Archives par mot-clé : sanction

Pegasus : les autorités américaines sanctionnent le NSO Group

Dans de la semaine dernière, les autorités américaines ont déclaré à publiquement leur volonté de sanctionner 4 entreprises du secteur de la sécurité informatique.

Ces entreprises privées sont accusées d’avoir commercialisé des logiciels espions et plusieurs outils de piratage informatique à des gouvernements étrangers juges à caractère autoritaire. Parmi ces entreprises se trouve la société israélienne qui avait été au cœur des scandales de PegasusGate le NSO Group.

Cet article va aussi vous intéresser : Ransomware : comment le logiciel de rançonnage se répand-t-il ?

Les autres sociétés sont notamment :

– Candiru, une autre entreprise Israélienne ;

– Positive Technologies, qui a son siège en Russie ;

– Computer Security Initiative Consultancy, une entreprise basée à Singapour.

Le Bureau of Industry and Security du ministère américain du commerce à motiver sa décision en déclarant : « pour s’être livrées à des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des Etats-Unis ».

La récente déclaration a juste fait agrandir la liste noire en y ajoutant les deux entreprises israéliennes. Les deux autres y étaient déjà bien avant. Selon les autorités américaines, elles auraient trouvé

La liste noire s’agrandit « des preuves que ces entités ont développé et fourni des logiciels espions à des gouvernements étrangers qui ont utilisé ces outils pour viser de manière malveillante des fonctionnaires, des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassades ». Elles ajoutent part ailleurs que les gouvernements qui ont reçu les outils fournis par ces entreprises les utilisé contre des personnes même au-delà de la frontière. Ces gouvernements cibleraient donc : « les dissidents, les journalistes et les militants en dehors de leurs frontières souveraines pour les faire taire ».

Pour ce qu’il en est de Positive Technologies et Computer Security Initiative Consultancy, le ministère de commerce les accuse de trafic « d’outils utilisés pour obtenir un accès non autorisé à des systèmes d’information, menaçant la vie privée et la sécurité des personnes et des organisations dans le monde entier ».

On notera alors que les entreprises qui sont dans cette liste noire subiront plusieurs types de restriction. Comme le déclare Gina Raimondo, la secrétaire d’État Américain ou commerce : « Les Etats-Unis sont déterminés à utiliser de manière agressive les contrôles à l’exportation pour tenir pour responsables les entreprises qui développent, trafiquent ou utilisent des technologies pour mener des activités malveillantes qui menacent la cybersécurité des membres de la société civile, des dissidents, des responsables gouvernementaux et des organisations ici et à l’étranger ».

De plus il semblerait que cette décision a été adopté suite à un consensus avec le département de la Défense Américaine, le département du Trésor, le département d’État et le ministère de l’énergie. Les entreprises sanctionnées sont donc restreintes au niveau de « l’exportation, la réexportation et le transfert à l’intérieur du pays d’articles soumis aux restrictions en matière d’exportation à des personnes (individus, organisations, entreprises) dont on peut raisonnablement penser qu’elles sont impliquées, ont été impliquées ou présentent un risque important d’être ou de devenir impliquées dans des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des Etats-Unis ». Le ministère de commerce ajoute aussi qu’il n’y aura pas d’exception concernant la licence pour les exportations et les stations sans oublier les transferts dans les pays où ces entités ont déjà été mis sur les liste noire.

À y regarder de près, les entreprises qui font partie de cette liste noire ont plusieurs étés impliquées dans plusieurs scandales célèbres à travers le monde. En tête de liste la société américaine NSO Group. Dès qu’on entend son nom on fait allusion automatiquement au scandale PegasusGate qui a longtemps remué la presse durant les derniers mois. Plusieurs institutions et cabinets ont pointé du doigt à la commercialisation du logiciel Pegasus par cette société. Parmi ces organisations, nous avons notamment Amnesty International et Forbidden Stories, un consortium de médias internationaux.

Quand a Positive Technologies, cette société Russe a été sanctionné depuis le mois d’avril par le département Trésor Américain. Elle a notamment été accusé à plusieurs reprises d’avoir fourni des solutions de piratage informatique au service de renseignement russe tel que le FSB et même le GRU. L’entreprise a même été pointer du doigt, pour avoir accueilli « des conventions à grande échelle qui sont utilisées comme des moyens de recrutement pour le FSB et le GRU », comme le signifie le département du Trésor américain.

« Cet effort vise à améliorer la sécurité numérique des citoyens, à lutter contre les cybermenaces et à atténuer la surveillance illégale et fait suite à une récente règle finale provisoire publiée par le ministère du Commerce, établissant des contrôles sur l’exportation, la réexportation ou le transfert dans le pays de certains articles qui peuvent être utilisés pour des cyberactivités malveillantes », souligne le ministère américain du Commerce dans un communiqué de presse.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

British Airways et Marriott lourdement sanctionnés pour défaut de sécurisation des données personnelles de leurs clients

Il n’y a pas longtemps, les autorités sanctionnaient lourdement deux géants de leur secteur.

D’un côté la compagnie britannique de l’aviation civile British Airways et la chaîne hôtelière mondiale Marriott. Ils ont été lourdement sanctionné au paiement d’amende pouvant aller respectivement de 18 à 20 millions de livres sterling. La cause : ils n’ont pas suffisamment protégé les données personnelles de leurs clients qui était sous leur responsabilité.

Il faut noter néanmoins que cela n’est pas au niveau de l’amende records qui est toujours détenus par Google et qui s’élève à hauteur de 50 millions d’euros, imposée par les autorités françaises en 2019. Disons que cela n’est pas loin. Les sanctions des deux entreprises réprimandées ont été imposées par le l’organisme britannique chargée de veiller à la protection des données personnelles. Une tendance qui est en vigueur en Europe depuis l’adoption du règlement général des données personnelles cela fait des années maintenant. L’objectif de cette sanction et de rappeler au grands groupes qui traitent souvent des millions de données, la responsabilité quant à la sécurisation de ses informations. Informations qui dans certains contextes sont assez sensibles.

Notons qu’il est reproché au géant américain de l’hôtellerie, la négligence d’avoir laissé échapper des données appartenant à près de 339 million de personnes à travers un piratage informatique. Face à cette situation qui relève de sa responsabilité directe, l’Information Commissioner’s Office (ICO) inflige une amende de près de 18,4 millions de livres ce qui équivaut à 20,4 millions d’euros. Plusieurs types d’informations ont fuités. On dénombre entre autres des adresses, des noms et prénoms, des numéros de passeport, des numéros de téléphone, des dates de naissance, des programmes de fidélité, des dates de venue et de départ des hôtels. Des informations assez sensibles pris dans un contexte au général. Le drame dans tous ceci, le coupable de cette cyberattaque n’a pas encore été découvert. Vu que l’affaire s’est déroulée en fin septembre 2018, c’est-à-dire avant le brexit, c’est le règlement général des données personnelles, la norme européenne s’applique donc dans cette affaire. C’est d’ailleurs elle que l’organisme britannique a appliqué. Au terme de cette norme européenne, une entreprise qui ne déploie pas suffisamment de moyens pour protéger les données qui sont sous sa protection, est soumis au paiement d’une amende qui sera fixé en fonction de son chiffre d’affaire annuel. Dans ce cas particulier, vu que 30 millions de ressortissants européen est impliqué dans cette histoire, l’organisme britannique a infligé l’amende au nom de tous les pays de l’Union européenne. Un mécanisme qui a été aussi prévu par le règlement européen.

Il faut noter cependant que l’amende aurait pu être bien plus élevée. Mais l’organisme britannique en charge de données personnelles a expliqué que la somme imposée l’a été en fonction de la date d’entrée en vigueur du règlement européen et par rapport à la cyberattaque.

« Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Quand l’une d’entre elles manque à ce devoir, l’impact n’est pas seulement une amende, ce qui importe le plus ce sont les gens dont l’entreprise avait le devoir de protéger les données », a déclaré Elizabeth Dunham. La dirigeante de l’Information Commissioner’s Office.

Concernant la compagnie aérienne britannique, l’amende s’est levé à hauteur de 20 millions de livres soit 22 millions d’euros. Les données qui ont fuitées sous la surveillance de british Airways appartenait à près de 400 000 clients et salariés. Par ailleurs, l’organisme britannique a avait signifié qu’initialement, l’amende qui était prévu était à hauteur de 204 millions d’euros par rapport au règlement général de la protection des données. Ce qui aurait été la sanction la plus sévère application de la norme européenne. Finalement, l’amende a été plus tard revue à baisse par l’organisme britannique.

Et cela en raison des conséquences directes de la pandémie à coronavirus sur l’état financier de l’entreprise. D’ailleurs, l’entreprise qui détient la partie majoritaire de british Airways, IAG, a affirmé avoir subi une perte de plus de 5,6 milliards d’euros à cause de la pandémie depuis le début de l’année 2020. « Nous avons alerté nos clients dès que nous avons eu vent de cette attaque criminelle sur nos systèmes en 2018 et sommes désolés d’avoir déçu leurs attentes. Nous sommes heureux que l’ICO reconnaisse que nous avons fait des progrès considérables dans la sécurité de nos systèmes depuis cette attaque et que nous avons pleinement collaboré à l’enquête », déclarait le porte-parole de la compagnie aérienne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La CAQ veut sanctionner les fuites de données plus sévèrement

Les autorités Québécoises ont le vent en poupe.

Elles voudraient s’assurer sanctionner encore plus sévèrement les différentes fuites des données auxquelles sont confrontées leurs citoyens du fait de la négligence des entreprises et autres organisations. De la sorte, celles qui sont reconnues avoir un penchant pour les fuites à répétition soient au pied du Mur.

Cet article va aussi vous intéresser : Desjardins, Capital One, Revenu Québec, Hydro-Québec : ces nouvelles mesures pour éviter que le pire ne se reproduise

Pour cela, la ministre de la justice québécoise, Sonia Lebel, a formulé est projet de loi, qui est censé permettre aux autorités, d’imposer des amendes pouvant monter jusqu’à 25 millions de dollars ou dans un autre sens près de 4 % de chiffre d’affaire mondial de la société concernée, lorsque le montant fixé est plus élevé. « Nos lois actuelles manquent de mordant », a signifié la ministre de la justice lors de la présentation du projet législatif qui vise à condamner à des « sanctions dissuasives » pour les organisations contrevenantes.

Cela se comprend peut-être quand on sait que les amendes sont fixées dans une fourchette allant de 1 000 à 10 000 dollars au Canada, et qu’au Québec la somme minimale en termes d’amendes et de 15 000 dollars. « Ceux qui ont vécu un vol d’identité le savent: les conséquences peuvent être très lourdes et vous suivre pendant de nombreuses années », a indiqué Mme LeBel lors d’une conférence de presse.

Le projet de loi qualifié par la ministre Lebel comme d’ « extrêmement costaud », projet de loi 64, qui a pour objectif de rendre aux citoyens le contrôle de leurs données personnelles collectées et générées lors de leur utilisation des certains services numériques, tout en obligeant les organisations à plus de responsabilités, dans leur gestion de ces informations. Et pour mettre en évidence cet objectif et lui donner plus de force, la ministre a illustré ses propos en utilisant un fait qui pourrait être du vécu par une grande partie des internautes. « Vous êtes allés magasiner un barbecue. Tout d’un coup sur votre Facebook et sur votre Instagram on vous offre des barbecues à répétition. Avec le projet de loi, je vais pouvoir désactiver cette fonction−là et de dire moi je veux magasiner un barbecue sans après ça me faire bombarder. » illustrait-elle.

En clair, les citoyens canadiens devront alors donner son consentement libre et éclairé pour une utilisation de ses données personnelles par les entreprises concernées. C’est-à-dire que, l’organisation qui voudrait utiliser une information numérique de l’utilisateur, devra au préalable, lui expliquer la manière dont cette information sera utilisée. Et cela à chaque étape.

Les organisations auront aussi l’obligation, de rendre anonyme les informations personnelles, où les détruire lorsque l’utilisation prévue n’est plus d’actualité. Le plus important dans ce projet, c’est que l’utilisateur aura la possibilité d’exiger que ses informations soient détruites lorsqu’il en sentira le besoin

Par ailleurs, toutes les entreprises qui ont des affaires au Québec, seront contraintes de tenir au courant en temps réel la commission d’accès à l’information ainsi que les citoyens québécois lorsqu’une fuite de données survient. De plus, ils doivent aussi avoir des registres complets à l’ensemble des branches de confidentialité que rencontreront leur système d’information.

Il faut noter que ce projet de loi est fortement inspiré des législations en vigueur en Europe en matière de gestion et de protection des données personnelles. Il s’appliquera, s’il est adopté par le parlement, aux données personnelles produites par des clients de citoyenneté québécoise, des entreprises qui seront installés dans la province pour y faire des affaires. Cela inclut bien évidemment des entreprises à Chartes fédéral. La future loi sera aussi applicable au partis politiques par certaines dispositions.

Il reviendra aux juges de déterminer le montant fixe de l’amende en tenant compte de la gravité de l’incident, tel que le nombre de personnes touchées par exemple, si l’entreprise a déjà reçu des avertissements si, cela est une première condamnation ou si elle a respecté certaines mesures de base. On rappelle par exemple que des données informatiques de millions de Québécois ont été compromis l’année dernière lors de plusieurs fuites de données, dont l’un des plus graves qui a touché près de 4,4 millions de personnes affiliées au mouvement Desjardins.

L’étude du projet de loi commencera d’ici le prochain automne. Ce dont on peut-être sur c’est que le gouvernement québécois, est très motivé sur la question.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Lourde sanction pour British Airways suite au piratage.

L’Autorité anglaise de protection des données personnelles en abrégé lCO a frappé fort en condamnant d’une amende de deux cents quatre (204) millions d’euros British Airways.

 Il faut avouer que pour son tout premier vrai cas de « data breach » depuis la mise en vigueur du GDPR, elle compte bien s’imposer. Le montant de l’amende est sans nul doute dans un élan dissuasif, mais pourrait engendrer d’autres conséquences. En effet les entreprises pourraient être amenées à déclarer de moins en moins les incidents de ce genre, pour éviter le coup de pareilles sanctions.

Cet article va aussi vous intéresser : Active Assurance condamnée à 180 000 euros d’amende par la CNIL.

L’affaire remonte depuis septembre 2018, La compagnie British Airways avait notifié à l’autorité anglaise de protection des données personnelles un problème lié à la sécurité, en conformité de l’article 33 de la GDPR qui dispose qu’en cas d’une violation de données à caractère personnel, le responsable du traitement est tenu de notifier cette violation en question à l’autorité de contrôle compétente qu’est l’ICO.

Dans le cas d’espèce, la compagnie d’aviation British Airways, s’est fait détourner le trafic internet destiné au site officiel de la compagnie vers un site factice. Plus de cinq cents milles (500.000) clients ont été victime de cette fraude, qui a permis aux Pirates de subtiliser plusieurs données telles que des données relatives à la connexion, aux informations concernant les différentes transactions des clients (aux cartes de paiement, réservations de voyages) ainsi que des informations nominatives telles que (les noms et adresses.) C’est de du distinguées classique (l’hameçonnage). La lourdeur de l’amende était surement due au fait qu’une technique aussi classique puisse confondre l’ensemble du système d’une aussi grande compagnie. L’occasion de s’interroger sur une possible négligence serait surement de mise.

Pour justifier cette amende colossale, Elizabeth Denham, responsable de l’autorité Anglaise de régulation affirme ceci : « Les données personnelles des personnes n’est que cela – des données personnelles. Lorsqu’un organisme ne parvient pas à le protéger contre la perte, les dommages ou le vol, c’est plus qu’un inconvénient. C’est la raison pour laquelle la loi est claire: lorsqu’on vous confie des données personnelles, vous devez en prendre soin. Ceux qui ne le font pas devront faire l’objet d’un examen minutieux de la part de mon bureau pour vérifier qu’ils ont pris les mesures appropriées pour protéger les droits fondamentaux de la vie privée.»

Le « data breach » est une notion qui se définit conformément à l’article 4 de la GDPR comme une violation à la sécurité d’un système entraînant ainsi de manière accidentelle ou illicite, partielle ou totale la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de d’information à caractère personnel qui sont soit transmises, soit conservées ou traitées d’une autre manière.

British Airways a bien sûr collaboré à l’enquête et cela lui a permis d’améliorer ses outils techniques de protection.

Au final de l’enquête, menée en coopération avec d’autres autorités dans la conformité du nouvel article 60, l’autorité administrative vient donc de nous communiquer son projet de décision infligeant ainsi une amende extrêmement élevée à British Airways de 204 millions d’euros.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage