Loi Renseignement : la boîte à outils pour apprendre à protéger votre vie privée, en chiffrant vos données et communications

Nous sommes le soir du mardi 5 mai, et c’est un jour funeste pour la démocratie. La France s’était autoproclamée « pays des Lumières » parce qu’il y a 250 ans notre pays  éclairait l’Europe et le monde grâce aux travaux philosophiques et politiques de Montesquieu, qui prônait la séparation des pouvoirs, et de Voltaire et Rousseau.

À dater d’aujourd’hui, jour du vote en première lecture du projet de loi sur le renseignement, à cause d’une classe politicienne d’une grande médiocrité, s’enclenche un processus au terme duquel le peuple français va probablement devoir subir une loi dangereuse, qui pourrait s’avérer extrêmement liberticide si elle tombait entre de mauvaises mains, par exemple celles de l’extrême droite.

Même si la loi doit encore passer devant le Sénat puis peut-être revenir en seconde lecture à l’Assemblée Nationale, même si une saisine du Conseil Constitutionnel va être déposée par une soixantaine de courageux députés en complément de celle déjà annoncée par François Hollande, mieux vaut se préparer au pire, en imaginant que cette loi sera un jour promulguée. En faisant un peu de mauvais esprit, j’ai imaginé un nom pour le dispositif qui sera chargé de collecter nos données personnelles afin de détecter les comportements suspects : « Surveillance Totalement Automatisée via des Systèmes Informatiques » et bizarrement l’acronyme est STASI !

Dès lors, à titre préventif et sans préjuger de l’avenir, il me semble important d’apprendre à protéger sa vie privée. Ceci passe par le chiffrement de ses communications, qu’il s’agisse d’échanges sur Internet ou via SMS, et cela peut se faire au moyen de différents outils à la fois efficaces et légaux.

Bien évidemment, les « vrais méchants » que sont les terroristes, djihadistes, gangsters et autres trafiquants connaissent et utilisent déjà ces outils : vous vous doutez bien qu’ils n’ont pas attendu ce billet de blog pour les découvrir….

Une boîte à outils pour protéger votre vie privée

Anonymat sur Internet

Pour protéger votre identité sur Internet et notamment sur le web, vous pouvez combiner l’utilisation d’un réseau privé virtuel, ou VPN, et de TOR, un système d’anonymisation qui nécessite l’installation d’un logiciel spécifique, TOR Browser. Je ne vous donne pas de référence particulière en matière de VPN, car l’offre est pléthorique.

MAJ : un lecteur m’a indiqué l’existence de La brique Internet, un simple boîtier VPN couplé à un serveur. Pour que la Brique fonctionne, il faut lui configurer un accès VPN, qui lui permettra de créer un tunnel jusqu’à un autre ordinateur sur Internet. Une extension fournira bientôt aussi en plus un accès clé-en-main via TOR en utilisant la clé wifi du boîtier pour diffuser deux réseaux wifi : l’un pour un accès transparent via VPN et l’autre pour un accès transparent via Tor.

Chiffrement des données

Pour chiffrer le contenu de vos données, stockées sur les disques durs de vos ordinateurs ou dans les mémoires permanentes de vos smartphones, vous pouvez mettre en œuvre des outils tels que LUKS pour les systèmes Linux ou TrueCrypt  pour les OS les plus répandus : même si TrueCrypt a connu une histoire compliquée, son efficacité ne semble pas remise en cause par le dernier audit de code effectué par des experts.

Je vous signale aussi que l’ANSSI – Agence nationale de la sécurité des systèmes d’information –  signale d’autres outils alternatifs comme Cryhod, Zed !, ZoneCentral, Security Box et StormShield. Même si l’ANSSI est un service gouvernemental il n’y a pas de raison de ne pas leur faire confiance sur ce point 🙂

Chiffrement des e-mails et authentification des correspondants

GPG, acronyme de GNU Privacy Guard, est l’implémentation GNU du standard OpenPGP. Cet outil permet de transmettre des messages signés et/ou chiffrés ce qui vous  garantit à la fois l’authenticité et la confidentialité de vos échanges. Des modules complémentaires en facilitent l’utilisation sous Linux, Windows, MacOS X et Android.

MAJ : un lecteur m’a signalé PEPS, une solution de sécurisation française et Open Source, issue d’un projet mené par la DGA – Direction générale de l’armement – à partir duquel a été créée la société MLState.

Messagerie instantanée sécurisée

OTR, Off The Record, est un plugin à greffer à un client de messagerie instantanée. Le logiciel de messagerie instantanée Jitsi, qui repose sur le protocole SIP de la voix sur IP, intègre l’outil de chiffrement ZRTP.

Protection des communications mobiles

A défaut de protéger les métadonnées de vos communications mobiles, qu’il s’agisse de voix ou de SMS, vous pouvez au moins chiffrer les données en elles-mêmes, à savoir le contenu de vos échanges :

RedPhon est une application de chiffrement des communications vocales sous Android capable de communiquer avec Signal qui est une application du même fournisseur destinée aux iPhone sous iOS.

TextSecure est une application dédiée pour l’échange sécurisé de SMS, disponible pour Android et compatible avec la dernière version de l’application Signal. Plus d’information à ce sujet sur le blog de Stéphane Bortzmeyer.

MAJ : un lecteur m’a indiqué l’application APG pour Android qui permet d’utiliser ses clés GPG pour chiffrer ses SMS.

Allez vous former dans les « cafés Vie Privée »

Si vous n’êtes pas geek et ne vous sentez pas capable de maîtriser ces outils sans un minimum d’accompagnement, alors le concept des « cafés Vie Privée » est pour vous : il s’agit tout simplement de se réunir pour apprendre, de la bouche ceux qui savent le faire, comment mettre en œuvre les outils dont je vous ai parlé plus haut afin de protéger sa vie privée de toute intrusion, gouvernementale ou non.

Tout simplement, il s’agit de passer un après-midi à échanger et à pratiquer la cryptographie. Pour cela sont proposés des ateliers d’une durée minimum de 1 heure, axés autour de la sécurité informatique et de la protection de la vie privée.

Et comme le disent avec humour les organisateurs, « les ateliers sont accessibles à tout type de public, geek et non-geek, chatons, poneys, loutres ou licornes. ». Bref, le « café Vie Privée » est à la protection de la vie privée ce que la réunion Tupperware était à la cuisine 🙂

Voilà, vous avez je l’espère suffisamment d’éléments pratiques pour commencer à protéger votre vie privée… en espérant vraiment que le Conseil Constitutionnel abrogera les points les plus contestables de cette loi et nous évitera d’avoir à déployer un tel arsenal sécuritaire.

PS : l’image « 1984 was not a manual » a été créée par Arnaud Velten aka @Bizcom.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/loi-renseignement-la-bo-te-a-outils-pour-apprendre-a-proteger-votre-vie-privee-en-chiffrant-vos-donnees-et-communications-39818894.htm

Par Pierre Col

Un outil gratuit pour analyser et nettoyer votre ordinateur

Conçue pour être conviviale, cette dernière version devient complètement indépendante des navigateurs Internet. De plus, l’installation est désormais possible sans les droits d’administrateur, ce qui rend l’analyse et le nettoyage des ordinateurs contenant des logiciels malveillants encore plus simples.

ESET Online Scanner améliore l’élimination des logiciels malveillants, par l’ajout de ces nouvelles fonctions :

• Analyse des emplacements de démarrage automatique et du secteur d’amorçage pour les menaces cachées – choix de cette option dans setup / cibles d’analyse avancées

• Nettoyage du registre système – Supprime les traces des logiciels malveillants du registre système

• Nettoyage après analyse lors du redémarrage – Si nécessaire, ESET Online Scanner est capable de repérer les malwares les plus persistants afin de les nettoyer après redémarrage

Pour plus d’informations sur l’outil gratuit ESET Online Scanner, contactez-nous ou rendez-vous sur http://www.eset.com/fr/home/products/online-scanner/

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les conseils pour faire connaître son site Internet et les outils pour Webmasters

Comment bien choisir ses mots de passe ?

Qu’est ce qu’un bon mot de passe ?

Un bon de passe est constitué d’au moins 12 caractères dont :

• des lettres majuscules
• des lettres minuscules
• des chiffres
• des caractères spéciaux

Un mot de passe est d’autant plus faible qu’il est court. L’utilisation d’un alphabet réduit ou de mot issu du dictionnaire le rend très vulnérable.
Les mots du dictionnaire ne doivent pas être utilisés.

Aussi à proscrire, les mots en relation avec soi, qui seront facilement devinables : nom du chien, dates de naissances…
Réseaux sociaux, adresses mail, accès au banque en ligne, au Trésor public, factures en ligne.
Les accès sécurisés se sont multipliés sur internet.
Au risque de voir tous ses comptes faire l’objet d’utilisation frauduleuse, il est impératif de ne pas utiliser le même mot de passepour des accès différents.
Alors, choisir un mot de passe pour chaque utilisation peut vite devenir un vrai casse-tête.

Comment choisir et retenir un bon mot de passe ?

Pour créer un bon mot de passe, il existe plusieurs méthodes :

La méthode phonétique

Cette méthode consiste à utiliser les sons de chaque syllabe pour créer une phrase facilement mémorisable.

Exemple : « j’ai acheté huit cd pour cent euros ce après-midi» donnera : ght8CD%E7am

La méthode des premières lettres

Utiliser les premières lettres d’une phrase en variant majuscules, minuscules et caractères spéciaux.
Exemple : « un tiens vaut mieux que deux tu l’auras » donnera : 1TvmQ2tl’@

Diversifier facilement les mots de passe

Opter pour une politique personnelle avec, par exemple, un préfixe pour chaque type d’activité. Comme BANQUE-MonMotDePassz pour la banque, IMP-MonMotDePasse pour les impôts. Quelque chose de très facile à mémoriser qui complexifie votre mot de passe et, surtout, vous permet de le diversifier.

Diminuer les imprudences

Pour finir, il est utile de rappeler de ne pas stocker ses mots de passe à proximité de son ordinateur si il est accessible par d’autres personnes. L’écriture sur le post-it déposé sous le clavier est à proscrire par exemple, de même que le stockage dans un fichier de la machine.

En règle général, les logiciels proposent de retenir les mots de passe, c’est très tentant mais imprudent. Si votre ordinateur fait l’objet d’un piratage ou d’une panne, les mots de passe seront accessibles par le pirate ou perdus.

Que faire en cas de piratage ?

Il est recommandé de préserver les traces liées à l’activité du compte.
Ces éléments seront nécessaires en cas de dépôt de plainte au commissariat de Police ou à la Gendarmerie.

Changer de mots de passe régulièrement

Cette dernière règle est contraignante mais assurera un niveau supérieur de sécurité pour vos activités sur Internet.

Un bon mot de passe doit être renouvelé plusieurs fois par an et toujours en utilisant les méthodes décrites ci-dessus.

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

#Vidéosurveillance en entreprise : règles et limites

Le cadre législatif de la vidéosurveillance

C’est la loi dite « informatique et libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, qui fixe le cadre de mise en place d’une vidéosurveillance sur un lieu à usage professionnel.

Ainsi dans des lieux non accessibles au public (bureaux, entrepôts, réserves, locaux d’administration) l’installation d’une vidéosurveillance doit faire l’objet d’une déclaration à la CNIL (Commission Nationale Informatique et Libertés).

C’est également une obligation pour les guichets de réception de clients et les commerces, lorsque le système enregistre les images dans un fichier et permettant de conserver d’identité des personnes filmées.

Si toutefois les fichiers ne sont pas conservés à des fins d’identification, un assouplissement de la loi permet de solliciter une simple autorisation préfectorale (pour les lieux accueillant du public).

Information des salariés et du public

Une information préalable est requise auprès des représentants des salariés avant tout installation d’un dispositif de vidéosurveillance, en mettant l’accent sur les objectifs de sécurité et en spécifiant que les enregistrements ne sont pas conservés plus d’un mois.

De la même manière, l’entreprise doit mettre en place une signalisation informant les visiteurs de la présence d’un système de vidéosurveillance.

Cet affichage doit se faire dès l’entrée dans l’établissement, en précisant les raisons ainsi que les coordonnées de l’autorité ou de la personne chargée de l’exploitation du système et en rappelant les modalités d’exercice du droit d’accès des personnes filmées aux enregistrements qui les concernent (loi du 6 août 2004).

Le principe de proportionnalité

On pourrait dire aussi principe de bon sens. L’employeur doit en premier lieu démontrer l’intérêt légitime à la mise en place d’un système de surveillance. Il peut s’agir de la nécessité de protéger des personnes ou des biens, ou de se prémunir contre des risques tels que le vol.

Partant de là, le dispositif installé doit être proportionnel au regard des intérêts à protéger.

Il y a une différence notoire entre installer une caméra dans un entrepôt à des fins de sécurité et le fait d’en installer une permettant d’observer en permanence des postes de travail.

Bien évidemment des caméras installées dans des lieux de repos des salariés ou dans des toilettes constituent une surveillance excessive. La CNIL a récemment mis à l’amende des entreprises pour des situations de surveillance jugées excessives et non proportionnées par rapport aux risques à prévenir.

La CNIL a fait valoir que des caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation, ou encore filmer les zones où de la marchandise ou des biens de valeur sont entreposés. Pas question en revanche de filmer en permanence un employé sur son poste de travail, sauf si celui-ci manipule par exemple de l’argent, en vertu du principe de proportionnalité.

En synthèse, bien que frappée du sceau du bon sens, la mise en place d’un système de vidéosurveillance doit s’accompagner de certaines précautions. Eventuellement prenez avis auprès de votre conseiller en assurances, qui saura vous orienter vers un prestataire de vidéosurveillance homologué et bien au fait des contraintes législatives.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.comptanoo.com/assurance-prevention/actualite-tpe-pme/23794/videosurveillance-entreprise-regles-et-limites

Règlement européen sur la protection des données : Transparence et responsabilisation

Réagissez à cet article

Pourquoi supprimer vos données personnelles si vous rendez votre ordinateur professionnel à votre employeur ?

Imaginez, votre ordinateur, protégé ou non, tombe entre les mains d’une personne malveillante. Il pourra :

• Accéder à vos documents et découvrir les informations qui peuvent soit être professionnelles et être utilisées contre vous, soit personnelles permettant à un voyou de les utiliser contre vous soit en vous demandant de l’argent contre son silence ou pour avoir la paix ;
• Accéder aux identifiants et mots de passe des comptes internet que vous utilisez (même pour des sites Internet commençant par https) et ainsi accéder à nos comptes facebook, twitter, dropbox… ;
• Avec vos identifiants ou en accédant à votre système de messagerie, le pirate pourra facilement déposer des commentaires ou envoyer des e-mails en utilisant votre identité. Même si l’article 226-4 du code pénal complété par la loi LOPPSI du 14 mars 2011 d’un article 226-4-1,  l’usurpation d’identité numérique est un délit puni de deux ans d’emprisonnement et de 20 000 euros d’amende, il sera fastidieux d’une part pour vous, de prouver que vous n’êtes pas le véritable auteur des faits reprochés, et difficile pour les enquêteurs de retrouver le véritable auteur des faits.

Ne pas effacer ses données personnelles sur l’ordinateur que l’on rend, donne, vend, c’est laisser l’opportunité à un inconnu de fouiller dans vos papier, violer votre intimité et cambrioler votre vie.

Pire ! vous connaissez bien le donataire de votre matériel et vous savez qu’il n’y a aucun risque qu’il ait des intentions répréhensibles. Mais êtes vous certain qu’il sera aussi prudent que vous avec son matériel ?
Êtes-vous prêt à prendre des risques s’il perdait ce matériel ?
Dormiriez-vous tranquille si vous imaginiez que votre ancien ordinateur est actuellement sous l’emprise d’un pirate informatique prêt à tout pour tricher, voler et violer en utilisant votre identité ?

Original de l’article mis en page : 5 applications pour effacer des données de façon sécurisée – ZDNet

Denis JACOPINi en direct sur LCI : « Les fraudeurs ont toujours une longueur d’avance – MYTF1News 

En direct sur LCI avec Serge Maître Maître, président de l’AFUB (Association Française des Usagers des Banques) et Nicolas CHATILLON, Directeur du développement-fonctions transverses du groupe BPCE et Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité débattent sur les techniques des cybercriminels pour vous pirater votre CB.

http://lci.tf1.fr/france/societe/cartes-bancaires-les-fraudeurs-ont-toujours-une-longueur-d-avance-8722056.html

Réagissez à cet article

Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?

Le site d’information Français Pure Player Atlantico à interrogé à ce sujet Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles

Atlantico :

Pourquoi donc, selon vous, le font-ils malgré tout ? Qu’est-ce qui rend un mail d’un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis JACOPINI :

Ça-vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu.

Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles et quelques autres messages que nous recevons avec plaisir de personnes connues et puis il y a tout le reste, les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces pourriels (poubelle + e-mail) se cachent de nombreux message ayant des objectifs malveillant à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé ou vous proposer d’échanger dans le but de faire « copain copain » et ensuite vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants de ne pas parler à un inconnu…Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ?

A mon avis, les techniques d’Ingenierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qu exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l’ignorance ou de la crédulité des personnes ciblées.
Imaginez, vous recevez un message ressemblant à ça :

« Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour la quelle vous ne recevez pas les fichier jointes.

J’ai essaye de remettre les fichier jointes dans le e-mail. »

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y pas trop de faute d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail ou similaire souvent reçu :

« Objet : Commande – CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle « Commande – CD2533″.

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE »

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fais partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

Un autre exemple : Vous recevez sur facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la « Marie » dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée qui vous aurait retrouvé sur Facebook ?

Dans le doute vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu ou cliquer sur les liens pour découvrir la suite, est une des nombreuses failles humaine : la curiosité.

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse le plus souvent en toute discrétion et en toute impunité, la pollution des moyens de communication numériques grand public est telle que le niveau de prudence doit être augmenté au point de ne plus laisser de place au hasard. Le jeu vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

10 techniques de cybercriminels pour vous pirater votre carte bancaire

Une puce spécifique et une batterie insérées dans la carte permettent de gérer le changement de CVV toutes les heures, en totale indépendance par rapport à la puce de la carte. En parallèle, les banques émettrices pourront déléguer à Oberthur ou installer chez elles les serveurs fonctionnant avec le même algorithme et permettant ainsi de vérifier que la carte est bien en possession de son propriétaire au moment de l’achat sur internet. Un nouveau moyen de lutte contre la fraude.

Est-ce vraiment efficace ?

Revenons sur les principaux moyens de fraude à la carte bancaire.

1. VOL OU PERTE PHYSIQUE DE LA CARTE BANCAIRE

Exemple :
Vous faire voler votre carte bancaire ou l’égarer ne vous est jamais arrivé ? Vous êtes chanceux. Entre les professionnels de la chipe à l’affût de la moindre inattention et les étourdis comme moi qui ont beaucoup de mal à rester concentré sur ce qu’ils font s’ils ont trop de sollicitations à traiter en même temps, il est tout de même courant qu’on ne retrouve plus sa si précieuse CB. Horreur ! Danger ! Fin du monde ! se dit-on si ça nous arrive.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire perdue ou volée n’a que très peu de temps pour agir. Il pourra rapidement faire des achats sur Internet avec cette bourse malhonnête, ou pourra également revendre cette carte ultra-fraîche sur le DarkNet pour un usage frauduleux similaire.

Pour se protéger :

Par anticipation, vous pourrez gratter le cryptogramme

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

2°/ COPIE AU DISTRIBUTEUR SOL. : CONFIANCE A PERSONNE DISCRET

Exemple :
Vous allez retirer de l’argent dans un distributeur (isolé la plupart du temps) et faites attention aux regards indiscrets et aux personnages inquiétants pouvant roder autour. Le danger peut venir de là où on ne l’attend pas. En effet, les pirates professionnels peuvent maquiller le distributeur de votre banque avec un appareil enregistrant la bande magnétique de votre carte au moment ou vous l’introduisez (skimmer) et enregistrant le code de votre carte soit par le clavier (piégé) ou par une discrète caméra captant votre code en le filmant par dessus le clavier.

Le risque :
Le pirate agissant ainsi pourra, à partir de la lecture de la bande magnétique reproduire votre carte bancaire et avec le code qu’il vous a discrètement dérobé, reproduire un clone de votre carte. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Prenez l’habitude d’aller dans un distributeur de billets connu.

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

3°/ VOL CHEZ LES COMMERCANTS

Exemple :
Il a été démantelé à plusieurs reprises en France des réseaux de cybercriminels embauchant dans des bars ou des cafés des serveurs équipés d’appareils portables permettant la copie de la bande magnétique de la carte bancaire.  Puisqu’ils ont la CB dans la main, ils peuvent également recopier le cryptogramme et discrètement vous voir taper votre code.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire dont la piste magnétique a été volée sans que le vrai propriétaire le sache, a tout son temps pour agir. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Ne vous séparez jamais de votre carte sauf pour payer et lorsque vous les avez sous les yeux (la carte et le serveur).

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

4°/ VOL DES COORDONNÉES PAR NFC

Exemple :
La technique de vol de vos coordonnées bancaires par NFC consiste à utiliser un lecteur de cartes NFC portable, à distance et autonome et à se balader dans des lieux ou la densité de passants est très forte (par exemple dans le métro). L’appareil autonome pouvant aisément être camouflé dans un sac à dos détectera les CB se trouvant dans son rayon de détection, enregistrera les données émises par les CB répondant aux commandes NFC envoyées par l’outil du pirate.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire dont la piste magnétique a été volée sans que le vrai propriétaire le sache, a tout son temps pour agir. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Protégez votre carte bancaire dans une boite ou un coffret metallique (la pochette de protection des boitiers Telepeage peut aussi bien faire l’affaire).

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

5°/ OUVERTURE D’UN COMPTE EN USURPANT L’IDENTITÉ D’UNE VICTIME

Témoignage
« Au début du mois de septembre, ma colocataire m’a avertie que quelqu’un d'[une banque] voulait me joindre. Comme le numéro que la personne avait laissé était avec un indicatif régional que je ne connaissais pas, j’ai cru qu’on voulait me vendre des produits financiers et j’ai failli ne pas rappeler comme je partais en vacances le lendemain. Finalement, j’ai appelé et le numéro m’amenait directement au département des fraudes. On m’a demandé si j’avais un compte avec [la banque en question] (non), et on m’a dit qu’on suspectait que j’ai été victime d’un vol d’identité. Une personne avait commandé une carte de crédit en ligne en mars, en changeant mon numéro d’appartement et avait fait des transactions pour près de 14 000 $, somme bien sûr qu’elle n’avait jamais remboursée. On m’a suggéré d’aller au poste de police porter plainte et de passer en succursale si je voulais plus d’informations, choses que j’ai faites. »

La Technique
Le fraudeur possédait nos noms, adresses exactes et numéros d’assurance sociale. Il commandait des cartes de crédit en ligne et indiquait les bons noms et les bonnes adresses, à une différence près : il n’indiquait pas le bon numéro d’appartement. De ce fait, nos voisins qui recevaient des lettres qui ne leur étaient pas adressées (mais qui comportaient les cartes de crédit) les laissaient sur les boîtes postales et le fraudeur les ramassait, tout simplement.

Le moyen de se protéger
Lorsque ça arrive, il faut que les gens ne déposent pas des lettres qui ne leur sont pas adressées sur le dessus de leur boîte, mais aillent plutôt les porter directement aux personnes dont les noms apparaissent sur l’enveloppe ou au pire, les remettent dans des boîtes aux lettres de la Poste en indiquant mauvaise adresse.

6°/ INFECTION DES DAB (2003-2015) 

Exemple :
Comme les ordinaeurs, smarphones et tablettes, les distributeurs automatiques de billets ont leur Virus. Dernièrement, en 2015, GreenDispenser, puisque c’est ainsi qu’il est baptisé, vient s’ajouter aux redoutables Suceful, Plotus ou Padpin pour le malheur des banques et de leurs clients. Le virus est introduit dans le D.A.B. (distributeurs automatiques de billets) et va en perturber le fonctionnement au point ou ce dernier distribuera des billets à la demande, sans suivre les procédures pourtant savamment verrouillées.

La Technique
Le fraudeur en fonction du type de DAB vient utiliser une de ses failles pour pouvoir lui faire croire qu’une carte a été rentrée et que de l’argent a demandé d’être retirée sans limite (sauf le stock).

Le moyen de se protéger
C’est aux constructeurs de DAB de mettre à jour et protéger leurs appareils.

SUCEFUL : LE MALWARE NOUVELLE GENERATION

7°/ VOL DES COORDONNEES PAR PHISHING

Exemple :
Chaque seconde, sont envoyés dans le monde un peu plus de 2,5 millions d’e-mails. Cela représente un peu plus de 210 milliards d’e-mails par jour (en moyenne 64 e-mails par jour et par personne). Un peu plus de 56 % représente du SPAM. Cela fait un peu plus de 36 spams par jour et par personne. 11% de ce spam est du Phishing. Cela fait aux alentours de 4 e-mail de phishing (hameçonnage) par jour et par personne, dont le seul but de ces e-mails est de vous récupérer identifiants mots de passe et coordonnées bancaires.

Selon le site Internet « jegardecapourmoi.com », 71 % des attaques d’hameçonnage utilisent le nom et le logo des institutions financières.

La Technique
Se faire passer pour un organisme (financier de préférence) de confiance, prétexter une quelconque bonne raison pour gentiment demander (le plus souvent pour vérification) à la victime de vous communiquer les informations de sa carte bancaire pour pouvoir ensuite les vendre sur le DarkNet ou les utiliser.

Le moyen de se protéger
Apprenez à détecter les e-mails de hameçonnage, de harponnage ou de phishing.

8°/ VOL LORS D’UN ACHAT SUR INTERNET (CLIENT/SERVEUR)

Exemple :
Soit l’ordinateur de la victime est infecté (par un Virus « Man In the Browser »)
Soit la ligne internet est piratée (« Man in the Middle »)
Soit le serveur peut avoir une faille (exemple de « Heart Bleed »)

La Technique
Utiliser une faille de l’équipement informatique du client ou du commerçant pour récupérer les données bancaires,

Le moyen de se protéger
Mettre un logiciel de sécurité à jour

9°/ PIRATAGE DES BASES DE DONNÉES (INJECTION SQL)

Exemple :
Target s’est fait voler 70 millions de données personnelles de ses clients dont 40 millions de coordonnées bancaires.

La Technique
Utiliser une faille des serveurs pour accéder à leur base de données. Les données non protégées peuvent alors être bavardes et riches en informations confidentielles et sensibles tel que des coordonnées bancaires.

Le moyen de se protéger
N’utilisez que des cartes bancaires virtuelles et à usage unique.
N’enregistre jamais vos CB par facilité dans les sites Internet

10°/ PIRATAGE DES ORDINATEURS

Exemple :
Parce qu’il est tellement plus facile de noter les coordonnées de sa carte bancaire dans un fichier dans un ordinateur plutôt que d’essayer de s’en rappeler, ces informations ultra sensibles, si elle ne bénéficient pas d’un soin particulier, ne résisteront pas à la curiosité professionnelle de pirates informatiques.

La Technique
Scruter les disques durs à la recherche de tout  ce qui pourrait ressembler à 16 chiffres.

Le moyen de se protéger
Utilisez un cryptage fort pour sécurités des informations bancaires et sensibles

LA BIOMETRIE AU SECOURS DE LA FRAUDE PAR CARTE BANCAIRE

La Banque Postale se lance dans la biométrie vocale car, en ce début de mois de mars 2016, elle vient d’obtenir l’autorisation de la CNIL (Commission nationale de l’informatique et des libertés) d’utiliser cette technologie de reconnaissance vocale pour sécuriser les paiements en ligne de ses clients. C’est une première en France.

Pour effectuer un paiement sur Internet, le client recevra un appel de la banque pour s’identifier. Il lui suffira alors de prononcer quelques mots pour vérifier son identité. Ensuite il pourra payer.

INFOS DIVERSES

2012 :
560 milliards d’euros de transactions en France;
450 millions d’euros de fraudes (0,08%).

Avant de faire des achats importants, les pirates font de petits dons à des œuvres charitables. Une manière philanthropique de tester la carte. Ensuite, celle-ci servira à toutes sortes de trafics, mondialisés ou locaux.

Les grands commerçants s’équipent désormais de la protection 3D Secure – sans quoi ils subissent le coût de la fraude –, et travaillent à l’obtention du standard de sécurité PCI DSS. Pour obtenir cette certification, l’entreprise subit un check-up complexe (900 points sont contrôlés), mais fondé sur une philosophie simple : tout doit être mis en œuvre pour protéger les données des Cartes bleues des clients.

Une fraude qui a marqué l’actu :

Fin 2008, le président Sarkozy s’était aperçu que de petits montants avaient été prélevés sur son compte pour un total de 170 euros.

Enfin, pour répondre à la question « La protection par cryptogramme dynamique, est-ce vraiment efficace ?« , je répondrais : « Ca dépend ».

Oui dans presque tous les cas pour lesquels le numéro de CB a été dérobé, mais vu que de nombreux pays ne demandent pas le cryptogramme et que certains sites Internet le demandent mais ne le vérifient pas, le consommateur peut se sentir protégé pour des achats qu’il effectue en France et en Europe, mais pas pour des achats effectués ailleurs sauf s’il s’est renseigné sur le respect des normes de sécurité 3DS par la banque du commerçant .

Réagissez à cet article