Les données de santé, la nouvelle cible des  cybercriminels

Pendant des années nos données de santé étaient éparpillées entre médecins, laboratoire d’analyses, hôpitaux, dentistes dans des dossiers cartonnés qui s’accumulaient au coin d’un bureau ou sur une étagère. En 2012 la loi « hôpital numérique » avait permis un premier virage en obligeant la numérisation des données de santé par tous les professionnels pour une meilleure transmission inter-service. Depuis un an, la loi « santé 2015 » oblige à une unification et une centralisation des données de santé dans des serveurs hautement sécurisés constituant ainsi le Big Data.

Une centralisation des données qui n’est pas sans risque

Appliqué à la santé, le Big Data ouvre des perspectives réjouissantes dans le croisement et l’analyse de données permettant ainsi d’aboutir à de véritables progrès dans le domaine médical. Mais cela n’est pas sans risque.

Le statut strictement confidentiel et extrêmement protégé donne à ces données une très grande valeur. Nos données médicales deviennent ainsi la cible d’une nouvelle cybercriminalité, cotées sur le Dark Web.

Le Dark Web ou Deep Web est l’underground du net tel qu’on le connait. Il est une partie non référencée dans les moteurs de recherche, difficilement accessible où le cybertrafic y est une pratique généralisée. Sur le Dark Web les données personnelles sont cotées et prennent ou non de la valeur selon leur facilité d’accès et leur rendement.

Là où les données bancaires détournées sont de plus en plus difficiles à utiliser suite aux nombreuses sécurisations mise en place par les banques, l’usurpation d’identité et la récolte de données médicales prennent une valeur de plus en plus grande. Selon Vincent TRELY, président-fondateur de l’APSSIS, Association pour la Sécurité des Systèmes d’information, interviewer sur France Inter le 8 septembre 2016, le dossier médical d’une personne aurait une valeur actuelle qui peut varier entre 12 et 18 $.

Si l’on rapporte cette valeur unitaire au nombre de dossiers médicaux abrités par un hôpital parisien, on se rend compte que ceux-ci abritent une potentielle fortune pouvant aller jusqu’à des millions de dollars. Aussi pour protéger ces données, les organismes de santé se tournent vers des sociétés certifiées proposant un stockage dans des Datacenters surveillés, doublement sauvegardés, ventilés avec une maintenance 24h/24. Le stockage a donc un coût qui peut varier entre quelques centaines d’euros jusqu’à des centaines de milliers d’euros pour un grand hôpital. Le coût d’hébergement peut alors devenir un vrai frein pour des petites structures médicales où le personnel présent est rarement qualifié pour veiller à la sécurité numérique des données. Et c’est de cette façon que ces organismes deviennent des cibles potentielles pour les cybercriminels.

Des exemples il en existe à la Pelle. Le laboratoire Labio en 2015 s’est vu subtilisé une partie des résultats d’analyse de ses patients, pour ensuite devenir la victime d’un chantage. Les cybercriminels demandaient une rançon de 20 000 euros en échange de la non divulgation des données. Peu de temps après c’est le service de radiologie du centre Marie Curie à Valence qui s’est vu refuser l’accès à son dossier patients bloquant ainsi toute une journée les rendez-vous médicaux initialement fixés. Peu de temps avant, en janvier 2015, la Compagnie d’Assurance Américaine Anthem a reconnu s’être fait pirater. Toutes ses données clients ont été cryptées en l’échange d’une rançon.

Ces pratiques étant nouvelles, on peut s’attendre à une recrudescence de ce type de criminalité dans l’avenir selon les conclusions en décembre 2014 de la revue MIT Tech Review…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Professionnels, ne pas fermer votre Wi-Fi pourrait vous coûter cher

Jeudi, nous rapportions qu’avec sa décision Tobias Mc Fadden prise pour une affaire de piratage de fichiers MP3, la Cour de justice de l’Union européenne (CJUE) a véritablement condamné à mort les réseaux Wi-Fi ouverts, en exigeant que les professionnels qui offrent un tel service recueillent l’identité des internautes qui s’y connectent, et conservent un journal de leurs connexions. Ceux qui ne le font pas s’exposeront à des conséquences financières, alors-même que la Cour estime qu’ils ne sont pas responsables des téléchargements illégaux effectués avec leur connexion.

Pour comprendre ce paradoxe apparent, il faut revenir sur le raisonnement juridique de la CJUE.

Tout d’abord, les juges reconnaissent que le professionnel qui met à disposition de ses clients ou prospects un réseau Wi-Fi est assimilable à un « fournisseur d’accès à un réseau de communication », autrement dit à un FAI. En conséquence, ils déduisent que la jurisprudence de la Cour qui interdit d’imposer le filtrage à un FAI s’applique, et que le fournisseur du Wi-Fi ne peut pas être tenu pour responsable de l’utilisation qui est faite par les utilisateurs.

Dès lors, « il est en toute hypothèse exclu que le titulaire d’un droit d’auteur puisse demander à ce prestataire de services une indemnisation au motif que la connexion à ce réseau a été utilisée par des tiers pour violer ses droits  », juge la Cour…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’Agence mondiale anti-dopage victime de piratage

Les Russes l’auraient-ils mauvaise suite à la disqualification de la quasi-totalité de leurs athlètes lors des Jeux Olympiques de Rio ? Ce vaste « nettoyage » opéré par les fédérations sportives internationales faisait suite au scandale sur le dopage d’Etat généralisé en Russie. Toujours est-il que le groupe russe Tsar Team (APT28), Fancy Bear pour les intimes, a piraté une base de données de l’AMA.

La date exacte de l’attaque n’est pas connue. Les hackers ont vraisemblablement obtenu l’accès aux serveurs de l’Agence en obtenant par phishing des mots de passe ADAMS (pour Anti-Doping Administration and Management System, le SI de l’AMA), via un compte du Comité International Olympique créé à l’occasion des JO de Rio. Ils ont ainsi pu dérober les données relatives à quatre athlètes américaines, notamment leurs dossiers médicaux détaillés.

Simone Biles, quadruple championne olympique en athlétisme

Sur les réseaux sociaux, Fancy Bear a divulgué une partie de ces informations, pointant du doigt des « analyses anormales » dans les dossiers des joueuses de tennis Venus et Serena Williams, de la basketteuse Elena Delle Donne et de la gymnaste Simone Biles. L’AMA a pris la défense des athlètes mises en cause, expliquant qu’elles bénéficient d’exemptions thérapeutiques. Dans le cas de Simone Biles, par exemple, il s’agit d’un traitement pour trouble du déficit de l’attention, dont il avait déjà été question lors des JO. Mais les hackers promettent bien d’autres révélations.

« Miner le système anti-dopage mondial ».

Le CIO a condamné cette attaque, « destinée à salir la réputation d’athlètes propres ». L’AMA elle aussi condamne, et y voit une tentative de « miner le système anti-dopage mondial »…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Extension de règles de sécurité des opérateurs aux acteurs du Net en Europe

Équilibrer les obligations entre opérateurs et messageries en ligne ressemble souvent à un travail de funambule, dans lequel se lancerait la Commission européenne. Dans quelques jours, l’institution doit dévoiler une révision des règles télécoms en Europe. Selon un brouillon obtenu par Reuters, elle y introduirait des obligations de sécurité pour les services de messagerie en ligne, déjà appliquées par les opérateurs.

Des obligations de signalement des brèches

À la mi-août, plusieurs médias affirmaient que la Commission européenne comptait proposer cette parité entre acteurs. Le brouillon obtenu par Reuters viendrait donc confirmer cette piste. Dans celui-ci, les services « over the top » devront ainsi signaler les brèches « qui ont un impact important sur leur activité » aux autorités et disposer d’un plan de continuité de l’activité. Les services qui proposent des numéros de téléphone ou d’en appeler, comme Skype, devront aussi permettre les appels d’urgence.

Pourtant, ces règles pourront être plus légères pour ces services que pour les opérateurs classiques, dans la mesure où les services ne maîtrisent pas complètement la transmission des contenus via les tuyaux. Dans l’absolu, ces règles doivent réduire l’écart d’obligations entre les acteurs télécoms et ceux d’Internet, avec en toile de fond le combat entre des acteurs européens et des sociétés principalement américaines.

Rappelons que le règlement sur les données personnelles, voté en avril par le Parlement européen, doit lui aussi obliger les services à divulguer aux autorités les fuites de données, dans un délai court. En France, cette obligation ne concerne que les opérateurs.

Le moment est d’ailleurs pour celle-ci, le secteur télécom étant notamment le théâtre de lobbyings intenses. Elle a d’ailleursretiré une proposition de « fair use » pour la fin des frais d’itinérance il y a quelques jours, suite à des levées de bouclier du côté des associations de consommateurs, des opérateurs et des eurodéputés. Comme le rappelle Reuters, ce texte passera entre les mains du Parlement et du Conseil de l’Europe, avec des changements possibles à la clé…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Mokes, une Backdoor sur Mac OS X

Au début de l’année, le monde de Linux et de Windows découvrait la porte dérobée Mokes. Kaspersky Labs avait alors écarté l’environnement OS X. Mais voilà qu’une  variante pour cet OS vient d’être découverte par la même équipe.

Stefan Ortloff, chercheur au sein de Kaspersky Lab, a publié plusieurs papiers techniques sur Seculist et en particulier sur cette version OS X de la backdoor. Mokes pour OS X reprend les mêmes caractéristiques que les variantes pour Windows et Linux. Elle se charge par exemple d’enregistrer les sons et de réaliser des captures d’écran toutes les 30 secondes du PC de la victime. La backdoor est capable de détecter la présence d’un support amovible de stockage comme une clé USB, mais également de surveiller la présence de fichiers précis comme les .docx, .doc, .xslx et .xls…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de l’électricité, de l’eau et de la nourriture : comment les cybercriminels peuvent ruiner votre vie

Cependant, même ceux qui connaissent tout en matière de cybersécurité, qui utilisent des mots de passe fiables et qui les changent régulièrement, qui reconnaissent des messages d’hameçonnage au premier coup d’œil et qui protègent leurs dispositifs avec une excellente solution de sécurité, même ceux qui font tout, ne sont pas totalement à l’abri. Tout simplement parce que nous vivons en société.

Le problème est que nous avons le contrôle sur nos objets personnels, mais pas sur celui des équipements industriels, qui est loin de notre portée.

Vous avez dit cybersécurité ?

Nos experts en cybersécurité ont mené une étude afin de découvrir où nous en sommes concernant la sécurité des systèmes de contrôle industriel.

Shodan, le moteur de recherche pour les dispositifs connectés, nous a montré que 188 019 systèmes industriels dans 170 pays sont accessibles sur Internet. La majorité d’entre eux sont localisés aux Etats-Unis (30,5%) et en Europe, essentiellement en Allemagne (13,9%), Espagne (5,9%) et en France (5,6%).

92% (172 982) des systèmes de contrôle industriel (SCI) détectés sont vulnérables. Lamentablement, 87% ont un niveau de risque moyen de bugs et 7% connaissent des problèmes critiques.

Ces cinq dernières années, les experts ont méticuleusement examiné de tels systèmes et y ont découvert de nombreuses failles de sécurité. Durant ce laps de temps, le nombre de vulnérabilités dans les composants SCI a multiplié par dix.

Parmi les systèmes que nos experts ont analysés, 91,6% ont utilisé des protocoles non sécurisés, en donnant l’opportunité aux cybercriminels d’intercepter ou de modifier les données utilisant des attaques de l’homme du milieu.

Egalement, 7,2% (environ 13 700) des systèmes appartiennent à de grandes compagnies aéronautiques, des transports et de l’énergie, pétrolières et gazières, métallurgiques, de l’industrie alimentaire, de la construction et autres secteurs primordiaux.

En d’autres termes, des hackers qualifiés peuvent influencer n’importe quel secteur économique. Leurs victimes (les entreprises piratées) porteraient préjudice à des milliers ou millions de personnes en leur fournissant de l’eau contaminée ou de la nourriture immangeable, ou en leur coupant le chauffage en plein hiver.

Qu’est-ce que cela implique pour nous tous ?

…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Ce que Facebook sait (espionne) sur vous

Où que vous alliez, quoi que vous fassiez (si c’est en ligne) les chances sont que Mark Zuckerberg vous observe, et apprend.

Facebook recueille des données lorsque vous êtes sur d’autres sites, dans les applications, et dans Facebook lui-même; développant un profil de 98 « points de données » sur vous.

Facebook a récemment déployé une mise à jour de son outil Ad Préférences qui révèle un peu plus les données recueillies par Facebook (tout est fait pour vous servir des publicités « personnalisées »).

Certaines d’entre elles sont assez alarmantes (comme si vous êtes enceinte, votre race, et votre titre d’emploi) toutes ces données sont récoltées tranquillement, sans avoir un formulaire à remplir.

Voici les 98 « points de données » que Facebook sait probablement de vous, où s’il ne les connait pas encore, il essaye de les apprendre, selon le Washington Post.

Qu’est-ce que Facebook sait sur vous

1. L’emplacement
2. L’âge
3. La génération
4. Le sexe
5. La langue
6. Le niveau d’éducation
7. Le domaine d’études
8. L’école
9. L’affinité ethnique
10. Le revenu et la valeur nette
11. La valeur de la propriété et le type
12. La valeur domestique
13. La surface du terrain
14. La superficie de la maison
15. L’année de construction de la maison
16. La composition du ménage
17. Les utilisateurs qui ont un anniversaire dans les 30 jours
18. Les utilisateurs qui sont loin de leur famille ou de leur ville natale
19. Les utilisateurs qui sont amis avec quelqu’un qui a un anniversaire, nouvellement marié ou engagé, récemment déménagé, ou a un anniversaire à venir
20. Les utilisateurs dans les relations à longue distance
21. Les utilisateurs qui ont de nouvelles relations
22. Les utilisateurs qui ont de nouveaux emplois
23. Les utilisateurs qui sont nouvellement engagés
24. Les utilisateurs qui sont nouvellement mariés
25. Les utilisateurs qui ont récemment déménagé
26. Les utilisateurs qui ont des anniversaires bientôt
27. Les parents
28. Les futurs parents
29. Les occupations, rangées par « type » (football, mode, etc.)
30. Les utilisateurs qui sont susceptibles de participer à la politique
31. Les conservateurs et les libéraux
32. La situation amoureuse
33. L’employeur
34. Le travail
35. Les fonctions du travail
36. Les statuts au travail
37. Les loisirs
38. Les utilisateurs qui possèdent des motos
39. Les utilisateurs qui ont l’intention d’acheter une voiture (et quel type / marque de voiture, et dans combien de temps)
40. Les utilisateurs qui ont acheté des pièces ou accessoires automobiles récemment
41. Les utilisateurs qui sont susceptibles d’avoir besoin de pièces ou de services automobiles
42. Le style et la marque de voiture que vous conduisez
43. L’année d’achat de votre voiture
44. L’âge de votre voiture
45. Combien d’argent l’utilisateur est susceptible de dépenser pour la voiture suivante
46. Lorsque l’utilisateur est susceptible d’acheter la voiture suivante
47. Combien d’employés possède votre entreprise
48. Les utilisateurs qui possèdent des petites entreprises
49. Les utilisateurs qui travaillent dans la gestion ou qui sont cadres
50. Les utilisateurs qui ont fait don à la charité (divisés par type)
51. Le système d’exploitation
52. Les utilisateurs qui jouent à des jeux de navigateur
53. Les utilisateurs qui possèdent une console de jeu
54. Les utilisateurs qui ont créé un événement sur Facebook
55. Les utilisateurs qui ont utilisé les paiements Facebook
56. Les utilisateurs qui ont passé plus que la moyenne sur les paiements Facebook
57. Les utilisateurs qui administrent une page Facebook
58. Les utilisateurs qui ont récemment téléchargé des photos sur Facebook
59. Le navigateur Internet
60. Le service de messagerie e-mail
61. Le passage précoce / tardif à la technologie
62. Les expatriés (divisés par le pays d’origine)
63. Les utilisateurs qui appartiennent à une coopérative de crédit, la banque nationale ou banque régionale
64. Les utilisateurs qui sont investisseurs (divisés par type d’investissement)
65. Le nombre de crédits
66. Les utilisateurs qui utilisent des cartes de crédit
67. Le type de carte
68. Les utilisateurs qui ont une carte de débit
69. Les utilisateurs qui effectuent un solde sur leur carte de crédit
70. Les utilisateurs qui écoutent la radio
71. La préférence dans les émissions télévisées
72. Les utilisateurs qui utilisent un appareil mobile (divisé par quelle marque ils utilisent)
73. Le type de connexion Internet
74. Les utilisateurs qui ont récemment fait l’acquisition d’un smartphone ou d’une tablette
75. Les utilisateurs qui accèdent à Internet via un smartphone ou une tablette
76. Les utilisateurs qui utilisent des coupons
77. Les types de vêtements achetés
78. Le temps passé dans les magasins
79. Les utilisateurs qui sont des « gros » acheteurs de bière, de vin ou de spiritueux
80. Les utilisateurs qui achètent dans les épiceries (et quelles types)
81. Les utilisateurs qui achètent des produits de beauté
82. Les utilisateurs qui achètent des médicaments contre les allergies, la toux / médicaments contre le rhume, les produits de soulagement de la douleur
83. Les utilisateurs qui dépensent de l’argent sur les produits ménagers
84. Les utilisateurs qui dépensent de l’argent sur les produits pour les enfants ou les animaux domestiques, et quels types d’animaux de compagnie
85. Les utilisateurs dont les ménages font des achats plus que ce qui est en moyenne
86. Les utilisateurs qui ont tendance à faire des achats en ligne
87. Les types de restaurants
88. Les types de boutiques et magasins
89. Les utilisateurs qui sont « réceptifs » aux offres des compagnies offrant des assurances auto en ligne, l’éducation ou des prêts hypothécaires plus élevés, les cartes prépayées / la TV par satellite
90. La durée du temps passé dans une maison
91. Les utilisateurs qui sont susceptibles de se déplacer rapidement
92. Les utilisateurs qui sont intéressés par les Jeux Olympiques, le football, le cricket ou le Ramadan
93. Les utilisateurs qui voyagent fréquemment, pour le travail ou pour le plaisir
94. Les utilisateurs qui font la navette jusqu’au travail
95. Les types de vacances d’un utilisateur
96. Les utilisateurs qui sont récemment revenus d’un voyage
97. Les utilisateurs qui ont récemment utilisé une application de voyage
98. Les utilisateurs qui participent à une multipropriété

Source : Metro.co.uk

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Position du CERT-FR (Computer Emergency Response Team de l’ANSSI) vis à vis de Pokemon Go

Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go

Lancé courant juillet par la société Niantic, le jeu Pokémon Go est depuis devenu un phénomène de société, au point d’être installé sur plus de 75 millions de terminaux mobiles dans le monde. Certains acteurs malveillants ont rapidement tenté d’exploiter la popularité du jeu à des fins criminelles. Certaines précautions s’imposent donc avant de pouvoir tenter de capturer un Dracaufeu ou un Lippoutou sans porter atteinte à la sécurité de son ordiphone.

Applications malveillantes

Des sociétés spécialisées en sécurité informatique ont mis en évidence la présence de nombreuses fausses applications se faisant passer pour une version officielle du jeu. Ces applications sont susceptibles de naviguer sur des sites pornographiques pour simuler des clics sur des bannières publicitaires, de bloquer l’accès au terminal et de ne le libérer qu’en contrepartie d’une rançon, ou bien même d’installer d’autres codes malveillants. Au vu du nombre d’applications concernées (plus de 215 au 15 juillet 2016), cette technique semble très populaire, en particulier dans les pays où le jeu n’est pas encore disponible via les sites officiels.

Niveau de permissions demandées par l’application

La version initiale du jeu sur iOS présentait un problème au niveau de la gestion des permissions. En effet, le processus d’enregistrement d’un compte Pokemon Go à l’aide d’un compte Google exigeait un accès complet au profil Google de l’utilisateur.

Suite à la prise de conscience de ce problème, la société Niantic a rapidement réagi en précisant qu’il s’agissait d’une erreur lors du développement. Elle propose désormais une mise à jour pour limiter le niveau d’accès requis au profil Google de l’utilisateur. A noter que la version Android du jeu ne semble pas avoir été affectée par ce problème.

Dans le doute, il est toujours possible de révoquer cet accès en se rendant sur la page de gestion des applications autorisées à accéder à son compte Google.

Collecte de données personnelles

De par son fonctionnement, l’application collecte en permanence de nombreuses données personnelles qui sont ensuite transmises au développeur du jeu, par exemple les informations d’identité liées au compte Google ou la position du joueur obtenue par GPS. Certaines indications visuelles (nom de rue, panneaux, etc) présentes sur les photos prises avec l’application peuvent aussi fournir des indications sur la position actuelle du joueur. La désactivation du mode « réalité augmentée » lors de la phase de capture permet de se prémunir de ce type de risques (et accessoirement, de réduire l’utilisation de la batterie de l’ordiphone).

Pokemons et BYOD

Il peut être tentant d’utiliser un ordiphone professionnel pour augmenter les chances de capture d’un Ronflex. Même s’il est souvent délicat de répondre par la négative à une requête émanant d’un VIP, il semble peu opportun de déployer ce type d’application dans un environnement professionnel, en raison des différents risques évoqués précédemment.

Recommandations

Le CERT-FR recommande de n’installer que la version originale du jeu présente sur les boutiques d’Apple et de Google. En complément, il convient de désactiver la possibilité d’installer une application téléchargée depuis un site tiers (sous Android, paramètre « Sources inconnues » du menu « Sécurité »).

Il est également conseillé de vérifier les permissions demandées par l’application. La version originale du jeu nécessite uniquement :

• d’accéder à l’appareil photo pour les fonctionnalités de réalité augmentée ;
• de rechercher des comptes déjà présents sur l’appareil ;
• de localiser l’utilisateur grâce au GPS ou aux points d’accès Wi-Fi ;
• d’enregistrer localement des fichiers sur le téléphone.

Toute autre permission peut sembler suspecte et mettre en évidence la présence sur l’ordiphone d’une version altérée de l’application.

Le CERT-FR suggère de mettre en place un cloisonnement entre l’identité réelle du joueur et celle de dresseur Pokémon. Pour cela, il est possible d’ouvrir un compte directement auprès du Club des dresseurs Pokémon [8] ou bien de créer une adresse Gmail dédiée à cet usage.

Enfin, le CERT-FR déconseille de pratiquer cette activité dans des lieux où le geo-tagging du joueur pourrait avoir des conséquences (lieu de travail, sites sensibles, etc) [9]…[lire la suite]

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
 

Réagissez à cet article

Déchiffrement des communication numériques (Telegram et autres). Où en est-on ?

Une initiative européenne contre les chiffrements trop forts ?

Face au terrorisme international et sachant que les messageries instantanées visées par le projet de loi sont majoritairement américaines, Bernard Cazeneuve s’en remet à une initiative européenne. L’idée serait d’étendre aux services de messageries et d’appels sur internet, les mêmes règles de sécurité et de confidentialité destinées jusque-là, aux opérateurs télécom. Le ministre a ainsi fermement déclaré vouloir obliger les services en ligne «non coopératifs» à «retirer des contenus illicites ou déchiffrer des messages dans le cadre d’enquêtes judiciaires, que leur siège soit en Europe ou non».

Conscient de la polémique qui entoure ce projet de loi, le ministre a précisé que l’utilisation des données déchiffrées ne servirait que dans le cadre « judiciaire ». Ce qui voudrait dire qu’elles ne seraient pas utilisées par les services secrets, comme le redoutent beaucoup de personnes. Se voulant rassurant, il a insisté « Il n’a bien sûr, jamais été question de remettre en cause le principe du chiffrement des échanges ». Le 16 septembre prochain, le projet de loi contre le chiffrement des données sera discuté lors du sommet des chefs d’états européens.

…[lire la suite]

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-en-cybercriminalite-et-en-protection-des-donnees-personnelles

Réagissez à cet article

Révélations sur de petits piratages informatiques entre alliés…

Cet ex-cadre de l’espionnage a notamment confirmé que les Etats-Unis étaient bien responsables de l’attaque informatique de l’Elysée en 2012.

Entre les deux tours de la présidentielle de 2012, des ordinateurs de collaborateurs de Nicolas Sarkozy avaient été infectés à l’Elysée. Jusqu’à présent, les soupçons se portaient bien vers la NSA mais ils n’avaient jamais été confirmés. « Le responsable de la sécurité informatique de l’Elysée était un ancien de ma direction à la DGSE. Il nous a demandé de l’aide. On a vu qu’il y avait un malware », a expliqué Bernard Barbier en juin dernier. « En 2012, nous avions davantage de moyens et de puissance techniques pour travailler sur les métadonnées. J’en suis venu à la conclusion que cela ne pouvait être que les Etats-Unis. »

La France aussi impliquée dans un pirate informatique

Ce cadre de la DGSE a ensuite été envoyé par François Hollande pour s’entretenir avec ses homologues américains. « Ce fut vraiment un grand moment de ma carrière professionnelle », explique-t-il. « On était sûrs que c’était eux. A la fin de la réunion, Keith Alexander (l’ex-directeur de la NSA), n’était pas content. Alors que nous étions dans le bus, il me dit qu’il est déçu, car il pensait que jamais on ne les détecterait. Et il ajoute : ‘Vous êtes quand même bons.’ Les grands alliés, on ne les espionnait pas. Le fait que les Américains cassent cette règle, ça a été un choc. »

Pourtant, au cours de cette conférence, Bernard Barbier a aussi révélé l’implication de la France dans une vaste opération d’espionnage informatique commencée en 2009 qui avait touché notamment l’Espagne, la Grèce ou l’Algérie. Le Canada, lui aussi visé, avait à l’époque soupçonné Paris, mais rien n’avait été confirmé en France. « Les Canadiens ont fait du reverse sur un malware qu’ils avaient détecté. Ils ont retrouvé le programmeur qui avait surnommé son malware Babar et avait signé Titi. Ils en ont conclu qu’il était français. Et effectivement, c’était un Français. »

Article original de Thomas Liabot

Réagissez à cet article