnés très au sérieux, et nous employons de nombreuses mesures proactives pour détecter ce genre d’activité frauduleuse. Malheureusement, les arnaques sont courantes sur internet et elles ciblent principalement des marques célèbres comme Netflix et leur large base de client afin de leur soutirer des informations personnelles".

utilisation des données personnelles

Notre conseil

Comme toujours, il est conseillé de vérifier l’adresse mail de l’expéditeur avant de cliquer sur tout lien ou pièce jointe dans un email. De même avant de saisir des informations personnelles (identifiants, coordonnées bancaires...), veillez à ce que le site soit sécurisé, c’est-à-dire qu’un cadenas apparaisse dans le navigateur et que l’adresse du site commence par HTTPS au lieu de HTTP.

Ça n’arrive pas qu’aux autres
"L’arnaque au président"


Il s’agit d’une arnaque qui peut s’élever à plusieurs centaines de milliers d’euros. L’arnaque aux Faux Ordres de Virements (ou FOVI ou plus communément "Arnaque au président") est une escroquerie très élaborée que nous allons illustrer au travers du cas de cette société d’emballage des Alpes–Maritimes.

En tout début d’été 2017, la comptable de cette société reçoit un mail émanant semble-t-il du directeur de l'entreprise, récemment parti en congés, lui demandant si l’avocat d'un groupe "consultant" avait déjà pris contact avec elle. Sous-entendant que si ce n’était pas le cas, la prise de contact allait être imminente, le message l’enjoignait à la plus grande discrétion sur l’entretien qu’elle aurait avec cet avocat.

Deux jours après, l’avocat prétendant appartenir à un cabinet d’audit bien connu téléphone à l'employée et lui explique qu'une discrète OPA (offre publique d’achat) est en cours pour prendre le contrôle d’une entreprise rivale. Elle doit donc réaliser au plus vite un virement de 253 458 € sur un compte bancaire domicilié à l’étranger. Il s'en suit un échange de mails confirmés par le prétendu directeur (toujours en vacances), à la suite desquels l'ordre de virement est signé et les fonds sont virés.

Une fois la pression retombée et l’opération réalisée, la comptable reprend un peu de recul sur cette opération... craignant d'avoir été abusée, elle parvient à joindre son directeur et lui expose les faits. Ce dernier n’était bien entendu pas à l’origine de la requête et n’était pas du tout au courant de cette manipulation (son adresse mail privée avait été piratée).

Bilan : même si la banque prévenue suffisamment tôt a pu bloquer une partie des fonds, cette société a subi un préjudice très important qui aurait pu lui faire déposer le bilan s’ils avaient pu continuer à solliciter les virements nécessaires à l’OPA.

Comment flairer l’arnaque ? :

Deux éléments devraient vous mettre la puce à l’oreille : la situation d’urgence, il faut prendre rapidement une décision sans pouvoir bénéficier d’un temps de réflexion, et le mode de contact utilisé où le donneur d’ordre est toujours absent (en congés, en déplacement à l’étranger...)

En chiffres :

640 millions d’euros, c’est le préjudice cumulé des faux ordres de virements internationaux pour les entreprises françaises ou implantées en France en l’espace de sept ans.

Arnaque au président

C’est arrivé près de chez vous
"Vous avez été tiré au sort ! "


Un de nos clients des Hautes-Pyrénées a reçu il y a quelques jours l'excellente nouvelle que vous pouvez découvrir ci-dessous :

Bonjour, Chère cliente, cher client,
Nous vous informons que vous venez de remporter une somme très importante. Pour plus d'information consulter les pièces jointes. Pour la marche à suivre contacter Maître DAVID JAMES par émaiL Vous trouverez son adresse dans les fichiers.
Bonne réception FRANÇAISE DES JEUX
.N° de LOT: 9001-BNK-87
N°de Réf: 07/04/1990

Son premier réflexe empreint de curiosité a été d'ouvrir la pièce jointe attachée à cet email prometteur, son action fut rapidement stoppée par un examen plus minutieux du contenu du document. Les caractères spéciaux et diverses fautes présentes l'ont conduit à se rapprocher de nos services pour solliciter un avis.

Il s’agissait bien entendu d’une arnaque, aucune somme ne pouvait être espérée...

Notre conseil :

Dans la plupart des cas ces mails ne sont que les prémisses d'une escroquerie qui se développera au gré de vos réponses. Il se peut en outre que la Pièce Jointe véhicule un fichier malicieux qui serait en mesure de bloquer votre ordinateur ou d'en dérober les données précieuses.

Vous avez été tiré au sort

Le sujet du mois  Les crypto-monnaies


Eldorado pour les uns, elles se réduisent à une "escroquerie" voire à une "pure bulle, spéculative" pour les autres...

Retour sur le fonctionnement de ces nouveaux instruments financiers :

Le terme de crypto monnaie ou de monnaie virtuelle remonte à 1995, date son émergence, mais son exposition médiatique remonte à 2009 avec le Bitcoin, première devise basée sur la Blockchain. Depuis le phénomène est devenu mondial et plus de 1500 monnaies alternatives ont vu le jour.

Ce type de devise est totalement dématérialisé, il ne supporte aucun moyen de paiement conventionnel (ni pièce de monnaie, ni billet, ni chèque). Les détenteurs de ces monnaies virtuelles les conservent dans des portefeuilles (ou wallet) en ligne et les échangent comme des biens marchands sur des plateformes dédiées.

Par ailleurs, ces devises sont décentralisées, et ne dépendent d’aucune autorité, le réseau n’est en effet contrôlé par aucune institution. Le but est de permettre à tout le monde d’effectuer en toute sécurité des transactions monétaires sans intervention extérieure (banque, notaire etc...) selon le principe du pair à pair (Peer To Peer).

C'est la Blockchain qui en rend possible la décentralisation, et en sécurise les transactions.

Son principe ? Chaque ordinateur possédant une copie de la Blockchain est appelé "nœud" du réseau. Dès qu’un nœud reçoit une transaction (ou plutôt, un bloc de transaction) il la relaie au nœud suivant, puis la valide et met à jour le registre ; d’où le terme de Blockchain (chaîne de blocs). Cette technologie, sans organe de contrôle, est comme un grand registre partagé par l’ensemble des ordinateurs, il est impossible de modifier une information sans le consentement de TOUS les ordinateurs.

Quels en sont les dangers ?

Un miroir aux alouettes ? : en à peine 10 ans d’existence, le cours du Bitcoin a été multiplié par 14 avec en 2017, une valorisation proche des 20 000 dollars. Le premier d’entre tous les dangers en est justement sa médiatisation qui en fait l’investissement en vogue et attire toutes sortes d’escrocs qui proposent d’investir sur de plateformes fictives. Nous pouvons en effet constater une hausse très nette de cas de faux investissements dans le Bitcoin, de fausses plateformes pour acheter des crypto-monnaies et autres fausses plateformes de trading en crypto-monnaies qui fleurissent un peu partout et font de nombreuses victimes.

La vigilance est de mise: Il existe comme nous l’avons vu un risque d’escroquerie mais même en cas de transaction réelle il subsiste un risque opérationnel : Il s’agit du vol des monnaies stockées, ou transférées entre portefeuilles voire converties en monnaies fiduciaires. Les épargnants sont une cible de choix pour les hackers ou les voleurs car en cas d’attaque, il n’existe aucun recours.

De même sur des plateformes légitimes il ne faut pas négliger le risque d’investissement : il s’agit du risque de perte en capital lié à la forte volatilité des crypto monnaies. Acheter de telles valeurs c’est spéculer en non pas investir. Un simple regard sur les évolutions des cours du Bitcoin, fortes variations, frénésie en décembre 2017 qui passe de 10 000 dollars au double en moins de 3 semaines. En l’espace de quelques jours, il affichait une baisse de 40%. "Krach" ou "saine correction" ?

Il s’agit bien de capital à risque, en France, l’Autorité des Marchés Financiers (AMF) contraint les sociétés qui souhaitent en faire la publicité d’y apposer la mention suivante : "les performances passées ne préjugent pas des performances futures". Elle a en outre publié le 15 mars dernier une liste noire (non exhaustive) de plateformes d’achat et de vente de crypto monnaies.

Enfin, le risque de régulation : les lois qui encadrent ces monnaies numériques ne sont pas normalisées à l’échelle internationale. Les Etats-Unis par exemple, les autorisent mais avec un cadre règlementaire très strict là ou d’autres pays les ignorent. Il y a là des enjeux de captation de nouvelles taxes que les états ne vont certainement pas éluder dans un avenir très proche.

Voici quelques signaux d’alerte sur les plateformes d’échanges de ces crypto-monnaies :

  • L’absence de mentions légales sur le site.
  • Même en présence de mentions légales, soyez vigilant : beaucoup affirment avoir leur siège social à l’étranger ou indiquent des adresses en France qui, lorsqu’elles existent, ne sont que des boites postales.
  • Des coordonnées de banques que vous avez du mal à identifier.

Au moindre doute, prenez contact avec AMF Epargne Info Service au 01 53 45 62 00 ou Assurance Banque Epargne Info Service au 0 811 901 801.

En conclusion, que retenir des crypto monnaies ?

Nous sommes extrêmement vigilants sur ces nouvelles monnaies et nous déconseillons très fortement les investissements sur ce type de supports. Les raisons en sont simples : dans l’écosystème des crypto monnaies, rien n’est sûr, sauf si vous aimez le risque et les sensations fortes. Même si vous stockez l’ensemble de vos avoirs numériques sur des plateformes dites de confiance, vous n’êtes pas pour autant à l’abri du vol.

Enfin, il faut être en conformité avec les lois du pays dans lequel on réside. La France exige aux épargnants à dévoiler leur identité sur les plateformes d’achat, TRACFIN (organisme en charge de la lutte contre le blanchiment et le financement du terrorisme) propose une limitation de l’usage des monnaies virtuelles et une surveillance accrue des usages frauduleux ; l’anonymat des utilisateurs est dangereux pour la sécurité publique. Malwares, phishing, piratages informatiques, publicités mensongères ou fermetures de plateformes les risques liés à la crypto monnaie sont très nombreux.

Les crypto-monnaies

Édition #5 (Septembre 2018)

Edito


Nous sommes ravis de vous retrouver en ce mois de septembre pour une nouvelle édition de notre Newsletter consacrée à l’actualité de la Cyber Sécurité.

Comme d’habitude vous retrouverez toutes les rubriques que vous connaissez, notamment les cas réels rencontrés de par le monde mais aussi tout près de vous et qui vous éclaireront sur les nouveaux dangers qui apparaissent.

Pour vous aider à y voir clair, ce mois-ci le sujet que nous avons décidé de mettre en lumière est celui de l’Internet des Objets, vaste thème sur lequel nous ne manquerons pas de revenir.

J’en profite pour vous indiquer que nous sommes fiers d’organiser pour la 3ème fois le Café de la CyberSécurité qui s’installera le 28 septembre dans le Pays Basque à Anglet.

Bonne rentrée à tous et bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sécuriser son Smartphone"


En une décennie, nos appareils mobiles sont devenus des mini-ordinateurs au même titre que nos PC de bureau. Alors même qu’il nous semble normal d’installer des antivirus et de mettre à jour l'ordinateur familial, il est indispensable de ne pas négliger la sécurité de nos appareils mobiles. En effet, ceux-ci renferment une grande quantité d'informations personnelles qui pourraient tomber entre de mauvaises mains.

Quelles sont les précautions à prendre ?

Tout d'abord mettre en place un code d'accès, celui-ci protégera vos données si vous laissez votre téléphone sans surveillance (à noter que beaucoup de téléphones proposent un déverrouillage par empreinte digitale ou reconnaissance faciale de nos jours - à condition de les activer...).

Ensuite et à l'instar de nos ordinateurs de bureau, il faut appliquer les mises à jour et sauvegarder régulièrement ses données présentes sur l'appareil.

N'installez que des applications téléchargées sur les sites officiels (PlayStore ou AppleStore par exemple) et surtout il est primordial de contrôler les autorisations que vous donnez à ces applications (la géolocalisation accordée à une application de recettes de cuisine peut prêter à interrogation par exemple).

Mesures supplémentaires :

Il est préférable comme nous le disions dans la précédente édition d'éviter les réseaux WiFi publics ou inconnus. Il est en outre fortement recommandé de mettre en place un chiffrement des données de son appareil ce qui permet de rendre illisibles les données présentes sur le dispositif en cas d'intrusion.

Sécuriser son smartphone

Indicateurs Sécurité


securite
  • 46% des attaques ont été permises via un employé ayant cliqué sur un lien contenu dans un email.
  • 1 385 000 sites éphémères de phishing sont créés chaque mois dans le monde.
  • 800 000€ - c’est le coût moyen d’une violation de sécurité pour une entreprise.
  • 38% des attaques avérées ont pris la forme d’attaques par Déni de Service (DDoS) en 2017.

Evénements


Evenements
  • 28 septembre – Anglet – 3ème Café de la CyberSécurité
  • 16 octobre – Paris - CIOnférence "De la Convergence à l’Hyperconvergence"
  • 6/7 novembre – Paris – "Smart City – Smart Grid"
  • 29 novembre – Toulouse – IT Tour

C’est arrivé ailleurs
"Timehop, souvenirs, souvenirs... "


Après le scandale Cambridge Analytica, qui a placé Facebook dans la tourmente suite au ciblage de 50 millions de ses utilisateurs via un simple questionnaire (cf notre Newsletter N°3 du mois de mai), c'est un nouveau scandale qui nous a été révélé en ce début du mois de juillet par les dirigeants du service Timehop.

Timehop, est une application pour Smartphone, qui permet de créer et de mettre en image des souvenirs en se connectant sur les comptes de réseaux sociaux tels que Facebook, Twitter, Instagram et Dropbox. En d'autres termes Timehop collecte, au fil du temps avec l'accord de l'utilisateur, ses publications sur les différents réseaux en donnant accès à son journal et à ses publications actuelles mais également passées.

Le 4 juillet dernier, le service a été victime d'une cyberattaque d'envergure, entrainant le vol des données de 21 millions d'utilisateurs de cette application. Les données subtilisées sur un serveur Cloud seraient constituées de noms, d'adresses emails et de clés (de "jetons") permettant à Timehop d'accéder aux comptes des utilisateurs sur les réseaux sociaux.

Depuis cette attaque Timehop indique avoir désactivé les accès (les fameux jetons), les utilisateurs qui veulent toujours utiliser le service doivent à nouveau accorder les autorisations nécessaires et créer de nouveaux droits d'accès à leurs comptes sociaux.

Transparence

Fait intéressant au regard de l'entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), la société a fait paraitre un tableau listant l'ampleur de la compromission sur l'ensemble de ses abonnés en intégrant une colonne spécifique pour ses clients résidant dans la zone européenne couverte par le règlement européen (https://www.timehop.com/security).

Timehop

Ça n’arrive pas qu’aux autres
"Vol des données de 35 000 clients dans une PME"


Au mois d'avril dernier une PME Suisse éditrice de logiciels de gestion a été victime d'une cyberattaque sur ses serveurs. Il ne s'agit pas là d'une attaque utilisant un rançonciel (Ransomware) comme souvent pour les PME.

L’entreprise, s'est en effet vue voler les adresses postales, les mails et les numéros de téléphone de sa base de données. Il s'agit d'environ 35 000 clients dont les informations ont été récupérées.

Cette attaque ciblée devait permettre aux pirates de profiter du confortable carnet d'adresse de cette société pour envoyer des mails "personnalisés" contenant en PJ un logiciel malveillant, véritable "Cheval de Troie" afin de prendre le contrôle du navigateur du client piégé. Celui-ci pensant alors se connecter à son espace bancaire sécurisé, mais se trouvant en réalité sur une copie du site gérée par les hackers. Ces derniers étant alors en mesure d'accéder aux identifiants bancaires de la société piégée et de procéder à des opérations financières à son insu.

L’entreprise prévenue rapidement par un de ses clients piégé, a immédiatement décidé d’informer tous ses clients, constitués pour l'essentiel de PME de petite taille n'ayant pas toujours une politique de sécurité informatique robuste. Le conseil étant pour elles de se montrer très vigilantes lors des futures connexions aux sites bancaires.

De son côté la société a porté plainte pour vol de données et procédé à un audit de sécurité afin d’analyser la faille qui a rendu cette attaque possible.

Arnaque au président

C’est arrivé près de chez vous
"Votre Facture du... "


Voici une communication qui a été adressée à nombre de nos clients de la Caisse Régionale. Ceux-ci ont effectivement reçu un mail énigmatique concernant une facture à acquitter auprès d'une SARL inconnue (et dont le nom change au gré des différents envois qui ont été portés à notre connaissance). Le message toujours construit de la même façon se décompose ainsi :

"Bonjour,

Nous avons bien reçu votre paiement concernant la facture n°3248324732429 et nous vous remercions pour la célérité dont vous avez fait preuve concernant son paiement.

Vous pouvez télécharger votre facture à cette adresse : Cliquez ici pour obtenir votre facture

Nous espérons que vous avez été pleinement satisfait(e) de votre commande et que nous ferons à nouveau affaire ensemble à l'avenir."

Le danger réside dans la facture à télécharger... Notre curiosité nous pousse naturellement à vérifier de quel paiement il s'agit... Mais en réalité cette pièce jointe contient un logiciel malveillant qui peut occasionner des dégâts s'il n'est pas bloqué par l'antivirus de votre poste de travail.

Notre conseil :

Tenir à jour votre système d'exploitation et mettre à jour vos logiciels anti-virus restent toujours des actions incontournables pour vous prémunir contre ces attaques. Et si vous avez le moindre doute...
Passez votre chemin et détruisez immédiatement le mail douteux ! Vous avez été tiré au sort

Le sujet du mois  L’IoT - (Internet of Things) "L'Internet des Objets"


L'avènement du Smartphone et de son intelligence embarquée a entraîné dans son sillage une révolution qui concerne les objets de notre quotidien.

Ceux-ci sont désormais capables de communiquer, d'interagir non seulement avec l'utilisateur, mais aussi avec l'environnement dans lequel ils évoluent ; voire avec d'autres objets. Imaginez par exemple ces thermostats connectés qui peuvent apprendre des usages de leur propriétaire pour adapter leur température, mais qui peuvent également s'interconnecter avec une station météo ou une sonde de température pour améliorer encore leur fonctionnement.

Ces usages et interdépendances qui apparaissent depuis quelques années, vont être monnaie courante dans notre avenir proche. L’institut Gartner estime en effet à 20,4 millions le nombre d’objets connectés sur la planète d’ici 2020. Tous les jours nous inventons de nouvelles fonctionnalités pour nos objets du quotidien en leur donnant intelligence et connectivité.

Des données omniprésentes :

Les objets connectés sont entrés de plein pied dans notre vie, ils accompagnent notre bien-être en matière de santé (montres connectées, pèse personne, trackers de sommeil....), de maison intelligente (la domotique comme nous l'avons vu plus haut avec le thermostat), mais ils participent aussi à la transformation urbaine avec l'avènement des "Smart City", ces villes intelligentes dont la vocation sera d'améliorer la qualité des services urbains ou encore réduire ses coûts.

Même les voitures n'échappent pas à cette expansion et l'on voit fleurir de plus en plus de fonctionnalités dans nos véhicules qui préfigurent la conduite autonome de demain pour tous.

Comme nous l'avons vu, la finalité d'un objet connecté est sa capacité à nous faciliter le quotidien, en étendant ses fonctions d’usages et cela est possible grâce à sa connectivité. Ainsi la caractéristique commune à l'ensemble de ces objets c'est l'appartenance à un réseau et la technologie embarquée qui leur permet d'interagir les uns avec les autres.

Cependant l'explosion du nombre et de la diversité de ces objets en fait également une cible pour les hackers de tout bord. Le botnet MIRAI en est une bonne illustration :

En 2016 une attaque a pu être coordonnée sur diverses cibles, paralysant de nombreux services internet notamment l'infrastructure des services Dyn qui gère l’accès de sites comme NetFlix ou Amazon. Cette attaque a été rendue possible par le piratage d’une grande quantité d’objets connecté. Les pirates ont pu créer un botnet (terme désignant un groupe d’ordinateurs infectés et contrôlés par un hacker à distance) composé de près de 300000 objets connectés (cameras ip, routeurs domestiques, imprimantes et autres équipements connectés).

C’est cet amalgame d’objets qui a généré cette attaque d’envergure saturant les sites internet de requêtes jusqu'à les rendre inopérants.

Des failles de sécurité?

Le niveau de sécurité de ces objets est en effet beaucoup trop faible notamment en ce qui concerne les droits d'accès et les mots de passe, la société Kapersky a par exemple testé en 2017 la sécurité de plusieurs objets connectés choisis au hasard (une voiture miniature, un aspirateur, un fer à repasser...). Sur ces huit objets un seul était satisfaisant en terme de sécurité.

Comment éviter (ou limiter) les risques ?

Il est préférable de ne pas se jeter sur les produits connectés les plus récemment sortis, ils peuvent en effet souffrir de bugs de jeunesse ou de failles de sécurité non éprouvés jusqu'à lors.

Il ne faut non plus pas considérer ces objets comme des gadgets, afin de bien prendre conscience de toutes les implications de leur usage.

En outre avant d'acheter il est toujours judicieux de prendre connaissance des avis des utilisateurs sur Internet (et en matière d'internet des objets ils sont nombreux) pour mesurer toutes les possibilités et limites de l'objet de vos désirs.

Les crypto-monnaies

NOUS ALERTER SUR UNE SUSPICION DE FRAUDE

Contactez-nous

DECLARER LA PERTE OU LE VOL DE VOTRE CARTE BANCAIRE

De la France ou depuis l’étranger, 7j/7 et 24h/24, appelez immédiatement SOS CARTE du Crédit Agricole au 00 33 9 69 39 92 91