Archives pour la catégorie Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

Les professionnels de la cybersécurité : les héros de demain ?

Sans comprendre exactement pourquoi, l’on a eu tendance à associer les notions d’intelligence artificielle et d’éthique dans le domaine des IT.

Si cela présente un aspect positif, il n’en demeure pas moins qu’il ne peut pas permettre d’appréhender les contours de ces différentes notions. Alors il serait intéressant de s’interroger sur la portée de la notion d’éthique dans le domaine des l’IT.

« Deux domaines devraient intégrer la notion d’éthique. Le premier concerne le développement de produits où les acteurs malicieux et la peur sont les principaux obstacles à des modèles éthiques. Le second est, quant à lui, lié à la culture de l’industrie informatique, où la complaisance et l’avidité peuvent souvent empêcher de « faire ce qui est juste ». Explique Florent Embarek, Directeur régional des ventes – Europe du Sud et de l’Est chez BlackBerry.

Cet article va aussi vous intéresser : Les professionnels de la sécurité informatique majoritairement touchés par le surmenage

« Lorsque le sujet de l’éthique dans l’IT est abordé, l’intelligence artificielle est au cœur des discussions car cette technologie est mal comprise et souvent considérée comme effrayante. Or, l’éthique ne devrait pas s’appliquer uniquement à l’IA mais bien à l’ensemble de la chaîne de développement de produits IT. Dès la phase de R&D, se contenter de définir les fonctionnalités auxquelles une technologie est supposée répondre est insuffisant et il est indispensable de s’interroger sur le potentiel positif qu’il représente ou non, au-delà de l’objectif fixé. » ajoute ce dernier.

On peut prendre comme cas palpable, la situation de Intel, qui a développé des puces qui sont censées représenter l’efficacité même de l’innovation informatique.  Le problème, c’est que le géant américain n’a pas anticipé des failles de sécurité très importantes en l’occurrence Spectre et Meltdown. Des failles de sécurité qui bien sûr ont a été découverte en quelques années plus tard, dans les processeurs, au détriment des utilisateurs et de la société productrice. Cette situation met un exergue un fait totalement réaliste et inexorable : c’est que tout ne peux pas être prévu ou pris en compte lors de la conception d’un produit informatique.

« Si des technologies telles que les robots, les drones ou les super-ordinateurs ont été créées à l’origine avec les meilleures intentions – comme renforcer l’efficacité ou encourager le deep learning – leur puissance et leur potentiel peuvent induire des comportements et des résultats imprévus voire, non voulus. Il est facile de s’éprendre d’une technologie si attrayante et si brillante, que les avantages commerciaux et sociétaux l’emportent sur les risques associés. D’ailleurs, une citation du film Jurassic Park illustre d’ailleurs parfaitement cette notion : « La véritable préoccupation des scientifiques est la réussite. Tout ce qui les intéresse, c’est de savoir s’ils peuvent faire quelque chose et ils ne prennent jamais le temps de se demander s’ils devraient le faire. » » souligne Florent Embarek.

Dans de telles perspectives, il faudrait garder à l’esprit quelque chose de plus important que la productivité ou la rentabilité d’un produit informatique. Cette chose est l’évaluation des mauvaises ou bonnes utilisations dont peut être obligé une technologie quelconque. Ce qui conduit à envisager, dès la conception, des mesures de protection, qui vont permettre d’assurer dans une certaine mesure les standards éthiques.

« Cela nous amène alors à la question de la culture de l’industrie IT. L’objectif fondamental de la technologie est d’optimiser la productivité, la sécurité et l’expérience utilisateur. Or, il est souvent admis que les commerciaux sont bien trop obnubilés par leurs objectifs, entrant alors en contradiction avec ces principes. Cette perception peut empêcher les organisations d’établir des partenariats constructifs et par conséquent entraver l’amélioration de l’efficacité, de la cyber-résilience et de l’expérience. C’est précisément là où l’éthique entre en jeu. Les équipes commerciales qui souhaitent changer la donne et aider leur entreprise devraient mettre de côté les techniques d’intimidation. Il est facile de s’approprier des discours alarmistes et d’espérer qu’en répandant la peur, l’incertitude et le doute, cela débouchera sur une vente. En réalité, les discussions constructives, collaboratives et emplies d’espoir sur l’innovation seront celles qui feront vraiment la différence et qui permettront aux vendeurs d’établir des relations de confiance et des partenariats durables. » conclut Florent Embarek de chez BlackBerry. En d’autres termes, la notion d’éthique dans le domaine de l’IT difficilement dissociable de celle de la sécurité informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Et si l’administration Française était exposée à de multiples failles de sécurité

L’ancien agent de la DGSI a mis récemment en évidence certaines failles de sécurité.

Un ex-agent de la DGSI pointe les failles du département de renseignement intérieur. Il est connu sous le pseudonyme de Haurus. Ces faits d’arme, il aurait vendu plusieurs informations de nature confidentielle il aurait puisé dans les fichiers de la police nationale. Ayant fait de la prison et libéré après avoir purgé sa peine, l’ancien agent de la DGSI a publié un livre, disponible sur Amazon. Son objectif est d’interpeller les avocats sur les enquêtes et pour ce qui touche la téléphonie.

Cet article va aussi vous intéresser : Faille de sécurité et entreprises durant le confinement

Son nom à l’état civil est Cédric D, cet ancien agent de la lutte contre le terrorisme a été au cœur d’un scandale qui a remué les services de renseignement intérieur français. Son jugement pour avoir commercialiser des informations confidentielles de la police est toujours en attente. Mais en attendant cela, ce dernier a décidé d’éditer un livre.

« C’est la première fois que je vois un ancien OPJ expliquer comment il travaille » note Jean-Marc Manach, un journaliste, spécialisé dans les questions de sécurité informatique.

Interrogé sur les raisons qu’il aurait pu le pousser à commettre cette infraction, l’ancien agent de la DGSI déclare : « J’ai perdu totalement le contrôle. » :

« C’est la première fois que je vois un ancien OPJ (officier de police judiciaire) expliquer comment il travaille (…) Jusqu’à présent, on savait ce que c’était que la Plateforme nationale des interceptions judiciaires (PNIJ). On avait accès aux codes de procédure pénale, ou encore à Légifrance, pour trouver combien ça coûte d’obtenir un numéro de téléphone, etc. Mais on n’avait pas de témoignage de première main sur comment c’était utilisé. » explique Jean-Marc Manach.

Grâce à son témoignage, il est possible dorénavant de s’apercevoir des différentes failles qui affectent au le système selon le journaliste Jean-Marc Manach. « Ce qui a motivé apparemment Cédric dans la rédaction de ce guide pratique, c’est quand il a découvert que les officiers et les magistrats qui enquêtaient sur lui, utilisaient mal les informations issues de la téléphonie mobile. Il voyait que c’était utilisé uniquement à charge et pas à décharge. » indique ce dernier.

« Ces révélations pourraient aider tous ces professionnels et les étudiants du droit à mieux comprendre comment se saisir de ces preuves techniques, pour améliorer la justice, que les procès soient plus équitables ».

Dans certains sens, l’ancien agent de la DGSI n’est pas dans la catégorie des lanceurs d’alerte. En effet, les informations qu’il a divulguées ne revêtais pas véritablement un caractère secret.

« Il explique comment des professionnels du droit comme les magistrats, les policiers ou les avocats, peuvent se tromper si jamais n’ils exploitent mal les données issues de la téléphonie mobile » explique ce dernier.

 En guise de rappel il faut signifier que Cédric D a été interpellé par ses propres collègues au siège même de la DGSI. L’arrestation a eu lieu en septembre 2018. Aujourd’hui il a été libéré, en attente de son jugement qui doit en principe avoir lieu d’ici la fin de l’année. Le procès impliquera plusieurs autres complices et même clients de ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Votre vie privée est-elle protégée par les sites de rencontre ?

Les plateformes numériques comme les sites de rencontres ou comme les sites adultes engrangent beaucoup de données personnelles de leurs utilisateurs et cela se comprend vu la nature des services qu’ils proposent à ces derniers.

Cependant d’un autre côté, ces sites sont beaucoup sujets à des attaques informatiques. La conséquence est visible, les utilisateurs exposés se trouve dans les situations souvent très gênantes.

On se rappelle quand 2015, l’un des plus grands sites de rencontre, canadien Ashley Madison a été victime d’un piratage informatique ou des millions d’abonnés à travers le monde ont vu leurs données personnelles dérobées par des cybercriminels.

Cet article va aussi vous intéresser : Données personnelles : la Commission Nationale de l’Informatique et des Libertés veut rassurer à propos du fichier vaccin COVID

« Certains ont payé plusieurs centaines d’euros pour espérer rencontrer des femmes infidèles (qui, elles, ne payaient pas) … Le groupe de hackers à l’origine du vol se fait appeler The Impact Team. Rapidement, il prouve son forfait en rendant publiques des dizaines de giga-octets de données… On découvre alors que si 37 millions d’hommes se sont inscrits, seulement quelques centaines de femmes s’adonnent aux joies de l’adultère via le site, et encore : une bonne partie d’entre elles n’ont plus de compte actif. Pire, ces millions d’hommes discutaient (et fantasmaient) en fait avec 70.000 chatbots féminins. », explique Benjamin Cuq.

La conséquence directe de ce piratage informatique a été la disparition de la plateforme de rencontre. Le pire dans tout ça c’est que les pirates informatiques n’ont jamais été démasqués. Ainsi que les données qu’ils ont pu récolter lors de leur initiative. Selon certaines informations, l’action menée par ses cybercriminels avait pour but de dénoncer cette situation. Car après le piratage informatique de la plate-forme. Ils ont tellement disparu. Ainsi que la prime qui était placée en récompense pour toute information permettant de les découvrir.

L’exemple de Ashley Madison est canon. L’inquiétude persiste toujours quant à la sécurité qu’offre ce genre de plateformes face à une cybercriminalité qui est toujours en croissance. Les sites de leur côté essayent tant bien que mal de rassurer leurs utilisateurs. « Plus grave que le piratage en lui-même, c’est la découverte de la supercherie qui se cachait derrière ce site: robots, animatrices pour attirer les hommes et quasiment aucune femme réelle sur la plateforme », explique Bruno Mendel, directeur des nouvelles technologies de Gleeden, le « premier site de rencontres extraconjugales pensé par des femmes » français. Du côté de la plateforme française, elle confirme en disposer « d’une équipe technique qui veille 24 heures sur 24 et 7 jours sur 7 à la sécurité de notre infrastructure. Nous travaillons également avec des experts en sécurité informatique afin de nous assurer de la sécurité de nos données. ». Cependant, la plateforme ne nie pas avoir été souvent victime d’attaque informatique : « Phishing, DDoS (rendant l’infrastructure indisponible), tentatives d’intrusion sur les serveurs, et ce régulièrement, comme tout ce qui est exposé sur le Web ». Une situation il faut l’avouer est assez commune dans beaucoup d’autres entreprises.

Pour un expert en sécurité informatique que l’entreprise Eset, Benoît Grunenwald, il faut reconnaître que le site internet ont tendance à négliger certaines restant qui pèse sur les données de leurs utilisateurs. Il précise que la priorité de ces plateformes doit être la sensibilisation et la Formation les équipes de sécurité de développement : « La sécurisation des données comme le chiffrement des mots de passe enregistrés sur le serveur en est une. Cela évitera les risques liés à la “sextorsion” qui consiste en un mail dans lequel l’escroc menace de divulguer des images intimes en vous donnant un mot de passe souvent obsolète depuis longtemps.

Les gestionnaires de sites doivent aussi impérativement segmenter les “droits admin”. Un modérateur ne doit pas disposer d’un accès à toutes les données. S’il accède aux photos, il ne doit pas pouvoir connaître le mail ou la carte bancaire… Tout doit être séparé au maximum, comme chez Apple où chaque salarié qui travaille à la conception de l’iPhone se concentre sur une partie et ignore sur quelle autre se penche son collègue. Cela réduit les risques en cas de vol de ses identifiants. », explique l’expert.

En définitive, la question de sécurité est prédominante lorsqu’on parle des sites de rencontres. Beaucoup d’efforts sont encore à réaliser dans ce secteur. Une manière d’interpeller les utilisateurs de de faire beaucoup attention.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le guide de la Commission Nationale de l’Informatique et des Libertés sur l’appariement de données avec le SNDS utilisant le NIR

L’autorité administrative indépendante chargée de veiller à la protection des données personnelles des Français, a publié récemment un guide portant sur l’appariement des données personnelles avec un système national de données de santé.

Un système qui utilise en particulier le numéro d’inscription au répertoire encore appeler le numéro de sécurité sociale. Le guide a été publié depuis le 8 janvier dernier.

L’objectif de l’autorité administrative est « d’aider les chercheurs désirant travailler avec les données du SNDS à mettre en œuvre un circuit d’appariement conforme aux exigences de sécurité » et « accompagner les responsables de traitement ». La Commission Nationale de l’Informatique et des libertés décrit le guide comme un document qui « présente les circuits [de circulation du NIR] les plus classiques, conformes aux obligations légales et validés » par la commission. De ce fait, il devra contenir « les critères devant conduire à recourir à un tiers indépendant afin de cloisonner les données d’appariement [et ainsi d’éviter que le responsable de traitement ne dispose de données identifiants], ainsi que les critères permettant de s’assurer de l’indépendance de ce tiers » comme l’explique l’autorité administrative.

L’indépendance mis en évidence ici concernant morceau demande et dépendance économique, mais aussi l’indépendance juridique. Par ailleurs la personne tierce concernée ne doit pas être dans une situation dans laquelle il serait dans un certain conflit, d’intérêt, car c’est de ça qu’il s’agit, avec les responsables du traitement.

« Les traitements prévoyant l’usage du NIR comme identifiant pivot pour réaliser des appariements déterministes de données de santé avec le SNDS nécessitent une attention particulière » a expliqué la Commission Nationale de l’Informatique et des libertés. L’autorité administrative a par ce fait « identifié plusieurs écueils fréquents dans le cadre du traitement des demandes d’autorisation » qui lui ont envoyé « une circulation inutile du NIR et/ou des données de santé ». De plus, « le recours superflu à un tiers alors que le NIR est déjà connu du responsable de traitement ou du centre investigateur qui participe au projet de recherche » ou bien « l’implication d’une entité faisant en réalité partie du même organisme que le responsable de traitement et ne pouvant donc pas être considérée comme un ‘tiers’. ».

En définitive, le guide fourni par l’agence est de faire en sorte que la collecte de données ainsi que leur traitement dans un grand ensemble soient totalement conformité avec les règles produites dans le règlement général des données personnelles. Le nouveau guide est beaucoup plus à l’attention des organisations de santé ainsi que tout organisme ayant un intérêt quelconque ou pas ce type de collecte de données. Pour ce qui concerne dans les sanctions rien n’a été prévu dans le guide fourni par la Commission nationale de la Liberté. C’est qui en effet légitime en ce sens que c’est un guide. Mais pour cet ensemble est organisé et bien évidemment encadré par des règles qui sont présentes dans la RGPD.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Promutuel et la cybersécurité : une question d’assurance

Avec la multiplication des attaques informatiques, l’assurance cyber a connu un grand succès.

Cependant, tous les fournisseurs ne sont pas à mesures apparemment de satisfaire leurs clientèles. C’est malheureusement le cas pour Promutuel assurance. Elle continue malheureusement d’inquiéter le secteur de l’assurance face dommage cybernétique. Surtout lorsqu’elle-même est touchée par une attaque informatique. La société d’assurance ne peut ces derniers temps offrir qu’un service minimal. Et cela en passant par sa plate-forme Facebook.

Cet article va aussi vous intéresser : Les assurances cyber de plus en plus sollicitées par les entreprises

« On suit la situation de près chez Promutuel, d’autant que la sécurité informatique est un enjeu qui est pris très au sérieux dans le secteur de l’assurance », affirme le directeur de communications au Bureau d’assurance du Canada (BAC), Pierre Babinsky, qui est le représentant des assureurs en dommages et responsabilités.

« Quand un assureur est touché par une cyberattaque, il est très important qu’il prenne toutes les mesures qu’il juge nécessaires avec ses spécialistes [en sécurité informatique] pour assurer l’intégrité et la sécurité de son réseau, et protéger les données de ses clients.

« Un assureur affecté par une cyberattaque doit prendre les mesures pour rétablir et maintenir les services essentiels à ses clients. C’est sa responsabilité de pouvoir répondre aux assurés en cas de réclamation de sinistre, avec la priorité mise sur les sinistres plus graves qui, par exemple, empêchent les assurés d’utiliser leur véhicule ou d’habiter leur résidence. » ajoute ce dernier.

Dans notre cas ici c’est-à-dire celui de Promutuel assurance, « Nous avons reçu quelques appels à notre centre d’information de la part de clients de Promutuel incommodés par la situation, que nous avons dirigés vers les contacts d’information de l’assureur pour un suivi particulier », note M. Babinsky. Il déclare par la suite : « Entre-temps, poursuit-il, les informations mises sur le site internet de Promutuel devraient servir à rassurer les clients que leur protection d’assurance demeure valide et que les mesures ont été prises vers un éventuel retour à la normale. ».

Du côté du Regroupement des cabinets de courtage d’assurance du Québec en abrégé RCCAQ, qui rassemble près de 3000 courtiers en assurance à travers près 400 bureaux, il a été observé que Promutuel assurance démontrer des signes en de continuité d’informations « satisfaisante dans les circonstances » depuis que son système a subi une panne.

« Contrairement à ce que l’on semble percevoir parmi les assurés en vente directe [sans courtier], les courtiers d’assurance qui font affaire avec Promutuel ne se sont pas sentis laissés pour compte. Ils ont continué d’avoir accès aux informations de compte et de contrat d’assurance de leur client chez Promutuel », précise le président du conseil d’administration du RCCAQ, par ailleurs, directeur d’un cabinet de courtage à Laval, Mathieu Brunet.

Du côté de la commission d’accès à l’information, et de l’Autorité des marchés financiers en abrégé AMF, la principale autorité régulatrice du secteur de l’assurance au Québec, il a été indiqué que « la situation qui prévaut chez Promutuel a occasionné quelques appels de questions et de demandes d’information à notre service d’assistance ».

« Notre suivi de la situation chez Promutuel demeure très serré car l’Autorité est très consciente des impacts que cela peut avoir sur la clientèle » de l’assureur, déclare Sylvain Théberge, le porte-parole principal de l’AMF.

« Il s’agit d’une situation très sérieuse envers laquelle l’Autorité a rapidement mis en place des échanges avec Promutuel afin de veiller à ce que les suivis requis soient effectués, que les services puissent être rétablis dans les meilleurs délais possibles et que les membres [de la mutuelle] et les clients soient protégés. », ajoute ce dernier.

Pendant ce temps, du côté de l’autorité chargée de faire appliquer la loi sur la protection des données personnelles au Québec, à savoir la commission de l’accès à l’information, la situation de Promutuel assurance préoccupe grandement.

Dans la mesure où Promutuel assurance n’a pas fait de « déclaration d’incident de sécurité d’information », l’autorité administrative chargée de la protection des données personnelles au Québec affirme en avoir mené certaines investigations dans le but de « savoir si la situation est en contrôle et si les personnes affectées [par une fuite de leurs renseignements] ont été avisées », comme le précisait la porte-parole de la commission, Isabelle Gosselin.

En d’autres termes, la commission veut s’assurer que la société d’assurance est en mesure de limiter au maximum les préjudices causés par l’incident informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage