protection des données - PROTEGOR® guide & blog de sécurité personnelle, self-défense & survie urbaine

Articles taggés avec protection des données

Damien BANCAL, le gardien de la toile

Posté le 25 septembre 2009 | 2 réponses

PROTEGOR : Damien, peux-tu te présenter aux internautes qui ne te connaîtraient pas ?
Damien Bancal : J’ai une grosse trentaine d’année, marié, deux enfants, journaliste. J’ai cofondé ZATAZ.COM un site dédié à l’actualité liée à la problématique de la cyber criminalité sur Internet. J’ai commencé à écrire sur le sujet en 1989 (sous forme de fanzine) ; puis sur le web en 1996 et sous le nom de ZATAZ en 1998.

P. : L’actualité fait parler de toi, puisque l’on t’accuse en ce moment d’avoir aidé à dénoncer une faille informatique grave… tu peux nous expliquer rapidement ? Que risques-tu ?
D.B. : Septembre 2008, je suis alerté par un lecteur. Ce dernier, via un moteur de recherche, découvre d’étrange documents via les liens proposés par ce moteur. Je verifie et découvre que les documents sont référencés à partir d’un FTP ouvert, libre d’accès. J’alerte l’entreprise. Elle corrige et me remercie par courriel. Trois mois plus tard, elle me met devant la justice. Au civil pour faire retirer l’article et en Correctionnel pour « diffamation ». Au civil, j’ai eu ordre de retirer l’article après avoir perdu mon appel en septembre 09. L’article n’étant plus en ligne depuis décembre 2008 je dois rembourser les frais d’avocats de la partie adverse. Pour le pénal, le juge a suivi la demande du Ministère public (Procureur) qui demandait la relaxe. L’entreprise a fait appel de la décision.

P. : Comment expliques-tu cette tourmente ?
D.B. : Je pense que le patron de cette entreprise n’a pas été informé correctement sur le sujet. Il a fait son travail, protéger son entreprise. Après, il est très simple de sortir l’argent, les avocats, les experts.

P. : Tu animes l’excellent site d’information multimédia zataz.com, avec un très fort accent mis sur la sécurité informatique. Selon toi, à quel point les systèmes d’information sont-ils un risque pour chacun ?
D.B. : Je ne suis pas un informaticien, ni un expert en sécurité informatique mais le témoin de faits sur la toile. Et ce témoin est de plus en plus inquiet à la vue de ce que les entreprises laissent trainer sur l’Internet. Les jeux concours, les fiches que l’ont rempli, les contrats que l’on passe sont quasiment tous automatisés. La moindre erreur est fatale.

P. : Quel est pour toi le plus gros danger pour un internaute lambda aujourd’hui ?
D.B. : De cliquer sur un lien et de se retrouver face à des informations sensibles. Il peut prier pour que l’administrateur ne hurle pas, ensuite, au piratage. Il sera très difficile pour l’internaute de prouver le contraire. Autre cas à prendre au sérieux : contrôlez TOUTES les informations privées que vous diffusez sur la toile.

P. : A part les informations bancaires, y a-t-il vraiment un risque induit à se faire voler des informations personnelles ?
D.B. : Un cas concret. La semaine dernière, un internaute m’alerte d’une fuite de données à partir du site d’un jeu mis en place par un important assureur. Les données, les identités, les adresses, téléphones, adresses emails des joueurs. Il suffit à un pirate d’intercepter les informations pour se faire passer pour l’assureur. Les internautes seront en confiance. Seules, l’entreprise et eux sont censés avoir ces informations. Le pirate pourrait proposer une assurance habitation, par exemple, pour 20 euros pour l’année et diriger ses victimes vers un faux site. On n’imagine pas la capacité de nuisance que peuvent avoir les escrocs du web.

P. : As-tu des anecdotes de piratages particulièrement éloquentes ?
D.B. : En juin dernier, un môme m’annonce avoir trouvé un lien étonnant chez un important FAI américain. En cliquant sur l’URL, il suffisait de changer le chiffre contenu dans ce dernier pour connaître l’ensemble des secrets des clients. Ici, ce n’est pas du piratage, juste une erreur de programmation qui se retrouve accessible au commun des mortels.

P. : Si tu avais 3 articles de zataz à mettre en avant à des férus de sécurité personnelle, lesquels seraient-ils ?
D.B. : Sacré question ça ! Avec plusieurs dizaines de milliers d’actualiés…

http://www.zataz.com/rfi-honey-net/
… qui permet de suivre les attaques en cours à l’encontre de zataz et de serveurs honey pot (pot de miel), cela donne une petite idée de qui fait quoi, de quel lieu et comment.

http://www.zataz.com/alerte-virus/19313/protocole–alerte–zataz.html
… le protocole d’alerte

http://www.zataz.com/haided/
… qui permet de suivre les alertes en cours

et j’espère le prochain !

P. : Nos informations personnelles sont stockées dans des dizaines de systèmes informatiques (administration, banque, assurance, sécurité sociale, EDF, service telecom, abonnements mobile, TV, etc.), chacun accessible par des dizaines d’acteurs différents (employés de ces entreprises pour le besoin de service associé, mais aussi par les prestataires travaillant pour ces entreprise & par beaucoup de membre de la DSI de ces entreprises) ; comment est-il possible de sécuriser cela ?!
D.B. : Très honnêtement, j’en ai aucune idée !

P. : Les administrateurs de grosses bases de données stockant des informations personnelles ne sont-ils pas finalement les personnes les plus potentiellement dangereuses en termes de risques informatiques ? (vu leur facilité à extraire & revendre les données de manière intraçable)
D.B. : Il est clair que celui qui a en main la possibilité de lire l’information est celui qui maitrise cette dernière. Maintenant, des protocoles, des lois et des règles internes doivent pouvoir mettre quelques protections.

P. : Pour finir, si tu avais un conseil à prodiguer à des non-informaticiens soucieux à la fois de leur sécurité personnelle & de la confidentialité de leurs informations personnelles, pour qu’ils puissent être serein (du point de vue sécurité) sur un ordinateur, quel serait-il ?
D.B. : Que la boite en métal qu’ils ont devant eux, n’est pas qu’une boite en métal justement. Aujourd’hui, l’ordinateur sait presque plus de chose que sa propre famille. Courriels, informations confidentielles, photographies, surfs, … Bref, je n’ai jamais vue quelqu’un jeter son carnet intime, son porte-feuille dans la rue en se disant « je le place ici, je le reprendrais plus tard »… alors pourquoi ne pas faire pareil sur le web ! Dernier point, un HACKER n’est pas un pirate(*) !

Merci Damien !

(*) NDLR : Pour Damien, le hacker est celui qui va aider, permettre à la communauté des utilisateurs d’avancer, de se protéger, de réfléchir avec les nouvelles technologies. Il peut aussi bien permettre la mise en avant d’une faille, sa correction, dénoncer des problèmes de liberté, etc. Le pirate, lui, vole, détruit, …

Sécurité PersonnelleSécurité des informations

Sécurisez votre WIFI (Hadopi 2)

Posté le 23 septembre 2009 | une réponse

HADOPI2 vient d’être adoptée (voir la synthèse des impacts ici).

Un des volets de la loi concerne la sécurisation des accès à internet.
Si un tiers utilise votre accès, en particulier via un réseau Wifi que vous n’auriez pas sécurisé suffisamment, vous pouvez être accusé de « négligence caractérisée » voire de « complicité » (si le tiers en question utilise votre accès pour du piratage ou d’autres exactions sur le net).

Conclusion :
- Sécurisez absolument votre wifi (idéalement avec un cryptage « WPA (TKIP + AES) » et un mot de passe long & complexe, comme expliqué dans PROTEGOR)
- Faites attention à qui vous prêtez votre accès wifi (si c’est ponctuellement pour un voisin par exemple, changez le mot de passe en cours, donnez-lui le nouveau de mot de passe que vous changerez dès qu’il aura fini l’utilisation)

Et si vous n’utilisez pas le wifi mais le CPL, faites attention à ce que personne ne se plug sur votre réseau électrique !

Sécurité PersonnelleConseils & astuces

Demandez à Gemalto

Posté le 30 août 2009 | pas de réponses

Le leader de la puce électronique, GEMALTO, a lancé un site de « conseils pratiques pour votre vie numérique » qui a déjà reçu plus d’1 million de visites depuis son lancement.

Site interactifs avec actualités, dossiers spéciaux… on y retrouve surtout toute une série d’astuces pratiques qui vont sûrement plaire à beaucoup d’entre nous.

Petit avant-goût :

- Mon passeport a été volé (ou perdu) à l’étranger, qui dois-je contacter en premier ?
- Quelles informations contient mon Passe Navigo ?
- Pourquoi utilise-t-on un code pour payer en France et en Europe avec sa carte de crédit et pas dans certains pays ?
- Quelles sont les différences entre le passeport biométrique, le passeport électronique et le passeport optique ?
- Peut-on me localiser à tout moment par la puce contenue dans mon passeport biométrique ?
- Comment récupérer et sauvegarder les contacts du répertoire d’un mobile ou d’un smartphone, quand le précédent a été volé ?
- Est-ce que l’IMEI de mon mobile peut servir d’anti-vol ?
- Peut-on pirater ma carte SIM ?
- Ma banque utilise-t-elle une authentification à 2 facteurs ?
- Existe-t-il des solutions pour stocker mes mots de passe et mes identifiants personnels ?
- Qu’est ce qu’une double attaque diabolique ?
- Comment fonctionne l’escroquerie «nigériane» par e-mail ?
- Quelles sont les techniques employées pour une attaque de type «man in the middle» ?
- Qui peut avoir accès aux informations contenues dans la puce de ma carte Vitale ?
- Ma carte Vitale est-elle suffisamment sécurisée ?

Sécurité PersonnelleSécurité des informations

Escroquerie sur internet

Posté le 25 février 2009 | pas de réponses

Internet est un espace de liberté qui permet aussi aux escrocs d’exprimer leur créativité.
Dans PROTEGOR nous traitons des grandes typologies d’escroqueries (phishing, pharming, scam, etc.), donnons des pistes pour trouver l’origine de l’escroquerie (e.g. analyse de l’entête email) et recommandons différentes formes de plaintes. Il faut désormais ajouter un site du gouvernement dédié au signalement des escroqueries internet : www.internet-signalement.gouv.fr.

Update : 7000 délits en 45 jours…

Sécurité PersonnelleSécurité des informations

CNIL & Navigo

Posté le 10 janvier 2009 | pas de réponses

no-navigo En France, nous avons l’énorme chance d’avoir la CNIL.
La Commission Nationale Informatique & Libertés veille, tant que faire se peut, à la protection de nos données personnelles… elle surveille surtout que les entreprises & organismes qui établissent des bases de données contenant des informations relatives à des personnes appliquent certaines règles de sécurité & autorisent les dites-personnes à modifier ou effacer les données les concernant.

La CNIL vient de reprocher à la RATP certaines irrégularités portant sur la « protection des données personnelles » du passe Navigo, ainsi que la non mise en avant du passe Découverte qui contrairement au passe Navigo ne recquiert pas à l’abonné de laisser son nom, adresse & photo à la RATP.

Alors que la bonne vieille carte orange des parisiens s’éteint à la fin du mois, et que cela fait plus d’un an que la RATP harcèle ses usagers pour passer au système Navigo, il est toutefois un peu tard pour officiellement enjoindre la RATP a promouvoir leur solution anonyme.

Notre conseil : optez pour le Passe Découverte
(il faut le demander, il est normalement disponible dans n’importe quel guichet RATP).

« Mais pourquoi prendre un Passe Découverte, ça coûte 5€ de plus & il n’y a pas d’assurance perte/vol ?! Moi, je m’en fous que la RATP enregistre mes déplacements pour leurs études marketing !
– Parce que même si les bases dites marketing sont souvent à l’origine créées dans un objectif exclusivement statistique, afin de mieux connaître ses clients/usagers et ce, dans le but très honorable de pouvoir leur proposer de meilleurs produits/services, cet usage peut-être détourné… par l’entreprise en question suite à l’arrivée d’un décideur peu scrupuleux, par l’état le jour où la démocracie sera en danger, ou tout simplement par les administrateurs système de l’entreprise ; ces employés aux rémunérations modestes ont accès à toutes les données, peuvent faire les recoupements qu’ils veulent et sont rarement surveillés (ce sont eux qui maîtrisent le système d’information !). En matière de données personnelles, la plus grande protection est de ne pas créer les données !«

Sécurité PersonnelleSécurité des informations

Contrôle de vos informations personnelles

Posté le 5 décembre 2008 | 2 réponses

Internet est un piège à informations. Il est très facile d’y laisser des traces personnelles indélébiles & visibles par des tiers. Les grands pièges sont Facebook (qui regroupe énormément d’informations sur vous & où tout le monde mentionne son vrai nom !!!), les autres sites de profils & les forums.

Pour voir si vous avez commis des imprudences, mettez-vous dans la peau de quelqu’un qui veut trouver des informations personnelles sur vous… et pour commencer, un site récent cherche pour vous : www.123people.fr ; tapez-y votre nom d’abord, puis essayez avec votre email & observez les résultats, voyez quels sites détiennent des infos sur vous (et agissez si besoin).

Une fois ce test effectué, testez aussi votre nom, vos emails, vos pseudos favoris & votre téléphone sur Google, celà est très révélateur de votre visibilité sur le net.

Page 4 sur 41 2 34

Altamir : Félicitations pour le travail que vous réalisez sur votre blog et merci. En ce qui concerne la self...
fredard : Tu préfére boire de suite de l’eau contaminée????
Ben : Une caisse pareille en guise de BOC ça sent le dépouillage direct … Je me sentirai plus sécurisé dans un...
Jason : Bonjour Ofir , Je vous soutiens et vous félicite pour votre livre et votre system que je trouve excellent et...
Ben : Plus efficace indétectable et plus de moitié moins Cher le poing américain en plastique … Je prend même l...