Accès non Premium (se connecter)
Si vous vous intéressez à la cyber-criminalité et êtes sensibles aux risques que vous prenez sur internet, ainsi qu’à la protection de vos informations personnelles, ZATAZ est un site à découvrir & parcourir sans modération !
Damien Bancal, son créateur, a accordé une interview exclusive à PROTEGOR, à découvrir ici !
PROTEGOR : Damien, peux-tu te présenter aux internautes qui ne te connaîtraient pas ?
Damien Bancal : J’ai une grosse trentaine d’année, marié, deux enfants, journaliste. J’ai cofondé ZATAZ.COM un site dédié à l’actualité liée à la problématique de la cyber criminalité sur Internet. J’ai commencé à écrire sur le sujet en 1989 (sous forme de fanzine) ; puis sur le web en 1996 et sous le nom de ZATAZ en 1998.
P. : L’actualité fait parler de toi, puisque l’on t’accuse en ce moment d’avoir aidé à dénoncer une faille informatique grave… tu peux nous expliquer rapidement ? Que risques-tu ?
D.B. : Septembre 2008, je suis alerté par un lecteur. Ce dernier, via un moteur de recherche, découvre d’étrange documents via les liens proposés par ce moteur. Je verifie et découvre que les documents sont référencés à partir d’un FTP ouvert, libre d’accès. J’alerte l’entreprise. Elle corrige et me remercie par courriel. Trois mois plus tard, elle me met devant la justice. Au civil pour faire retirer l’article et en Correctionnel pour « diffamation ». Au civil, j’ai eu ordre de retirer l’article après avoir perdu mon appel en septembre 09. L’article n’étant plus en ligne depuis décembre 2008 je dois rembourser les frais d’avocats de la partie adverse. Pour le pénal, le juge a suivi la demande du Ministère public (Procureur) qui demandait la relaxe. L’entreprise a fait appel de la décision.
P. : Comment expliques-tu cette tourmente ?
D.B. : Je pense que le patron de cette entreprise n’a pas été informé correctement sur le sujet. Il a fait son travail, protéger son entreprise. Après, il est très simple de sortir l’argent, les avocats, les experts.
P. : Tu animes l’excellent site d’information multimédia zataz.com, avec un très fort accent mis sur la sécurité informatique. Selon toi, à quel point les systèmes d’information sont-ils un risque pour chacun ?
D.B. : Je ne suis pas un informaticien, ni un expert en sécurité informatique mais le témoin de faits sur la toile. Et ce témoin est de plus en plus inquiet à la vue de ce que les entreprises laissent trainer sur l’Internet. Les jeux concours, les fiches que l’ont rempli, les contrats que l’on passe sont quasiment tous automatisés. La moindre erreur est fatale.
P. : Quel est pour toi le plus gros danger pour un internaute lambda aujourd’hui ?
D.B. : De cliquer sur un lien et de se retrouver face à des informations sensibles. Il peut prier pour que l’administrateur ne hurle pas, ensuite, au piratage. Il sera très difficile pour l’internaute de prouver le contraire. Autre cas à prendre au sérieux : contrôlez TOUTES les informations privées que vous diffusez sur la toile.
P. : A part les informations bancaires, y a-t-il vraiment un risque induit à se faire voler des informations personnelles ?
D.B. : Un cas concret. La semaine dernière, un internaute m’alerte d’une fuite de données à partir du site d’un jeu mis en place par un important assureur. Les données, les identités, les adresses, téléphones, adresses emails des joueurs. Il suffit à un pirate d’intercepter les informations pour se faire passer pour l’assureur. Les internautes seront en confiance. Seules, l’entreprise et eux sont censés avoir ces informations. Le pirate pourrait proposer une assurance habitation, par exemple, pour 20 euros pour l’année et diriger ses victimes vers un faux site. On n’imagine pas la capacité de nuisance que peuvent avoir les escrocs du web.
P. : As-tu des anecdotes de piratages particulièrement éloquentes ?
D.B. : En juin dernier, un môme m’annonce avoir trouvé un lien étonnant chez un important FAI américain. En cliquant sur l’URL, il suffisait de changer le chiffre contenu dans ce dernier pour connaître l’ensemble des secrets des clients. Ici, ce n’est pas du piratage, juste une erreur de programmation qui se retrouve accessible au commun des mortels.
P. : Si tu avais 3 articles de zataz à mettre en avant à des férus de sécurité personnelle, lesquels seraient-ils ?
D.B. : Sacré question ça ! Avec plusieurs dizaines de milliers d’actualiés…
http://www.zataz.com/rfi-honey-net/
… qui permet de suivre les attaques en cours à l’encontre de zataz et de serveurs honey pot (pot de miel), cela donne une petite idée de qui fait quoi, de quel lieu et comment.
http://www.zataz.com/alerte-virus/19313/protocole–alerte–zataz.html
… le protocole d’alerte
http://www.zataz.com/haided/
… qui permet de suivre les alertes en cours
et j’espère le prochain !
P. : Nos informations personnelles sont stockées dans des dizaines de systèmes informatiques (administration, banque, assurance, sécurité sociale, EDF, service telecom, abonnements mobile, TV, etc.), chacun accessible par des dizaines d’acteurs différents (employés de ces entreprises pour le besoin de service associé, mais aussi par les prestataires travaillant pour ces entreprise & par beaucoup de membre de la DSI de ces entreprises) ; comment est-il possible de sécuriser cela ?!
D.B. : Très honnêtement, j’en ai aucune idée !
P. : Les administrateurs de grosses bases de données stockant des informations personnelles ne sont-ils pas finalement les personnes les plus potentiellement dangereuses en termes de risques informatiques ? (vu leur facilité à extraire & revendre les données de manière intraçable)
D.B. : Il est clair que celui qui a en main la possibilité de lire l’information est celui qui maitrise cette dernière. Maintenant, des protocoles, des lois et des règles internes doivent pouvoir mettre quelques protections.
P. : Pour finir, si tu avais un conseil à prodiguer à des non-informaticiens soucieux à la fois de leur sécurité personnelle & de la confidentialité de leurs informations personnelles, pour qu’ils puissent être serein (du point de vue sécurité) sur un ordinateur, quel serait-il ?
D.B. : Que la boite en métal qu’ils ont devant eux, n’est pas qu’une boite en métal justement. Aujourd’hui, l’ordinateur sait presque plus de chose que sa propre famille. Courriels, informations confidentielles, photographies, surfs, … Bref, je n’ai jamais vue quelqu’un jeter son carnet intime, son porte-feuille dans la rue en se disant « je le place ici, je le reprendrais plus tard »… alors pourquoi ne pas faire pareil sur le web ! Dernier point, un HACKER n’est pas un pirate(*) !
Merci Damien !
(*) NDLR : Pour Damien, le hacker est celui qui va aider, permettre à la communauté des utilisateurs d’avancer, de se protéger, de réfléchir avec les nouvelles technologies. Il peut aussi bien permettre la mise en avant d’une faille, sa correction, dénoncer des problèmes de liberté, etc. Le pirate, lui, vole, détruit, …
Aujourd’hui 28 janvier 2009, c’est le Data Privacy Day, la journée de la protection des données !
Pour illustrer la journée, un petit exemple bien parlant qui rappelle que le stockage des données sur un ordinateur, un PDA, un lecteur MP3… permet certes une sauvegarde (donc de limiter les risques de perte des données) mais que si cette sauvegarde n’est pas protégée, elle est vulnérable. Un autre article intéressant ici.
Les solutions pour pallier à cela (cryptage, protections par mot de passe, formatage à 0…) sont bien entendu abordés dans PROTEGOR !
Merci à Sylvain W. pour les liens !
Ceux qui ont voyagé à Londres n’ont pas pu louper les panneaux « CCTV is watching you! »… rien à voir avec la chaîne de télévision chinoise, CCTV c’est « Closed Circuit TeleVision » i.e. en français la vidéosurveillance.
Londres est sûrement la ville où la vidéosurveillance est la plus développée. On y compte plusieurs centaines de milliers de caméras (certains disent 400 000) qui surveillent lieux publics (rues, carrefours, centres commerciaux, etc.) & lieux privés (portes d’entrée, magasins, parties communes des résidences, etc.).
Paris & les grandes villes françaises sont en train de prendre un chemin similaire de développement fort des circuits de vidéosurveillance, cela permettant une protection supplémentaire pour les citoyens (dissuasions, déclencement prompt d’interventions, enquêtes policières a posteriori, etc.). Cependant, le revers de la médaille réside dans la protection de la vie privée… le problème venant de l’exploitation détournée qui pourrait être faite des caméras (enquêtes sur des personnes pour un compte privé, prises d’images compromettantes pour chantage, aide à la préparation de mauvais coups, etc.), l’exploitation des réseaux de caméras & le stockage des données nécessitant de nombreux intervenants/employés infiltrables.
A noter, qu’en France, la CNIL exige que le lieux utilisant une caméra de surveillance mentionne ostensiblement cette présence (pancarte). Pour aller plus loin, il existe un blog dédiée à la vidéosurveillance.
PS : un article amusant essayant de mesurer combien il y a des caméras à Paris…
Une news du jour à lire absolument, qui devrait avoir un effet buzz anti-Facebook… le grand public va peut-être enfin être sensibilisé sur les dangers des Facebook & autres réseaux sociaux, lorsque mal utilisés.
Conseil déjà donné plusieurs fois dans PROTEGOR et sur ce blog : testez vos « traces » sur google, en vous »auto-googlisant » (testez votre prénom-nom, votre email, etc. et visitez les pages qui remontent… toutes les infos sur ces pages sont publiques & facilement rapprochables de votre personne).
UPDATE : lire l’histoire de Marc L.
Avec la croissance très forte de l’usage internet (qui talonne et bientôt dépassera la TV en nombre d’heures de consommation journalière), et finalement des internautes de plus en plus novices sur les nouvelles technologies & leur fonctionnement, les escroqueries internet sont en pleine recrudescence.
La Direction des Développement des Médias a lancé il y a déjà plusieurs mois un site pour « surfez intelligent »… comprenez « en respectant quelques règles minimales de sécurité personnelle informatique ».
Les recommandations sont basiques et s’adressent aux débutants (moins d’infos & de règles que dans Protegor 
), mais si vous n’êtes pas à l’aise avec le contrôle de votre sécurité sur votre ordinateur, c’est par là qu’il faut commencer : www.ddm.gouv.fr/surfezintelligent.
Pour ceux qui se sentent un peu à l’aise, tentez tout de même le QUIZZ !
En France, nous avons l’énorme chance d’avoir la CNIL.
La Commission Nationale Informatique & Libertés veille, tant que faire se peut, à la protection de nos données personnelles… elle surveille surtout que les entreprises & organismes qui établissent des bases de données contenant des informations relatives à des personnes appliquent certaines règles de sécurité & autorisent les dites-personnes à modifier ou effacer les données les concernant.
La CNIL vient de reprocher à la RATP certaines irrégularités portant sur la « protection des données personnelles » du passe Navigo, ainsi que la non mise en avant du passe Découverte qui contrairement au passe Navigo ne recquiert pas à l’abonné de laisser son nom, adresse & photo à la RATP.
Alors que la bonne vieille carte orange des parisiens s’éteint à la fin du mois, et que cela fait plus d’un an que la RATP harcèle ses usagers pour passer au système Navigo, il est toutefois un peu tard pour officiellement enjoindre la RATP a promouvoir leur solution anonyme.
Notre conseil : optez pour le Passe Découverte
(il faut le demander, il est normalement disponible dans n’importe quel guichet RATP).
« Mais pourquoi prendre un Passe Découverte, ça coûte 5€ de plus & il n’y a pas d’assurance perte/vol ?! Moi, je m’en fous que la RATP enregistre mes déplacements pour leurs études marketing !
– Parce que même si les bases dites marketing sont souvent à l’origine créées dans un objectif exclusivement statistique, afin de mieux connaître ses clients/usagers et ce, dans le but très honorable de pouvoir leur proposer de meilleurs produits/services, cet usage peut-être détourné… par l’entreprise en question suite à l’arrivée d’un décideur peu scrupuleux, par l’état le jour où la démocracie sera en danger, ou tout simplement par les administrateurs système de l’entreprise ; ces employés aux rémunérations modestes ont accès à toutes les données, peuvent faire les recoupements qu’ils veulent et sont rarement surveillés (ce sont eux qui maîtrisent le système d’information !). En matière de données personnelles, la plus grande protection est de ne pas créer les données !«
Internet est un piège à informations. Il est très facile d’y laisser des traces personnelles indélébiles & visibles par des tiers. Les grands pièges sont Facebook (qui regroupe énormément d’informations sur vous & où tout le monde mentionne son vrai nom !!!), les autres sites de profils & les forums.
Pour voir si vous avez commis des imprudences, mettez-vous dans la peau de quelqu’un qui veut trouver des informations personnelles sur vous… et pour commencer, un site récent cherche pour vous : www.123people.fr ; tapez-y votre nom d’abord, puis essayez avec votre email & observez les résultats, voyez quels sites détiennent des infos sur vous (et agissez si besoin).
Une fois ce test effectué, testez aussi votre nom, vos emails, vos pseudos favoris & votre téléphone sur Google, celà est très révélateur de votre visibilité sur le net.
