5 règles d’or pour les utilisateurs des réseaux sociaux | Denis JACOPINI

5 règles d’or pour les utilisateurs des réseaux sociaux 


Le nombre total d’individus dans le monde est de 7,4 milliards. Fin 2015, Facebook a atteint les 1,59 millions d’utilisateurs. Avec une augmentation annuelle de 17%, le géant des réseaux sociaux est tout simplement trop important pour être ignoré. Ceci étant dit, c’est aussi vrai pour beaucoup d’autres réseaux sociaux.

 

 

Les 310 millions d’utilisateurs actifs par mois sur Twitter postent 347 222 fois en moyenne. Plusieurs d’entre eux tweetent plus d’une centaine de fois par jour, et nombreux sont ceux à tweeter une fois par jour. Plus de 40 millions de photos ont été partagées sur Instagram depuis son lancement, et plus de 80 millions de photos y sont publiées chaque jour.

Ceci représente une énorme quantité de données : certaines importantes, d’autres intéressantes ou encore inutiles. Les réseaux sociaux, avec leurs propres tendances et leurs propres lois, fonctionnent comme une extension du monde réel, qui a un énorme impact sur nos vies hors-ligne. Dans cet article, nous vous dévoilons quelques règles simples que chaque utilisateur de réseaux sociaux devrait garder en tête.

1. N’alimentez pas les trolls

Les trolls sur Internet sont des provocateurs qui se joignent à des conversations dans le but d’agacer les autres utilisateurs pour le « fun ». On peut trouver des trolls n’importe où : sur les forums, les chats, et autres plateformes de communication en ligne. Les forums des nouveaux médias sont connus pour la participation élevée de trolls. D’ailleurs, il y en a plein sur les réseaux sociaux.

Comment devez-vous parler aux trolls ? D’aucune façon ! Ignorez-les. Plusieurs personnes se font prendre au piège et engagent alors des débats houleux en essayant d’expliquer leur point de vue et passent une grande partie de leur temps et de leur énergie en vain. Quelqu’un a toujours tort sur Internet. Ne perdez pas votre temps et votre énergie pour des trolls.

2. Ne postez pas ou ne partagez pas de contenu illégal

Les Emirats Arabes Unis et la Nouvelle Zélande disposent de lois qui punissent sévèrement les trolls et la cyberintimidation avec des sanctions allant de 35 000$ à la prison.

Toutefois, vous pouvez écoper d’une amende ou même être confronté à des conséquences bien plus graves pour avoir posté, partagé du contenu ou toutes autres actions relatives dans bon nombre de pays. Par exemple, deux hommes ont été condamnés à quatre ans de prison après avoir créé une page Facebook qui encourageait une révolte. Un homme au Bengladesh a été envoyé en prison pour avoir plaisanté sur son souhait de voir le premier ministre mort. Par conséquent, mieux vaut être au courant des lois de chaque pays et de s’en souvenir au moment de publier ou partager sur Facebook ou Twitter.

3. Ne partagez pas des arnaques

Les fraudeurs piègent souvent les victimes avec des histoires choquantes telles que des bébés mourants, des chiots qui se noient, ou d’anciens combattants. De tels articles font le tour des réseaux sociaux en criant à l’aide. En réalité, ils sont déployés dans le but de voler de l’argent, de diffuser des malwares et des méthodes d’hameçonnage.

De tels articles génèrent beaucoup de partages, mais la majorité d’entre eux sont des arnaques. De vrais appels au secours proviennent en général de votre famille, amis, et amis de vos amis. Ayez toujours en tête que ce sont les pages officielles des entreprises qui mettent en place ce type d’aide et non pas des individus inconnus.

C’est la raison pour laquelle il vaut mieux rester vigilant et vérifier chaque article avant de cliquer sur « aimer » ou « partager ». Pas envie de tous les contrôler un par un ? Ne prenez donc pas de risques pour vous et vos amis.

4. Pensez aux réactions des lecteurs

Vous avez probablement des collègues, des supérieurs et des clients parmi vos connections Facebook ou Instagram. Lorsque vous postulez pour un emploi, il est très probable par exemple que les ressources humaines jettent un coup d’œil à votre profil sur les réseaux sociaux. Prenez en compte ce que vous voulez leur montrer, et plus important encore, ce que vous ne voulez pas.

Vous devez aussi réfléchir prudemment à ce que vous publiez sur les pages d’autres utilisateurs et sur des comptes publics tels que des entreprises ou des universités. Par exemple, en 2013, un homme originaire de Pennsylvanie a été renvoyé pour avoir « complimenté » une étudiante en ligne. Son commentaire n’avait rien de sexuel ou d’inapproprié, mais de toute évidence la mère de la jeune fille n’avait pas apprécié. Un an auparavant, une professeure de Moses Lake, Washington, avait été virée parce qu’une femme qu’elle n’avait jamais rencontrée s’était plainte d’un de ces articles. Il s’agit de quelques exemples parmi tant d’autres qui prouvent qu’il vaut mieux garder ses photos personnelles et ses articles pour des amis sûrs.

Si vous avez besoin d’aide pour dissimuler vos articles privés des regards indiscrets, vous pouvez retrouver nos articles sur les paramètres de confidentialité de Facebook, Twitter, Instagram,LinkedIn, et Tumblr.

5. Ne dévoilez pas vos données publiques

De nombreux réseaux sociaux proposent d’ « enregister » la géolocalisation lorsque vous prenez une photo, postez du contenu ou montrez les lieux que vous avez visités. Si vous êtes intéressé par un évènement, le réseau social peut en informer vos amis au cas où ils voudraient vous accompagner.

Par défaut, tout le monde peut accéder à vos données, et les cybercriminels ont mille et une méthodes de s’en servir, ça peut aller de s’introduire dans votre maison jusqu’à voler votre identité numérique. C’est la raison pour laquelle nous vous recommandons vivement de dissimuler ce type des données à des personnes inconnues, à l’aide des paramètres de confidentialité de Facebook.

C’est aussi une bonne occasion pour que vous n’ajoutiez pas n’importe qui aveuglément : les gens envoient des demandes d’amis qui peuvent s’avérer être des bots, des trolls ou même des hackers. Même si Facebook vous informe que vous avez des dizaines d’amis en commun, n’acceptez pas de demandes si vous n’êtes pas certain que ce soit des connaissances sûres.

Article original de John Snow


 

Réagissez à cet article

Original de l’article mis en page : 5 règles d’or pour les utilisateurs des réseaux sociaux | Nous utilisons les mots pour sauver le monde | Le blog officiel de Kaspersky Lab en français.




Attaques informatiques : Comment s’en protéger ?

Attaques informatiques : Comment s’en protéger  ?


Les cyberattaques se faisant de plus en plus nombreuses et sévères, les entreprises doivent apprendre à s’en protéger. Pour cela, les directions juridiques et de l’informatique peuvent s’appuyer sur l’expertise de la police judiciaire et des experts en data protection.

 

Tous les quinze jours en moyenne, une attaque sévère – où des données sont exfiltrées – est découverte. Face à ce constat, le tribunal de commerce de Paris a réuni quatre tables rondes d’experts de la sécurité informatique, des représentants de la police judiciaire et des experts-comptables fin juin pour examiner les solutions de protection dont disposent les entreprises. Julien Robert, directeur de la sécurité chez SFR, résume les trois facteurs agissant sur la sécurité : les utilisateurs, car ce sont eux qui choisissent les données qu’ils utilisent et partagent, les fournisseurs d’accès et l’encadrement d’un data center externe fortement conseillé.

 

Prévention
« Il est difficile d’agir lorsque l’attaque a déjà eu lieu », précise Sylvie Sanchis, chef de la Befti (1) de la police judiciaire de Paris. Le moyen le plus efficace dont disposent les entreprises pour se protéger est donc la prévention. Il faut avant tout investir dans la sécurité informatique. Si certaines sociétés sont réticentes en raison du coût, il est important de rappeler qu’il sera toujours moindre que celui engendré par une attaque.
Tous les salariés doivent par ailleurs être formés car certaines intrusions sont rendues possibles par leur comportement, sans qu’ils en soient conscients, notamment par leur exposition sur Internet.

 

Les modes opératoires
Les modes opératoires d’exfiltration des données se diversifient et se sophistiquent au fil des années. Certains se veulent discrets afin que l’entreprise ne prenne connaissance de l’attaque que très tardivement, d’autres relèvent du chantage ou de la demande de rançon.
L’attaque peut venir d’un mail qui, à son ouverture, téléchargera un virus sur l’ordinateur de l’employé. Les données peuvent également être extraites grâce au social engineering, pratique qui exploite les failles humaines et sociales de la cible, utilisant notamment la crédulité de cette dernière pour parvenir à ses fins (arnaque au patron). Quant aux ransomwares, il s’agit de logiciels malveillants permettant de rançonner l’entreprise pour qu’elle récupère ses données. Dans ce cas, Anne Souvira, chargée de mission aux questions liées à la cybercriminalité au cabinet du préfet de police de Paris, précise que «même si l’entreprise paye, il est très rare de récupérer toutes les données. » Si elle peut être tentée de payer la rançon sans prévenir les autorités compétentes pour une somme modique, il n’y a aucune garantie de récupérer les données et les traces de l’attaque seront perdues. D’autres techniques de chantage sont utilisées, comme lorsque l’on se voit menacer d’une divulgation des vulnérabilités du système.

 

L’importance de porter plainte
La réaction à adopter, la plus rapide possible, fait partie de la sécurité informatique : « C’est un travail de réflexion en amont qui permettra d’adopter la bonne stratégie », selon Ciryl Piat, lieutenant-colonel de la gendarmerie nationale. Suite à une cyber-attaque, la plupart des entreprises sont réticentes à porter plainte, par peur d’une mauvaise réputation ou par scepticisme vis-à-vis de la réelle utilité de cette procédure. Alice Cherif, chef de la section « cybercriminalité » du parquet de Paris, précise que la plainte présente l’avantage d’identifier les éléments d’investigation qui permettront de remonter au cybercriminel. «Toute autre alternative est bien moins efficace et fait perdre un temps précieux à l’entreprise ainsi que des éléments d’investigation. »

 

L’utilité du cloud
L’une des façons de sécuriser ses données est de les confier à un tiers spécialiste qui les stockera en ligne sur un cloud. « Il s’agit d’un système complexe connecté sur Internet, où les données sont stockées sur des disques durs physiques situés dans des salles d’hébergement, les fameux data centers », explique Julien Levrard, chef de projet sécurité chez OVH. Le cloud rend l’accès plus difficile aux malfaiteurs d’autant qu’ils ignorent la localisation de la donnée. Vigilance et prévention : les maîtres mots en matière de cybercriminalité.

Article original de Emilie Smelten

(1) Brigade d’enquête sur les fraudes aux technologies de de l’information

 



 

Réagissez à cet article

Original de l’article mis en page : Cybercriminalité : comment se protéger ? – Magazine Decideurs




Bonnes pratiques face à une tentative de cyber-extorsion | Denis JACOPINI

Ordinateur, Virus, Piratage Informatique

Bonnes pratiques face à une tentative de cyber-extorsion


Bonnes pratiques face à une tentative de cyber-extorsion

 

1. Typologie des différents cas de cyber-extorsion

Le type le plus répandu de cyber-extorsion est l’attaque par crypto-ransomware. Ce dernier est une forme de malware qui chiffre les fichiers présents sur la machine infectée. Une rançon est par la suite demandée afin d’obtenir la clef qui permet de déchiffrer les données compromises. Ces attaques touchent autant les particuliers que les acteurs du monde professionnel. Il existe cependant deux autres types de cyber-extorsion auxquels doivent faire face les sociétés.

Le premier cas est celui du chantage faisant suite à un vol de données internes. L’exemple le plus marquant de ces derniers mois est celui du groupe Rex Mundi : ce dernier dérobe des informations sensibles/confidentielles – comme une base clientèle – puis demande une rançon à sa victime sous peine de divulguer son butin et par conséquent de rendre public l’acte de piratage; ce qui peut être fortement compromettant pour la société ciblée comme pour sa clientèle. De nombreuses entreprises comme Dexia, Xperthis, Voo ou encore Labio ont été victimes des chantages du groupe Rex Mundi.

 

La deuxième pratique est celle du DDoS contre rançon, spécialité des pirates d’Armada Collective. Le modus operandi est simple et efficace : la cible reçoit un email l’invitant à payer une rançon en Bitcoin afin de ne pas se voir infliger une puissante attaque DDoS qui rendrait son site web indisponible à ses utilisateurs. La plupart des victimes sont des sociétés de taille intermédiaire dont le modèle économique est basé sur le principe de la vente en ligne – produits ou services – comme le fournisseur suisse de services de messagerie ProtonMail en novembre 2015.

 

 

2. Bonnes pratiques à mettre en place

En amont de la tentative de cyber-extorsion

Un ensemble de bonnes pratiques permet d’éviter qu’une attaque par ransomware se finalise par une demande de rançon.

Il convient de mettre en place une stratégie de sauvegarde – et de restauration – régulière des données. Ces back-ups doivent être séparés du réseau traditionnel des utilisateurs afin d’éviter d’être chiffrés en cas de déploiement d’un crypto-ransomware. Dans ce cas de figure, le système pourra être restauré sans avoir besoin de payer la rançon exigée.

La propagation d’un malware peut également être évitée par l’installation d’outils/solutions de cybersécurité notamment au niveau du client, du webmail et du système d’exploitation (antivirus). Ceci doit obligatoirement être couplé à une mise à jour régulière du système d’exploitation et de l’ensemble des logiciels installés sur le parc informatique.

L’être humain étant toujours le principal maillon faible de la chaîne, il est primordial de sensibiliser les collaborateurs afin qu’ils adoptent des comportements non-risqués. Par exemple : ne pas cliquer sur les liens et ne pas ouvrir les pièces-jointes provenant d’expéditeurs inconnus, ne jamais renseigner ses coordonnées personnelles ou bancaires à des opérateurs d’apparence légitimes (banques, fournisseurs d’accès Internet, services des impôts, etc.).

Ces bonnes pratiques s’appliquent également dans le cas d’un chantage faisant suite à un vol de données internes. Ces dernières sont en général dérobées via l’envoi dans un premier temps d’un spam contenant une pièce jointe malicieuse ou une URL redirigeant vers un site web compromis. Une fois le système d’information compromis, un malware est déployé afin de voler les informations ciblées.

La menace provient également de l’intérieur : un employé mal intentionné peut aussi mettre en place une tentative de cyber-extorsion en menaçant de divulguer des informations sensibles/confidentielles. Ainsi, il est important de gérer les accès par une hiérarchisation des droits et un cloisonnement.

 

 

Pendant la tentative de cyber-extorsion

Lors d’un chantage faisant suite à un vol de données internes, il est important de se renseigner sur la véracité des informations qui ont été dérobées. Certains groupes de pirates se spécialisent dans des tentatives de cyber-extorsion basées sur de fausses informations et abusent de la crédulité de leurs victimes. Il en va de même concernant l’origine du corbeau : de nombreux usurpateurs imitent le style du groupe Armada Collective et envoient massivement des emails de chantage à des TPE/PME. Ces dernières cèdent fréquemment à ces attaques qui ne sont pourtant que des canulars.

Il est vivement recommandé de ne jamais payer une rançon car le paiement ne constitue pas une garantie. De nombreuses victimes sont amenées à payer une somme bien plus conséquente que la rançon initialement demandée. Il n’est pas rare de constater que les échanges débutent de manière très cordiale afin de mettre la cible en confiance. Si cette dernière cède au premier chantage, l’attaquant n’hésite pas à profiter de sa faiblesse afin de lui soutirer le plus d’argent possible. Il abuse de techniques basées sur l’ingénierie sociale afin d’augmenter ses profits. Ainsi, l’escroc gentil n’existe pas et le paiement de la rançon ne fait que l’encourager dans sa démarche frauduleuse.

De nombreuses victimes refusent de porter plainte et cela pour plusieurs raisons. Elles estiment à tort que c’est une perte de temps et refusent également de communiquer sur les résultats et conséquences d’une attaque qui ne feraient que nuire à leur image auprès des clients, fournisseurs ou partenaires. Pourtant cette mauvaise stratégie ne fait que renforcer le sentiment d’impunité des attaquants, les confortent dans le choix de leurs modes opératoires et leur permet de continuer leurs actions malveillantes. Il est ainsi vital de porter plainte lors de chaque tentative de cyber-extorsion. L’aide de personnes qualifiées permet de faciliter ce genre de démarches.

En cas d’attaque avérée, il est essentiel pour la victime de s’appuyer sur un panel de professionnels habitués à gérer ce type de situation. La mise en place d’une politique de sauvegarde ou bien la restauration d’un parc informatique n’est pas à la portée de toutes les TPE/PME. Il est nécessaire de faire appel à des prestataires spécialisés dans la réalisation de ces opérations complexes.

Par ailleurs, en cas de publication de la part de l’attaquant de données sensibles/confidentielles, il convient de mettre en place un plan de gestion de crise. La communication est un élément central dans ce cas de figure et nécessite l’aide de spécialistes.

Article original de Adrien Petit


 

Réagissez à cet article

Original de l’article mis en page : Bonnes pratiques face à une tentative de cyber-extorsion [Par Adrien Petit, CEIS] | Observatoire FIC




Comment détecter e-mail malveillant

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Comment détecter e-mail malveillant


Via votre messagerie ou votre boîte mail, certaines personnes malintentionnées tentent de mettre la main sur vos données personnelles en utilisant des techniques d’hameçonnage (phishing) ou d’escroquerie de type fraude 419 (scam) ! Ces techniques d’attaque évoluent constamment. Les conseils suivants vous aideront à déterminer si un message est légitime ou non.

Comment repérer une arnaque reçue dans votre messagerie ou votre boîte mail ?

 

  • Est-ce que le message/courriel vous est réellement destiné ?
  1. Généralement, les messages malveillants sont envoyés à destination d’un grand nombre de cibles, ils ne sont pas ou peu personnalisés.
  2. Le message évoque un dossier, une facture, un thème qui ne vous parle pas ? Il s’agit certainement d’un courriel malveillant.
  • Attention aux expéditeurs inconnus : soyez particulièrement vigilants sur les courriels provenant d’une adresse électronique que vous ne connaissez pas ou qui ne fait pas partie de votre liste de contact.
  • Soyez attentif au niveau de langage du courriel : même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas correctement écrits. Si le message comporte des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, c’est qu’il n’est pas l’œuvre d’un organisme crédible (banque, administration …).
  • Vérifiez les liens dans le courriel : avant de cliquer sur les éventuels liens, laissez votre souris dessus*. Apparaît alors le lien complet. Assurez-vous que ce lien est cohérent et pointe vers un site légitime. Ne faites pas confiance aux noms de domaine du type impots.gouvv.fr, impots.gouvfr.biz, infocaf.org au lieu de www.caf.fr.* A noter : cette manipulation est impossible à effectuer depuis un écran de smartphone.
  • Méfiez vous des demandes étranges : posez-vous la question de la légitimité des demandes éventuelles exprimées. Aucun organisme n’a le droit de vous demander votre code carte bleue, vos codes d’accès et mots de passe. Ne transmettez rien de confidentiel même sur demande d’une personne qui annonce faire partie de votre entourage.
  • L’adresse de messagerie source n’est pas un critère fiable : une adresse de messagerie provenant d’un ami, de votre entreprise, d’un collaborateur peut facilement être usurpée. Seule une investigation poussée permet de confirmer ou non la source d’un courrier électronique. Si ce message semble provenir d’un ami – par exemple pour récupérer l’accès à son compte – contactez-le sur un autre canal pour vous assurer qu’il s’agit bien de lui !

Comment réagir ?

Si vous avez un doute sur un message reçu, il y a de fortes chances que celui-ci ne soit pas légitime :

  • N’ouvrez surtout pas les pièces jointes et ne répondez-pas;
  • Si l’escroquerie que vous souhaitez signaler vous est parvenue par un spam (pourriel), rendez-vous sur www.signal-spam.fr;
  • Supprimez le message puis videz la corbeille;
  • S’il s’agit de votre compte de messagerie professionnel : transférez-le au service informatique et au responsable de la sécurité des systèmes d’information de votre entreprise pour vérification. Attendez leur réponse avant de supprimer le courrier électronique.

Comment s’en prémunir ?

  • Utilisez un logiciel de filtre anti-pourriel ou activer l’option d’avertissement contre le filoutage présent sur la plupart des navigateurs.
  • Installez un anti-virus et mettez-le à jour.
  • Désactivez le volet de prévisualisation des messages.
  • Lisez vos messages en mode de texte brut.

Si vous êtes victime d’une escroquerie en ligne ?

Signalez les escroqueries auprès du site www.internet-signalement.gouv.fr, la plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements. Pour s’informer sur les escroqueries ou pour signaler un site internet ou un courriel d’escroqueries, un vol de coordonnées bancaires ou une tentative d’hameçonnage : contacter Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 €/minute depuis un téléphone mobile) – Du lundi au vendredi de 9h à 18h

 

Rendez-vous sur cybermalveillance.gouv.fr , la plateforme nationale d’assistance aux victimes d’actes de cybermalveillance. Que vous soyez un particulier, une entreprise ou une administration, retrouvez :

  • des conseils / vidéos pour sensibiliser votre entourage professionnel ou personnel,
  • des services de proximité en cas de dommages causés par une attaque informatique.

[lire la suite]


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 


https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr


https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr


Source : Phishing : détecter un message malveillant | CNIL




Mon ordinateur ou mon téléphone est-il espionné ? Des informations me sont-elles volées ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Mon ordinateur ou mon téléphone est-il espionné ? Des informations me sont-elles volées ?

Mon ordinateur  ou mon téléphone est-il espionné ? Des informations me sont-elles volées ?


Que ça soit à la suite d’un licenciement ou tout simplement en raison d’un conflit, il se peut que la personne en face de vous souhaite savoir à tout prix quelles sont les informations et les documents à votre disposition ou quelle est votre ligne de défense.

Quelqu’un sait des choses qu’il ne devrait pas savoir ?
Comment savoir si mon ordinateur est espionné ?
Comment savoir si des informations me sont volées sur mon ordinateur ?
Comment savoir si je suis victime de fuites d’information ?

 

 

Il est clair que si vous êtes en conflit avec quelqu’un, il y a de fortes chances, qu’il cherche, tout comme vous, à savoir ce qui peut bien  se mijoter chez la partie averse.

Le premier réflexe que vous aurez sera probablement de penser que votre ordinateur est espionné ou que votre téléphone est espionné. Sauf à ce que vous ayez anticipé la fuite d’informations en plaçant dans votre installation informatique des systèmes destinée à détecter la fuite d’informations et éventuellement à vous alerter, il faudra passer votre téléphone ou votre ordinateur au peigne fin pour détecter à posteriori des traces d’intrusion ou des traces d’exfiltration de données.

 

 

Quelle est notre technique ?

Nous n’allons pas vous dévoiler nos petits secrets, mais notre technique est basée sur la recherche et la détection de détails et fonctionnements anormaux. C’est par une bonne connaissance des techniques utilisées par les pirates informatique et par une connaissance approfondie d’un système sain que nous pouvons identifier un système modifié, altéré, trafiqué, piégé…

Des informations dans le système d’exploitation (base de registre, journaux des événements, journaux divers) et dans tous les lieux dans lesquels le malveillant peut laisser des traces, sont collectées, analysées et traitées. Une analyse sur une “Timeline” des actions déroulées dans votre ordinateur permet aussi parfois de pouvoir découvrir la chronologie des actions et confondre les éléments recueillis avec d’autres preuves.

 

 

Comment devrez-vous vous organiser ?

Afin de vous aider à en avoir le cœur net sur l’existence ou non d’éléments douteux dans votre système, il est d’abord indispensable de pouvoir disposer des équipements à expertiser. Nous nous organisons pour vous priver de votre appareil le moins possible mais cette étape est nécessaire pour faire une photocopie de votre appareil et les premières mesures.

En fonction de vos besoins, il se peut aussi que nous déposions dans vos locaux un appareil enregistreur avec lequel nous pourrons collecter en  temps réel l’ensemble des données suspectes.

 

 

Nos rapports sont-ils utilisables en justice ?

Si vous avez opté pour la rédaction d’un rapport d’expertise privé (non judiciaire), nous le construirons sur le même modèle que les rapports d’expertise que nous produisons pour la justice. Si par la suite vous avez décidé d’aller en justice, le juge qui sera en charge de votre affaire, même s’il ne pourra pas se fier aux seuls éléments figurant dans notre rapport expertise, aura tout de même l’obligation d’en tenir compte dans son jugement.

 

 

Que faire avant qu’il ne soit trop tard ?

Par exemple, en France, 6 employés sur 10 ayant quitté leur entreprise au cours des 12 derniers mois conservent des données confidentielles appartenant à leur ancienne entreprise. Le départ d’un collaborateur constitue souvent un maillon faible de la sécurité du patrimoine informationnel qu’il faut donc s’efforcer de renforcer.

  • Hiérarchiser vos documents et restreindre les accès;
  • Ne pas avoir d’utilisateurs qui peuvent travailler sur leur ordinateur en mode administrateur;
  • Crypter les informations les plus sensibles sur votre système informatique ou utiliser des containers cryptés;
  • Utiliser toutes les consignes de sécurité relatives aux mails piégés, aux sites internet piégée et aux techniques d’ingénierie sociale risquant de donner un accès complet à votre ordinateur.

De plus, depuis le 6 janvier 1978, la loi Informatique et Libertés vous oblige, sauf si vous êtes un particulier, à protéger l’ensemble des données personnelles dont vous disposez (fichier client, contacts, fichiers fournisseurs, fichiers salariés, tableaux de congés…). Vous vous exposez à ce jour à une amende de 150 000 euros et 5 ans de prison. A compter du 24 mai 2018, l’amande pourra être portée jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.

Pensez à anticiper ce risque en mettant en oeuvre des procédures visant à protéger les données personnelles que renferme votre système informatique et des moyens techniques destinés de vous protéger contre la fuite de données.

 

 

Que faire s’il est déjà trop tard ?

Vous pensez être espionné, épié par l’intermédiaire de votre ordinateur ou de votre téléphone ?

N’attendez pas, il est nécessaire de réagir vite, compte tenu que les traces peuvent disparaître rapidement.

Deux priorités se présentent à vous et en fonction de votre choix,  des actions différentes seront menées.:

  1. rechercher l’auteur de cet espionnage;
  2. faire stopper l’acte de surveillance illicite;

 

 

Article de Denis JACOPINI (expert informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles).



 

Réagissez à cet article

Original de l’article mis en page : Comment se protéger contre la fuite d’informations avec le départ des collaborateurs ? – Lexsi Security Hub




Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

Authentification par mot de passe : les mesures de sécurité élémentaires | CNIL

Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)


Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

 

Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès.

Toutefois, cette méthode d’authentification présente un niveau de sécurité faible.

Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

 

Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

 

 

Les principaux risques identifiés au cours du cycle de vie d’un mot de passe

Mots de passe : les risques identifiés au cours de son cycle de vie

Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.

phrase2passe

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Les exigences de la CNIL

  1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires

Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux.  Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation 

Exemple d’utilisation Longueur minimum Composition du mot de passe Mesures complémentaires
Mot de passe seul FORUM, BLOG 12
  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
Conseiller l’utilisateur sur un bon mot de passe
Avec restriction d’accès
(le plus répandu)
SITES DE E-COMMERCE, COMPTE D’ENTREPRISE, WEBMAIL 8 Au moins 3 des 4 types suivants :

  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
Blocage des tentatives multiples :
(exemples)

  • Temporisation d’accès au compte après plusieurs échecs
  • « Capcha »
  • Verrouillage du compte après 10 échecs
Avec information
complémentaire
BANQUE EN LIGNE 5 Chiffres et/ou lettres Blocage des tentatives multiples

+

  • Information complémentaire communiquée en propre d’une taille d’au moins 7 caractères (ex : identifiant dédié au service)

ou

  • Identification du terminal de l’usager (ex : adresse IP, adresse MAC…)
Avec matériel détenu
par la personne
CARTE BANCAIRE OU TÉLÉPHONE 4 Chiffres Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat)

+

Blocage au bout de 3 tentatives échouées

 

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l’utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

 

 

  1. Sécurisation de l’authentification

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :

  • elle utilise un algorithme public réputé fort ;
  • sa mise en œuvre logicielle est exempte de vulnérabilité connue.

Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.

 

 

  1. La conservation des mots de passe

Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

Le sel ou la clé doit être généré au moyen d’un générateur de nombre pseudo-aléatoires cryptographiquement sûr (il utilise un algorithme public réputé fort et sa mise en œuvre logicielle est exempte de vulnérabilité connue).  Il ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

 

 

  1. Le renouvellement du mot de passe

Renouvellement périodique

Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande

À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures,  lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :

  • ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ;
  • afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,

  • Le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ;
  • Il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
  • Il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.
Faites-nous par de vos remarques

Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à jour.

 


[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article




Hotspot Shield le logiciel VPN pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public | Denis JACOPINI

le pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public

En période de vacances ou lors de déplacements professionnels, nous sommes de plus en plus nombreux à utiliser les bornes wifi des lieux publics, gares, hôtels, restaurants…  En juillet 2015, nous vous avions publié un article “Est-il risqué de se connecter au wifi public ?” pour vous informer des principaux risques à partager ces accès sans fil à internet avec d’autres. Cette fois, nous allons parler des solutions pour surfer sécurisé en utilisant les réseaux Wifi publics.RAPPEL DU PRINCIPAL RISQUEUn pirate peut se connecter tout aussi facilement que vous sur un réseau Wifi Public et espionner les données qui y transitent.

Il peut ainsi, en fonction des données qu’il récupère, accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut).

 

 

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

 

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

 

Nous utilisons régulièrement un logiciel VPN . C’est un logiciel qui coûte  moins de 25 euros et qui vous rendra les connections Wifi publiques sécurisées.

HotSpot Shield existe pour Windows pour protéger par un logiciel VPN les connexions Wifi des ordinateurs assemblés, Acer, Asus, IBM, Dell ;

HotSpot Shield existe aussi pour MacOs X Lion pour protéger par un logiciel VPN les connexions Wifi des ordinateurs Apple ;

HotSpot Shield existe aussi pour Android pour protéger par un logiciel VPN les connexions Wifi des smartphones Samsung, HTC, Archos, LG, Acer, Wiko, Sony, Asus, Alcatel, ZTE… ;

Enfin, HotSpot Shield existe aussi pour IOs pour protéger par un logiciel VPN les connexions Wifi des smartphones Apple.

 

Téléchargez et testez gratuitement HotSpot Shield

 

 

 


 

Réagissez à cet article




Denis JACOPINI interviewé par une journaliste de Ouest France | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Denis JACOPINI interviewé par une journaliste de Ouest France

Est-il risqué de se connecter au wifi public ?
Nous sommes de plus en plus nombreux à utiliser les bornes wifi des lieux publics, gares, hôtels, restaurants… Mais y a-t-il un risque à partager ces accès sans fil à internet avec d’autres ? Peut-on se faire pirater ses données ? Le point avec Denis Jacopini, expert en cybercriminalité.

 

 

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

 

 

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

 

 

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

 

 

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

 

 

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

 

 

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

 

 

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

 

 


Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

 

 

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

 

 

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

 

 


Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

 

 

 

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock
Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI
 »

 

 

Besoin d'un Expert ? contactez-nous
 




 

 


Source : http://www.ouest-france.fr/leditiondusoir/data/492/reader/reader.html?t=1431534138729#!preferred/1/package/492/pub/493/page/7
Par Corinne Bourbeillon




Comment se connecter de manière sécurisée à un wifi public ? | Denis JACOPINI

Comment se connecter de manière sécurisée à un wifi public ?

En période de vacances ou lors de déplacements professionnels, nous sommes de plus en plus nombreux à utiliser les bornes wifi des lieux publics, gares, hôtels, restaurants…  En juillet 2015, nous vous avions publié un article “Est-il risqué de se connecter au wifi public ?” pour vous informer des principaux risques à partager ces accès sans fil à internet avec d’autres. Cette fois, nous allons parler des solutions pour surfer sécurisé en utilisant les réseaux Wifi publics.RAPPEL DU PRINCIPAL RISQUEUn pirate peut se connecter tout aussi facilement que vous sur un réseau Wifi Public et espionner les données qui y transitent.

Il peut ainsi, en fonction des données qu’il récupère :

  • accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut) ;
  • vous voler, crypter des documents ou exercer un chantage pour que vous puissiez les récupérer ;
  • usurper votre identité et réaliser des actes illégaux ou terroristes sous votre identité ;
  • accéder à des informations bancaires et vous spolier de l’argent.

 

 

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

 

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

 

Nous utilisons et conseillons le logiciel VPN HotSpot Shield.

Ce logiciel rendra vos connections Wifi publiques tranquilles.

Téléchargez et découvrez gratuitement HotSpot Shield

Notre page de présentation de HotSpot Shield

 


 

Réagissez à cet article




Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?

Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?


Les ordinateurs contiennent des documents privés et données confidentielles (renseignements personnels, identifiants bancaires, codes secrets) qui peuvent être convoités par une tierce personne mal intentionnée. En cas de cyberattaque, il est important de savoir réagir vite pour se protéger d’une utilisation frauduleuse de vos données personnelles. Nous expliquons ici les principales cybermenaces qui planent sur les internautes, les recommandations de sécurité pour s’en prémunir et, surtout, comment agir si vous êtes la victime d’un cybercriminel.

 

Les recommandations de sécurité pour se protéger des cyber-escrocs

Selon l’ANSII (agence nationale de la sécurité des systèmes d’information), il vous est fortement conseillé de respecter quelques règles simples pour vous protéger contre les cyberattaques. Effectuer des sauvegardes régulières de vos fichiers importants sur des supports de stockage amovibles (CD, clé USB, disque dur externe). Mettre à jour régulièrement les principaux logiciels de vos appareils numériques (ex : Windows, antivirus, lecteur PDF, navigateur, etc.) en privilégiant leur mise à jour automatique. Ne pas avoir une confiance aveugle dans le nom de l’expéditeur de l’email. En cas de doute, n’hésitez pas à contacter directement l’expéditeur par un autre moyen de communication. Se méfier de courriel type « hameçonnage ciblé » qui vous propose un contenu personnalisé pour mieux tromper votre vigilance. Ne pas ouvrir les pièces jointes et ne pas suivre les liens des messages électroniques douteux (fautes d’orthographe, caractères accentués, nom des pièces jointes trop succinct). Ne jamais répondre à une demande d’information confidentielle par courriel.

 

 

En cas de cyber-attaque, il faut immédiatement déconnecter du réseau tout appareil susceptible d’être infecté et alerter au plus vite le responsable de sécurité ou le service informatique. Dans le cadre d’un rançongiciel, il est primordial de ne pas payer la rançon, car il n’est nullement garanti que la victime récupère la clé de déchiffrement qui lui permettra de récupérer l’accès à ses données personnelles.

Comment réagir si vous êtes victime d’un rançongiciel ou d’hameçonnage ?

Vous devez vous rendre dans un commissariat de police ou une brigade de gendarmerie pour déposer plainte, ou bien adresser un courrier au Procureur de la République auprès du Tribunal de Grande Instance compétent.

Pour mener correctement l’enquête, il faudra fournir les renseignements suivants.

  • Les références du (ou des) transfert(s) d’argent effectué(s).
  • Les informations de la (ou des) personne(s) contactée(s) : pseudos utilisés, adresse de messagerie ou adresse postale, numéros de téléphone, fax, copie des courriels…
  • Le numéro complet de la carte bancaire ayant servi au paiement, la référence de votre banque et de votre compte, et la copie du relevé de compte bancaire où apparaît le débit frauduleux.
  • Tout autre renseignement utile à l’identification du cyber-escroc.

 

 

Vous pouvez également utiliser la plateforme de signalement Pharos ou le numéro de téléphone dédié : 0811 02 02 17 pour signaler les faits dont vous avez été victime. La suite de l’enquête sera prise en charge par des services spécialisés…[lire la suite]

 


NOTRE MÉTIER :

  • FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO
  • EXPERTISES TECHNIQUES / RECHERCHE DE PREUVES
  • AUDITS RGPD, AUDIT SECURITE ET ANALYSE D’IMPACT
  • MISE EN CONFORMITE RGPD / FORMATION DPO

FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, suivez nos formations ;

EXPERTISES TECHNIQUES : Dans le but de prouver un dysfonctionnement, de déposer ou vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ;

COLLECTE & RECHERCHE DE PREUVES : Nous mettrons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ;

AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des nombreuses formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration et vous accompagnons dans l’établissement d’une analyse d’impact et de votre mise en conformité ;

MISE EN CONFORMITÉ CNIL/RGPD : Nous mettrons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assisterons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel).

Besoin d’un Expert ? contactez-nous
NOS FORMATIONShttps://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

(Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)


 

Réagissez à cet article

Source : Rançongiciel et hameçonnage : quelle démarche entreprendre si vous êtes la cible d’une cyberattaque ?