Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Le danger que représente les montres connectées pour la santé des seniors

Comme nous le savons déjà, les outils connectés posent toujours des problèmes de sécurité.

La question des failles de sécurité est belle et bien présente. Récemment c’était la SmartWatch, la montre connectée qui s’illustrait dans ce secteur. Une société britannique a mené une étude approfondie sur la sécurité de ces petits outils qui aujourd’hui deviennent quelque chose de courant. Et malheureusement une défaillance clair et nette a été observée pouvant mettre en danger la vie des plus vieux. Bien sûr, ils n’ont pas hésité à alerter les fabricants sur le problème.

Cet article va aussi vous intéresser : Les objets connectés en entreprise où des vulnérabilités là où on ne s’y attend guerre

La découverte a été faite par des chercheurs en cybersécurité de la société britannique spécialisée sécurité informatique, Pen Test Partners, qui est connue pour les tests de sécurité qu’elle a tendance à mener. Au sortir de son test qui s’est conclu le 8 juillet 2020, la société de sécurité à déclaré que les intelligentes qui présentaient des fonctions de traçage étaient touchées par des « failles de sécurité désastreuses. ».

Notons par ailleurs que le test s’est porté essentiellement sur des montres intelligentes destinées aux personnes du troisième âge. L’une des fonctionnalités de cette montre est de leur envoyer des rappels de sorte à ce qu’ils puissent prendre à part à l’heure. En particulier, ceux touchés par la démence ou encore la maladie d’Alzheimer. Grâce à cet outil, les médecins sont en mesure de suivre à la trace leur patient pour savoir à quel moment il faudrait appliquer tel ou tel soin. Avec la géolocalisation leur position et facilement accessible.

Si l’outil présente plusieurs avantages sur le plan médical, il n’en demeure pas moins qu’il peut-être facilement hacké. « La montre en question était facilement hackable » explique la société de cybersécurité britannique. En d’autres termes, les failles de sécurité qui sont présentes dans ses outils, permettre les cybercriminels d’intercepter les informations liées à la géolocalisation, l’intercepter ou d’envoyer de faux messages pouvant venir d’un parent, accéder à la caméra de la montre, si elle on est équipée. Et même pire, un pirate informatique peut même déclencher au travers de la vulnérabilité, l’alarme qui indique l’heure de la prise de médicaments, ce qui peut malheureusement pousser les utilisateurs a des prises non conformes à la posologie. Une cause potentielle d’overdose médicamenteuse.

Ce n’est pas la première fois que cette dernière analyse la sécurité des montres connectées. En effet, en fin 2019 Test Partners mettait en évidence une vulnérabilité affectant certaines Smart watch mais pour enfant cette fois ci. Des montres qui sont équipées de système de géolocalisation. Et c’est ce qui présentait le véritable problème. La faille de sécurité d’alors mettait en danger et non seulement les données de géolocalisation provenant des montres, mais aussi celle qui était stockées dans les utilités cloud de l’appareil, tels qu’un message vocal ou encore des appels enregistrés. La société Britannique a mentionné que près de 40 millions de SmartWatch avaient été affectées par une telle vulnérabilité.

En procédant à ces tests de sécurité, Pen Test Partners a pour objectif d’alerter les fabricants de montre connectée mais de façon générale ceux des d’objets connectés. Et comme cela a été démontré plusieurs fois dans le passé, leurs tests n’ont jamais été vain. A plusieurs reprises ils ont interpellé des fabricants de l’informatique et même des programmeurs sur des objets et systèmes, dont l’utilisation au quotidien aurait pu créer beaucoup de problèmes si les vulnérabilités avaient été découvertes par des personnes mal intentionnées. Dans certains cas c’est sûr demande des entreprises ou d’autres organisations qu’ils interviennent.

Leurs spécialités ressemblent à pour beaucoup d’autres entreprises de cybersécurité. « Hacker pour mieux protéger ». On peut citer comme exemple les entreprises françaises et américaines « YesWeHack » et HackerOne qui sont spécialisées dans la même branche. Leur terrain de chasse se définit par des bug Bounty, (chasseur de bug littéralement en français), c’est-à-dire la chasse au primes de faille de sécurité. De grandes entreprises font appel à ce genre de programme pour veiller à ce que leur système de sécurité ne soit pas pris dans une vulnérabilité qui pourrait être exploitée de manière illicite. Les primes pouvant s’élever à des millions de dollars par rapport à la criticité de la vulnérabilité découverte.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le réseau social Chinois TikTok dans le collimateur des autorités québécois

La fortune de Zhang Yiming est évaluée hauteur de 16,2 milliards de dollars américains c’est-à-dire près de 22 milliards de dollars canadiens.

Il est classé selon le magasine Forbes, comme étant l’une des 100 plus grosses fortunes dans le monde. Il est le fondateur et le dirigeant de la maison-mère du célèbre réseau social TikTok, ByteDance. Le réseau social qui est depuis il faut le noter, un certain temps, au cœur de polémiques aux États-Unis et Europe, fait dorénavant parler de lui dans les contrées canadiennes. Notons que l’administration de Donald Trump aux États-Unis menace depuis toujours, de bannir TikTok et cela même en pleine crise de coronavirus, ou l’application à connu un succès incontestable. Et la raison serait que cette dernière pourrait servir de manivelle d’espionnage pour gouvernement chinois.  Cette inquiétude, malheureusement pour TikTok se généralise.

Cet article va aussi vous intéresser : Le réseau social Tik-Tok frappé d’une vulnérabilité

Récemment un expert de la cybersécurité a mentionné que ce même problème se présente comme étant une réalité pour les entreprises québécoises. « TikTok a déjà refilé de l’information au gouvernement chinois, comme Zoom. Dans un contexte d’affaires, l’outil peut les aider à mieux connaître les fabricants », a prévenu le spécialiste en sécurité informatique et chargé de cours universitaire, Steve Waterhouse.

Depuis le début de l’année 2020, le gouvernement de Donald Trump analyse plusieurs possibilités de bannir l’application chinoise de divertissement, TikTok, et cela dans un cadre ou des tensions politiques et économiques sont au cœur des relations entre les États-Unis et la Chine. Dans un entretien avec l’animatrice Greta Van Susteren, concernant Tiktok qui aujourd’hui comptabilise près de 800 millions, le président américain a mentionné que cela était toujours en cours d’analyse et que la possibilité est à prendre en compte.

Malgré toutes ces menaces, la plateforme de divertissement annonçait déjà qu’elle mettait en place un espace permettant aux petites et moyennes entreprises de pouvoir créer et des publicités clips en fonction des modèles de l’application.

Comme partout d’ailleurs dans le monde, l’application de divertissement séduit de plus en plus, particulier dans la tranche des plus jeunes, les pré ados. Et c’est ce qui d’ailleurs préoccupe Steve Waterhouse, le spécialiste de la sécurité informatique par ailleurs chargé de cours à l’Université de Sherbrooke. « Les entreprises québécoises doivent éviter d’utiliser TikTok pour diminuer le risque de se faire voler leurs secrets industriels. Surtout que la Chine a intérêt à miner le Canada parce qu’elle a un différend depuis l’arrestation de Meng Wanzhou et des deux Canadiens emprisonnés là-bas », prévenait-il.

Selon notre expert, avec les informations récoltées par l’application, il sera possible pour les services de renseignements chinois de faire des portraits des activités en entreprise, et même de l’administration publique. On peut prendre l’exemple d’un entrepreneur qui permet à l’application d’avoir accès à ses contacts. « Ce n’est plus de la science-fiction, c’est ce qui se passe en 2020 », signifiait Steve Waterhouse, qui pose le problème de la désinformation qui peut surgir à travers l’application.

Interrogé par les médias, le gouvernement canadien a refusé de statuer sur un potentiel bannissement de TikTok au Canada. Sans pour autant l’exclure non plus. « Notre monde est hautement connecté et, aujourd’hui plus que jamais, la technologie joue un rôle incroyablement important dans notre vie quotidienne. Notre gouvernement continue de travailler en étroite collaboration avec les agences et les leaders du secteur des technologies pour garantir la protection des Canadiens et de nos systèmes informatiques », s’est limitée déclaré l’attachée de presse du ministre de la Défense, Mary-Liz Power.

Du côté de l’application de divertissement, aucune déclaration n’a été faite. A croire que ce moment est une période d’observation des deux côtés, de la part du gouvernement et de l’application chinoise.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Focus sur l’application StopCovid du gouvernement Français : l’heure du bilan est arrivée

On rappelle que l’application conçue par le gouvernement Français dans le but de faciliter le déconfinement, à travers le traçage mobile des personnes n’a pas vraiment eu le succès tant attendu.

En effet, dès sa mise en ligne sur les différentes boutiques d’applications, dont l’Apple Appstore et le Google PlayStore, il a été décompté et que moins de 2 millions de personnes l’ayant téléchargé.

Cet article va aussi vous intéresser : StopCoviD : une application plus sûre que les réseaux sociaux

StopCovid a été conçu par plusieurs intervenants Français, notamment Dassault Système, ATOS, Capgemini le tout piloté par l’Institut national de recherche en informatique et en automatique (Inria). À la conception de ce matériel informatique, le but du gouvernement français était de suivre un peu près les interactions qui allait naître après le déconfinement. De la sorte, il aurait été plus facile de pouvoir détecter de nouveaux cas, et les prendre en charge rapidement.

Mais, on ne doit pas le nier, depuis l’étape de sa conception jusqu’à sa validation, l’application de traçage n’a jamais fait l’unanimité. La majorité des personnes qui se sont opposées à cette idée on d’ailleurs mis en avant la question de la sécurité des données personnelles qui aurait pu être générée par les utilisateurs.

Pour l’association de défense de droit du numérique, La Quadrature du net a lors de ses différentes interventions sur les réseaux sociaux s’inquiétait régulièrement de la possibilité de système espion au travers du logiciel. Et cela a visé en particulier le système d’authentification développé par Google et utilisé par l’application : « reCAPTCHA ». Pour la Quadrature du net, il fallait se méfier de cet outil qui aurait pu permettre au géant Américain de récolter certaines informations sur les utilisateurs. Alors, à la question de savoir si les concepteurs de cette application ont profité pour insérer une application moucharde. Et bien sûr la réponse est clairement oui. Et cela est expliqué par les initiateurs. Étant une application de traçage mobile, cela est évident, qu’il y ait forcément un outil de traçage. Mais au-delà de cela la Commission nationale de l’Informatique et des libertés, l’autorité administrative, chargé de veiller au respect scrupuleux du règlement général en matière de protection des données personnelles s’est prononcée sur le déploiement de l’outil de traçage sur la demande de Olivier Véran, le ministre des Solidarités et de la santé.

Après dix jours d’analyse, l’autorité administrative s’est prononcée. On pouvait lire dans la note 77 de cet avis, une inquiétude de la commission quant à l’utilisation de l’outil d’authentification fournie par Google, permettant de déterminer si l’application est belle et bien utilisée par une personne physique. L’idée que ce service est assuré par un tiers alors que la présentation de projet il a été mentionné que tous les services qui sont liés seront fournis par des française. C’est pour cette raison que l’autorité administrative s’est alarmée sur le fait que : « le recours à ce service est susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, des transferts de données hors de l’Union européenne, ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ».

À toutes fins utiles notons que les Captcha sont des outils informatiques qui ont pour objectif, de faire obstacle aux robots spammeurs. Donc dans le cadre de l’application de traçage, l’idée de s’assurer que celui qui se connecte et belle et bien un être humain.

C’est ce que soulève la quadrature de net dans un tweet émit le 27 mai. Dans une certaine circonstance l’utilisation de cet outil permet directement d’enregistrer l’adresse IP de téléphone sur lesquels l’application est installée. Ce qui est totalement en contradiction avec les promesses annoncées par le gouvernement lors de la présentation du projet, mais aussi contre le règlement général de la protection des données européen vu que le consentement de l’utilisateur ne sera requis à ce niveau. Dans ce contexte, l’adresse IP est bel et bien une information à caractère personnel car elle peut permettre d’identifier un individu. Ce qui bien sûr n’a rien de l’anonymat promis depuis le début.

Sur la question, le secrétaire d’État Cédric O a expliqué lors d’un entretien que l’outil d’authentification utilisés par Google est : « seul élément qui n’a pas été fait par nous ». Ce dernier aurait été choisi parce que : « sur la version mobile, il n’y avait pas d’autres Captcha qui existaient et qui étaient capables d’encaisser le choc de plusieurs millions d’interactions ».

Par ailleurs dans un article publié dans le monde, il a été mentionné par un chercheur français cryptographie de l’Institut national de recherche en informatique et en automatique, Gaëtan Leurent, que StopCovid cache un autre type d’intrusion. Et contrairement à l’outil d’authentification de Google celle-ci semble bel et bien intentionnelle. En effet selon le chercheur, L’application emmagasine automatiquement des informations des contacts pendant les 14 derniers jours et les transmets directement au serveur central. En clair : « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée » précise Gaëtan Leurent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le site internet Doctissimo, dans le collimateur de la CNIL pour violation du règlement européen de la protection des données personnelles

Dans le courant de la semaine dernière, une information pu révéler sur le célèbre site d’information médicale dénommé Doctissimo.

Il se pourrait que ces derniers mois, le site utiliserait des données d’utilisateurs, en particulier ceux de dépression sans même que les utilisateurs n’en soient informés au préalable.

Cet article va aussi vous intéresser : Des millions de données médicales encore dérobées

Tout commence précisément le 26 juin 2020. Privacy International, une organisation non gouvernementale britannique dépose une plainte auprès de la Commission nationale de l’Informatique et libertés en abrégé CNIL, en France contre le site web. Notons par ailleurs que Doctissimo fait partie du grand groupe TF1. Il cumule environ plus de 60 millions de visiteurs par jour. L’accusation portée contre lui a rapport sur l’utilisation illicite de certaines données d’utilisateurs a des fins lucratives. Une utilisation qui ne provient pas du consentement explicite de ces derniers.

En se référant à la plainte déposée par l’ONG britannique, on peut me tenir que Doctissimo aurait monétisé de manière illégale certaines des informations issues de test de dépression de ses utilisateurs. Au vu du nombreux utilisateur de la plate-forme, si la violation est avérée, cela peut constituer une grave violation du règlement général de la protection des données, la norme européenne en la matière.

Il faut quand même noter qu’en 2019, ce genre d’affaires a été non heureusement traité par la CNIL. En effet l’autorité administrative française a fait face à plusieurs plaintes de ce genre. C’est du côté de Privacy international, le travail a été de faire un constat clair et net des business qui ont lieu dans le secteur de la santé à travers le monde entier. L’organisation non gouvernementale, a déjà publié en septembre 2019 et en février 2020, des rapports portant sur ce sujet.

Le premier rapport de septembre 2019 commence à mettre en évidence le problème évoqué ci-dessus. On pouvait lire dans ce document que : « un petit nombre de sites web proposant des tests de dépression partagent vos réponses directement avec des tiers. Doctissimo fait partie des plateformes concernées ».

Le rapport qui sorti en février 2020, il a été décrit encore les actions du site français au niveau du partage des données des utilisateurs pour des besoins de marketing. C’est dans ce contexte que l’organisation britannique, a demandé à l’autorité administrative française de plus amples enquêtes sur les investissements du site.

Dans sa plainte qui fut déposée près de la CNIL, on pouvait tout simplement lire : « Doctissimo n’a pas de base légale pour le traitement des données à caractère personnel, car les conditions d’un consentement valable ne sont pas remplies. Doctissimo ne recueille pas non plus de consentement explicite dans le cas de données à caractère personnel d’une catégorie particulière. La notion de consentement est pourtant l’un des piliers du règlement général sur la protection des données ».

Si les accusations sont avérées, il faudrait s’entendre à une grosse sanction pour le site web français.

Par ailleurs, lors de ses enquêtes, l’organisation de montagne britannique aurait découvert d’autres agissements de la plateforme de santé qui ne convenaient pas aux règles en vigueur. En parlant notamment de la sécurité lors des traitements des données personnelles des utilisateurs et la gestion efficiente des cookies, qui depuis un certain moment est un sujet très important pour les entreprises qui agissent sur le web.

Pour le moment le retour de l’autorité administrative de la protection des données personnelles est attendu. Sur ce coup la plateforme Doctissimo risque gros. C’est sûrement pour cette raison que le groupe TF1 a voulu éminemment réagir en s’exprimant sur le problème : « La sécurité des données personnelles de nos internautes est la priorité de Doctissimo. C’est pourquoi nous prenons toutes les mesures pour assurer l’intégrité des données de nos internautes. Nous agissons ainsi conformément à notre mission qui consiste à proposer gratuitement des contenus éditoriaux et des services de qualité tout en assurant la sécurité des données personnelles que nous confient nos utilisateurs lorsqu’ils créent un compte Doctissimo et utilisent nos services ».

Concernant la plainte, d’autres sites internet n’ont pas été évoqués. Cependant le rapport de l’ONG britannique fait cas de ce même genre d’attitude sur d’autres plateformes sanitaires.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les entreprises Françaises pas suffisamment préparée pour lutter contre les incidents de sécurité

L’importance de la cybersécurité n’a jamais été aussi prégnantes que lors du télétravail.

Durant la période du confinement qui avait vu explosé le travail à distance, les collaborateurs et les dirigeants se sont rendu compte à quel point la sécurité informatique était importante. Le récent rapport produit par Trend Micro, issu de son étude « Head in the Clouds » le met aussi en évidence. Cette étude de la société de cybersécurité porte sur la manière dont les employés appréhendent la notion de sécurité informatique lors du télétravail. Et bien sûr comme plusieurs autres études l’ont démontré auparavant, plusieurs comportements à risques ont été observés.

L’entreprise de cybersécurité Trend Micro a réalisé son étude auprès de 13 200 télétravailleurs, pauvre parti dans 27 pays à travers le monde. L’objectif était simple, durant cette montée en flèche du travail à distance, de mesurer la manière dont les salariés se comportent face aux différentes exigences de la cybersécurité et les politiques informatiques de leur entreprise. En France par exemple 77 % des employés interrogés, et 72 % dans le monde ont estimé avoir conscience des véritables risques liés à la sécurité informatique. Et cela là depuis le début du confinement.

L’étude a aussi démontré que durant cette période de télétravail massif, les entreprises ont profité pour sensibiliser en masse leurs collaborateurs sur les différents enjeux de la cybersécurité. D’un autre côté on peut noter le résultat :

– 85% des employés ont signifié qu’ils prenaient au sérieux les directives fournies par le service informatique de leur entreprise, ce qui fait 79 % France ;

– 81% confirment leurs responsabilités en entreprise en matière de sécurité informatique ;

– 64% sur le plan mondial et 62 % France admettent l’existence un véritable danger à l’utilisation des applications personnelles sur des terminaux destinés uniquement au travail.

On peut alors dire que ce niveau permet clairement de dire que la sensibilisation des collaborateurs est essentielle pour maintenir un certain cadre sécuritaire au niveau des services informatiques. Jean-Marc Thoumelin, Directeur Général France & Vice-Président Europe du Sud, Trend Micro. Commentait ledit rapport : « Dans le contexte actuel, il est encourageant de constater qu’une grande majorité de collaborateurs prend au sérieux les directives de sécurité mises en place par leur service informatique. Ils ont majoritairement pris la mesure de leur rôle dans le dispositif de protection de l’informatique au sein de leur organisation ».

Toutefois, le fait que la majorité des salariés ont conscience des risques potentiels mais si mais ce n’est pas pour autant qu’ils respectent soigneusement les consignes de sécurité. En effet :

– 56% des employés interrogés au niveau mondial et en France ont reconnu qu’ils utilisaient au moins une application personnelle sur leurs terminaux de travail.

– 64 % mondialement et 66 en France ont déjà effectué le téléchargement via ses applications personnelles

– 80 % sur le plan mondial et 81 % en France reconnaissent avoir utilisé leur ordinateur professionnel pour des usages personnels lorsqu’ils étaient sur internet.

– 39% sur le plan mondial 44% en France ont déclaré qu’ils avaient tendance à accéder à des informations de leurs entreprises grâce à leurs appareils personnels, ce qui s’oppose clairement à la politique de plusieurs entreprises.

– 8 % des employés interrogés à travers le monde et 6 % en France avouent visiter des sites à caractère pornographique grâce à leurs terminaux de travail.

– 7% d’entre eux accèdent souvent au Dark Web.

« On peut certainement expliquer cette différence d’approche de la cybersécurité par la diversité des profils des salariés. Cela en raison de leurs valeurs personnelles, de leur niveau de responsabilité au sein de l’entreprise, et des aspects de leur personnalité. Ces facteurs, qu’il est important de prendre en compte, sont susceptibles d’influer sur les comportements. C’est pourquoi, pour gagner en efficacité, la prise en compte de ces facteurs est primordiale dans la mise en place des formations de cyber-sécurité, qu’elles soient sur-mesure ou non », note le Docteur Linda K. Kaye, une universitaire en cyber-psychologie à l’université de Edge Hill.

Par ailleurs, l’étude de Trend Micro décrit les télétravailleurs français comme étant les plus vigilants en matière de gestion de la cybersécurité du travail à distance. Et cela grâce à la crise sanitaire que traverse le monde. Selon 77 % d’entres eux, ils se sont plus investis dans les politiques de cybersécurité définies par leurs d’entreprise depuis lors du télétravail. On observe donc près de 79 % des travailleurs français qui font dorénavant confiance au service IT de leur entreprise, ils sont à l’écoute des différentes directives et conseils qui reçoivent de ces derniers. Ce qui fait de la France l’un des seuls pays européens à figurer dans le top 10 des pays les plus conscient dans le domaine de la cybersécurité avec la Norvège.

« L’étude ‘Head in the Clouds’ nous a permis de mesurer le niveau de sensibilisation des Français aux enjeux de cyber-sécurité de leur entreprise. Le fait qu’ils soient majoritairement conscients des risques liés à l’utilisation d’une application personnelle sur leurs outils (ordinateur ou téléphone) professionnels (62%) laisse entrevoir une évolution positive dans les futures utilisations des outils numériques », observe Renaud Bidou, Directeur Technique Europe du Sud de Trend Micro. Il ajoute par ailleurs : « Si les mentalités semblent évoluer, les usages le doivent également si l’on souhaite véritablement limiter les risques. La manière dont les collaborateurs utilisent leur PC portable, leur messagerie, leur téléphone mobile, etc. peut en effet représenter une brèche de sécurité et une porte d’entrée pour les hackers. ».

L’un des problèmes récurrents est l’utilisation des outils personnels dans le domaine du travail, qui constituent un des principaux vecteurs d’attaques pour les cybercriminels. Notamment à travers la méthode de l’hameçonnage. Et cela près d’un tiers des salariés français se sont rendus compte du problème et évite d’utiliser à des fins professionnels leurs outils personnels. « La prise de conscience, mise en lumière par cette étude, se traduit par un comportement plus responsable de la part des salariés. Pour améliorer cet état de fait, les entreprises doivent prendre en compte la diversité des profils en interne et ainsi adapter leurs formations en conséquence. », conclu Jean-Marc Thoumelin.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage