Un raccourci Windows qui peut flinguer votre sécurité

Notre ami Jean-Pierre LESUEUR, le fondateur de Phrozen software n’est plus à présenter. Ce chercheur en sécurité informatique, auteur de nombreux logiciels permettant de contrer pirates et codes malveillants vient de trouver une petite finesse dans l’ensemble des Windows, et cela à partir du SP2 de Windows XP qui risque de faire réagir rapidement le géant américain. Le problème est simple, à travers un raccourci Windows, il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. « Du coup forcement, explique Jean-Pierre Lesueur, indétectable par les Antivirus actuels car un raccourci n’est pas directement un fichier exécutable« .

Seulement, cette première découverte a fait suite à une seconde 100 fois plus vicieuse encore. Réussir à injecter une application directement dans le raccourci, ainsi plus besoin de télécharger et exécuter le code malveillant. Bilan, les pare-feu ne risquent plus de bloquer la potentielle attaque. Bref, une nouvelle couche problématique…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

CryptXXX : ne payez pas la rançon !

CryptXXX : ne payez pas la rançon !

Pourquoi les DSI sont-ils inquiets à lapproche des Fêtes de fin dannée ?

De tous, les plus inquiets quant à la disponibilité du personnel à la période des fêtes de fin d’année sont les français. 62% d’entre eux déclarent qu’il s’agit de l’une de leurs plus grandes préoccupations au cours de la saison des fêtes de fin d’année. Á l’opposé, près de la moitié des répondants américains (48%) citent le piratage informatique.

Du côté des « besoins », 42% des décideurs IT sont en demande d’un budget plus important. La migration vers le Cloud (18%) et le recrutement de personnel IT (16%) sont également cités dans le top 3 de leurs besoins. Par ailleurs, un quart des répondants américains et suédois (respectivement 26% et 25%) souhaitent, à court terme, une accélération de la migration vers le Cloud, alors qu’ils ne sont que 11% et 14% en Australie et Allemagne à privilégier cet enjeu.

« Ce qui ressort clairement de notre étude est que de nombreux décideurs IT ont des craintes légitimes pour la période des fêtes de fin d’année : disponibilité du personnel, risque de piratage informatique, commente Mark Boulton, CMO d’IFS. Il est essentiel que toutes les entreprises, quelle que soit leur taille, se préparent à affronter les problèmes qui pourraient survenir et soient en mesure d’accompagner, à distance, leurs collaborateurs ». L’IoT et la migration vers le Cloud faisant partie des solutions possibles.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Quels changements en Cybersecurité pour 2017 ?

Historiquement, les cyber-pirates ont focalisé leur attention sur les grandes entreprises. Ces sociétés ont donc été les premières à adopter les nouvelles technologies, via des solutions souvent à peine testées. Résultat : elles peuvent plus facilement être compromises, via certaines failles qui n’ont pas encore été repérées par les fabricants. En conséquence, ce sont les grandes sociétés qui attirent les hackers en quête de nouveaux défis et subissent les attaques de grande ampleur.

En parallèle, par effet pyramidal, ces mêmes technologies sont progressivement adoptées par les moyennes entreprises puis, en bas de pyramide, par les PME. Lorsque le deuxième échelon de la pyramide est atteint, les technologies sont plus sécurisées grâce au retour d’expérience. Les hackers les délaissent donc bien souvent pour se concentrer sur des technologies plus récentes.

Mais 2017 devrait marquer un tournant : en effet, ce sont aujourd’hui ces entreprises de taille moyenne qui – dans un souci d’accélérer leur transformation numérique – adoptent en premier les nouvelles technologies. Elles s’équipent donc plus rapidement que les grands groupes – qui ont un process plus lourd et laisse moins de place à la flexibilité. En adoptant, par exemple, l’IoT et les technologies de l’industrie 4.0, ces sociétés “mid market” sont en train de devenir la cible privilégiée des hackers.
Type d’attaque : Des ransomwares liés à l’IoT
Après des années d’observation, on assiste enfin au déploiement à grande échelle de l’IoT. Chambres froides, kiosques, usines, voitures, et même machines de nettoyage industriel, tout cela sera bientôt connecté dans un souci de performance et de monitoring. Espérons qu’ils soient également sécurisés.

Le déploiement de ces dispositifs connectés n’est pas sans risque : leur intégrité peut être compromise si la sécurité n’est pas pensée d’une nouvelle manière. Certaines rumeurs prétendent même que des hackers se sont déjà servis de l’IoT pour attaquer une entreprise et lui demander une rançon. Nous risquons donc de voir une augmentation de ce type d’attaques dans un avenir proche. Par conséquent, l’année 2017 sera certainement la première où une entreprise admettra de façon publique qu’elle a été confrontée à ces cyber-attaques par rançon….[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Rétention généralisée des données : un camouflet contre la surveillance de masse

Rakos, un nouveau botnet qui vise aussi les Objets connectés

Comme le tristement célèbre malware Mirai, Rakos prend pour cible l’Internet des objets (IoT). Ces deux logiciels malveillants compromettent en effet des serveurs sous Linux et des réseaux d’appareils connectés. La capacité de nuisance de ces botnets contrôlés à distance est bien réelle. Si Mirai se propage essentiellement via les ports logiciels Telnet, Rakos vise lui les ports SSH. Les périphériques embarqués et les serveurs ayant un port SSH ouvert ou un mot de passe très faible sont les plus exposés. Rakos a été découvert cet été par les chercheurs de ESET.

À ce jour, Rakos est utilisé pour mener des attaques par force brute, indique l’entreprise dans un billet de blog. Et ce, afin d’ajouter d’autres appareils compromis à son réseau de machines zombies. Mais le programme pourrait également servir à mener des campagnes de spam ou des attaques par déni de service distribué (DDoS) d’ampleur, comme l’a fait Mirai…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Le RDPD, règlement européen de protection des données et les contrats fournisseurs

Qui est concerné?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Ce règlement s’applique à toute structure (responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne.

Les actions de profilage visant cette cible sont également concernées. Ainsi, alors que la loi Informatique et libertés se basait sur des critères d’établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’UE.

Qu’est-ce qu’une donnée à caractère personnel?

L’une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement.

Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel.

Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées.

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l’entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation…), mais aussi les contrats passés avec les fournisseurs et clients sont impactés (voir encadré ci-dessous).

« Le règlement couple des notions techniques et juridiques », souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques. Par ailleurs, les entreprises ont, entre autres, l’obligation de donner la finalité précise de la collecte des données (il s’agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées).

Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données. Cette notion de coresponsabilité doit être intégrée dès maintenant dans les contrats passés avec les fournisseurs: en effet, le sous-traitant désigné par une organisation pour assurer le traitement des données devient, avec le RGPD, coresponsable de la légalité des traitements. Il sera donc tenu d’informer ses clients et de tenir des registres pour recenser les données, ainsi que d’accepter les audits demandés par son client pour s’assurer de la conformité des traitements.

Les sous-traitants concernés peuvent être, par exemple, l’éditeur d’un CRM en ligne, le routeur d’une campagne d’e-mailing, un service de relation client, etc. Le responsable du traitement, de son côté, doit s’assurer que ses fournisseurs ont pris les mesures nécessaires pour assurer la sécurité des données.

Enfin, parmi les changements majeurs, la nomination d’un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement. Quel impact sur les contrats fournisseurs? Pour se mettre en conformité avec le RGPD, les directeurs achats devront veiller à renforcer les contrats passés avec leur fournisseurs…[lire la suite]

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’Intelligence Artificielle a t-elle le droit de tuer ?

Avant d’ aborder le sujet principal, je pense qu’ il est nécessaire de rappeler qu’une Intelligence Artificielle prend des décisions en analysant soit des probabilités, soit une base de faits qui lui ont été soumis par l’être humain. C’est une vision réduite et simplifiée. Certes, celle-ci apprend de ses erreurs, mais quand cela concerne l’intégrité humaine, l’erreur peut être fatale.

Nous avons longtemps repoussé ce moment, le voici enfin arrivé avec l’ère des voitures « Autonomes, Connectées, Intelligentes ». Quoi de plus sensible, de plus vital que le droit de tuer. Un « dominica postestas » autrefois octroyé aux puissants ou aux maîtres sur leurs esclaves, un droit mettant fin à la vie d’êtres humains. Mais les temps changent, la civilisation évolue, les technologies apparaissent et posent alors de nouveaux dilemmes, celui de tuer va être l’un des plus importants de notre époque. Qui peut se targuer d’un tel droit alors que nous ne faisons pas confiance aux médecins pour accompagner la fin de vie.

Les voitures vont poser le problème suivant : Qui tuer lors de la confrontation de celles-ci en face à face où aucune échappatoire est possible ?
Que ce soit voiture contre piéton où l’on a le choix entre :

• Faire sortir la voiture de la route (donc tuer ses occupants) et sauver le piéton.
• Percuter le piéton et sauver les personnes à l’intérieur du véhicule.

Ou bien, voiture contre voiture, où là encore deux choix s’opposent :

• les occupants de la voiture A et laisser saufs ceux du véhicule B
• les occupants de la voiture B et laisser saufs ceux du véhicule A

 
Je vous propose d’ analyser cette situation à travers plusieurs cas :

Cas 1

Un cas de conscience se pose. Vais-je choisir de tuer l’homme sous prétexte qu’il est âgé et qu’ en face, il ‘a deux enfants. Inévitablement, la majorité des personnes va alors choisir de tuer l’homme âgé, car les enfants sont sacralisés par l’insouciance, la jeunesse et l’innocence.

Cas 2

Là, on met en opposition la jeunesse et le bon droit. Doit-on faire primer la jeunesse ou le bon droit ? Doit-on tuer la conductrice ou doit-on tuer l’homme qui traverse de manière anodine le passage piéton ? La tendance va être à tuer la conductrice, car elle ne respecte pas le code de la route.

Cas 3

Là, le mot individu perturbe, qui se cache derrière ? Qui est dans cette voiture ? Quand il‘ a une inconnue, que faire ? Quelle décision prendre ? Qui tuer ?
Car là est un autre problème, les voitures nouvelle génération, vont mettre du temps à devenir la norme, systèmes interconnectés, oui ! Mais par pour tous, du moins pas dans l’immédiat. Et même s ‘ils deviennent omniprésents, qui peut assurer aujourd’hui que nous n’aurons pas de hack ou détournements de ces systèmes.
Étudions un quatrième cas :

Cas 4

On revient sur le fait de la jeunesse, l’innocence, en apparence. Je vous ai volontairement dissimulé une donnée. Il n’’y avait qu’un homme dans la voiture au père et enfants. Si vous vous êtes dit que vous tuiez inévitablement les occupants de la voiture où se trouvaient les hommes, vous avez agi comme le ferait la majorité. Une intelligence artificielle recevant ces données erronées tuera sûrement les mêmes passagers. Sauf qu’en face, il y a une personne qui vient de survivre, car elle a trompé le système, car elle a estimé que sa vie valait plus que celle des autres. Et c’ est là qu’on arrive sur une question de sécurité informatique, celle de l’intégrité de ces systèmes.

Car quiconque peut modifier ceux-ci peut se donner un probable droit de tuer ! Ceci n’est heureusement que de la fiction à cet instant, mais le détournement de ces systèmes a déjà été prouvé lors de conférences en sécurité informatique. Ces systèmes sont donc des points vitaux de l’Internet des Objets, il doit devenir obligatoire d’assurer une intégrité sans faille sur ceux-ci !…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Le règlement européen de protection des données et les contrats fournisseurs