Archives par mot-clé : accès

Sécurité des données personnelles : l’utilisation du WiFi du médecin par le patient

Dans une décision rendue très récemment, la chambre disciplinaire nationale de l’ordre des médecins se prononçait sur un contentieux qui exposait 2 praticiens de la profession concernant la mise en ligne de certaines informations de patients sur les activités d’un cabinet.

En l’espèce, nous avons un médecin plaignant qui déclare que le compte « Google business », mis en ligne, au cœur de cette affaire, ne l’a pas été avec une autorisation expresse de sa part. Il a ajouté aussi que l’avis négatif portait totalement atteinte à son honneur.

Cet article va aussi vous intéresser : APT31 cible votre routeur WiFi

Ce qui attire l’attention autour de cette affaire c’est seulement le fait que le praticien qui se constitue en plaignant au cours de ce contentieux a réussi à démontrer à travers plusieurs procédures judiciaires dirigées contre son fournisseur d’accès, que l’avis négatif porté à son encontre était issu d’une adresse IP qui appartenait à l’un de ses confrères contre lequel il avait déjà déposé une plainte pour non-respect de la déontologie.

Dans ce contexte, les institutions disciplinaires alors on lui sa décision au visa de l’article R. 4127-56 du code de la santé publique, qui dispose que :

« Les médecins doivent entretenir entre eux des rapports de bonne confraternité. Un médecin qui a un différend avec un confrère doit rechercher une conciliation, au besoin par l’intermédiaire du conseil départemental de l’ordre. Les médecins se doivent assistance dans l’adversité ».

Par conséquent la chambre disciplinaire a conclu immédiatement que l’avis qui a été mis en ligne porte d’une manière ou d’une autre atteinte à la qualité de la pratique professionnelle du médecin plaignant.

Durant la période de l’instruction, le médecin accusé a quant à lui réussi à prouver que c’était l’un de ses patients qui reconnaissait suite à une attestation avoir faire la publication. Ces derniers se justifie de la présence de son adresse IP derrière cet avis par le fait qu’il mettait à disposition son accès wifi dans la salle d’attente dans tous les patients aux visiteurs pouvez y accéder.

Pourtant, l’article L. 32 15° du code des postes et des communications électroniques dispose que :

« On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».

De son côté, les institutions disciplinaires déclarent sans s’appuyer sur l’article susvisé que :

« Le partage de son accès à internet par un réseau sans fil utilisant la technologie wifi, outre qu’il faisait courir un risque pour l’intégrité de son système informatique en cas d’utilisation malveillante à son égard, engageait la responsabilité du Dr A puisqu’il était ainsi fournisseur d’accès à internet pour ses patients. Il devait donc faire preuve de la plus grande vigilance, dès lors que des messages pouvaient être postés sous couvert de son adresse IP ».

En d’autres termes, un praticien qui met à disposition son accès wifi à ses patients ou visiteurs que ces derniers puissent accéder à internet doit être considéré en ces termes comme un fournisseur d’accès.

Par ailleurs, la chambre disciplinaire a soulevé une situation qui à la base ne faisait pas partie du contentieux. C’est le fait que permettre à des personnes extérieures au service d’accéder à Internet grâce au wifi mettez en péril l’intégrité des systèmes informatiques du médecin, ce qui mettait bien évidemment en danger la confidentialité de ces dossiers.

Elle ajoute par ailleurs que :

« En l’espèce, il ressort des pièces du dossier qu’alors même qu’il a été averti par le Dr B de ce qu’un avis mettant gravement en cause les qualités professionnelles de ce dernier en des termes particulièrement violents de nature à le déconsidérer avait été émis en utilisant son adresse IP, le Dr A n’a ni répondu au Dr B, ni entrepris une action pour rectifier ou pour faire rectifier cet avis. En ne donnant aucune suite à la demande dont il avait été saisi, il a manqué au devoir de confraternité qui s’imposait à lui en application des dispositions de l’article R. 4127-56 du code de la santé publique ».

On peut retenir seulement que l’institution disciplinaire n’a pas sanctionné le fait que le réseau Internet du praticien a été utilisé dans une mauvaise intention. La sanction puise sa source dans le fait que le confrère qui une fois alerté par l’autre, n’a rien fait pour rectifier l’avis qui a été mis en ligne par intermédiaire de son adresse IP. Dans tous les cas, étant considéré comme un fournisseur d’accès dans ces conditions, le médecin était alors responsable des dérives réalisées à travers l’utilisation de son adresse IP.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des pirates informatiques auraient eu accès à des données clients de Comparis

Il a été porté à la connaissance des grands publics que les Cybercriminels ont pu avoir accès à des données appartenant aux clients de Comparis.

Cette violation de données sera la résultante d’une attaque informatique dirigée contre le site internet de comparaison le 7 juillet dernier selon le rapport de la police. Cette dernière n’exclut pas le vol de données personnelles, appelant ainsi à la vigilance des utilisateurs de la plate-forme.

Cet article va aussi vous intéresser : Les données d’anciens clients dérobées, Koodo s’est fait pirater

La responsabilité de la plate-forme Comparis est pointée du doigt par plusieurs organisations particulièrement la fédération romande des consommateurs.

Suite à une enquête des autorités policières zurichoises il a été démontré que lors de l’attaque informatique, les cybercriminels ont réussi à accéder aux informations stockées de manière interne par la plate-forme. La police de son côté n’écarte pas l’éventualité que ces informations auraient été volées. Selon la société, les consommateurs concernés par cette de violation auraient été informés par mail.

« Leur devoir de diligence ne s’arrête pas au simple signalement des consommateurs lésés. Comparis doit informer activement les assurés sur les droits des individus face aux risques d’utilisations de ces données par des tiers », a signifié, Jean Busché, le responsable politique économique et des nouvelles technologies de l’information de la communication à la Fédération romande des consommateurs.

Dans notre contexte, le vol ici est très problématique en ce sens que la société a basé son modèle économique sur le traitement des données personnelles.  « Si elle échoue à garantir leur sécurité, elle échoue dans ses responsabilités face aux consommateurs » remarque Jean Busché.

« Les personnes concernées peuvent intenter une plainte devant les tribunaux civils cantonaux pour obtenir un dédommagement. Ils doivent prouver le dommage et également qu’il a été causé de manière illicite, c’est-à-dire par une violation des obligations découlant de la loi sur la protection des données (LPD) », soulève le porte-parole du préposé fédéral à la protection des données et à la transparence, Silvia Böhlen Chiofalo.

Selon les termes de la nouvelle loi portant sur la protection des données personnelles, loi qui devrait entrer en vigueur en 2023 : « les responsables peuvent être condamnés par les tribunaux pénaux cantonaux à une amende allant jusqu’à 250’000 francs pour violation intentionnelle de ces obligations » précise cette dernière.

L’une des questions que l’on se pose est de savoir comment cela se fait-il qu’une société comme Comparis a pu se faire avoir ? Surtout lorsqu’elle sait que son modèle économique est littéralement fondé sur sa manière de gérer les données.

« Une telle faille de sécurité est extrêmement problématique », mentionne M. Busché. « Il est sûr que ces entreprises devraient avoir une responsabilité étendue: les données sont leur fond de commerce, elles devraient donc être irréprochables quant à leur sécurité. Ce qui au vu de la situation, n’est pas le cas ».

Selon la fédération romande des consommateurs, il faudrait établir un cadre légal qui comprit l’ensemble des entreprises qui collecte des données personnelles à être beaucoup plus regardant et rigoureux dans leur manière de les sécuriser. De façon générale il faut par ailleurs « questionner l’impact, pour les consommateurs, des modèles économiques qui se basent sur la collecte et l’utilisation des données personnelles », souligne M. Busché. « De plus, les entreprises doivent garantir la sécurité des données et éviter d’en collecter plus que ce dont elles ont besoin ».

À titre de rappel, il faut préciser que le 7 juillet dernier, la plateforme de comparaison en ligne avait été victime d’une attaque de type rançongiciel.

Le comparateur en ligne a été victime d’une cyberattaque au « rançongiciel » le 7 juillet au matin. Plusieurs sites internet ont été bloqués en particulier celui de Comparis.ch . Bien évidemment les pirates informatiques exigeaient le paiement d’une rançon pour le déblocage du système informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les employés en entreprise ont trop d’accès aux données sensibles

L’étude a même signifier que 49 % les employés accèdent juste par curiosité.

Selon une étude réalisée par Ponemon Institute, environ 40 % des employés, sont en mesure d’accéder à des données sensibles dans leur entreprise alors qu’ils n’ont aucunement besoin de celle-ci dans la réalisation de leurs tâches.

Cet article va aussi vous intéresser : Cybercriminalité et Data : quand les pirates menaces de divulguer des données sensibles

Tout ce qui concerne la gestion des accès est à proprement dit très sensible. La majorité de la sécurité informatique des organisations des pompes clairement de cet aspect. Avec la pandémie à coronavirus qui a contraint une généralisation du travail à distance, le problème des accès est devenu quelque chose d’encore plus délicat à gérer. Car il fallait pas remettre à ses employés d’accéder à des contenus présents dans la base de données de l’entreprise alors que ce dernier ne se connecte pas forcément avec des outils homologués.

Pendant que les organisations essayent tant bien que mal d’organiser au mieux leur gouvernance, certains problèmes ont été vite détectés.

Dans son récent rapport, suite à une recherche par année par Forcepoint, Ponemon Institute à signifier que trop de personnes détiennent des accès à certaines informations alors que cela ne devrait pas être le cas.

Les personnes interrogées dans le cadre de cette étude en sont des professionnels du domaine. Ce sont notamment :

– des professionnels de la sécurité

– des professionnels du service cloud

– des administrateurs de base de données

Cette étude a mis en évidence le fait que de nombreux employés utilisent souvent de manière inappropriée certains accès susceptibles de mettre en danger plusieurs données sensibles dans leur organisation.

D’abord 49 % des personnes interrogées ont signifié que des personnes ayant des accès privilégiés ont plusieurs fois consulté des données sensibles alors que cela n’était même pas nécessaire et seulement par curiosité.

36 pourcents de personnes interrogées aux États-Unis et au Royaume-Uni avait mentionné ne pas avoir besoin de ce genre d’accès privilégié pour accomplir efficacement leur travail. Selon leurs explications, les organisations ont tendance à ne pas supprimer souvent les accès de leurs employés lorsque leur statut changeait. Ce qui fait que certains disposait de certains droits qu’ils n’étaient pas censé avoir.

En outre, suite à ce rapport, Forcepoint commente : « Le grand nombre d’utilisateurs privilégiés rend, dans une certaine mesure, les abus inévitables. Mais les abus ne doivent pas se transformer en une véritable violation de données. La surveillance du comportement et de l’activité des utilisateurs, qui peut déterminer le contexte et l’intention des actions d’un utilisateur particulier, est l’une des clés de la réduction des abus d’utilisateurs privilégiés. La surveillance de l’activité des utilisateurs nécessite la capacité de corréler l’activité à partir des frappes au clavier, des enregistrements de badges, etc. Il devrait également inclure des fonctionnalités telles que lecture de type DVR pour discerner l’intention de l’utilisateur final. Une automatisation robuste est essentielle pour garantir que ce niveau de surveillance ne crée pas de friction pour les employés qui tentent également de faire leur travail. L’analyse du comportement utilise des indicateurs de comportement (IOB – Indicators of Behavior) pour déterminer le risque de comportement en utilisant un mélange de données informatiques, de données non informatiques et de facteurs psychologiques pour comprendre les risques à un stade précoce. Il est important de prendre des mesures proactives, en fonction du niveau de risque, pour atténuer ce risque grâce à l’application de politiques granulaires.

« Sans visibilité granulaire (visibilité non seulement sur les personnes qui y ont accès, mais aussi sur ce qu’elles en font), les entreprises ne peuvent pas détecter ou réagir suffisamment rapidement à un accès compromis ou malveillant pour rester protégées. Le principe clé ici est une devise de confiance zéro: ‘ne jamais faire confiance, toujours vérifier’ d’autant plus que la menace de l’utilisateur privilégié ne montre aucun signe de diminution. La pression économique conduit à des entreprises à court de personnel, ce qui conduit à des employés stressés qui sont plus susceptibles de prendre des raccourcis d’une manière qui menace la sécurité. Surtout maintenant, la visibilité en temps réel de l’accès et des actions des utilisateurs ne devrait pas être négociable.

« Dans un environnement informatique, le privilège peut signifier plusieurs choses : l’accès à une application ou à un ensemble de données particulier; l’autorisation d’arrêter ou de configurer des systèmes; le pouvoir de contourner certaines mesures de sécurité. Dans certains cas, ce privilège est requis pour une tâche urgente. Dans d’autres, cela représente non seulement un accès inutile, mais un risque inutile. Les organisations doivent faire un meilleur travail de suivi non seulement de l’accès, mais du comportement une fois que cet accès est accordé, afin de prévenir et de répondre aux violations de données ».

Le directeur de Forcepoint, Nico Popp note ceci de son côté : « Pour comprendre efficacement le risque posé par les initiés, il faut plus que simplement regarder les journaux et les changements de configuration ». Il précise par la suite : « les outils de sécurité basés sur les incidents génèrent trop de faux positifs. Au lieu de cela, les responsables informatiques doivent être en mesure de corréler l’activité de plusieurs sources, telles que les tickets d’incident et les enregistrements de badges, de consulter les archives et la vidéo des frappes au clavier et de tirer parti des outils d’analyse du comportement des utilisateurs et des entités. Malheureusement, ce sont tous des domaines dans lesquels de nombreuses organisations échouent ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les sites ont-ils le droit de bloquer les utilisateurs qui refusent d’accepter leurs cookies ?

« A l’avenir, les sites Internet pourront bloquer l’accès à tous les internautes qui refusent les cookies, ces traceurs informatiques controversés », pouvait-on lire dans les lignes du journal l’écho.

Et cela en vertu d’une « décision du Conseil d’Etat publiée vendredi » dans laquelle le juge administratif « donne raison aux éditeurs de sites contre la CNIL [Commission nationale de l’informatique et des libertés, ndlr], le gendarme français de la vie privée sur Internet, qui avait interdit une telle pratique ».

Cet article va aussi vous intéresser : La position de la Commission Nationale Informatique et Libertés sur l’appli de traçage mobile

Dans une dépêche de l’Agence Française de Presse, reprise par le journal l Monde, la même information est confirmée car l’on pouvait encore lire ceci : « Selon la plus haute juridiction administrative, les éditeurs peuvent bloquer l’accès à leur site à un internaute qui refuserait les cookies, contrairement à ce que préconise le gendarme français des données personnelles dans ses lignes directrices sur le sujet publié en 2019. ». En d’autres termes, la haute juridiction administrative autorise alors cette pratique qui permet au site web d’imposer des cookies aux utilisateurs, en vertu de quoi, le refus de ces derniers accepter les installations des mini programmes informatiques leur empêcherait l’accès. Une telle décision vient d’une longue procédure menée par 9 associations, des représentantes de plusieurs entreprises françaises calées dans différents domaines tels que la publicité les médias et le commerce en ligne. On parle notamment de MMAF, Udecam, Fevad, UDM, SNCD, SRI, IAB France, Geste, AACC…

Cependant, plusieurs spécialistes du droit du numérique ont estimé que cette décision du conseil d’État n’implique pas l’affaire dans le fond mais plutôt dans la forme. Ce qui signifie que techniquement, l’usage de ce genre de méthode ne serait pas forcément légal. De notre côté on pouvait lire dans un communiqué de presse de la juridiction administrative ceci : « le Conseil d’Etat annule partiellement les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion ». La juridiction administrative a alors estimé que le gendarme en du respect de droit vie privée et la protection des données personnelles a « excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple » ». Dans ce contexte, les actes de droit souple se représentent par « les instruments, telles que les lignes directrices des autorités de régulation [comme la CNIL], qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques ». Par ailleurs, le conseil d’État notait explicitement « que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue » concernant l’utilisation des cookies walls. Cependant la décision de la juridiction administrative a été prise sur elle-même ses propres dires dans la forme. Comme elle le signifie clairement, « sans se prononcer sur le fond de la question ».

Si le conseil d’État a sanctionné la décision de la CNIL concernant certaines de ses lignes directives, en particulier dans l’interdiction des cookies Walls, Il ne faudrait pas extrapoler car ce dernier « ne s’est pas prononcé sur la légalité des cookies walls, contrairement à ce que prétendent certains qui se livrent à une bataille de communication. Pour savoir si c’est légal ou non, il faudra du contentieux, avec un examen concret, site par site », estime Bernard Lamon, avocat spécialiste du règlement général sur la protection des données (RGPD).

Du côté des requérants, leur avocat, Étienne Drouard notait que la juridiction administrative « rappelle que la CNIL doit analyser au cas par cas les alternatives proposées à l’utilisateur en contrepartie de l’accès au site de l’éditeur. »  Ce qui signifie que, lorsqu’un site web propose à un égarement de soit accepté installation de cookies publicitaires, ou de payer les frais d’abonnement d’accès au contenu du site, c’est un choix que le site offre à ces derniers, ce, « qui préserve la liberté du consentement prévue par le RGPD ». « Ce qui n’est pas possible, c’est de conditionner l’accès au site à l’acceptation des cookies, sans offrir d’alternative », argumente l’avocat. Il ajoute de plus que le fait que le conseil d’État rappel à l’ordre la CNIL aider nature à définir le rôle de chacun car un « régulateur comme la CNIL ne peut pas, à la différence d’un législateur, créer des interdictions de principe ».

En outre, il faut quand même noter que « le Conseil d’Etat donne raison à la CNIL sur tout le reste, que ce soit sur sa compétence ou les lignes directrices » souligne l’avocat Bernard Lamon.  Next Inpact de son côté pense que le juge administratif statué dans le même sens que la Commission même « si cette dernière devra parfois ajuster sa manière de faire. C’est notamment le cas pour les cookies walls (…) Alors qu’éditeurs de presse et autres organismes publicitaires s’étant attaqués aux lignes directrices de la CNIL s’attendaient à une confirmation de leur position, cela n’a pas été le cas. […] Concernant le consentement [des utilisateurs] ses positions se trouvent renforcées par le Conseil d’Etat qui a « validé l’essentiel des interprétations ou recommandations » en la matière. Notamment que la gestion devait être symétrique (aussi simple à accorder qu’à refuser) et « porter sur chacune des finalités, ce qui implique notamment une information spécifique ». ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les accès aux réseaux d’entreprises sont en vente sur le Dark Web

Récemment, la firme Positive Technologies, une spécialiste de la sécurité numérique publiait le rapport d’une étude qu’elle a mené sur le commerce illicite portant sur les accès aux réseaux informatiques en des entreprises.

Ce rapport a été mis à disposition du public depuis du 20 mai dernier. Dans cet article, nous allons vous donner le contenu de cette recherche.

Cet article va aussi vous intéresser : 7600 sites internet du Dark web hors ligne après l’attaque de leur hébergeur

Selon le rapport Positive Technologies, les attaques contre les accès de réseau informatique d’entreprise connaissent depuis une dizaine d’années, une augmentation de près de 19 %, et cela s’observe chaque année. Dans la face cachée d’Internet, c’est-à-dire le Dark Web, il est possible de découvrir un marché de ce phénomène plus qu’illicite. Il est possible de se procurer, pour toute personne intéressée, des programmes malveillants et autres services informatiques permettant de s’introduire de manière illicite aux réseaux des entreprises. En tenant compte du sens profond du Dark web qui rassemble des exploits, des logiciels et même références, le plus souvent illicites, il permet les personnes de mauvaises intentions d’avoir un contrôle illégal sur plusieurs terminaux à distance. En d’autres termes, les cybercriminels en passant par le Dark Web, pourrait avoir accès à un serveur Web appartement à une entreprise, à un poste de travail et même une base de données confidentielles.

Pour réussir cela, des pirates informatiques vont mener des investigations en vue de trouver la moindre faille de sécurité autour du périmètre du réseau de l’entreprise ciblée. Il pourrait s’agir de logiciels non mis à jour, d’une application Web qui n’est pas protégée. Le mot de passe n’est pas suffisamment coriace ou un serveur mal configuré. Lorsque ces derniers arrivent à récolter ce genre d’informations, ils peuvent voler transférer où les commercialiser à d’autres pirates informatiques. Mais ce ne sont pas les pirates informatiques qui achètent ce genre de données. En effet, des concurrents ou d’autres personnes ayant quelconque intérêt peuvent aussi se constituer en clients de voleurs d’informations. Il arrive des fois, ou des clients d’un réseau de cybercriminels, sont prêts à verser des commissions allant jusqu’à 30 % de profit, pour l’attaque informatique d’une infrastructure d’entreprises, dans le chiffre d’affaires annuel excède dans les 500 millions de dollars.

Le rapport de Positive Technologies indique que plus de 50 accès au réseau informatiques de très grandes entreprises, ont été mis en vente sur le Dark web en fin d’année 2019. Les victimes étaient en partie de société dont les chiffres d’affaires annuels dépassaient les centaines de millions de dollars. Il était dénombré que les entreprises américaines constituaient à elles seules un tiers de des victimes. Ce qui faisait les principales cibles des cybercriminels. Derrière elle, se trouvait les entreprises italiennes et britanniques qui constituent chacunes 5,2 % des victimes. Par la suite les entreprises Brésiliennes étaient à hauteur de 4,4 %, suivi de près par les Allemandes de 3,1 %.

Par ailleurs, il a été démontré dans le rapport de Positive Technologies, que la pirates informatiques vendaient aux États-Unis principalement, les accès au réseau des entreprises spécialisées dans le secteur professionnels, soit 20 % suivi de près par les entreprises industrielles à hauteur de 18 %. Les institutions gouvernementales suivent de près avec 14,8 %. Par contre en Italie, ce sont les entreprises industrielles qui sont les plus exposées avec 25%, ensuite, les entreprises de services professionnels à hauteur de 17 %. Au Brésil, le changement aussi intervient car de ce côté ce sont les institutions gouvernementales qui sont en tête avec 20 % des expositions suivi de près par les entreprises de services professionnels à 17 %. Le Royaume-Uni est à peu près dans une même tendance que les États-Unis avec à la tête des expositions les sociétés de services professionnels avec 33 %. Mais cette fois-ci, le secteur de la science de l’éducation vient en seconde position avec 25 % des expositions. La finance ferme la marche avec 17 pourcents. Quant à Allemagne, les ventes des accès aux réseaux informatiques se constituent à 29 % pour les entreprises du secteur de l’informatique et des sociétés de services professionnels. Pour finir l’Australie, qui est le moins exposé rapport aux autres, où l’essentiel des ventes d’accès concernant généralement, le système du gouvernement ou des entreprises affiliées à la science et à l’éducation.

En outre, les prises exigées lors de la vente de ses accès peut varier entre 500 et 5000 dollars. La moyenne généralement perçue par les cybercriminels s’élève à 5000 dollars. Ce qui met nettement évidence le fait que les grandes entreprises sont une véritable source d’argent pour les cybercriminels.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage