Attentat dans une église : la messagerie chiffrée Telegram utilisée par un terroriste ?

Il faut s’attendre à voir très vite renaître le débat sur le chiffrement et l’obligation qui pourrait être faite aux fournisseurs de messageries électroniques de laisser les services de Renseignement accéder aux communications. La Voix du Nord affirme qu’Adel Kermiche, l’un des deux coauteurs de la tuerie de l’église de Saint-Étienne-du-Rouvray, près de Rouen, utilisait la messagerie chiffrée Telegram, à des fins djihadistes. Il aurait envoyé un message sur un canal de discussion une heure avant l’attaque.

« Selon nos informations, Adel Kermiche avait ouvert sur Telegram une « private channel » (haqq-wad-dalil), une chaîne lui permettant de s’adresser à une audience ultra-sélectionnée. Il avait choisi pour nom de code Abu Jayyed al-Hanafi et la photo de Abou Bakr al-Baghdadi, chef suprême de l’État islamique, comme représentation », écrit le quotidien régional.

TÉLÉCHARGER (SIC) CE QUI VA VENIR ET PARTAGER LE EN MASSE ! ! ! !

Selon les membres arabophones de la rédaction de Numerama, haqq-wad-dalil signifierait quelque chose comme « preuve de la vérité » ou « guide de la vérité ».

La Voix du Nord ajoute que « le terroriste correspondait depuis des mois via ce canal avec près de 200 personnes, dont une dizaine de Nordistes », qui étaient d’abord approchés par Facebook. Le matin de l’attentat, le 26 juillet 2016 à 8h30, il aurait envoyé sur ce salon un message qui disait : « Télécharger (sic) ce qui va venir et partager le en masse ! ! ! ! ».

Le quotidien ne dit rien d’un éventuel document qui aurait pu être mis en partage par la suite, ce qui ne laisse la voie qu’à des spéculations. Peut-être Kermiche avait-il prévu de filmer son acte odieux, ou des revendications, et espérait trouver des relais à sa diffusion à travers ses contacts sur Telegram.

Si cette information se confirme ce serait, à notre connaissance, la première fois qu’un lien direct est effectué entre un attentat terroriste en France et l’utilisation de messageries chiffrées.

COMMENT SURVEILLER TELEGRAM ?

La Voix du Nord ne dit pas par quel biais le message aurait été découvert. Il est possible que les enquêteurs aient trouvé ce message en accédant à l’historique Telegram du terroriste, depuis son téléphone mobile qui n’aurait pas été bloqué. Le plus probable est toutefois que l’information provienne d’un autre utilisateur du salon haqq-wad-dalil, puisque le quotidien cite le témoignage de l’un d’entre eux, qui explique que les échanges pouvaient y être « écrits ou oraux mais toujours détruits rapidement ».

Il est connu depuis de très nombreux mois que Telegram, qui dispose de plus de 100 millions d’utilisateurs à travers le monde, est aussi utilisé par des djihadistes qui recherchent la sécurité d’une messagerie chiffrée.

Après avoir refusé d’opérer la moindre censure, en tout en continuant à livrer la moindre information personnelle sur ses utilisateurs, Pavel Durov a fini par décider en novembre 2015 de fermer des salons de discussion liés à l’État islamique, pour mettre fin aux accusations de complicité passive. Il avait appelé les internautes à les signaler pour permettre leur fermeture.

Théoriquement, les canaux de discussion peuvent être infiltrés par les agents des services de renseignement. Reste qu’en l’absence de communication d’informations sur les utilisateurs, il peut être difficile de remonter jusqu’à l’auteur d’un message présentant une menace particulièrement élevée.

Article original de Guillaume Champeau

Réagissez à cet article

Privacy Shield : 1 an de sursis donné par les CNIL européennes

Le verdict était attendu. Les CNIL européennes du groupe de l’article 29 (G29) ont rendu leur décision définitive sur le Privacy Shield. Cet accord encadre le transfert des données entre les Etats-Unis et l’Union européenne Il est le successeur du Safe Harbor, invalidé par la Cour de Justice de l’Union européenne. Dans un communiqué de presse, le G29 souligne ses réserves sur le Privacy Shield. Il considère néanmoins que l’accord a été voté et il donne rendez-vous au 1 an de l’accord lors de sa révision pour un examen plus approfondi de certaines dispositions.

En avril dernier, le groupe avait émis différentes critiques sur le Privacy Shield. Il avait souligné « un manque de clarté général », une « complexité », et parfois une « incohérence », des documents et annexes qui composent le Privacy Shield. C’est notamment le cas pour les voies de recours que pourront emprunter les citoyens européens contestant l’exploitation de leurs données outre-Atlantique, indique le groupe dans son avis consultatif.

Quant à l’accès des agences de renseignement aux données transférées dans le cadre du Privacy Shield (volet sécurité nationale), il soulève de « fortes préoccupations ». Le risque  d’une collecte « massive et indiscriminée » des données par un État n’est pas écarté. Le groupe s’inquiète aussi du statut et de l’indépendance du médiateur (« ombudsman ») vers lequel les citoyens européens pourront se tourner.

Un an de sursis et une mise en garde

Certaines réserves ont été prises en compte, note le G29, mais « cependant un certain nombre de préoccupations demeurent ». Au premier rang desquels, le risque toujours bien réel d’une surveillance de masse par le gouvernement américain. Il évoque le rôle du médiateur et la révision annuelle de l’accord.
Les CNIL européennes comptent beaucoup sur cette révision annuelle prévue en juillet 2017. Elles profiteront de cette occasion « pour non seulement évaluer si les questions en suspens ont été résolues, mais aussi si les garanties prévues par le Privacy Shield entre les Etats-Unis et l’UE sont réalisées et efficaces ». Et de prévenir, que « tous les membres de l’équipe en charge de cette révision doivent avoir accès à toutes les informations nécessaires à l’accomplissement de leur  examen y compris des éléments favorisant leur propre évaluation sur la proportionnalité et la nécessité de la collecte et l’accès aux données par les pouvoirs publics ». Une mise en garde contre les risques d’être éconduits dans un an.

Pendant ce temps-là, le Privacy Shield pourrait être contesté par des citoyens européens, comme cela a été le cas avec Max Schrems pour le Safe Harbor. Lors d’une récente discussion dans le cadre de Cloud Confidence, le jeune avocat avais émis l’hypothèse d’une nouvelle action en justice contre le Privacy Shield.

Article original de Jacques Cheminat

Réagissez à cet article

La police peut-elle obliger un suspect à débloquer son iPhone avec son doigt ?

La question s’est certainement déjà posée dans les commissariats et dans les bureaux des juges d’instruction, et elle devrait devenir plus pressant encore dans les années à venir : alors qu’un suspect peut toujours prétendre avoir oublié son mot de passe, ou refuser de répondre, les enquêteurs peuvent-ils contraindre un individu à débloquer son téléphone lorsque celui-ci est déblocable avec une simple empreinte digitale ?

Le débat sera tranché aux États-Unis par un tribunal de Los Angeles. Le Los Angeles Times rapporte en effet qu’un juge a délivré un mandat de perquisition à des policiers, qui leur donne le pouvoir de contraindre physiquement la petite amie d’un membre d’un gang arménien à mettre son doigt sur le capteur Touch ID de son iPhone, pour en débloquer le contenu.

Le mandat signé 45 minutes après son placement en détention provisoire a été mis en œuvre dans les heures qui ont suivi. Le temps était très court, peut-être en raison de l’urgence du dossier lui-même, mais aussi car l’iPhone dispose d’une sécurité qui fait qu’au bout de 48 heures sans être débloqué, il n’est plus possible d’utiliser l’empreinte digitale pour accéder aux données. Mais l’admissibilité des preuves ainsi collectées reste sujette à caution et fait l’objet d’un débat entre juristes.

EN MONTRANT QUE VOUS AVEZ OUVERT LE TÉLÉPHONE, VOUS DÉMONTREZ QUE VOUS AVEZ CONTRÔLE SUR LUI

Certains considèrent qu’obliger un individu à placer son doigt sur le capteur d’empreintes digitales de son iPhone pour y gagner l’accès revient à forcer cette personne à fournir elle-même les éléments de sa propre incrimination, ce qui est contraire à la Constitution américaine et aux traités internationaux de protection des droits de l’homme. « En montrant que vous avez ouvert le téléphone, vous montrez que vous avez contrôle sur lui », estime ainsi Susan Brenner, une professeur de droit de l’Université de Dayton. Le capteur Touch ID ne sert pas uniquement à débloquer le téléphone, mais aussi à le déchiffrer, en fournissant une clé qui joue le rôle d’authentifiant du contenu.

D’autres estiment qu’il s’agit ni plus ou moins que la même chose qu’une perquisition à domicile réalisée en utilisant la clé portée sur lui par le suspect, ce qui est chose courante et ne fait pas l’objet de protestations. Ils n’y voient pas non plus de violation du droit de garder le silence, puisque le suspect ne parle pas en ne faisant que poser son doigt sur un capteur.

ET EN FRANCE ?

Pour le moment, le sujet n’est pas venu sur la scène législative en France. Mais il pourrait y venir par analogie avec d’autres techniques d’identification biométrique.

En matière de recherche d’empreintes digitales ou de prélèvement de cheveux pour comparaison, l’article 55-1 du code de procédure pénale punit d’un an de prison et 15 000 euros d’amende « le refus, par une personne à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre une infraction, de se soumettre aux opérations de prélèvement ». De même en matière de prélèvements ADN, le code de procédure pénale autorise les policiers à exiger qu’un prélèvement biologique soit effectué sur un suspect, et «  le fait de refuser de se soumettre au prélèvement biologique est puni d’un an d’emprisonnement et 30 000 euros d’amende ».

Sans loi spécifique, les policiers peuvent aussi tenter de se reposer sur les dispositions anti-chiffrement du code pénal, puisque l’empreinte digitale sert de clé. L’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, «  pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Mais à notre connaissance, elle n’a jamais été appliquée pour forcer un suspect à fournir lui-même ses clés de chiffrement, ce qui serait potentiellement contraire aux conventions de protection des droits de l’homme.

Article original de Guillaume Champeau

Réagissez à cet article

La Cnil épingle Windows 10 sur la collecte des données personnelles

A quelques jours de la fin de la gratuité pour migrer sur Windows 10, la Cnil s’invite dans le débat sur le dernier OS de Microsoft. Et le moins que l’on puisse dire est que le régulateur n’est pas content des méthodes de l’éditeur américain. Elle vient de mettre en demeure Microsoft de se conformer dans un délai de 3 mois à la Loi Informatique et Libertés.

Alertée sur la collecte de données de Windows 10 (dont nous nous étions fait l’écho à plusieurs reprises : « pourquoi Windows 10 est une porte ouverte sur vos données personnelles » ou « Windows 10 même muet il parle encore »), la Cnil a effectué une série de contrôles entre avril et juin 2016 pour vérifier la conformité de Windows 10 à la loi.

De ces contrôles, il ressort plusieurs manquements. Le premier concerne une collecte des données excessives et non pertinentes. Elle reproche par exemple à Microsoft de connaître quelles sont les applications téléchargées et installées par un utilisateur et le temps passé par l’utilisateur sur chacune d’elles. Microsoft s’est toujours défendu de collecter des données personnelles en mettant en avant des relevés de « télémétrie » pour améliorer son produit.

Défaut de sécurité, absence de consentements et référence au Safe Harbor

Autre point soulevé par le régulateur, un défaut de sécurité a été trouvé dans le code PIN à 4 chiffres. Ce dernier est utilisé pour s’authentifier sur l’ensemble des services en ligne. Or le nombre de tentatives de saisie du code PIN n’est pas limité.

De plus, la Cnil constate une absence de consentement des personnes notamment sur le ciblage publicitaire lors de l’installation de Windows 10. Idem pour le dépôt de cookies déposés sur les terminaux des utilisateurs.

Enfin, cerise sur le gâteau, Microsoft est enjoint par la Cnil d’arrêter de se baser sur le Safe Harbor pour transférer les données personnelles aux Etats-Unis. Cet accord a été invalidé par la Cour de Justice de l’Union européenne en octobre 2015. Il a été remplacé par le Privacy Shield qui doit bientôt rentrer en vigueur.

La balle est maintenant dans le camps de Microsoft.

Article original de Jacques Cheminat

Réagissez à cet article

État d’urgence : la police pourra bien copier des données trouvées dans le Cloud

Il faudrait toujours retourner son clavier sept fois sur le bureau avant de donner un satisfecit au gouvernement. Mardi, nous détaillions le cadre prévu dans le projet de loi de prorogation de l’état d’urgence, pour la copie des données informatiques dont Manuel Valls avait annoncé le retour. Il fallait vérifier si les exigences du Conseil constitutionnel en matière de respect de la vie privée étaient bien respectées.

À cette occasion, nous faisions remarquer à tort que le gouvernement n’avait pas prévu la possibilité de copier des données stockées dans les services en ligne des suspects, se limitant curieusement aux seules « données contenues dans tout système informatique présent sur les lieux de la perquisition ».

Pris dans un élan de naïveté, nous n’avions pas fait attention au fait que l’ensemble du dispositif n’était pas réécrit, et que le gouvernement avait laissé intacte une disposition non censurée par le Conseil constitutionnel, qui change toute l’analyse. Elle dit qu’en cas de perquisition administrative, « il peut être accédé, par un système informatique ou un équipement terminal présent sur les lieux où se déroule la perquisition, à des données stockées dans ledit système ou équipement ou dans un autre système informatique ou équipement terminal, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial ». Créé en novembre 2015, cet alinéa de l’article 11 de la loi du 3 avril 1955 relative à l’état d’urgence n’a pas été supprimé, comme le fait justement remarquer Marc Rees deNext Inpact :

Voir l’image sur Twitter

Suivre

marc rees @reesmarc

. @p_estienne j’ajoute que PJL #EtatdUrgence ne supprime pas accès au cloud cc @gchampeau (gauche PJL droite, L55)

11:03 – 20 Juil 2016

• 77 Retweets

• 1 j’aime

Il reste donc possible pour la police d’accéder sur place à toutes données disponibles sur le Cloud, en profitant des sessions ouvertes sur des services en ligne (ou dont le mot de passe est mémorisé). Dès lors, à partir du moment où ils sont affichés à l’écran ou téléchargés, ces messages Facebook, e-mails, documents Google Docs, historiques WhatsApp ou autres fichiers stockés à distance deviennent bien des « données contenues dans tout système informatique présent sur les lieux de la perquisition  », qui peuvent être copiées et analysées après autorisation du juge, dans le cadre désormais fixé.

Article original de Guillaume Champeau

Réagissez à cet article

Trois histoires vrais de vies inquiétées par du piratage informatique ciblé

La plupart d’entre nous ont un email, un compte sur les réseaux sociaux et une banque en ligne. On commande sur le web, et utilisons notre mobile pour nous connecter à Internet (par exemple, dans les solutions de l’authentification à deux facteurs) et pour d’autres choses tout aussi importantes. Malheureusement, aucun de ces systèmes n’est 100% sûr.

Plus nous interagissons en ligne et plus nous devenons les cibles de hackers sournois. Les spécialistes en sécurité appellent ce phénomène  » la surface d’attaque « . Plus la surface est grande et plus l’attaque est facile à réaliser. Si vous jetez un coup d’œil à ces trois histoires qui ont eu lieu ces trois dernières années, vous comprendrez parfaitement le fonctionnement de cette attaque.

1. Comment détourner un compte : faut-il le pirater ou simplement passer un coup de fil ?

Un des outils les plus puissants utilisés par les hackers est le  » piratage humain  » ou l’ingénierie sociale. Le 26 février dernier, le rédacteur en chef de Fusion Kevin Roose, a voulu vérifier s’il était aussi puissant qu’il n’y paraissait. Jessica Clark, ingénieure sociale spécialisée en piratage informatique et l’expert en sécurité Dan Tentler ont tout deux accepté ce défi.

Jessica avait parié qu’elle pouvait pirater la boîte mail de Kévin rien qu’avec un email, et sans grande difficulté elle y est arrivé. Tout d’abord, l’équipe de Jessica a dressé un profil de 13 pages qui définissait quel genre d’homme il était, ses goûts, etc, provenant de données collectées de diverses sources publiques.

Après avoir préparé le terrain, Jessica a piraté le numéro mobile de Kévin et appelé sa compagnie de téléphone. Pour rendre la situation encore plus réelle, elle ajouta un fond sonore d’un bébé en train de pleurer.

Jessica se présenta comme étant la femme de Roose. L’excuse inventée par cette dernière fut qu’elle et son  » mari  » devaient faire un prêt, mais qu’elle avait oublié l’email qu’ils utilisaient en commun, en se faisant passer pour une mère de famille désespérée et fragile. Accompagnée des cris du bébé, Jessica ne mit pas longtemps à convaincre le service technique de réinitialiser le mot de passe du mail et ainsi d’y avoir pleinement accès.

Dan Tentler a accompli cette tâche avec l’aide de l’hameçonnage. Tout d’abord, il avait remarqué que Kevin possédait un blog sur Squarespace et lui envoya un faux email officiel depuis la plateforme, dans lequel les administrateurs de Squarespace demandaient aux utilisateurs de mettre à jour le certificat SSL (Secure Sockets Layer) pour des questions de  » sécurité « , permettant ainsi à Tentler d’accéder à l’ordinateur de Kévin. Dan créa de nombreux faux pop-up demandant à Roose des informations bien spécifiques et le tour était joué.

Tentler réussit à obtenir l’accès à ses données bancaires, son email, ses identifiants sur les sites web, ainsi que ses données de cartes de crédit, son numéro de sécurité sociale. De l’écran de son ordinateur, il capturait des photos toutes les deux minutes et ce pendant 48h.

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

What is phishing and why should you care? Find outhttps://kas.pr/6bpe  #iteducation #itsec

8:05 PM – 11 Dec 2015

• 1717 Retweets

• 77 likes

2. Comment détourner de l’argent à un ingénieur informatique en moins d’une nuit

Au printemps 2015, le développeur de logiciels Partap Davis a perdu 3000$. Durant une nuit, en seulement quelques heures, un hacker inconnu a obtenu l’accès de ses comptes mail, son numéro de téléphone et son Twitter. Le coupable a contourné habilement le système de l’authentification à deux facteurs et littéralement vidé le portefeuille des bitcoins de Partap. Comme vous devez sans doute l’imaginer, Davis a passé une mauvaise journée le lendemain.

Il est important de noter que Partap est une pointure concernant l’usage d’Internet : il choisit toujours des mots de passe fiables et ne clique jamais sur des liens malveillants. Son email est protégé avec le système d’authentification à deux facteurs de Google, ce qui veut dire que lorsqu’il se connecte depuis un nouvel ordinateur, il doit taper les six numéros envoyés sur son mobile.

Davis gardait ses économies sur trois portefeuilles Bitcoin, protégés par un autre service d’authentification à deux facteurs, conçu par l’application mobile Authy. Même si Davis utilisait toutes ces mesures de sécurité prévoyantes, ça ne l’a pas empêché de se faire pirater.

Suite à cet incident, Davis était très en colère et a passé plusieurs semaines à la recherche du coupable. Il a également contacté et mobilisé des journalistes de The Verge pour l’enquête. Tous ensemble, ils sont parvenus à trouver comment le piratage avait été exécuté. Davis utilisait comme mail principal l’adresse suivante : Patrap@mail. Tous les mails furent envoyés à une adresse Gmail plus difficile à mémoriser (étant donné que Patrap@gmail était déjà utilisé).

Pendant plusieurs mois, quiconque pouvait ensuite se rendre sur la page Hackforum et acheter un script spécial afin d’obtenir les mots de passe qui se trouvaient dans la boite mail. Apparemment, le script était utilisé pour contourner l’authentification à deux facteurs et changer le mot de passe de Davis.

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

Unfortunately two-factor authentication can’t save you from#banking Trojans https://kas.pr/S4jV  #mobile

4:40 PM – 11 Mar 2016

• 2828 Retweets

• 1515 likes

Ensuite, l’hacker a fait une demande de nouveau mot de passe depuis le compte de Davis et demandé au service client de transférer les appels entrants à un numéro de Long Beach (ville en Californie). Une fois le mail de confirmation reçu, le service technique a donné le contrôle des appels à l’hacker. Avec une telle technique, il n’était pas bien difficile de contourner l’authentification à deux facteurs de Google et avoir accès au compte Gmail de Davis.
Pour surmonter cet obstacle, l’hacker a tout simplement réinitialisé l’application sur son téléphone en utilisant une adresse mail.com et une nouvelle confirmation de code, envoyée de nouveau via un appel vocal. Une fois que l’hacker mit la main sur toutes les mesures de sécurité, il changea les mots de passe des portefeuilles Bitcoin de Davis, en utilisant Authy et l’adresse email .com afin de lui détourner de l’argent.

L’argent des deux autres comptes est resté intact, l’un des services interdisant le retrait des fonds 48h après le changement du mot de passe, et l’autre demandant une copie du permis de conduire de Davis, que l’hacker n’avait pas en sa possession.

3. La menace rôde sur nos vies

Comme l’a écrit le journal Fusion en octobre 2015, la vie de la famille Straters s’est retrouvée anéantie à cause d’une pizza. Il y a plusieurs années, des cafés et restaurants locaux se sont installés sur leur arrière-cour, les envahissant de pizzas, tartes et toute sorte de nourriture.

Peu de temps après, des camions de remorquage ont déboulé munis de grandes quantités de sable et de gravier, tout un chantier s’était installé sans aucune autorisation au préalable. Malheureusement, il ne s’agissait que de la partie visible de l’iceberg comparé au cauchemar des trois années suivantes.

Paul Strater, ingénieur du son pour une chaine de télé locale et sa femme, Amy Strater, ancienne directrice générale d’un hôpital, ont été tout deux victimes d’un hacker inconnu ou de tout un groupe. Il s’avérait que leur fils Blair était en contact avec un groupe de cybercriminels. Les autorités ont reçu des menaces de bombe signées du nom du couple. Les hackers ont utilisé le compte d’Amy pour publier une attaque planifiée dans une école primaire, dans lequel figurait ce commentaire  » Je tirerai sur votre école « . La police faisait des visites régulières à leur domicile, n’améliorant en rien les relations du couple avec leur voisinage, qui à force se demandait ce qu’il se passait.

Les hackers ont même réussi à pirater le compte officiel de Tesla Motors et posté un message qui encourageait les fans de la page à appeler les Strater, en échange de gagner une voiture Tesla. Les Strater  » croulaient sous les appels téléphoniques « , environ cinq par minute, provenant des  » admirateurs  » de Tesla, désireux de gagner la voiture. Un jour, un homme s’est même présenté au domicile des Strater en demandant aux propriétaires d’ouvrir leur garage, prétendant qu’ils cachaient la Tesla à l’intérieur.

Paul tenta de démanteler le groupe d’hackers en changeant tous les mots de passe de ses comptes et en donnant l’ordre aux patrons des restaurants locaux de ne rien dévoiler sur leur adresse. Il contacta également le Département de Police d’Oswego en leur demandant de vérifier à l’avance si une urgence était bien réelle, avant d’envoyer des renforts. En conséquence de tous ces problèmes, Paul et Amy finirent par divorcer.

Les attaques ont continué par la suite. Les réseaux sociaux d’Amy ont été piratés et utilisés pour publier toute une série de revendications racistes, ce qui a causé la perte de son emploi. Elle fut licenciée malgré avoir dit à ses supérieurs qu’elle et sa famille étaient les victimes de hackers et que leur vie s’était transformée en un véritable cauchemar.

Amy réussit à temps à reprendre le contrôle de son LinkedIn et à supprimer son compte Twitter. Malheureusement, elle était incapable de retrouver un travail dans sa branche à cause de ce qui s’était passé. Elle fut contrainte de travailler chez Uber pour arrondir ses fins de mois, mais disposait de ressources insuffisantes pour payer son loyer.

» Avant, lorsqu’on tapait son nom sur Google, on pouvait voir ses nombreux articles scientifiques et son travail admirable  » a déclaré son fils Blair au journal Fusion.  » Désormais, on ne voit plus que des hackers, hackers, hackers « .

De nombreuses personnes ont critiqué Blair Strater pour avoir été impliqué lui-même dans de nombreux réseaux de cybercriminels, où il n’arrivait pas à se faire d’amis. Dans le cas précis de la famille Strater, les parents de Blair ont payé pour les  » crimes  » de leur fils, alors qu’eux n’avaient absolument rien à voir avec les hackers.

Article original de Kate Kochetkova

Denis JACOPINI ne peut que vous recommander d’être prudent. 

Si vous désirez être sensibilisé aux risques d’arnaques et de piratages afin d’en être protégés, n’hésitez pas à nous contacter, nous pouvons animer conférences, formations auprès des équipes dirigeantes et opérationnelles.

La sécurité informatique et la sécurité de vos données est plus devenu une affaire de Qualité (QSE) plutôt qu’un problème traité par des informaticiens.

Vous souhaitez être aidé ? Contactez-nous

Réagissez à cet article

Sanction de la CNIL  pour BrandAlley.fr

Le 13 janvier 2015, une délégation de la CNIL effectuait un premier contrôle sur place pour relever déjà différents manquements de cette société française. Cela aurait pu en rester là si tout avait été rectifié à temps, mais en mars de la même année, une cliente a saisi la CNIL pour se plaindre de difficultés dans l’exercice de son droit d’accès aux données personnelles. Cette internaute adressait d’ailleurs au site de e-commerce une nouvelle lettre en mai 2015, sans plus d’effet.

Le 3 juillet 2015, BrandAlley était du coup mise en demeure par la CNIL de corriger plusieurs points de son système dans les trois mois. Bon prince, la Commission lui accordait un peu plus tard une rallonge de trois nouveaux mois. Les points litigieux visent à :

• Encadrer le traitement relatif à la prévention des fraudes,
• Mettre en place d’une durée de conservation des données clients,
• Recueillir le consentement préalable des clients pour la conservation des données bancaires,
• Prendre en compte de la demande de la plaignante,
• Obtenir l’accord des internautes s’agissant des cookies,
• Cesser de transmettre les données à caractère personnel vers des pays hors UE qui n’assurent pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.

 
Dans un courrier de janvier 2016, BrandAllay affirmait à la CNIL qu’elle s’était désormais mise en conformité. Peu satisfaite des réponses « lacunaires », la Commission organisait un nouveau contrôle sur place en février 2016. Contrôle qui a montré la persistance de plusieurs problèmes déjà relevés. En outre, un mois plus tard, elle a effectué un contrôle à distance du site Internet, une possibilité accordée par la loi sur la consommation.

La procédure gagnait alors un tour de vis supplémentaire. La CNIL a désigné un rapporteur, en l’occurrence François Pellegrini, une étape préalable à toute sanction où la société peut encore donner ses explications. Dans ce document désormais public , le rapporteur a constaté plusieurs défauts.

Des réactions trop tardives

Premièrement, BrandAllay.fr n’avait pas déposé dans le délai imparti, de demande d’autorisation pour la mise en œuvre d’un traitement antifraude. Selon les éléments du dossier, c’est « la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation ». Mais beaucoup trop tardivement pour ne pas abuser de la patience de l’autorité administrative…

S’agissant de la durée de conservation des données personnelles, on se retrouve un peu dans même situation. À l’échéance du délai imparti, la société avait indiqué s’être conformé à la norme simplifie 48, celle relative à la gestion de clients et de prospects. Dans le même temps, elle ajoutait que les données clients seraient conservées 5 années durant, à compter de la fin de la relation commerciale. Or ce délai non prévu par la norme en question. Pire, lors du deuxième contrôle sur place, la CNIL a constaté qu’ « aucune purge des données n’avait été réalisée ». Les explications fournies par le site de e-commerce – liées à la complexité de mise en œuvre – n’ont pas eu de poids, même si elle a depuis corrigé le tir pour revenir à un délai de conservation de 3 ans.

Cookies, chiffrement, Maroc et Tunisie

S’agissant des cookies, la société mise en demeure avait informé l’autorité de la mise en place un bandeau afin de recueillir le consentement des internautes, avant dépôt de cookies. Le contrôle en ligne effectué en mars 2016 a révélé la solidité de cette affirmation. D’un, le fameux bandeau « était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies ». Soit un joli manquement à l’article 32-II de la loi de 1978.

De deux, des cookies à finalités publicitaires étaient déposés dès l’arrivée sur le site, sans l’ombre d’un consentement préalable. Pour ce dernier point, la CNIL n’a finalement pas retenu de grief, s’estimant « insuffisamment éclairée (…) sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés ». Par constat d’huissier, BrandAlley a par ailleurs démontré s’être mise depuis d’aplomb.

Ce n’est pas tout. La CNIL a pareillement dénoncé l’absence de chiffrement du canal de communication et d’authentification lors de l’accès à BrandAlley.fr (usage du HTTP, plutôt que HTTPS). Le 29 mars 2016, la société a produit un nouveau constat d’huissier pour montrer à la CNIL que ce défaut se conjuguait désormais au passé. Un peu tard là encore pour la Commission qui a relevé un nouveau manquement.

Enfin, la société transférait vers le Maroc et la Tunisie les données personnelles de ses clients, via l’un de ses sous-traitants. Malgré des affirmations en sens contraire en janvier 2016, la CNIL a relevé en février la persistance de ces transferts. Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici (pas plus qu’aux Etats-Unis depuis l’invalidation du Safe Harbor par la justice européenne).

Après délibération, la CNIL a décidé de sanctionner la société de 30 000 euros d’amende, outre de rendre public la délibération. Une sanction loin d’être négligeable, le critère de la confiance sur Internet étant cruciale pour un site de e-commerce. La société peut maintenant attaquer, si elle le souhaite, la décision devant le Conseil d’État.

Article original de Marc Rees

Réagissez à cet article

Discorde entre l’Union européenne et les Etats-Unis sur la protection des données personnelles

Cette question est au cœur de la problématique de la protection des données personnelles, qui intéresse l’Union européenne, notamment lorsque le transfert se fait d’un pays européen vers un pays tiers. Le principe veut que ce type de transfert de données à caractère personnel vers un pays tiers soit interdit, sauf si le pays en question assure un niveau de protection suffisant pour ces informations.

En juin 2013, les révélations d’Edward Snowden sur la récupération par l’agence de renseignements américaine, la NSA (National Security Agency), des données personnelles des citoyens européens, et donc leur surveillance par les autorités américaines, ont conduit l’UE à revoir les accords existants sur le sujet.

Alors que les négociations étaient en cours, une décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015, a précipité le processus. La Cour avait à se prononcer sur une question posée par la Haute Cour de justice irlandaise relative à la validité des principes dits Safe Harbor (sphère de sécurité). Ceux-ci étaient énoncés dans la décision de la Commission européenne du 26 juillet 2000 dans laquelle elle considérait que les Etats-Unis assuraient un niveau suffisant de protection des données personnelles pour permettre le transfert des données.

Mais la Cour de justice de l’Union européenne a invalidé cette décision. Marquée par les révélations de l’affaire Snowden, elle a constaté que le régime américain de protection des données personnelles « rend possible des ingérences (…) dans les droits fondamentaux des personnes » par les autorités publiques américaines.

La négociation d’un nouvel accord devenait urgente pour les quelques 4.000 entreprises soumises au Safe Harbor devenu caduc et laissant donc place à un vide juridique. Or, le sujet de l’utilisation des données personnelles est particulièrement brûlant quand on connait la valeur de celles-ci pour les entreprises: l’exploitation des données personnelles de ses utilisateurs aurait rapporté 12 milliards de dollars à Facebook en 2014, selon Les Echos.

Le nouveau dispositif, baptisé Privacy Shield (bouclier de protection de la vie privée), a été négocié entre la Commission européenne et les Etats-Unis, qui sont parvenus à un accord le 2 février 2016. Le 13 avril, les autorités européennes de protection des données (la CNIL pour la France) ont émis un avis sur cet accord, où elles expriment de sérieuses préoccupations. Puis le Parlement européen a fait de même dans une résolution votée le 26 mai: les députés européens réclamait de rouvrir les négociations pour apporter plus de garanties. Le 8 juillet, les Etats membres, réunis au sein d’un groupe de travail, ont quant à eux validé le texte, malgré l’abstention de quatre pays, l’Autriche, la Hongrie, la Slovénie et la Bulgarie.

Finalement, le 12 juillet 2016, la Commission européenne adopte sa décision relative au bouclier de protection des données UE-Etats-Unis. La commissaire européenne chargée de la Justice, des Consommateurs et de l’Egalité des genres, Věra Jourová, a déclaré que le Privacy Shield est « un nouveau système solide destiné à protéger les données à caractère personnel des Européens et à procurer une sécurité juridique aux entreprises. Il prévoit des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte. Le nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données les concernant ».

Ainsi, le nouveau système se veut plus protecteur que la précédente « sphère de sécurité »: la collecte des données par les sociétés américaines ne peut notamment pas être utilisée pour des usages non prévus initialement. Egalement, un médiateur aux Etats-Unis sera chargé de recevoir les plaintes des Européens. Tous les ans, la Commission examinera le respect du dispositif par les Etats-Unis.

Toutefois, le bouclier peine à convaincre. Les services de renseignements américains peuvent continuer à intercepter les données personnelles des Européens. Les associations fustigent un accord jugé largement insuffisant, qualifié de bouclier troué par la Quadrature du net. Du côté des députés européens, si la droite (les groupes PPE et CRE) est satisfaite, ce n’est pas le cas des Socialistes, des Verts et des Libéraux. Eux estiment que le nouveau système ne respecte pas les exigences posées par la CJUE: « la CJUE a dit que le problème, c’était les lois américaines. Or rien, dans les textes américains, n’a changé », pointe Jan Philipp Albrecht (Verts).

Le nouvel accord est par conséquent susceptible d’être à nouveau invalidé par les juges européens. Pour finir, il a été élaboré dans le cadre de la directive européenne de 1995 sur la protection des données. Or, cette directive va être remplacée en mai 2018 par un règlement adopté en 2015. L’insécurité juridique, ennemi des entreprises, plane donc toujours. Quant aux citoyens, ils ne peuvent que déplorer que la protection de leur vie personnelle soit mise en balance avec des enjeux économiques et de sécurité.

Avec la contribution de la Maison de l’Europe de Paris

Réagissez à cet article

L’Arménie à son agence de protection des données à caractère personnel

L’Agence de protection des données personnelles, une structure affiliée au Ministère arménien de la justice a fourni des conseils à plus de 300 organismes au cours des trois derniers mois selon sa responsable Suse Doydoyan.

Elle a dit que 98% de ces organisations était des structures privées, “mais nous avons fourni des conseils également aux organisations du secteur public.“

Selon elle, l’agence a aussi fait beaucoup de travail au cours des 100 derniers jours pour étudier l’expérience internationale et a travaillé sur un certain nombre de concepts relatifs. Elle a souligné que l’agence n’est pas un organe répressif, bien que possédant des « leviers d’influence importants, y compris le pouvoir d’engager des procédures administratives.

“Nous pensons que notre fonction est préventive. Nous n’attendons pas que des violations se produisent afin d’infliger des amendes subséquentes, essayant d’abord d’empêcher ces violations“ a-t-elle dit.

L’Agence de protection des données personnelles agit au nom de la République d’Arménie.

Article original de Stéphane

Réagissez à cet article

De nouvelles investigations  sur l’IP Tracking  en préparation

Certains sites de e-commerce modulent-ils leurs tarifs en fonction du nombre de visites de leurs utilisateurs ? C’est en tout cas ce que soutiennent de nombreuses personnes, au motif que le prix de certains articles augmenterait artificiellement en cas de consultations à répétition d’un même article. Le but : faire croire au consommateur que les biens restants (des billets d’avion ou des chambres d’hôtel par exemple) diminuent et qu’il faut donc passer commande sans tarder… Cette technique est généralement appelée « IP Tracking », dans la mesure où elle repose sur la reconnaissance de l’adresse IP de la connexion utilisée.

La pratique reste toutefois « difficile à qualifier juridiquement et difficile également à démontrer » selon Martine Pinville, la secrétaire d’État au Commerce. Interpellée par un sénateur qui lui avait transmis une question écrite en juillet 2015, l’intéressée rappelle que l’enquête menée à ce sujet en 2013 par la CNIL et la DGCCRF était ainsi arrivée à la conclusion qu’ « aucune des techniques observées ne prenait en compte l’adresse IP des internautes comme élément déterminant ou ne visait à moduler le prix des produits ou services proposés aux consommateurs ».

Aucune plainte de consommateurs enregistrée par la DGCCRF

Pour l’heure, poursuit Martine Pinville, « la DGCCRF n’a pas été saisie de plaintes de consommateurs concernant des pratiques « d’IP tracking » ». Bercy n’aurait pas non plus « eu connaissance de signalements de cette nature » au sein du réseau de coopération administrative du « G29 » des CNIL européennes.

La secrétaire d’État cherche néanmoins à rassurer : elle annonce que « le sujet de « l’IP tracking » fera l’objet dans les prochains mois de nouvelles investigations » de la part de la DGCCRF. Si de telles pratiques venaient à être débusquées, les cybermarchands concernés pourraient être poursuivis pour pratiques commerciales déloyales ou trompeuses, explique Martine Pinville, car « susceptible[s] d’altérer le comportement économique du consommateur ». Les contrevenants s’exposeraient alors à des peines pouvant aller jusqu’à deux ans de prison et 300 000 euros d’amende.

Un front pourrait également s’ouvrir en matière de protection des données personnelles. « L’adresse IP étant une donnée personnelle, il faudrait avant toute exploitation, demander l’accord et le consentement du consommateur ainsi que la déclaration de ces données à la CNIL, en respectant la procédure requise : durée de conservation des données, finalité, etc. »

Article original de Xavier Berne

Réagissez à cet article