Demande d’annulation du Privacy Shield par UFC Que Choisir

Après l’invalidation en 2015 par la Cour de justice de l’Union européenne de l’accord encadrant le transfert de données entre les Etats-Unis et l’Europe, le « Safe Harbour », compte tenu du niveau de protection insuffisant des consommateurs européens, l’Union européenne a négocié un nouvel accord avec les Etats-Unis, le Privacy Shield. Cet accord a été adopté le 8 juillet 2016, malgré les inquiétudes formulées par le Parlement européen, plusieurs gouvernements, les CNIL et les associations de consommateurs européennes.
Loin de renforcer significativement le cadre juridique du transfert des données personnelles aux Etats-Unis et d’offrir un niveau de protection « adéquate », comme exigé par les textes communautaires, le nouvel accord n’offre qu’une protection lacunaire aux ressortissants européens :
L’admission d’une collecte massive et indifférenciée des données personnelles par les services de renseignements américains

 
Les lois américaines autorisent encore aujourd’hui, malgré les critiques formulées dans le cadre de l’invalidation du Safe Harbour, la collecte massive d’information par la NSA et les services de renseignement américains auprès des entreprises détentrices de données personnelles, incluant des données de consommateurs français qui ont été transférées aux Etats unis.
Bien que le gouvernement américain se soit moralement engagé à réduire cette collecte autant que possible, aucune mesure concrète n’a encore été mise en place pour limiter ces traitements de données personnelles.
Cette situation est d’autant plus inquiétante que les autorités américaines sont aussi autorisées, sur la seule base de vos données personnelles, à rendre des décisions susceptibles de produire des effets juridiques préjudiciables à votre égard. Ainsi, suite à l’envoi d’un message privé sur Facebook, exprimant une opinion politique ou critiquant la collecte à tous crins des données par les multinationales américaines, vous pourriez vous voir interdire l’entrée aux Etats Unis par les autorités américaines !

 
Un ersatz de droit au recours pour les consommateurs européens

Alors que le droit européen exige un droit au recours effectif et un accès à un tribunal impartial, le dispositif de réclamation prévu par le Privacy Shield est stratifié et complexe… Le principal recours en cas de décision préjudiciable rendue par les autorités américaines à l’encontre d’un ressortissant européen, est un médiateur… nommé par le Secrétaire d’état américain.
Enfin, le droit de s’opposer à un traitement est prévu uniquement en cas de «modification substantielle de la finalité du traitement », alors même que le droit européen offre le droit de s’opposer à un traitement de ses données personnelles à tout moment, aussi bien lors de la collecte, qu’en cours de traitement de données personnelles.
Dans le contexte de mondialisation des échanges et de transfert des données vers des Etats avec des niveaux moindres de protection que le niveau européen, ces risques sont loin d’être théoriques comme l’a souligné récemment l’association s’agissant de la collecte de données via des jouets connectés ou des applications mobiles et leur transfert vers les Etats-Unis.
Au vu de ces éléments inquiétants, deux recours en annulation ont été déposés en septembre 2016 devant le Tribunal de l’Union européenne : l’un par le ‘Digital Right Ireland’, groupe lobbyiste Irlandais de défense de la vie privée sur Internet, l’autre par les ‘Exégètes amateurs’, groupe de travail regroupant trois associations françaises…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les particuliers victime d’une attaque par Ransomwares toutes les 10 secondes

Selon un rapport de l’entreprise de sécurité Kaspersky Lab, entre janvier et septembre 2016, la fréquence des attaques de ransomware contre les entreprises est passée de deux minutes à 40 secondes. Pour le grand public, la situation est encore pire : en septembre, la fréquence des attaques est passée à 10 secondes. Au cours du troisième trimestre de l’année, Kaspersky Lab a détecté 32 091 nouvelles versions de ransomware contre seulement 2 900 au cours du premier trimestre. « Au total, nous avons comptabilisé 62 nouvelles familles de malwares de cette catégorie cette année », a indiqué l’entreprise de sécurité. Ce nombre montre aussi très clairement l’intérêt des cybercriminels pour ce type de malwares dont la réussite reste constante malgré les actions menées par les autorités policières et judiciaires et les outils de décryptage gratuits fournis par les chercheurs et les entreprises de sécurité.

L’enquête réalisée par Kaspersky Lab montre aussi que les petites et moyennes entreprises ont été les plus touchées : au cours des 12 derniers mois, 42 % d’entre elles ont été victimes d’une attaque par un ransomware. Parmi elles, une PME sur trois a payé la rançon, mais une sur cinq n’a jamais récupéré ses fichiers après le paiement. « Au total, 67 % des entreprises touchées par un ransomware ont perdu une partie ou la totalité de leurs données d’entreprise et une victime sur quatre a passé plusieurs semaines à essayer de retrouver l’accès à ses fichiers », ont déclaré les chercheurs de Kaspersky. Cette année, le ransomware le plus populaire est indéniablement CTB-Locker, utilisé dans 25 % des attaques. Viennent ensuite Locky, pour 7 % des attaques, et TeslaCrypt, pour 6,5 %, même si cette famille de ransomware a été active jusqu’en mai seulement. Les auteurs d’attaques par ransomware ont également affiné leurs cibles : leurs campagnes de phishing et d’ingénierie sociale visent des entreprises spécifiques ou des secteurs de l’industrie où le manque de disponibilité des données est très dommageable à leur activité…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Alerte : Des routeurs domestiques attaqués par malvertising via DNSChanger

Depuis la fin du mois d’octobre, les chercheurs en sécurité de Proofpoint indiquent avoir constaté l’utilisation d’une version améliorée du kit d’exploits DNSChanger dans le cadre de campagnes de publicités malveillantes (du malvertising).

Pour ce retour, DNSChanger – qui avait infecté des millions d’ordinateurs en 2012 – cible des routeurs domestiques et fonctionne la plupart du temps via le navigateur Google Chrome sur Windows et les appareils Android. Toutefois, il s’agit bel et bien d’exploiter des vulnérabilités affectant des routeurs.

Du code JavaScript malveillant permet de révéler une adresse IP locale par le biais d’une requête WebRTC (Web Real-Time Communication) vers un serveur STUN (Session Traversal Utilities for NAT) de Mozilla. WebRTC est un protocole pour la communication en temps réel sur le Web, et STUN est un protocole permettant de découvrir l’adresse IP et le port d’un client ainsi que déterminer des restrictions au niveau du routeur.

Si l’adresse IP est jugée digne d’intérêt, une fausse publicité est affichée. Elle prend la forme d’une image au format PNG. Un code exploit est caché dans les métadonnées et pour rediriger la victime vers une page hôte de DNSChanger.

Proofpoint explique que DNSChanger va une nouvelle fois vérifier l’adresse IP locale de la victime grâce à des requêtes STUN. Puis, le navigateur Google Chrome chargera plusieurs fonctions et une clé de chiffrement AES cachée par stéganographie dans une petite image. La clé sert à dissimuler du trafic et décrypter une liste d’empreintes numériques afin de déterminer si un modèle de routeur est vulnérable.

L’attaque menée dépend du modèle de routeur. Elle est utilisée pour modifier les entrées DNS (Domain Name System ; correspondance entre un nom de domaine et une adresse IP) dans le routeur et tenter de rendre accessibles les ports d’administration depuis des adresses externes. Le chercheur Kafeine de Proofpoint évoque alors une exposition du routeur à d’autres attaques et cite l’exemple des botnets Mirai.

À noter que s’il n’y a pas d’exploits connus, une attaque tentera tout de même sa chance en essayant de tirer parti d’identifiants qui sont ceux par défaut (pas modifiés par l’utilisateur), et toujours pour modifier les paramètres DNS. Soulignons bien que le navigateur n’est ici pas mis en cause…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Victime de Ransomware ? Payer ou ne pas payer ?

« On ne paie pas, ce n’est pas une solution raisonnable » jugeait en début d’année le patron de l’agence de sécurité de l’Etat (Anssi). Pour Guillaume Poupard, verser des rançons aux auteurs de ransomware n’est pas la solution.

Pourquoi ? Car, entre autres, « cela contribue uniquement à soutenir financièrement les développeurs du malware » justifie Catalin Cosoi, responsable de la stratégie sécurité de BitDefender. Mais voilà, faute de sauvegarde et compte tenu de l’importance des données, des entreprises se résignent à payer.

Ransomware : des attaques à large spectre

C’est ce qu’observe IBM Security dans une étude. D’après Big Blue, les entreprises sont de plus en plus victimes de ransomware. Mais d’abord par opportunisme. Ces attaques sont désormais bien moins ciblées et affectent des victimes plus que des cibles.

L’attaque fin novembre contre le système de transport de San Francisco en est une illustration. Les pirates expliquaient ainsi automatiser l’infection par un ransomware après détection de vulnérabilités. La municipalité avait cependant refusé de payer la rançon de 100 bitcoins (alors plus de 70.000 dollars).

Selon IBM, la rentabilité du ransomware encourage à la multiplication des attaques. Près de 40% des emails de spam contiendraient désormais un tel programme malveillant. Cela se traduit mécaniquement par une hausse du nombre de victimes.

Et les entreprises victimes auraient donc majoritairement tendance, à près de 70%, à payer la rançon pour récupérer leurs données, chiffrées par les cybercriminels et donc inexploitables. Le préjudice financier dépasserait les 10.000 dollars pour 50% de ces sociétés.

Payer ou renoncer à ses données critiques

Les 20% restants auraient versé plus de 40.000 dollars, estime IBM. Au total, Big Bue évalue à 1 milliard de dollars, le montant ainsi extorqué aux entreprises grâce à un ransomware…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de Yahoo : les données sont à vendre depuis août 2016

300 dollars et 30 secondes pour pirater un Mac

Un expert en sécurité suédois, Ulf Frisk, a concocté une méthode pour voler le mot de passe d’un Mac en veille ou verrouillé. Pour cela, il utilise un dispositif qu’il branche sur le port Thunderbolt de l’appareil, en l’occurrence un MacBook Air. Mais cela pourrait marcher aussi sur un port USB de type C.

Prix de l’équipement en question : 300 dollars. Pour réaliser son exploit, il s’appuie sur une faille présente dans FileVault 2. Plus précisément, la brèche se situe dans la capacité donnée aux périphériques Thunderbolt d’accéder à mémoire directe (DMA) du Mac, avec des droits d’écriture et de lecture. Or dans cette zone, le mot de passe du disque chiffrée est stocké en clair, même lorsque l’ordinateur est verrouillé ou quand le système redémarre. Le mot de passe est placé dans plusieurs zones mémoires mais sur une plage fixe, donnant un moment de lisibilité pour un pirate. Ce laps de temps n’est que de quelques secondes au moment du redémarrage du système. Le dispositif d’Ulf Frisk profite de ce timing pour voler le mot de passe…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Android Things , le nouvel OS pour objets connectés de Google

Faute d’une adoption de grande ampleur par la communauté des développeurs, le groupe Internet revient à l’assaut avec un nouvel OS léger baptisé Android Things qui n’est autre qu’une mouture améliorée de Brilllo. En rassemblant leurs compétences, Google et de Qualcomm souhaitent offrir aux développeurs des environnements de connectivité familiers: réseaux cellulaires, Wi-Fi, Bluetooth, prise en charge d’un large éventail de capteurs, caméras, cartes graphiques, sécurité matérielle, services Google, intégration du Cloud, etc. Jeffery Torrance, vice-président du développement des affaires de Qualcomm Technologies, a déclaré que « depuis le lancement du premier téléphone Android, Qualcomm et Google ont collaboré étroitement pour créer de nouvelles opportunités intéressantes pour les développeurs de mobiles, de portables et d’IoT ». Aujourd’hui le projet est beaucoup plus abouti et Android Things est accompagné d’Android Studio, des services Google Play, de la Google Cloud Platform et du SDK Android. Google fait remarquer qu’il existe déjà du hardware pour cela: Android Things est compatible avec Intel Edison, NXP Pico et Raspberry Pi 3.

Weave, bientôt sur Android et. iOS!

Il s’agit également d’un système d’exploitation temps réel (RTOS), domaine où la concurrence est rude avec une myriade d’alternatives: Contiki (disponible gratuitement sous licence BSD) et TinyOS.La firme annonce avoir aussi mis à jour sa plateforme Weave permettant aux objets connectés déjà sur le marché de profiter de ses services, à l’instar de Google Assistant.

Pour rappel, Weave fournit l’infrastructure cloud qui permet de relier les objets connectés entre eux et à Internet.

Dans un effort d’harmonisation des approches de standardisation, l’Open Interconnect Consortium et l’AllSeen Alliance regroupent des myriades de sociétés IT accompagner l’essor de l’IoT. Le kit de développement (SDK) Weave Device vient d’être introduit.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment devenir délégué à la protection des données (DPD ou DPO)

Lignes directrices du G29

> Guidelines on Data Protection Officers (‘DPOs’)

> WP243 ANNEX – Frequently asked questions

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Descendez avec nous, à la nuit tombée, dans les cyber-catacombes

Piratage de Yahoo!: pouvez-vous porter plainte si vous êtes concerné?