Au Journal officiel, l’encadrement des mouchards de Skype (et assimilés)

En 2011, la loi d’orientation et de programmation pour la sécurité intérieure (LOPPSI) avait permis à la police, sur autorisation d’un juge, la mise en place de mouchard, même à distance. L’enjeu ? Enregistrer les frappes au clavier (keylogger) ou les images affichées sur un écran afin d’espérer glaner quelques preuves, dans le cadre d’enquête pour des infractions sérieuses (criminalité organisée, terrorisme).

Seulement, il y avait un trou dans la raquette. En visant les données affichées « sur un écran » ou celles introduites « par saisie de caractères », le texte initial excluait mécaniquement la captation de parole. Une lacune très contrariante pour qui veut épier une conversation sur Skype par exemple.

La loi contre le terrorisme et Skype

La loi contre le terrorisme de novembre 2014 a comblé la faille. Depuis, non seulement les données saisies au clavier peuvent être espionnées judiciairement, mais également celles « reçues et émises par des périphériques audiovisuels ». La rustine se trouve à l’article 706-102-1 du Code de procédure pénale.

Toutefois encore, une dernière étape manquait pour parfaire ce système. Un autre article, le 226-3 du Code pénal, soumet ces armes de surveillance intrusive à un arrêté du Premier ministre, épaulé par le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Son objet ? Dresser la liste de ces outils sensibles dont est autorisée la fabrication, l’importation, la détention, l‘exposition, l’offre, la location ou la vente. Sans ce feu vert, ces mêmes opérations, susceptibles de générer des atteintes à la vie privée ou au secret des correspondances, sont en effet sanctionnées de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Cet arrêté du 4 juillet 2012 « fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal » n’avait pas non plus été mis à jour depuis la loi contre le terrorisme. Cet oubli empêchait donc la commercialisation sous contrôle de mouchards de nouvelle génération.

Ce nouveau manque a été corrigé aujourd’hui au Journal officiel. Le Premier ministre a en effet complété le texte de 2012 en y remplaçant l’expression « ou telles qu’il les y introduit par saisie de caractères » par les mots « telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ». Sous l’œil de l’ANSSI, certains espiogiciels capables de surveiller Skype (et assimilés) peuvent donc maintenant être introduits en France et utilisés par les services autorisés.

De la surveillance judiciaire à la surveillance administrative

Rappelons au passage que le projet de loi Renseignement permet elle aussi la captation des données informatiques dans un cadre cette fois strictement administratif. Donc sans juge. La même loi s’est servie de l’article 226-3 du Code pénal pour également étendre l’aspiration des métadonnées.

Pour la poursuite de finalités jugées très floues, les services du renseignement pourront en effet utiliser l’ensemble des appareils mentionnés à cet article, afin de moissonner « les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ainsi que les données relatives à la localisation des équipements terminaux utilisés ». Cet arsenal (IMSI catcher, mais pas seulement) pourra par exemple être utilisé pour connaître « directement » les données générées par un smartphone, situé à proximité d’un point déterminé.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.nextinpact.com/news/95893-au-journal-officiel-encadrement-mouchards-skype-et-assimiles.htm

Par Marc Rees

Déjà des backdoors et keyloggers pour Windows 10 chez Hacking Team

Windows 10 n’est pas encore officiellement sorti, mais les firmes qui fournissent aux autorités les outils permettant d’accéder à distance aux données sont déjà à pied d’oeuvre pour s’adapter au niveau système d’exploitation de Microsoft. Ainsi l’entreprise italienne Hacking Team, dont les e-mails ont fuité ce mois-ci, s’est assurée dès l’an dernier de pouvoir fournir à ses clients de quoi espionner des utilisateurs de Windows 10.

« Nous avons testé Windows 10 Preview et ça fonctionne », a ainsi expliqué Marco Valleri, le directeur de Hacking Team, dans un e-mail du 4 novembre 2014. Il répondait à l’ancien responsable des opérations à Singapour, Serge Woon, qui se demandait si « RCS 9.4 supporte Windows 8.2 » (en fait Windows 10). RCS est l’acronyme de « Remote Control System », le malware qui permet à Hacking Team de prendre à distance le contrôle d’un ordinateur pour accéder à ses données.

Un autre e-mail du 29 juin 2015 montre que deux employés de Hacking Team, Marco Fontana et Andrea Di Pasquale, ont testé avec succès l’installation hors ligne de plusieurs outils sur Windows 10 Enterprise Insider Preview. Ils disent avoir vérifié notamment « l’installation d’un backdoor », « l’exportation de preuves depuis le backdoor », et la « désinstallation du backdoor ».

« Super ! », s’enthousiasme le directeur technique Marco Valleri, qui propose aussitôt une réunion pour déployer la mise à jour dans un git, probablement celui de RCS.

La société Hacking Team dispose également d’un outil invisible pour Windows 10 permettant de collecter toutes les frappes de touches au clavier (un « keylogger »), comme le montre un courriel du 5 juin. Marco Fontana, qui semble être une petite star dans l’entreprise, y rend compte d’une réunion du mercredi 3 juin 2015, où « l’un des thèmes de la réunion était le test du mécanisme d’injection dans l’application Metro ».

Il explique que « le POC du keylogger pour Windows 10 est prêt et peut être testé pour vérifier sa « compatibilité » avec les antivirus ». Le POC (Proof-of-concept) est une démonstration de faisabilité.

Dans un e-mail du 15 juin, Marco Fontana précise à son équipe qu’il a testé une « technique d’injection dans l’application Metro de Windows 10 », et que « l’exécutable ‘ExeLoader’ injecte la DLL ApiHookDll dans un processeur notepad.exe et capture les touches ». Il s’agit d’un POC visant à collecter les touches tapées sous sur l’application « Bloc Notes » de Windows 10.

« Si tout fonctionne correctement, dans le dossier temporaire de Windows (%temp%) vous verrez un fichier texte créé qui contient les touches enfoncées dans notepad. Le fichier a un préfixe KBD_ et une valeur aléatoire (ex: KBD_000407E600C553CE.txt) ».

Tout l’objet du logiciel RCS de Hacking Team est justement d’installer à distance les backdoors qui permettent d’installer des outils tels que ce keylogger, lequel permet ensuite de récupérer, par exemple, les mots de passe saisis pour accéder à des comptes e-mail, ou des mots de passe de clés de chiffrement.

« On ne peut pas croire à la sécurité d’un OS pour le grand public », s’était amusé en novembre dernier David Vincenzetti, le président de Hacking Team, en lisant une actualité selon laquelle Windows 10 pourrait signer la fin des malwares.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.numerama.com/magazine/33727-deja-des-backdoors-et-keyloggers-pour-windows-10-chez-hacking-team.html

par Guillaume Champeau

Hacking Team a travaillé sur un drone capable d’infecter des ordinateurs à distance

Un rapport daté du 1er juillet montre d’ailleurs qu’Hacking Team travaillait sur un système d’injection réseau utilisable par drone, c’est-à-dire « un équipement conçu pour insérer du code malicieux dans les communications d’un réseau Wi-Fi », explique le site spécialisé Ars Technica.

« Nous ne pouvons vendre nos produits qu’à des entités gouvernementales »

Selon un premier e-mail envoyé en avril, Insitu s’est montré intéressé par une présentation de Hacking Team à l’IDEX 2015, un salon de la défense qui s’est tenu aux Emirats arabes unis en février. « Nous aimerions potentiellement intégrer votre système de piratage de Wi-Fi à un système aérien et nous souhaiterions prendre contact avec un de vos ingénieurs qui pourrait nous expliquer, plus en détail, les capacités de l’outil, notamment la taille, le poids et les spécifications de votre système Galileo [un logiciel espion] », écrit alors Giuseppe Venneri, ingénieur mécanique en formation chez Insitu.

« Gardez à l’esprit que nous ne pouvons vendre nos produits qu’à des entités gouvernementales », répond un responsable de Hacking Team, sans fermer la porte à une collaboration. Selon un e-mail interne, le même responsable de Hacking Team indique qu’Insitu travaille avec des agences gouvernementales et demande quels produits seraient les plus adaptés à la demande du fabricant.

Aucun accord trouvé

La correspondance entre Insitu et Hacking Team s’est arrêtée en mai et a été fortement retardée par des discussions d’ordre légal, chaque entreprise souhaitant utiliser son propre accord de non-divulgation avant de démarrer les discussions commerciales. Les courriels les plus récents suggèrent que les négociations n’ont jamais commencé.

Le vendeur de logiciels espions italien Hacking Team est sous pression depuis un piratage qui a conduit à la publication de plus de 400 gigabits de données confidentielles début juillet. Certains documents indiquent notamment que l’entreprise pourrait avoir vendu des solutions de surveillance à des pays sous embargo comme le Soudan et la Russie.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lemonde.fr/pixels/article/2015/07/20/hacking-team-a-travaille-sur-un-drone-capable-d-infecter-des-ordinateurs-a-distance_4691260_4408996.html

Par Florian Reynaud

Cinq technologies de cyberespionnage utilisées sans connexion à Internet

C’est pourquoi, en général, les appareils dont les fonctions sont spécialement importantes ou dont le contenu est top secret ne sont pas connectés à Internet. Il est toujours préférable d’accepter un inconvénient plutôt que de faire face à des conséquences fâcheuses. C’est de cette manière que sont protégés, par exemple, les systèmes de contrôle de gros objets industriels ou les ordinateurs de certaines banques.

Une déconnexion permanente semblerait être la meilleure solution pour garder des données secrètes : s’il n’y a pas d’Internet, alors il ne peut pas y avoir de fuite de données. Or, ce n’est pas vrai. Les techniques de transfert de données à distance, adoptées depuis longtemps par les services secrets, deviennent chaque année plus accessibles aux utilisateurs ” commerciaux “.A présent, il est de plus en plus habituel de rencontrer certains gadgets d’espionnage que James Bond possédait.

Espionnage électromagnétique

Tout appareil connecté à une ligne de courant génère des émissions électromagnétiques qui peuvent être interceptées par des technologies éprouvées. Il y a près de cinquante ans, les services de sécurité des Etats-Unis et de l’URSS étaient impliqués dans de telles fuites. La quantité d’informations obtenues depuis lors est énorme. Une partie des activités menées par les Etats-Unis est connue sous le nom de code TEMPEST, et certaines affaires déclassifiées sont aussi passionnantes que des romans policiers.

Autrefois, les écrans à tube cathodique et les connecteurs VGA sans protection étaient les maillons les plus faibles. Ces dernières années, les claviers sont devenus les jouets favoris des chercheurs en protection des données.

Bien que beaucoup de temps se soit écoulé, de nouvelles méthodes pour ” surfer ” sur des ondes électromagnétiques apparaissent à mesure que les équipements électriques évoluent. Autrefois, les écrans à tube cathodique et les connecteurs VGA sans protection constituaient les maillons les plus faibles qui produisaient du bruit électromagnétique. Ces dernières années, les claviers sont devenus les jouets favoris des chercheurs en protection des données. Les recherches effectuées dans ce domaine portent régulièrement leurs fruits. En voici quelques exemples.

Les frappes peuvent être tracées avec haute précision par un appareil artisanal placé à vingt mètres, qui analyse le spectre radioélectrique et qui coûte 5 000 dollars. Il est intéressant de savoir qu’une attaque est aussi efficace si elle vise des claviers USB de premier prix, des claviers sans fil avec chiffrement du signal plus chers, ou encore des claviers intégrés à des ordinateurs portables.

Tous ces appareils fonctionnent de la même manière et génèrent du bruit électromagnétique. La seule différence réside dans la puissance du signal, qui dépend de la longueur de la ligne de transmission de données (par exemple, elle est plus courte avec des ordinateurs portables).

Tous ces appareils fonctionnent de la même manière et génèrent du bruit électromagnétique. La seule différence réside dans la puissance du signal, qui dépend de la longueur de la ligne de transmission de données (par exemple, elle est plus courte avec des ordinateurs portables).

Les données peuvent être plus facilement interceptées si l’ordinateur visé est relié à une ligne de courant. Les variations de tension, qui correspondent aux frappes, génèrent du bruit électromagnétique au niveau du sol. Ce bruit peut être intercepté par un hacker qui est connecté à une prise de courant proche. Le prix de l’équipement, avec une portée effective de 15 mètres, est de 500 dollars.

Comment contrecarrer cette menace ? La meilleure manière de se protéger contre l’espionnage électromagnétique serait de sécuriser une pièce (cage de Faraday) et d’utiliser des générateurs de bruits spéciaux. Si vos secrets ne sont pas si précieux, et si vous n’êtes pas prêts à recouvrir les murs de votre sous-sol avec de l’aluminium, alors vous pouvez simplement utiliser un générateur de bruit ” manuel ” : taper des caractères inutiles de manière sporadique et les effacer ensuite. Pour saisir des données précieuses, vous pouvez utiliser un clavier virtuel.

Cinq technologies de cyberespionnage utilisées sans connexion à Internet

1. Faites attention aux lasers

Il existe des méthodes alternatives d’enregistrement de frappes. Par exemple, l’accéléromètre d’un smartphone, posé près d’un clavier, présente un taux de reconnaissance d’environ 80%. Ce taux n’est pas suffisamment élevé pour intercepter des mots de passe, mais il permet de déchiffrer le sens d’un texte. Cette méthode compare les différentes vibrations produites par les paires de signaux successifs qui correspondent aux frappes.

Un rayon laser, discrètement dirigé vers un ordinateur, constitue la méthode la plus efficace pour enregistrer les vibrations. D’après les chercheurs, chaque frappe produit ses propres vibrations. Le laser doit être dirigé vers une partie d’un ordinateur portable ou d’un clavier qui réfléchit bien la lumière. Par exemple, vers le logotype du fabriquant.

Comment contrecarrer cette menace ? Cette méthode ne fonctionne que si le rayon laser est proche. Par conséquent, essayez de ne pas vous laisser approcher par des espions.

2. Ecouter la radio

Il n’est pas toujours utile d’intercepter les données d’un clavier, puisque cela ne donne évidemment pas accès à la carte mémoire d’un ordinateur. Cependant, il est possible d’introduire un malware dans un ordinateur déconnecté par des moyens externes. C’est de cette façon que le célèbre ver Stuxnet s’est infiltré dans un ordinateur cible au sein d’une infrastructure d’enrichissement de l’uranium. Après l’infection, le malware a fonctionné comme un espion infiltré, ” aspirant” des informations grâce à un certain support physique.

Par exemple, les chercheurs israéliens ont développé un software qui module les émissions électromagnétiques dans le hardware des ordinateurs. Ces signaux de radio sont puissants et peuvent même être captés par des récepteurs FM standards de téléphone.

Pourquoi une telle complexité ? Les ordinateurs qui comportent des données classifiées sont placés dans des pièces sécurisées, et leur accès est limité afin d’éviter toute fuite possible. Cependant, contrairement à un analyseur de spectre, un téléphone espion peut être facilement introduit dans de telles pièces.

Comment contrecarrer cette menace ? Tous les téléphones, ainsi que tous équipements suspects, doivent rester à l’extérieur des pièces sécurisées.

Tiède… Chaud… Brûlant !

Récemment, les chercheurs israéliens que nous avons déjà mentionnés ont exposé un scénario de vol de données un peu plus exotique… par le biais d’émissions thermiques !

Le mode opératoire de l’attaque est le suivant. Deux ordinateurs de bureau sont placés l’un à côté de l’autre (environ 40 centimètres les séparent). Les capteurs thermiques de la carte mère interne de l’un de ces ordinateurs pistent les changements de température de l’autre.

Le malware change périodiquement la température du système en ajustant le niveau de charge et envoie un signal thermique modulé

Par commodité, un ordinateur déconnecté est souvent placé juste à côté d’un ordinateur connecté à Internet, et ce n’est que la stricte vérité. L’ordinateur déconnecté comporte des données classifiées, tandis que l’autre est un simple ordinateur connecté à Internet.

Si quelqu’un introduit un malware dans ces deux systèmes, voici ce qui se produit. Le malware lit les données classifiées, puis change périodiquement la température du système en ajustant le niveau de charge et envoie un signal thermique modulé. Le deuxième ordinateur reçoit et déchiffre ce signal, avant d’envoyer les données classifiées par Internet.

L’inertie thermique du système empêche une transmission rapide des données. La vitesse de transmission est alors limitée à huit bits par heure. A ce rythme, il est possible de dérober un mot de passe, mais le vol d’une base de données est remis en question.

Toutefois, avec le succès que rencontrent les gadgets connectés à Internet, le rôle du deuxième ordinateur, qui aspire les données, peut facilement être rempli par une climatisation intelligente ou un capteur climatique, lesquels enregistrent les changements thermiques avec beaucoup de précision. Le taux de transfert pourrait augmenter de manière significative dans un futur proche.

Comment contrecarrer cette menace ? Ne placez pas un ordinateur déconnecté, qui comporte des données classifiées, à côté d’un ordinateur connecté à Internet.

Toc, toc, toc. Qui est là ?

Une pièce bien sécurisée classique n’assure pas une protection complète contre les fuites de données. Les murs en acier sont imperméables au bruit électromagnétique, mais pas aux ultrasons.

Dans le cas d’une technologie à ultrasons, un équipement espion se compose de deux unités compactes. L’une d’elles est discrètement placée à l’intérieur d’une pièce sécurisée, tandis que l’autre est placée quelque part ailleurs. Le taux de transfert de données à travers l’acier pour les ultrasons atteint 12 MB/s. En outre, l’une des unités n’a pas besoin d’être chargée car l’énergie est transmise en même temps que les données.

Comment contrecarrer cette menace ? Si vous possédez votre propre pièce sécurisée avec des murs en acier, alors vous devriez vérifier minutieusement chaque équipement qui y est installé.

En général, connaître les techniques modernes d’espionnage (” modernes ” du moins aux yeux du grand public) vous permet de conserver vos données intactes. Sur le plan logiciel, une solution de sécurité élevée est indispensable.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : https://blog.kaspersky.fr/when-going-offline-doesnt-help/4607/

Des datacenters Helvétiques très discrets

Une protection des données à caractère personnel équivalente à celle de l’Union européenne

Le droit suisse de la protection des données personnelles repose sur la loi fédérale 235.1 de 1992 par l’Assemblée fédérale de la Confédération suisse (ou LPD). Les similitudes avec le droit européen sont nombreuses tant dans son champ d’application (définition des données à caractère personnel et statut particulier des données sensibles telles que les données de santé), que dans ses principes : licéité de la collecte des données et de leur traitement, bonne foi, proportionnalité, finalité, exactitude, sécurité et droits d’accès (art.4 à 25 LPD).

Ceci résulte des accords de Schengen et de Dublin, en vertu desquels la Suisse doit reprendre le droit pertinent de l’UE, y compris en matière de protection des données personnelles. Le droit suisse de la protection des données personnelles est d’ailleurs reconnu adéquat au sens de la directive 95/46/CE par la Commission européenne depuis 15 ans (décision n°2000/5/8/CE). Les garanties sont donc bien plus solides que celles offertes par le droit américain qui ne bénéficie que d’un accord de Safe Harbor (les entreprises américaines qui veulent recevoir des données de l’UE doivent y adhérer).

La Suisse préserve le secret digital

La valeur ajoutée de la Confédération réside dans le fait qu’elle se refuse à exercer tout contrôle administratif sur les données stockées tel qu’il existe aux US avec le Patriot Act et en France avec la Loi de Programmation Militaire qui permet de requérir l’accès à des informations de connexion ou à la localisation des équipements terminaux utilisés ou encore avec le Projet de loi français relatif au renseignement déposé à l’Assemblée nationale le 19 mars 2015. De tels mécanismes poussent les entreprises à faire héberger leurs données hors des territoires américain et français.

La Confédération helvétique, bien au contraire, n’autorise la levée du secret que sur ordre judiciaire et garantit ainsi le respect du principe démocratique. Le juge suisse utilise d’ailleurs la jurisprudence européenne en matière de protection des données personnelles pour justifier ses propres considérants (affaire Logistep, 2010). La Suisse maintient ainsi un niveau de protection des données à caractère personnel équivalent au droit de l’UE tout en respectant les libertés individuelles.

Enfin, une nouvelle génération de datacenter écologiques a récemment été récompensée par le Prix du développement durable afin de promouvoir auprès des clients, partenaires, fournisseurs et des collaborateurs une gouvernance intégrant l’éthique et des valeurs de responsabilité sociale (engagements autour de thématiques telles que l’énergie, la mobilité, la politique d’achat et la gestion des déchets). Or, les entreprises doivent réaliser un audit énergétique de leurs activités avant le 5 décembre 2015. Une raison de plus d’exiler ses données vers la Confédération.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lesechos.fr/idees-debats/cercle/cercle-134577-lexil-des-datacenters-vers-la-confederation-helvetique-1135913.php

Par Nathalie Devillier / Docteur en Droit – Grenoble Ecole de Management

Les 10 outils les plus incroyables utilisés par la NSA pour nous espionner

FEEDTHROUGH

Juniper Networks n’est ni plus ni moins que le 2e équipementier mondial de systèmes réseaux pour entreprises. Ses pare-feux Netscreen permettent de faire respecter la politique de sécurité d’un réseau informatique, définissant quels types de communication y sont autorisés. La NSA inflitre ce périmètre sécurisé grâce à Feedthrough.

DEITYBOUNCE

Deitybounce permet d’installer des logiciels malveillants de façon permanente, notamment sur les serveurs “PowerEdge” du fabricant mondial de PC Dell. La NSA implante son malware dans les “BIOS”, ces logiciels sur la carte mère d’un ordinateur qui sont les premiers éléments installés au démarrage de l’appareil. Le PC ou serveur infecté semble fonctionner normalement, et même s’il est nettoyé, et son contenu entièrement effacé, les logiciels espions de la NSA restent logés de façon invisible. Dell a répondu à cette révélation (http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2013/12/30/comment-on-der-spiegel-article-regarding-nsa-tao-organization.aspx).

JETPLOW

Jetplow permet d’installer des logiciels espions permanents dans les pare-feux du géant mondial des réseaux informatiques Cisco. Il peut aussi “modifier le système d’opération des pare-feux de Cisco au démarrage”. Une option de “porte dérobée permanente” permet aussi “un accès complet”. Cisco a répondu à cette révélation (http://blogs.cisco.com/news/comment-on-der-spiegel-articles-about-nsa-tao-organization).

HEADWATER

Headwater installe une “porte dérobée permanente“ (Persistent Backdoor) sur certains routeurs du fabricant de matériel informatique chinois Huawei. Ces “implants” espions peuvent être installés à distance via internet.

NIGHTSTAND

Nightstand est un appareil sans fil d’exploitation et d’insertion de données, “typiquement utilisé quand on ne peut accéder à une cible via une connexion internet.” Il permet des attaques de loin, jusqu’à près de 13 kilomètres de distance de la cible.

PICASSO

D’apparence assez habituelle voire désuète, Picasso est un téléphone sans fil avec puce GSM (dont deux modèles de Samsung) qui permet de “collecter les données d’utilisateurs, des informations de géolocalisation et le son d’une pièce”. Ces données peuvent être récupérées via un ordinateur portable ou bien par SMS “sans alerter la cible”.

COTTONMOUTH-I

Pour le novice, cet outil ressemble à un port et câble USB inoffensifs. Mais à l’intérieur, se cache une carte mère qui fournit “un pont sans fil dans un réseau cible, ainsi que la possibilité d’introduire des logiciels « exploit » sur des ordinateurs portables ciblés.” (Un “exploit” permet à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système d’exploitation ou un logiciel.) Autrement dit, la NSA peut introduire un cheval de Troie dans n’importe quel ordinateur.

IRATEMONK

Iratemonk est un logiciel malveillant qui infecte des ordinateurs portables et de bureau en attaquant le firmware de disques durs fabriqués par Western Digital, Seagate, Maxtor et Samsung, qui sont toutes à l’exception de la dernière, des entreprises américaines. Le firmware, ou microprogramme, concerne l’ensemble des instructions et des structures de données qui sont intégrées dans le materiel informatique.

TOTEGHOSTLY 2.0

Toteghostly 2.0 est un implant logicel à destination du système d’exploitation Windows Mobile, qui permet d’extraire et d’installer des données à distance. La NSA peut ainsi accéder aux SMS, liste de contacts, messages vocaux, géolocalisation, fichiers audio et vidéo, etc. de l’appareil.

CANDYGRAM

Candygram est une “station GSM active”, qui permet d’imiter le comportement d’une tour de téléphonie cellulaire et ainsi de repérer et monitorer des téléphones portables. Quand un appareil ciblé entre dans le périmètre de la station Candygram, le système envoie un SMS à l’extérieur du réseau à des téléphones “espions” préalablement enregistrés.

Tout cela sans compter Dropoutjeep qui permet à la NSA peut installer des logiciels espions sur les iPhone (http://www.usine-digitale.fr/article/la-nsa-peut-infiltrer-iphone-et-ipad-a-distance.N229076), et sur tous les appareils iOS et collecter ainsi des données sans que la “cible” s’en aperçoive.

Enfin, petit cadeau, dont Jean-Paul PINTE fait mention dans son blog le 6 juillet 2015, l’organigramme pratique des outils Internet de la NSA.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.usine-digitale.fr/article/les-10-outils-les-plus-incroyables-utilises-par-la-nsa-pour-nous-espionner.N229157

Par Nora Poggi

Vous avez les papiers du drone ?

Ce projet enregistré auprès de la présidence de l’Assemblée nationale le 25 juin tend à rendre « obligatoire la détention d’un certification de navigabilité » pour « tous les aéronefs qui circulent sans aucune personne à bord ». Autrement dit, tous devront être immatriculés et disposer d’une sorte de carte-grise, comme les drones pesant plus de 25 kilos…

Ce dispositif qui n’a a  priori aucune chance d’être adopté en dit long sur la méconnaissance de la pratique des drones de loisirs et le réflexe sécuritaire qui saisit certains politiques lorsqu’ils sont confrontés à un phénomène nouveau, qu’ils ne maîtrisent pas. Notons tout d’abord que dans le très succint exposé des motifs, il est indiqué que « au moins 60 vols de petits avions sans pilote ont été signalés au-dessus de lieux sensibles de Paris ». Or, si 89 « signalements » ont été enregistrés au dessus de la capitale, la gendarmerie n’a finalement comptabilisé après enquête que 27 survols de drones identifiés comme tels. En outre, parmi les 14 interpellations qui ont eu lieu pour des survols de  la capitale, la très grande majorité étaient le fait de touristes peu au fait de la réglementation française.

Surtout, on ne comprend pas très bien comment une obligation de disposer d’un certificat pourrait dissuader les survols illégaux. A moins de considérer que le fait de ne pas être titulaire d’un tel document aurait un effet inhibant sur les amateurs de survols de centrales nucléaires et autres lieux protégés. Ou vaudrait certificat de bonne foi. Ce grand coup d’épée dans les airs aurait surtout pour conséquence de mettre des bâtons dans les hélices du marché du drone de loisir mais aussi de paralyser l’activité d’assemblage de drones faits maison en open source qui permettent notamment aux participants aux courses de multirotors de mettre au point et réparer leurs engins. Les entreprises françaises – il y en a quelques unes – en pointe dans le domaine des drones grand public seraient forcément pénalisées.

Cette proposition de loi fait écho à un autre texte rédigé en février par un groupe de députés (UMP, à l’époque) et tendant à durcir les sanctions prévues pour un vol au-dessus d’une centrale (actuellement puni par une amende de 45 000 euros et un an de prison). La démarche n’avait pas abouti. Du ministère de l’intérieur à celui de la justice, on considère en effet qu’un alourdissement des sanctions serait sans effet. Pour encadrer la pratique des drones, il ne suffit pas de sortir un gros bâton ou d’imposer une paperasse d’un autre temps.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://drones.blog.lemonde.fr/2015/07/01/le-depute-qui-veut-ficher-tous-les-drones/

Hyperconnexion du corps humain : 3 règles pour ne pas faire n’importe quoi

Bracelets, montres, balances connectés… la m-santé envahit les magasins spécialisés. Au-delà de leur côté ludique, ces objets permettent aux entreprises de recueillir de très nombreuses données sur leurs utilisateurs : rythme cardiaque, nombre de pas effectués par jour, quantité et qualité du sommeil, taux de sucre dans les larmes, taux d’alcoolémie ou tension artérielle…

Ce mouvement de collecte massive de données – le big data – n’en est qu’à son début, selon la Cnil. En 2017, un utilisateur de smartphone sur deux aura installé au moins une application dédiée à son bien-être et à sa santé.

Les données recueillies sont traitées par de nombreuses entreprises qui les exploitent afin de mieux connaître leurs clients. Une pratique intrusive, qui doit susciter la vigilance des utilisateurs, mais aussi des industriels. En effet, leur responsabilité peut-être engagée. Les données recueillies, liées à la santé, ont un caractère sensible et font l’objet d’une protection renforcée. Ainsi, leur collecte et leur traitement, soumis à un contrôle accru, doivent être autorisés. Mais certaines data -celles se rapportant en général au bien-être-, échappent à une demande d’autorisation préalable grâce aux normes simplifiées. Attention cependant car la frontière entre bien-être et santé est particulièrement ténue.

Pour assurer leur sécurité juridique, les industriels du secteur mettre en place quelques règles.

1. RESPECTER LE CADRE LÉGAL ET LE RAPPORT DE LA CNIL SUR LA PRATIQUE DU « QUANTIFIED SELF »

Le rapport de la Cnil,  déposé fin mai 2014, intitulé ‘Le corps, nouvel objet connecté’, traite des problèmes liés aux données personnelles de santé issues des applications et objets de mesure de soi (quantified self). Ces pratiques consistent généralement à mesurer et à comparer avec d’autres, des variables de notre mode de vie (nutrition, exercice physique, sommeil…). La pratique du « quantified self » va continuer à s’imposer, le corps humain étant de plus en plus connecté dans ses fonctions biologiques.

Le « quantified self » constitue donc un marché d’avenir pour les professionnels. Des assureurs américains ont déjà annoncé leur souhait d’utiliser les objets connectés dans le suivi de leurs clients et la prise en compte des données dans l’indemnisation en cas de dommage. La Cnil s’inquiète des nombreux risques potentiels, tels que l’exploitation commerciale abusive des données personnelles et l’intrusion dans la vie privée des utilisateurs. Nul doute pourtant que la Commission, appuyée par le G29 et la Commissaire européenne Viviane Reding, auront à cœur de protéger ces données médicales. Dans l’attente – et face aux lois françaises et européennes très protectrices, particulièrement en ce qui concerne les données sensibles – les industriels développant des produits liés à la santé doivent veiller à rester dans les clous lors de la collecte.

2. MISER SUR LE « CLIENT EMPOWERMENT » POUR GAGNER LA CONFIANCE DES CONSOMMATEURS

Ce mouvement donne davantage de pouvoirs de contrôle au client. Il permet de rééquilibrer la relation entre l’entreprise collectrice de données et l’usager qui a souvent l’impression d’être négligé par les professionnels. Cette prise de pouvoir peut aussi permettre la patrimonialisation des données à condition d’obtenir le consentement direct du client. Cela ouvre aux industriels la possibilité de  commercialiser les données collectées.

3. SE CONFORMER AUX PRINCIPES DE « PRIVACY BY DESIGN »

Le concept de « privacy by design » propose de faire de la protection de la vie privée de l’utilisateur une caractéristique majeure de l’objet afin « d’assurer la protection de la vie privée en l’intégrant dans les normes de conception des technologies, pratiques internes et infrastructures matérielles ». Les données recueillies ne sont alors pas extensivement partagées ou revendues. En intégrant ce concept au cahier des charges de l’objet connecté, l’industriel gagnera la confiance des clients et se démarquera aussi de ses concurrents.

TOUT N’EST PAS PERMIS

La pratique du « quantified self » va continuer à s’imposer, le corps humain étant de plus en plus connecté dans ses fonctions biologiques. Elle constitue donc un marché d’avenir pour les professionnels. Des assureurs américains ont ainsi déjà annoncé leur souhait d’utiliser les objets connectés dans le suivi de leurs clients et la prise en compte des données dans l’indemnisation en cas de dommage. La CNIL s’inquiète des nombreux risques potentiels, tels que l’exploitation commerciale abusive des données personnelles et l’intrusion dans la vie privée des utilisateurs. Nul doute pourtant que la Commission, appuyée par le G29 et la Commissaire européenne Viviane Reding, auront à cœur de protéger ces données médicales. Dans l’attente, face aux  lois françaises et européennes très protectrices, particulièrement en ce qui concerne les données sensibles, les industriels développant des produits liés à la santé doivent tenir compte du fait que tout n’est pas permis.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.usine-digitale.fr/article/hyperconnexion-du-corps-humain-3-regles-pour-ne-pas-faire-n-importe-quoi.N335953

Par Nathalie Dreyfus, conseil en propriété industrielle, Dreyfus & Associés, expert près la cour d’appel de Paris et à l’OMPI

Cookies et tracking : la Cnil a mis en demeure une vingtaine de sites

Manifestation la plus visible des évolutions autour des données personnelles : aujourd’hui, les sites qui vous traquent et ont recours à des cookies prennent la peine de vous le dire. Depuis un peu plus d’un an, l’entrée en vigueur des lois européennes a poussé de nombreux sites web à signaler aux utilisateurs qu’ils avaient recours à des cookies et autres outils de traçage des utilisateurs dans un but commercial, le plus souvent grâce à un bandeau s’affichant sur le site lors de la première visite.

Mais pour la Cnil, cela ne suffit pas. En effet la commission Nationale Informatique et Liberté explique dans son bilan avoir mis en demeure une vingtaine d’éditeurs de se mettre en conformité avec la loi dans un délai déterminé. En effet, la Cnil rappelle qu’il ne s’agit pas uniquement d’informer l’utilisateur mais bien de recueillir le consentement avant de déposer les cookies, et donc d’offrir à l’internaute la possibilité d’opt-out lors de sa visite du site.

Bientôt plus de contrôles

« En effet, si certains sites ont apposé un bandeau informant les internautes que des cookies sont déposés sur leur ordinateur, aucun des sites contrôlés n’attend d’avoir recueilli le consentement des internautes avant de déposer lesdits cookies. » La Cnil précise également que renvoyer l’internaute aux paramétrages de son navigateur n’est pas une attitude valable à l’égard de la loi.

Au cours de l’année 2014, la Cnil a effectué au total 24 contrôles sur place, 27 contrôles en ligne et deux auditions afin de s’assurer du respect des règles en vigueur. Et la Commission entend bien poursuivre sur sa lancée : elle a récemment annoncé vouloir augmenter le nombre de ses contrôles sur les domaines relevant de sa juridiction. La Cnil tiendra notamment une session de question/réponse sur ce sujet aujourd’hui à 13h via son compte Twitter, @Cnil.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/cookies-et-tracking-la-cnil-a-mis-en-demeure-une-vingtaine-de-sites-39821796.htm

Des communications ultra-sécurisées avec TEOREM

Grâce à sa parfaite interopérabilité avec les différents réseaux de télécommunication fixes (analogiques et numériques) et mobiles (2G / 3G), TEOREM offre une grande polyvalence aux utilisateurs. Enfin, son autonomie, sa miniaturisation et sa grande flexibilité en font une solution unique pour répondre aux besoins des utilisateurs nomades.

Une solution hautement sécurisée et simple d’utilisation :

• Configuration fixe ou mobile (2G / 3G).
• Certifiée jusqu’au niveau Secret Défense pour la France.
•  Communications sécurisées de bout en bout.
• Signal lumineux permettant de différencier les appels sécurisés et non sécurisés.

Un système flexible et performant :

• Compatible avec les réseaux d’opérateurs et gouvernementaux.
• Système de gestion centralisé à distance.
• Gestion sans intervention de l’utilisateur final.
• Grande qualité audio : + 15%* comparé aux téléphones standards.

* Selon norme PESQ.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : https://www.thalesgroup.com/fr/cybersecurite/teorem