Je me suis initié à la cybersécurité avec le MOOC de l’ANSSI.
Comme il date de 2017, j’ai estimé qu’il était un peu dépassé. Quand on finit le MOOC, on peut soumettre un commentaire. Voici ce que j’ai écrit le 29 août 2020 :
«Je trouve que ce MOOC est déjà obsolète, datant de 2018. Il traite à peine de la loi RGPD et pas du tout des diverses adaptations qu’en ont faites les hackers et autres fourbes du darknet (par exemple, la plupart des spams que je reçois ont tous une adresse cryptée). Même s’il est accessible jusqu’en avril 2021, je ne l’estime plus crédible aujourd’hui, à l’été 2020, pour former de manière suffisante les utilisateurs, notamment concernant les ordiphones. Une autre critique concerne l’apparente communication étatique qui se veut rassurante. Je trouve que le monde de la cybermalveillance est beaucoup plus puissant que le MOOC ne le présente, tout simplement parce que les puissances de l’argent semblent aujourd’hui travailler « main dans la main » avec cette clique. La monnaie du monde est devenue l’information, car le monde est en guerre économique flagrante et permanente et que la « puissance de feu cybercriminelle » peut tout se permettre !
Un troisième et dernier reproche concerne l’absence de notions financières. Il est stipulé de tenir son matériel et ses logiciels à jour. Mais cela à un coût non négligeable. Je n’ai pas les moyens de renouveler mon vieux PC qui tourne sous Windows7 et de plus j’ai totalement perdu confiance dans l’honnêteté des évolutions fonctionnelles des produits de Microsoft (et de ses concurrents aussi). J’estime que nous sommes en permanence spoliés de nos données et pratiques du web. Il m’arrive, quand il me semble que mon PC est piraté (par exemple quand je lui demande de s’éteindre et qu’il prend 15 minutes pour le faire…) de carrément débrancher la connexion internet. Et je me méfie comme la peste du wifi et du bluetooth que j’ai systématiquement désactivés.
Je suis un ancien informaticien, j’ai connu le DOS et winword et multiplan sans la souris. En quarante ans, les évolutions sont démentes. En relisant l’intitulé du MOOC, je lis qu’effectivement il traite d’initiation. OK mais alors il y a une petite incompatibilité avec le titre principal qui dit « SE FORMER » ; il devrait dire « S’INITIER ». J’étais informaticien en 1995 au sein de la société KTT qui avait développé et commercialisé un boitier «surfax» de sécurisation des lignes pour les fax et photocopieurs. Le logiciel était le premier au monde à crypter sur 64 bits et son programme de cryptage avait dû être cédé et dévoilé aux renseignements généraux avant d’obtenir l’autorisation de mise sur le marché. Pourquoi ne pas dire que la police et les renseignements militaires sont censés avoir tous les outils pour nous ausculter sous toutes les coutures ?»
Et en reprenant le travail le premier septembre, j’ai lu une newsletter professionnelle qui contient en partie des informations sur l’actualité de la cybersécurité. Elle date de lundi 31 août :
« Actualités de la protection des données
Transfert de données personnelles
Transfert de données personnelles entre les États-Unis et l’Europe | latribune.fr
Le transfert de données personnelles entre les États-Unis et l’Europe illégal : on fait quoi ?
OPINION. La Cour de justice de l’Union européenne vient d’annuler les transferts de données personnelles vers les États-Unis, qu’elle juge insuffisamment encadrés. Cette décision oblige les entreprises à revoir au plus vite leurs pratiques en attendant un nouvel accord. Par Charles Cuvelliez, de l’université de Bruxelles, et de Jean-Jacques Quisquater, de l’université de Louvain.
https://www.latribune.fr/opinions/tribunes/le-transfert-de-donnees-personnelles-entre-les-etats-unis-et-l-europe-illegal-on-fait-quoi-855077.html
Des sociétés belges attaquées pour transfert illégal de données | lecho.be
Un juriste autrichien porte plainte contre 101 entreprises européennes, dont de grandes sociétés belges. Il les accuse de transférer des données personnelles vers les Etats-Unis.
https://www.lecho.be/entreprises/technologie/des-societes-belges-attaquees-pour-transfert-illegal-de-donnees/10246220.html
Transferts de données aux Etats-Unis : 101 entreprises européennes visées par des recours | lemonde https://www.lemonde.fr/pixels/article/2020/08/18/transferts-de-donnees-aux-etats-unis-101-entreprises-europeennes-visees-par-des-recours_6049263_4408996.html
Invalidation du « Privacy shield » : les premières questions-réponses du CEPD | cnil
Suite à l’arrêt de la Cour de justice de l’Union européenne invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd
CNIL
Sécurité des données : alerte sur la nécessaire mise à jour du logiciel « Pulse Secure » | cnil
La CNIL a été informée de l’existence d'une violation de données concernant plusieurs versions non mises à jour des produits « Pulse Secure », utilisés par un grand nombre d'organismes pour sécuriser les connexions au réseau de leurs employés. Elle alerte sur la nécessité de procéder à la mise à jour de ces outils.
http://www.cnil.fr/fr/securite-des-donnees-alerte-sur-la-necessaire-mise-jour-du-logiciel-pulse-secure
Les données personnelles dans le secteur social : les grandes notions | cnil.fr
Les notions clés pour aider les professionnels du secteur social et médico-social à comprendre les enjeux de la protection des données personnelles dans leur secteur d’activité.
https://www.cnil.fr/fr/les-donnees-personnelles-dans-le-secteur-social-les-grandes-notions
La Cnil bannit les "badgeuses photo" au travail | sudouest.fr
La Cnil avait été saisie en 2018 par "six plaintes émanant d’agents publics et de salariés d’entreprises dénonçant la mise en place par leur employeur de badgeuses photo sur leur lieu de travail"
https://www.sudouest.fr/2020/08/27/la-cnil-bannit-les-badgeuses-photo-au-travail-7780449-4688.php
https://www.cnil.fr/fr/badgeuses-photo-mise-en-demeure-de-plusieurs-employeurs-pour-collecte-excessive-de-donnees
Verbalisation par lecture automatisée des plaques d’immatriculation (LAPI) : la CNIL met en garde contre les mauvaises pratiques | cnil.fr
La CNIL rappelle qu’en l’état actuel de la règlementation, il est interdit pour les communes de recourir à des dispositifs de verbalisation automatisée reposant sur la photographie du véhicule et de sa plaque d’immatriculation pour la recherche et la constatation d’infractions. Des mises en demeure ont été adressées à quatre communes en raison d’une telle utilisation de ces dispositifs.
http://www.cnil.fr/fr/verbalisation-par-lecture-automatisee-des-plaques-dimmatriculation-lapi-la-cnil-met-en-garde
https://www.lagazettedescommunes.com/692630/lecture-automatique-des-plaques-dimmatriculation-la-cnil-epingle-plusieurs-communes/
La CNIL publie trois référentiels pour le secteur de la santé | cnil.fr
Les nouveaux référentiels adoptés par la CNIL ont pour objectif d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux et dans le choix de durées de conservation.
http://www.cnil.fr/fr/la-cnil-publie-trois-referentiels-pour-le-secteur-de-la-sante
La CNIL met à jour le référentiel sur les conditions de mise à disposition de l’échantillon généraliste des bénéficiaires (EGB) | cnil.fr
Cette actualisation fait suite à l’entrée en application de la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé (OTSS) et porte principalement sur la procédure d’évaluation de la finalité d’intérêt public du traitement.
http://www.cnil.fr/fr/la-cnil-met-jour-le-referentiel-sur-les-conditions-de-mise-disposition-de-lechantillon-generaliste
Codes de conduite : publication du référentiel d’agrément des organismes de contrôle | cnil.fr
http://www.cnil.fr/fr/codes-de-conduite-publication-du-referentiel-dagrement-des-organismes-de-controle
Marie-Laure DENIS (CNIL) - économie et gouvernance de la donnée | lecese.fr
Questions à Mme Marie-Laure DENIS, Présidente de la Cnil, auditionnée par la section des activités économiques du CESE dans le cadre de la saisine intitulée : "Économie et gouvernance de la donnée".
https://www.lecese.fr/content/marie-laure-denis-cnil-economie-et-gouvernance-de-la-donnee
Marché de données à caractère personnel
L'UE s'apprête à lancer un marché de données à caractère personnel au sein duquel les citoyens seront payés pour partager dans le cadre d'un changement radical de stratégie de gouvernance | developpez.com
Pendant des décennies, l'UE a codifié les protections des données personnelles et s'est battue contre ce qu'elle considérait comme une exploitation commerciale des informations privées, positionnant ainsi ses réglementations en modèle par rapport aux politiques de protection de la vie privée des États-Unis. La donne pourrait changer avec la nouvelle stratégie européenne de gouvernance des données issue de la Commission de l’UE. Au travers de cette dernière, l’Europe se positionne en acteur pour faciliter l’utilisation et la monétisation des données personnelles de ses citoyens.
https://www.developpez.com/actu/308027/L-UE-s-apprete-a-lancer-un-marche-de-donnees-a-caractere-personnel-au-sein-duquel-les-citoyens-seront-payes-pour-partager-dans-le-cadre-d-un-changement-radical-de-strategie-de-gouvernance/
Reconnaissance faciale
Haro de la Quadrature du Net contre la reconnaissance faciale | affiches-parisiennes.com
https://www.affiches-parisiennes.com/haro-de-la-quadrature-du-net-contre-la-reconnaissance-faciale-10802.html
Recours devant le Conseil d’Etat contre les dispositions du code de procédure pénale qui autorisent la police à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ
https://www.laquadrature.net/2020/08/07/nous-attaquons-la-reconnaissance-faciale-dans-le-taj/
Une technologie controversée de reconnaissance faciale bientôt utilisée par la Sécurité intérieure des États-Unis | sciencepost.fr
La start-up Clearview AI n’a décidément pas fini de faire parler d’elle. Dernièrement, celle-ci a scellé un partenariat avec la Sécurité Intérieure des États-Unis. L’objectif ? Permettre au service de contrôle des frontières d’accéder à cette technologie controversée.
https://sciencepost.fr/une-technologie-controversee-de-reconnaissance-faciale-bientot-utilisee-par-la-securite-interieure-des-etats-unis/
L'utilisation de la reconnaissance faciale par les forces de l'ordre britannique jugée illégale | usine-digitale.fr
Au Royaume-Uni, une Cour d'Appel vient de condamner l'usage qui a été fait par les forces de l'ordre d'une technologie de reconnaissance faciale. Mais cet arrêt est plus mitigé qu'il n'y paraît, et sanctionne avant tout l'absence de garde-fous et de contrôle autour de l'usage de cette technologie.
https://www.usine-digitale.fr/article/l-utilisation-de-la-reconnaissance-faciale-par-les-forces-de-l-ordre-britannique-jugee-illegale.N993569
Pourquoi la justice a condamné l'usage de la reconnaissance faciale par la police galloise
https://www.nextinpact.com/article/43367/pourquoi-justice-a-condamne-usage-reconnaissance-faciale-par-police-galloise
Ciblage publicitaire
Comment des pages Facebook utilisent des données volées pour le ciblage publicitaire | siecledigital.fr
Il y a sur internet des publicités qui retiennent notre attention plus que d’autres. Certaines nous divertissent, nous transportent parfois, et d’autres nous inquiètent. Sur Facebook notamment, nous avons identifié un réseau de pages diffusant des publicités qui ciblent des utilisateurs par leur nom de famille à partir de données vraisemblablement dérobées. Critère pourtant régulé depuis 2014, et malgré les mesures mises en place par Facebook, comment une telle publicité peut-elle arriver jusque dans votre fil d’actualité ?!
https://siecledigital.fr/2020/07/28/comment-des-pages-facebook-utilisent-des-donnees-volees-pour-le-ciblage-publicitaire/
Collecte de données
Les données personnelles à nouveau au centre des tensions entre Apple et Facebook | capital.fr
Le géant des réseaux sociaux accuse celui de l'électronique high-tech de faire perdre des revenus aux PME qui éditent des applications.
https://www.capital.fr/entreprises-marches/les-donnees-personnelles-a-nouveau-au-centre-des-tensions-entre-apple-et-facebook-1378839
Transparence
Un tribunal US contraint The Weather Channel à plus de transparence sur les données personnelles | presse-citron.net
L’éditeur de l’application mobile The Weather Channel devra modifier la manière dont il informe les utilisateurs de ses pratiques de localisation et de vente de données personnelles.
https://www.presse-citron.net/lapplication-the-weather-channel-contrainte-a-plus-de-transparence-sur-les-donnees-personnelles-par-un-tribunal-americain/
Intelligence artificielle - Protection des données
Intelligence artificielle : avis du CEPD sur le Livre blanc de la Commission | dalloz-actualite.fr
Le contrôleur européen de la protection des données livre son point de vue sur le Livre blanc relatif à l’intelligence artificielle présenté par la Commission.
https://t.co/lIPAzaQ1hX
Données de santé
Le coronavirus menace-t-il nos données de santé ?/ Industrie pétrolière : les derniers feux ? | franceculture.fr
On les qualifie de “pétrole du XXIe siècle” : ce sont les données de santé… Et nul besoin de forer en haute mer pour les trouver, les données de santé sont partout. Des chiffres, des textes et des images… informations disparates de plus en plus réunies en de gigantesques bases, auxquels les logiciels d’intelligence artificielle tentent de donner du sens pour mieux connaître, et in fine mieux soigner, les pathologies.
https://www.franceculture.fr/emissions/le-magazine-du-week-end/le-coronavirus-menace-t-il-nos-donnees-de-sante-industrie-petroliere-les-derniers-feux
Les données en SHS : quelle politique ? Bernard Stiegler | franceculture https://www.franceculture.fr/conferences/canal-u/les-donnees-en-shs-quelle-politique-bernard-stiegler
Cybersécurité
Les bases de données de navigation des Boeing 747 sont encore mises à jour avec des disquettes | usine-digitale.fr
Qui se souvient des disquettes ? Ce support de stockage vétuste, qui fut un temps très populaire, est toujours utilisé par les compagnies aériennes pour mettre à jour les données de navigation de leurs avions de ligne. Démonstration en vidéo avec la visite Boeing 747-400 par l'entreprise Pen Test Partners.
https://www.usine-digitale.fr/article/les-bases-de-donnees-de-navigation-des-boeing-747-sont-encore-mises-a-jour-avec-des-disquettes.N994214
Garmin aurait déboursé plusieurs millions de dollars pour mettre fin à un ransomware | usine-digitale.fr
Garmin a subit une panne informatique durant le mois de juillet causée par le ransomware WastedLocker. Afin de récupérer l'accès à ses systèmes informatiques, le spécialiste de la navigation par GPS aurait payé plusieurs millions de dollars au groupe criminel responsable.
https://www.usine-digitale.fr/article/garmin-aurait-debourse-plusieurs-millions-de-dollars-pour-mettre-fin-a-un-ransomware.N991824
La mairie de Mitry-Mory visée par une cyberattaque «massive et généralisée» | leparisien.fr
Les auteurs de cet acte malveillant réclamaient une rançon. La municipalité de Seine-et-Marne, qui a refusé de payer, a porté plainte, et assure qu’aucune donnée confidentielle d’habitants n’a été atteinte.
https://www.leparisien.fr/seine-et-marne-77/la-mairie-de-mitry-mory-visee-par-une-cyberattaque-massive-et-generalisee-29-07-2020-8360586.php
L’Allemagne lance son agence de cybersécurité | acteurspublics.fr
Le gouvernement de Berlin va créer une agence pour l’innovation dans le domaine de la cybersécurité. Lancée officiellement en octobre prochain, elle disposera d’un budget initial de 350 millions d’euros jusqu’en 2023.
https://www.acteurspublics.fr/articles/lallemagne-lance-son-agence-de-cybersecurite
Gestion de crise cyber : un nouveau guide pratique dédié aux PME et PMI | archimag.com
Selon la Confédération des petites et moyennes entreprises (CPME), 4 entreprises de moins de 50 salariés sur 10 ont été victimes d’une cyberattaque en 2019. Ne disposant pas des moyens des grands groupes, elles n’ont généralement pas la capacité de surmonter de telles attaques. Pour les aider à y faire face, une « Méthodologie de gestion de crise cyber » vient justement d’être partagée par l’Ecole de guerre économique (EGE).
https://www.archimag.com/univers-data/2020/08/27/gestion-crise-cyber-nouveau-guide-pratique-pme-pmi
La gestion de crise cyber pour une petite entreprise | Infoguerre
Des dizaines de PME et ETI subissent chaque année des attaques cyber. Le chiffre est en constante augmentation. Lors du Forum International sur la Cybersécurité qui s’est tenu à Lille en janvier 2020, le Directeur Général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), Guillaume Poupard a déclaré : « si toutes les TPE/PME françaises venaient à subir de vastes attaques informatiques sur une courte période de temps, cela pourrait engendrer un désastre économique ».
https://infoguerre.fr/2020/08/gestion-de-crise-cyber-petite-entreprise/
Sanctions
Données personnelles : Le site d’e-commerce Spartoo condamné à une amende de 250.000 euros | 20minutes.fr
RGPD Selon la Cnil, Spartoo n’a pas respecté ses obligations d’information des clients et employés, mais aussi de sécurisation, minimisation et durée de conservation des données
https://www.20minutes.fr/justice/2835539-20200806-donnees-personnelles-site-e-commerce-spartoo-condamne-amende-250000-euros
https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd
Twitter sous le coup d'une enquête pour utilisation abusive des données de ses utilisateurs | usine-digitale.fr
Twitter s'attend à devoir payer jusqu'à 250 millions de dollars pour régler un litige autour de l'utilisation abusive de données personnelles à des fins publicitaires. Le réseau social, qui a révélé lui-même l'enquête menée par la FTC, a déjà provisionné 150 millions de dollars dans ses comptes pour régler ce litige.
https://www.usine-digitale.fr/article/twitter-sous-le-coup-d-une-enquete-pour-utilisation-abusive-des-donnees-personnelles.N991709
Fuite de données
Les données de 235 millions de comptes Instagram, Tiktok et YouTube laissées sans protection | lesnumeriques.com
Une agence de conseil spécialisée dans les réseaux sociaux a laissé un fichier comprenant les données de 235 millions de comptes Instagram, TikTok et YouTube sans protection. L'accès aux serveurs a été coupé après une période d'exposition inconnue.
https://www.lesnumeriques.com/n153603
Vol de données
Lesfurets.com victime de vols répétés de données | argusdelassurance.com
Le comparateur d’assurances subit régulièrement des attaques en requêtes automatisées. Conscient de l’attractivité de ses données, le site internet espère créer de la valeur à l’aide de nouveaux services.
https://www.argusdelassurance.com/les-assureurs/un-comparateur-d-assurances-lutte-contre-le-vol-de-ses-donnees.168709
Surveillance
La CIA aurait acheté des données personnelles d’utilisateurs | 20minutes.fr
Selon le site américain Motherboard, les services secrets américains auraient mis la main sur des données de géolocalisation de smartphones. Ils auraient déboursé une certaine somme d’argent pour s’offrir ces informations récoltées par un courtier de données auprès d’applications populaires.
https://www.20minutes.fr/high-tech/2843471-20200821-les-services-secrets-americains-ont-achete-des-donnees-personnelles-d-utilisateurs
DPD/DPO
« Le métier de Délégué à la protection des données un an après » : premiers résultats de l’étude du ministère du Travail | globalsecuritymag.fr
Le ministère du Travail, via la délégation générale à l’emploi et à la formation professionnelle (DGEFP), a publié en juillet 2020, les premiers résultats de la nouvelle étude sur le métier de Délégué à la protection des données (DPD/DPO).
https://www.globalsecuritymag.fr/Le-metier-de-Delegue-a-la,20200824,102044.html »
PFFFFF c’est glaçant ! (photo imaginative de la vision de la réalité avec une image d’iceberg sur mon compte twitter).
Bruno