Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016
Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016
A l’occasion de sa conférence annuelle consacrée à la lutte de la Cybercriminalité à travers le monde du 16 au 18 Novembre prochain au Conseil de l’Europe, Denis JACOPINI intervient au Workshop n°7
Au programme :
La Convention de Budapest: 15e anniversaire
Criminalité et compétence dans le cyberespace : la voie à suivre
Ateliers
Coopération entre les fournisseurs de service et les services répressifs en matière de cybercriminalité et de preuve électronique
L’accès de la justice pénale aux preuves dans le Cloud: les résultats du groupe sur les preuves dans le Cloud (Cloud Evidence Group)
Renforcement des capacités en cybercriminalité: les enseignements tirés
L’état de la législation en matière de cybercriminalité en Afrique, en Asie/Pacifique et en Amérique latine/aux Caraïbes
Le terrorisme et les technologies de l’information : la perspective de la justice pénale
Coopération internationale: amélioration du rôle des points de contact 24/7
A la recherche des synergies: politiques et initiatives en cybercriminalité des organisations internationales et du secteur privé
Participation
La conférence sera l’occasion, pour les experts en cybercriminalité des secteurs public et privé ainsi que les organisations internationales et non gouvernementales du monde entier, d’échanger.
La conférence Octopus fait partie du projet Cybercrime@Octopus financé par les contributions volontaires de l’Estonie, du Japon, de Monaco, de la Roumanie, du Royaume-Uni, des Etats-Unis d’Amérique et de Microsoft ainsi que du budget du Conseil de l’Europe. Agenda Octopus 2016
Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.
Sécurité des Objets connectés : le plus gros danger reste devant nous
Sécurité des Objets connectés : le plus gros danger reste devant nous
Le DDoS contre Dyn a montré le potentiel de l’IoT pour les cybercriminels. Et il ne s’agit que d’un scénario d’attaques parmi de multiples.
Si les experts pointent depuis longtemps les problématiques de sécurité que soulève l’IoT, la récente attaque dont a été victime le prestataire DNS Dyn a fait plus pour la prise de conscience de tous que des années de discours sur le sujet. Une table ronde organisée le 26 octobre dans le cadre du salon IoT Planet de Grenoble, et faisant intervenir plusieurs spécialistes du sujet, a permis de mesurer l’étendue du problème, qui ne se limite pas aux seules attaques par déni de service. Responsable du réseau d’Objenious, la filiale de Bouygues Telecom qui déploie un réseau pour l’Internet des objets sur la base du protocole Lora, Arnaud Vandererven décrit la surface d’attaques et les possibilités s’offrant aux assaillants. Des possibilités multiples. Celles-ci vont de la corruption des objets – pour y implanter un malware, pour en réutiliser les clefs d’authentification, pour en corrompre les données… – à l’attaque DDoS visant le cœur de réseau ou ses passerelles, en passant par l’espionnage des communications, l’usurpation d’identités ou le blocage des connexions légitimes via des interférences.
Arnaud Vandererven
« Dès qu’on aborde des cas d’usage en entreprise, convaincre les clients que le système est sûr et sécurisé est réellement crucial. Imaginons une compagnie travaillant dans la distribution d’eau et installant des compteurs communiquant ; si le système tombe en panne, elle ne peut tout simplement plus facturer ses clients », illustre Arnaud Vandererven. La problématique est d’autant moins simple à appréhender que les capteurs déployés doivent ne coûter qu’une poignée d’euros, afficher une durée de vie d’environ 10 ans… et sont bâtis par un grand nombre de sous-traitants.
Prévoir le ‘suicide’ des objets
Andrew Patterson
En face des assaillants dont les motivations peuvent être diverses. La reconnaissance de leurs pairs – c’est le cas des chercheurs en sécurité notamment -, le détournement d’argent, mais aussi la création d’un climat de terreur. Andrew Patterson, le directeur du développement de la société américaine Mentor Graphics, évoque notamment le cas de la voiture connectée. Si la fameuse prise de contrôle à distance d’une Jeep Cherokee visait à alerter le public des dangers d’un manque de sécurité de ce type de véhicules – avec toutefois des conséquences financières très concrètes pour le constructeur -, ce type de vulnérabilités pourrait également être exploitées afin d’instaurer un climat de terreur. Et Andrew Patterson d’évoquer notamment des attaques DDoS contre les Lidar, ces mécanismes de télédétection par radar utilisés sur les véhicules autonomes ou possédant des dispositifs d’assistance à la conduite. « Une forme d’attaques par déni de service contre laquelle il est très difficile de se préparer », avertit-il.
« L’important, c’est d’être en mesure de maintenir la sécurité durant toute la durée de vie des capteurs, via le déploiement de nouvelles clefs, de patchs de sécurité ou de mises à jour de firmwares », dit Pierre Girard, expert en solutions de sécurité chez Gemalto. Bref se préparer à réagir. « Dès la conception, les fonctions de détection d’incidents et de réaction aux attaques doivent être intégrées, reprend Pierre Girard. Comme la capacité à organiser le ‘suicide’ des objets connectés, leur remise sur pied et la mise à jour de leur firmware. Et ces fonctions doivent être testées et leur sécurité validée. »
Dès le niveau du silicium
Ruud Derwig
Car il semble bien difficile de prévoir tous les scénarios d’attaque ou de mettre au point une solution miracle capable de parer toutes les tentatives. « J’aimerais vous dire que nous avons conçu une brique capable de sécuriser tous les objets, mais ce n’est pas le cas, lance Ruud Derwig, un architecte logiciel de Synopsys, éditeur développant des services intégrés au silicium. Sécuriser l’IoT signifie travailler sur une chaîne complète d’acteurs et de technologies, en commençant au niveau du silicium ». Bref, un travail collaboratif, où la sécurité globale de la chaîne dépend de l’élément le plus faible, comme l’a souligné le malware Mirai, utilisé pour monter le botnet qui a ciblé Dyn notamment. La propagation de Mirai a été facilitée par les erreurs de sécurité grossières commises par certains fabricants de caméras IP et autres enregistreurs vidéo (comme des mots de passe par défaut codés en dur).
Une chaîne d’intervenants pour laquelle le coût de la sécurisation doit, qui plus est, demeurer modique, faute de quoi c’est le modèle économique de l’IoT qui s’effondre. « Pour un fabricant (de capteurs connectés, NDLR), la difficulté se résume à bâtir un objet totalement protégé à un coût très bas, résume Stéphane Courcambeck, expert en sécurité de STMicroelectronics. Avec le chiffrement, la difficulté réside dans les techniques mises en œuvre pour protéger les clefs pendant toute la durée de vie du dispositif. Et il faut aussi s’assurer que ces clefs sont employées correctement, en étant très attentifs aux interfaces. » Inutile d’espérer voir les concepteurs de systèmes embarqués et autres objets connectés se lancer dans les certifications les plus exigeantes en matière de sécurité du code. Avec ces dernières, tester une ligne de code revient à environ 10 dollars, selon Andrew Patterson. Soit le coût du capteur dans son entier dans bien des cas !
Une loi pour responsabiliser ?
Pour Pierre Girard, nous faisons face à un défi collectif : « l’impact de l’insécurité technologique va de plus en plus ressembler à celui de la pollution. Nous devons trouver un moyen de changer les comportements pour obliger tout un chacun à agir dans le sens du bien-être de la société dans son ensemble ». Autrement dit, une régulation qui impliquerait notamment la responsabilité des acteurs en cas de manquement à leurs obligations minimales de sécurisation. Pour Ruud Derwig, l’enjeu réside également dans la formation et les compétences impliquées sur les projets : « en matière d’IoT, une bonne part de l’innovation provient des start-up ou de la communauté des makers. Or, ces organisations comptent souvent peu d’experts en sécurité. »…[lire la suite]
Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.
L’adresse IP est une donnée personnelle, encadrée par la CNIL
L’adresse IP est une donnée personnelle, encadrée par la CNIL
Dans le cadre d’un pourvoi lié à l’affaire de piratage d’un cabinet immobilier, la Cour de Cassation a estimé que l’adresse IP est une donnée à caractère personnel et sa collecte est soumise à une déclaration auprès de la CNIL.
Voici une jurisprudence qui devrait mettre fin à un débat : l’adresse IP est-elle une donnée personnelle ? La Cour de Cassation vient de répondre par l’affirmative dans un arrêt du 3 novembre. La plus haute juridiction judiciaire avait été saisie en pourvoi dans une affaire de piratage d’un cabinet immobilier, Logisneuf.
Petit rappel des faits, lors d’un contrôle de sécurité sur ses serveurs, le service informatique du cabinet immobilier constate des centaines de connexions illicites provenant toutes d’adresses IP n’appartenant pas à son réseau. Par recoupement, les adresses provenaient d’un cabinet immobilier nantais, Peterson. Logisneuf a donc saisi le tribunal de commerce pour qu’une ordonnance réclame aux opérateurs de révéler le nom des utilisateurs des adresses IP suspectes. Cette opération a permis d’identifier plusieurs personnes chez Peterson et une plainte a été déposée auprès du procureur de la République contre ces personnes. Or les deux sociétés ont continué à se disputer sur la question de la conservation sous forme de fichier des adresses IP et l’obligation de le déclarer à la CNIL. Un arrêt de la Cour d’Appel de Rennes avait statué que « l’adresse IP ne constituait pas une donnée même indirectement nominative » et que le fait de « conserver les adresses IP des ordinateurs… ne constitue pas un traitement des données à caractère personnel ».
Une adresse IP est une donnée à caractère personnel
La Cour de Cassation était donc invité à se positionner sur ce sujet. Dans sa décision, les juges de la Première chambre civile se sont appuyés en premier lieu sur la loi du 6 janvier 1978 modifiée en 2004 et notamment son article 2 qui définit une donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Pour la juridiction, l’adresse IP entre dans cette catégorie. Elle suit ainsi la position de la CNIL qui s’est prononcée sur le sujet depuis 2007, ainsi que l’ensemble des CNIL européennes. Le régulateur s’inquiétait des évolutions jurisprudentielles qui ne considéraient plus l’adresse IP comme une donnée personnelle. La Cour de Cassation a finalement tranché en faveur de la qualification de donnée à caractère personnel de l’adresse IP…[lire la suite]
Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.
Bientôt les drones se métamorphoseront en quelques secondes en voitures robotiques, prévoient des chercheurs suisses, qui ont mis au point un nouveau type de « matière programmable ». Leur dispositif change de forme à volonté en réagissant à la température.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
Bientôt les drones se métamorphoseront en quelques secondes en voitures robotiques, prévoient des chercheurs suisses, qui ont mis au point un nouveau type de « matière programmable ». Leur dispositif change de forme à volonté en réagissant à la température.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
Bientôt les drones se métamorphoseront en quelques secondes en voitures robotiques, prévoient des chercheurs suisses, qui ont mis au point un nouveau type de « matière programmable ». Leur dispositif change de forme à volonté en réagissant à la température.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
Bientôt les drones se métamorphoseront en quelques secondes en voitures robotiques, prévoient des chercheurs suisses, qui ont mis au point un nouveau type de « matière programmable ». Leur dispositif change de forme à volonté en réagissant à la température.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
Bientôt les drones se métamorphoseront en quelques secondes en voitures robotiques, prévoient des chercheurs suisses, qui ont mis au point un nouveau type de « matière programmable ». Leur dispositif change de forme à volonté en réagissant à la température.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique, Par Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord
L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique, Par Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord
La numérisation de la société et des services publics n’épargne pas les hôpitaux et autres institutions de soins. Mais depuis plusieurs mois, ces établissements sont la cible de pirates dont les attaques représentent un vrai danger pour l’intégrité de notre système de santé.…[Lire la suite ]
Denis JACOPINI anime des conférences, des formations en Cybercriminalité et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux Dangers liés à la Cybercriminalité (Arnaques, Piratages…) pour mieux s’en protéger (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur sur cette page.
Piratage d’ampoules connectées. Nouvelle porte d’entrée pour les hackers ?
Piratage d’ampoules connectées. Nouvelle porte d’entrée pour les hackers ?
Une équipe de chercheurs en sécurité informatique a réussi à prendre le contrôle d’ampoules connectées Philips Hue. Avant de s’en servir comme porte d’entrée pour accéder aux données des autres appareils reliés au même réseau.
Sésame, ouvre-toi ! Des chercheurs en sécurité informatique décrivent, dans une étude rendue publique ce jeudi 3 novembre, les attaques menées il y a quelques mois par leurs soins contre des ampoules connectées Philips Hue. Habituellement, ces objets connectés à un réseau Wi-Fi permettent à leurs utilisateurs de contrôler facilement et de personnaliser l’éclairage de leur domicile. Le résultat de l’expérience, relayée par le New York Times, est visible dans l’une des vidéos réalisées par l’équipe, qui avait préinstallé des ampoules sur un immeuble de Beer-Sheva, en Israël.
« À première vue, rien d’extraordinaire, mais imaginez des milliers ou même des centaines de milliers d’objets connectés à proximité les uns des autres », écrit le quotidien américain. Un programme malveillant créé par des hackers pourrait alors se répandre parmi ces objets en compromettant l’un d’entre eux, tel un agent pathogène. » Et les conséquences sont quant à elle bien réelles. Ces hackers chevaliers blancs ont en effet été en mesure d’accéder aux données et même de contrôler tous les autres objets connectés à ce même réseau Wi-Fi.
Comment ? « Nous nous sommes contentés d’utiliser un équipement disponible à quelques centaines de dollars avant de parvenir à trouver cette faille, sans constater de mise à jour », détaillent les chercheurs. Alertée par ces derniers de la vulnérabilité de ses produits, la marque Philips leur a demandé de ne pas dévoiler publiquement les résultats de l’expérience avant que le problème soit résolu. Les utilisateurs des Philips Hue sont donc invités depuis le 4 octobre à télécharger une mise à jour pour renforcer leur sécurité. Mais, celle-ci est encore insuffisante, souligne l’un des experts, interrogé par Le Figaro.
« Les experts n’arrêtent pas d’alerter l’opinion publique »
Il y a un peu plus de deux semaines, de nombreux sites américains, comme Spotify, Amazon, eBay, Airbnb ou encore Netflixy, sont quant à eux restés inaccessibles pendant plusieurs heures, à la suite d’une attaque informatique. Pour mener à bien cet impressionnant piratage, les hackers avaient utilisé une armée de « machines zombies », constituée de centaines de milliers d’objets connectés, sans que leurs propriétaires ne s’en aperçoivent : des caméras de surveillance, des imprimantes, des lecteurs DVD, des babyphones, répartis un peu partout à travers le monde.
« Aujourd’hui, la plupart des appareils connectés au Web sont fabriqués en Asie, explique à LCI.fr Renaud Lifchitz, chercheur en sécurité informatique et expert en « Internet des objets » (IoT) chez Digital Security. Il existe de nombreux modèles et de nombreuses marques, mais la plupart utilisent le même logiciel ou un serveur identique. Il suffit pour le hacker de trouver une faille pour être capable de prendre le contrôle d’une large flotte d’appareils connectés ».
Depuis plusieurs années, les experts n’arrêtent pourtant pas d’alerter l’opinion publique sur le manque de sécurité de l’Internet des objets. « Aujourd’hui, la sécurité de la grande majorité des objets connectés est proche de zéro, abonde le blogueur Olivier Laurelli, alias Bluetouff, expert en sécurité informatique. Les fabricants ne se préoccupent pas de la sécurisation de leurs appareils connectés. Le plus important, pour eux, c’est de les lancer sur le marché avant les autres. »
Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.
