Archives par mot-clé : données

Comment le gouvernement français protège t-il les données des pass sanitaires en circulation ?

Depuis un moment, le pass sanitaire est obligatoire pour accéder à certains espaces publics en France.

Pour faciliter la vérification de ces dispositifs sanitaires, il a été développé des solutions informatiques par le gouvernement français en collaboration avec la Commission européenne. Ces dispositifs tournent autour d’un QR code. Grâce à la clé qu’il contient, il est possible de vérifier de façon numérique le lieu de vaccination ainsi que le contenu de certaines informations. En d’autres termes en le QR code se présente comme un identifiant cryptographique.

Cet article va aussi vous intéresser : Des faux pass sanitaires en circulation

De ce que l’on sait, le pass sanitaire ne permet pas d’avoir accès à des données de santé. Cependant, selon la Commission nationale de l’Informatique et des libertés, il n’est pas à exclure qu’une personne mal intentionnée cherche à accéder à ses informations personnelles qui sont contenues dans le QR code.

Il N’empêche que l’autorité administrative chargée de veiller au respect des normes en faveur de la protection des données personnelles ne détaille pas assez bien son point de vue. Cependant elle conseille à toute personne concernée de ne pas divulguer son QR code sur les réseaux sociaux ou sur tout autre plate-forme numérique ou analogique publique. Elle conseille notamment de ne pas présenter son pass sanitaire a des endroits où le contrôle n’est pas obligatoire.

Par ailleurs une autre critique vise l’application particulièrement. Elle concerne l’entreprise chargée de l’hébergement de cette dernière. En effet, c’est une société américaine, du nom de Akamai qui serait chargé de son hébergement. Ce qui pose un problème sérieux de confiance. De son côté le ministre chargé du numérique, Cédric O à chercher à rassurer en signifiant qu’une société tierce ne peut pas accéder aux données quand bien même qu’elles les hébergent.

Pourtant depuis le mois de juin 2021, il semblerait que suite à des études réalisées par des chercheurs en sécurité informatique dont Johan D, Nil L et Gaëtan Leurent, a permis de démontrer que l’application TousAntiCovid serait touchée par de grave faille de sécurité. Si l’étude a été publiée en fin du mois d’août 2021, elle a mis en évidence d’importantes risques pour la sécurité des données.

Ces spécialistes de la cybersécurité ont découvert que certaines données sont collectées auprès de l’utilisateur. Ce sont en particulier des statistiques horodatées et très détaillées. Ce qui est nettement une atteinte à la protection de la vie privée et à la sécurité de l’utilisateur. Elle « contredit le principe de minimisation des données ». Une telle analyse « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage des lieux par QR Code) » ont déclaré nos 3 chercheurs.

Ce qui tracasse dans cette histoire, c’est que la collecte de données est activée par défaut. S’il est possible de la désactiver manuellement, il faut signifier que l’utilisateur n’en est pas informé au préalable.

Pour soulever un autre problème encore, l’utilisation de l’application permet l’accès aux données de localisation. Ce qui signifie que scanner dans un laps de temps réduit plusieurs utilisateurs dans un même endroit peut permettre de déterminer si des personnes se sont rendues ensembles dans des lieux particuliers. Ce qui peut facilement porter à la déduction que ces personnes se connaissent. De ce fait, si l’envie en prenait au gouvernement, il peut tout simplement essayer de cartographier les relations que les citoyens entretiennent entre eux.

Enfin il faut savoir que si l’on regroupe l’ensemble des données collectées par le système de vérification, il sera possible d’identifier avec précision un utilisateur de l’application TousAntiCovid. Si le logiciel : « croise ces données avec les logs du convertisseur de certificat (qui contient des données nominatives), elle peut retrouver l’identité des utilisateurs », explique le chercheur. Par conséquent, il est difficile de penser à un quelconque anonymat dans ce contexte.

Toutefois, il ne faudrait pas crier trop vite à la conspiration.

« Je ne pense pas qu’il y ait une volonté de tracer les utilisateurs. Les différents problèmes sont plutôt la conséquence de choix qui ont étés fait sans réfléchir à leurs conséquences en termes de vie privée, et d’un manque de contrôle. En particulier, je ne comprends pas pourquoi la CNIL n’a pas émis un avis négatif sur l’application TAC Verif qui faisait la vérification de signature sur un serveur central. C’est vraiment dommage d’avoir fait ces erreurs, parce que le projet StopCovid (qui est devenu TousAntiCovid) a été lancé avec des protocoles respectueux de la vie privée développés par des chercheurs de l’équipe Inria PRIVATICS, une analyse de sécurité de l’ANSSI, et un bug Bounty sur le code de l’application. Les évolutions récentes ont apparemment été faites sans aucune analyse de risque, et tous ces efforts sont gâchés », déclare le chercheur en cybersécurité, Gaëtan Leurent.

Pour ce dernier, il faut écarter la thèse de la volonté de l’État d’espionner où nous contrôler l’utilisateur de l’application.

Cependant le chercheur en sécurité informatique ne manque pas de soulever que la conception du pass sanitaire tel qu’il est actuellement pose un réel problème. Il serait en effet trop intrusif à cause des informations qu’il est censé contenir. Tout ceci dans un environnement dont la sécurité il n’est pas définitivement ou correctement garantie. « Le Pass a été conçu comme une version digitale d’un résultat de test COVID ou de certificat de vaccination, et il inclue les mêmes données: identification (nom, prénom, date de naissance), et données de santé (suivant le cas, résultat de test COVID avec la date, ou information vaccinale avec le nombre de doses et la date de la dernière). C’est un choix qui se défend pour les contrôles aux frontières, mais pour une utilisation dans la vie quotidienne, ça nous oblige à révéler beaucoup d’informations. En particulier le nombre de doses révèle des informations de santé: une seule dose pour ceux qui ont eu le COVID, trois doses pour les immunodéprimés. Il aurait été possible de mettre en place des Pass à durée de validité réduite (un ou deux jours), qui contiennent seulement une date de validité, sans autres informations, comme ce qui a été mis en place en Suisse », souligne notre chercheur en cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des milliers de québécois voient leurs données au tribunal administratif exposées en ligne

Récemment il a été observé une exposition de centaines millions de données appartenant à des québécois près du tribunal administratif du logement québécois.

Selon un expert informatique, par ailleurs cofondateur donne un événement annuel qui rassemble des programmeurs informatiques, ses données contiennent suffisamment d’informations pour permettre à des pirates informatiques d’initier une campagne d’hameçonnage ou de pouvoir extorquer de l’argent à ses personnes.

Cet article va aussi vous intéresser : Traçage mobile : le gouvernement Québécois rassure sur la fiabilité la sécurité de l’application

« Un locataire qui conteste une hausse de loyer auprès du Tribunal administratif du logement du Québec n’est pas le seul à pouvoir consulter son dossier sur le site Web de l’organisme. En fait, n’importe qui armé d’un tableur Excel et d’un peu de patience peut récupérer à partir du site du tribunal des milliers de dossiers de locataires actuels et passés, laissés sans aucune protection. » explique Alain McKenna.

« Une personne un tant soit peu mal intentionnée peut faire beaucoup de dommages avec ce qu’on trouve sur ce site », note Patrick Mathieu, expert en informatique et l’autre cofondateur du Hackfest. « Si on veut s’en prendre à quelqu’un, ce qu’on trouve là est pas mal plus important que n’importe quelle faille de compte Facebook. » ajoute ce dernier.

En effet, il se pourrait qu’avec ces données en circulation il serait possible de bâtir toute une base de données. C’est qui peut-être facilement commercialisable sur le Darkweb. « On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur. », Explique Steve Waterhouse, spécialiste Canadien de la sécurité informatique, par ailleurs ex officier de la sécurité informatique au ministère de la Défense.

« C’est consternant, Le gouvernement néglige des questions simples de sécurité des données en omettant de protéger ces documents. Ils contiennent de l’information confidentielle de locataires et de gens qui peuvent facilement devenir des victimes d’hameçonnage ou de vol d’identité. ».

« Quand le locataire et son propriétaire ont un différend, ils demandent au Tribunal administratif du logement — l’ex-Régie du logement du Québec — de trancher pour eux. Le tribunal bâtit ensuite un dossier comportant le nom, l’adresse postale et le courriel des parties impliquées. Le dossier peut contenir plusieurs autres documents de nature personnelle, des avis d’audition et le procès-verbal de ces auditions. Le plaignant reçoit un numéro à six chiffres qu’il peut ensuite utiliser pour retrouver sur le site du tribunal son dossier numérisé. Une recherche à l’aide de ce numéro renvoie un sommaire des actions prises par le tribunal, et se termine sur un document PDF à télécharger. Il suffit d’entrer à répétition l’adresse Web menant à ce document, en altérant le numéro de dossier, pour récupérer les fichiers PDF relatifs à d’autres dossiers. Devant Le Devoir, une source a pu, à l’aide d’un simple script programmé dans un classeur Excel, repérer en moins de deux minutes plus d’un millier de ces fichiers PDF qui ne se trouvent protégés par aucune mesure de sécurité. » explique Patrick Mathieu.

Un ensemble de dossier suffisamment riche pour permettre d’amorcer campagne d’attaque informatique. Les possibilités dans ces conditions sont plurielles. En effet, on peut envisager ici compagne d’usurpation d’identité du tribunal, dans le but de soutirer de l’argent justiciable en échange de l’étude d’un dossier par exemple.

Pour un pirate informatique, ces données représentent beaucoup de valeur. La possibilité de pouvoir les collecter en grand nombre rend la chose beaucoup plus intéressante pour eux. Et le fait qu’ils proviennent d’une source de l’administration publique les rend encore beaucoup plus fiable.

 « On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur. Comme ce sont des informations vérifiées, elles iraient chercher un très bon prix… », estime M. Waterhouse.

Pourtant on apprend d’un autre côté tous les tribunaux de logement du Québec n’avait pas le choix que de rendre ses données informatiques publique. En effet selon quelques dispositions de la loi, l’ensemble des informations et des renseignements personnels qui ont pu être récolté dans l’exercice d’une fonction juridictionnelle sont des natures publiques et les dossiers doivent aussi être accessible à tous « comme cela est d’ailleurs le cas dans les tribunaux de l’ordre judiciaire comme la Cour du Québec », tenait à rappeler le tribunal.

Par ailleurs il faut préciser que les recherches extensives des informations personnelles d’autrui à travers les documents et tribunal sont interdites. « C’est assurément un enjeu important dans un contexte où le gouvernement est en plein virage numérique », souligne Pierre Trudel, professeur en droit du cyberespace. « Il est plus facile de commettre un acte illégal. Il y a probablement une précaution que pourrait prendre le tribunal — ou le gouvernement — pour empêcher une telle possibilité. », ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les informateurs de la police américaine à l’épreuve de divulgations de données par les cybercriminels

Dans le courant de la semaine, le département de la police métropolitaine de Washington district déclarait avoir été touché par une attaque informatique.

Selon les autorités de la police, cette cyberattaque est imputable à des pirates informatiques russophones. Cela ferait suite à une déclaration d’un groupe de cybercriminels aussi russophone qui affirme détenir des données sensibles provenant du département de la police. Les informations dont il est question ici seraient des données personnelles appartenant à des informateurs de la police. Des informations sensibles en effet. Ce n’est pas tout, ces cybercriminels menacent de le divulguer à des gangs de criminels. Comme pour confirmer qu’ils détiennent bel et bien ces informations, ils ont publié Des captures d’écran sur un site internet développé par leurs soins. Selon ce dernier ils posséderaient près de 250 Go de données.

Cet article va aussi vous intéresser : Sécurité informatique : l’autorité bancaire européenne victime d’une attaque informatique

« Depuis le début de l’année, plus d’une vingtaine d’agences gouvernementales américaines ont été touchées par des rançongiciels et les cybercriminels ont publié les données volées », a signifié Brett Callow, un analyste des rançongiciels de la société de sécurité informatique, Emsisoft. Bien sûr dans certaines conditions, les victimes choisissent de ne pas payer les rançons exigées préférant eux-mêmes reconstruire leur système de bout en bout.

De son côté La police de Washington DC affirme prendre cette menace très au sérieux.

« Nous sommes conscients de l’accès non autorisé à notre serveur. Pendant que nous déterminons l’impact total et continuons à examiner l’activité, nous avons engagé le FBI pour mener une enquête approfondie sur cette question », déclare le département de la police.

Aujourd’hui, l’exemple de la police métropolitaine de Washington DC n’est qu’un exemple parmi tant d’autres. En effet en assistant est-ce qu’il peut se qualifier comme une épidémie des cyberattaques basées sur les programmes de rançon. Les autorités américaines qualifient cette situation de menace à la sécurité nationale. Elles causent en moyenne des dégâts pouvant s’évaluer à hauteur d’une dizaine de milliards de dollars américains. Malheureusement, les entreprises ont du mal à faire face à cette déferlante de cybermalveillance.

« Pendant que nous déterminons l’impact complet et continuons à examiner l’activité, nous avons engagé le FBI pour enquêter pleinement sur cette question », a signifié la police de Washington. Malheureusement elle ne donne pas plus de détails sur la violation subie par ce système. La police fédérale américaine a été dépêché pour enquêter sur cette violation. Pour le moment aucun des éléments probants ne permet de déterminer que les services de police été touché jusqu’à leur opération en cours.

« Avec ce type d’attaques, les données ont probablement déjà été volées, avant d’être chiffrées, et la probabilité que les données soient vendues ou stockées par le pirate est grande », a déclaré le directeur du cabinet de conseil en cybersécurité Bridewell Consulting, James Smith.

En somme, les organisations américaines sont nettement ciblées par la cybercriminalité en masse. Et cela est de nature à inquiéter à la fois, les consommateurs, les citoyens mais aussi les autorités. De Tesla, le géant américain de l’automobile électrique à une équipe de basket-ball, en passant par une centrale de distribution d’eau en Californie, les pirates informatiques on le vent en poupe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le guide de la Commission Nationale de l’Informatique et des Libertés sur l’appariement de données avec le SNDS utilisant le NIR

L’autorité administrative indépendante chargée de veiller à la protection des données personnelles des Français, a publié récemment un guide portant sur l’appariement des données personnelles avec un système national de données de santé.

Un système qui utilise en particulier le numéro d’inscription au répertoire encore appeler le numéro de sécurité sociale. Le guide a été publié depuis le 8 janvier dernier.

L’objectif de l’autorité administrative est « d’aider les chercheurs désirant travailler avec les données du SNDS à mettre en œuvre un circuit d’appariement conforme aux exigences de sécurité » et « accompagner les responsables de traitement ». La Commission Nationale de l’Informatique et des libertés décrit le guide comme un document qui « présente les circuits [de circulation du NIR] les plus classiques, conformes aux obligations légales et validés » par la commission. De ce fait, il devra contenir « les critères devant conduire à recourir à un tiers indépendant afin de cloisonner les données d’appariement [et ainsi d’éviter que le responsable de traitement ne dispose de données identifiants], ainsi que les critères permettant de s’assurer de l’indépendance de ce tiers » comme l’explique l’autorité administrative.

L’indépendance mis en évidence ici concernant morceau demande et dépendance économique, mais aussi l’indépendance juridique. Par ailleurs la personne tierce concernée ne doit pas être dans une situation dans laquelle il serait dans un certain conflit, d’intérêt, car c’est de ça qu’il s’agit, avec les responsables du traitement.

« Les traitements prévoyant l’usage du NIR comme identifiant pivot pour réaliser des appariements déterministes de données de santé avec le SNDS nécessitent une attention particulière » a expliqué la Commission Nationale de l’Informatique et des libertés. L’autorité administrative a par ce fait « identifié plusieurs écueils fréquents dans le cadre du traitement des demandes d’autorisation » qui lui ont envoyé « une circulation inutile du NIR et/ou des données de santé ». De plus, « le recours superflu à un tiers alors que le NIR est déjà connu du responsable de traitement ou du centre investigateur qui participe au projet de recherche » ou bien « l’implication d’une entité faisant en réalité partie du même organisme que le responsable de traitement et ne pouvant donc pas être considérée comme un ‘tiers’. ».

En définitive, le guide fourni par l’agence est de faire en sorte que la collecte de données ainsi que leur traitement dans un grand ensemble soient totalement conformité avec les règles produites dans le règlement général des données personnelles. Le nouveau guide est beaucoup plus à l’attention des organisations de santé ainsi que tout organisme ayant un intérêt quelconque ou pas ce type de collecte de données. Pour ce qui concerne dans les sanctions rien n’a été prévu dans le guide fourni par la Commission nationale de la Liberté. C’est qui en effet légitime en ce sens que c’est un guide. Mais pour cet ensemble est organisé et bien évidemment encadré par des règles qui sont présentes dans la RGPD.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomwares : On ne récupère pas les données après avoir payé la rançon

Comme nous le savons dans le domaine de la cybercriminalité, les attaques sont littéralement devenues quelque chose de commune.

Malheureusement un grand nombre de sociétés ont été victimes au moins une fois d’une attaque au rançongiciel. Le problématique majeur auquel est confronté le plus souvent les personnes victimes de ce genre de cyberattaque, et de savoir s’il faut payer la rançon ou non. Dans, un premier temps payer la rançon semble une bonne solution en ce sens qu’envisager le coût des réparations s’avère plus onéreux que les sommes souvent exigées par les cybercriminels. Pourtant cela n’est pas si facile que ça en à l’air. En effet, dans un rapport récent fournie par la société de sécurité, Coveware, plusieurs groupes de cybercriminels ne se débarrassent pas des informations voler lors de leurs cyberattaques même après que la rançon a été payée.

Cet article va aussi vous intéresser : Ransomware : Campari Group victime de Ragnar Locker

On retient alors que les pirates informatiques en majorité ne tiennent pas leurs paroles. En clair, payer la rançon ne vous protégera pas.

Le rapport du cabinet a été corroboré par plusieurs chercheurs en sécurité informatique ainsi que plusieurs entreprises avec des victimes de ce genre de cyberattaques.

Rappelons-nous avons que nous sommes dans le contexte des attaques fondées sur des programmes de rançon.  Particulièrement, les attaques ciblant de manière spécifique des entreprises ayant une certaine importance et une certaine affiliation avec le numérique. Ce sont en général des entreprises très importantes voir des organismes publics. Ces organisations sont dans des secteurs assez délicat ou une interruption informatique est susceptible de causer de grands dégâts sur le plan financier que sur le plan technique. Le problème ne concerne pas seulement les interruptions de l’ensemble de l’informatique de l’entreprise ou de l’organisme en public, il concerne aussi la qualité des informations pouvant être dérobées par les cybercriminels. Lorsque l’information est assez confidentielle et sensible, la rançon pour moi être exigé par les cybercriminels est en hausse. Surtout qu’il y a une possibilité de faire chanter ladite organisation par la publication de ces informations.

On assiste depuis 2019 à une nouvelle phase des attaques au programme de rançonnage. En effet, les pirates informatiques ne se contentent plus de chiffrer les accès au termine au réseau informatique. Apparemment, ce procédé ne paye plus. Ils dérobent des informations, le maximum d’informations. Et par la suite, c’est le chantage comme nous l’avons mentionné plus haut. On estime que cette manière de procéder puisant sa source dans le fait que les entreprises avaient commencé à faire des sauvegardes des informations. Comme ça, lorsque l’accès était chiffré et elles se contentaient tout simplement de restaurer l’ensemble des systèmes.

Donc le nouveau procédé est de faire chanter les entreprises après avoir récupéré le maximum d’information. Certains groupes de pirates informatiques vont allez plus loin. Créer des sites internet, où ils vont publier des informations de leurs victimes histoire de les motiver à payer la somme exigée. De la sorte, les pirates promettre de données non seulement les clés de déchiffrement mais aussi de supprimer les informations qui sont en leur possession.

À ce propos la société de sécurité, Coveware, dans son rapport avertissait les entreprises : « Contrairement à la négociation pour une clé de déchiffrement, la négociation pour la suppression des données volées n’a pas de fin ». « Une fois qu’une victime reçoit une clé de déchiffrement, elle ne peut pas lui être retirée et elle ne se dégrade pas avec le temps. Concernant les données volées, l’attaquant peut revenir pour un second paiement à tout moment dans le futur. ».

Par conséquent, Coveware recommande aux entreprises de toujours considéré que leur donnée n’a pas été effacées par les cybercriminels peu importe la situation. De la sorte, il leur faut prendre dans ce genre de situation les mesures qui s’imposent et se préparer aux pires conséquences. Il est important d’avertir toutes les personnes dont les informations ont été exposés dans ce genre de problème. Surtout lorsqu’on sait que la plupart des informations qui sont volées dans ce genre de circonstances sont des données liées aux finances ou à l’identité même des personnes. Les entreprises vont souvent prendre le prétexte d’avoir payé la rançon aux cybercriminels pour ne pas informé les individus touchés directement par ces vol d’informations.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage