Powered By Blogger

Rechercher sur ce blogue

mardi 17 décembre 2019

Jouets connectés : la CNIL livre ses recommandations pour les sécuriser

Jouets connectés : la CNIL livre ses recommandations pour les sécuriser

source,:Alexandre Boero

 


IoT, Hackers, vol de donné, vol d'identité, WiFi, Bluetooth,
 
 

De nombreux parents succombent à la tentation d'offrir des jouets connectés à leurs enfants. Sauf que ces objets collectent souvent de nombreuses données, un détail auquel on ne pense pas forcément.

Alors que Noël approche et que le Père Noël s'active avec son armée de lutin, quelque part au Pôle Nord, la CNIL a décidé d'offrir un coup de main à la section « jouets connectés » en sensibilisant les parents sur les données collectées auprès des enfants, et en les guidant pour les sécuriser. Car bien qu'ils prennent une forme souvent anodine (console, robot, poupée, montre connectée...), les jouets connectés collectent des informations et les font transiter vers Internet grâce aux ondes radio comme le Wi-Fi ou le Bluetooth.



Le jouet connecté, un objet de tentation pour les cybercriminels

Méconnaître le jouet connecté ou mal l'utiliser, surtout lorsqu'il n'est pas sécurisé, peut conduire l'enfant et ses parents à subir des conséquences pouvant être fâcheuses. Les données collectées via l'objet peuvent en effet être utilisées à des fins commerciales, pour notamment procéder à du ciblage publicitaire. Bien plus grave, elles peuvent aussi être détournées par une personne malveillante, qui cherche à escroquer, harceler ou usurper l'identité d'un membre du foyer.


Le jouet connecté peut aussi s'avérer problématique au sein même de son propre lieu de vie. Certains jouets permettent aux parents « d'écouter » les interactions de leurs enfants avec ces derniers, grâce à des applications par exemple. Certes, cela permet de davantage protéger les jeunes utilisateurs et de contrôler les données stockées en ligne. Mais la pratique peut aussi nuire à la vie privée de l'enfant, qui voit, sans forcément le savoir, son jardin secret disparaître.


La CNIL mise sur la prudence, avant et après l'achat

Sur un plan purement sécuritaire, la CNIL propose, avant de donner le jouet connecté à l'enfant, de vérifier que celui-ci ne permette pas à n'importe qui de s'y connecter. Si le jouet dispose d'un mot de passe ou de tout autre moyen d'identification, mieux vaut le changer immédiatement après l'achat ou avant la première utilisation. Avant l'achat toujours, il est aussi très utile de se renseigner sur les caractéristiques du produit et ses interactions avec les autres appareils électroniques.

Les actions antérieures à l'utilisation sont primordiales, vous l'aurez compris. Si tant est que vous deviez procéder à une inscription en ligne pour utiliser le jouet ou bénéficier de certaines fonctionnalités, mieux vaut créer une adresse mail dédiée, avec un mot de passe sécurisé, que vous contrôlerez en utilisant des pseudonymes, plutôt que les prénom(s) et nom(s) de l'enfant.


Lorsque l'enfant n'utilise pas le jouet, il est préférable de l'éteindre afin de limiter les risques de collecte de données sauvage. Il est important aussi d'avoir accès aux données et de pouvoir les supprimer. Le partage automatique sur les réseaux sociaux doit enfin être désactivé.

Il est conseillé de s'informer avant même d'acheter le jouet connecté, en se méfiant par exemple des objets à trop bas coût, ou en jugeant de la transparence du fabricant (qui y est théoriquement obligé par la loi) sur les données collectées et leur hébergement.

REF.:

Une astuce pour planter les requins de Youtube



Une astuce pour planter les requins de Youtube

Aaaaaah Youtube… C’est vraiment un monde à part où se côtoient vidéastes bosseurs et requins du copyright. Vous le savez sans doute, quand un youtubeur intègre des extraits vidéos d’un film, d’un jeu, d’un clip ou que sais-je encore, il y a tout de suite des tas d’ayants droit qui arrivent tels des charognards pour réclamer les droits de la vidéo. Cela arrive même parfois sur des vidéos 100% originales et il faut alors faire une réclamation.
Mais c’est la seule chose qu’a trouvée Google pour faire plaisir aux uns et permettre aux autres de continuer à alimenter sa machine à cash avec leurs créations vidéos.
Concrètement, si un ayant droit réclame des droits sur votre vidéo (Content ID), il peut vous interdire de la monétiser, ou pire, la monétiser de force pour son propre compte. En gros, tu bosses sur une vidéo, et même si tu ne mets pas de publicité, et bien l’ayant droit arrive et se fait de l’argent avec ta vidéo. C’est moche.
Toutefois il existe une parade que le youtubeur gaming Jim Sterling a mise en place dernièrement et qui fonctionne bien. L’idée est simple : Reprendre des extraits de ses précédentes vidéos flaggés par le système de Content ID et en mettre plusieurs dans sa vidéo. Ainsi, plusieurs ayants droit se disputeront les droits sur la vidéo, certains bloquant la monétisation, d’autres voulant la forcer… Et à la fin, ça fait une vidéo non monétisée, donc sans pub.
Dans l’une de ses dernières vidéos consacrée à Nintendo, Jim Sterling savait que Nintendo viendrait mettre sa pub partout. Il y a donc intégré des extraits de GTA 5 et d’un clip du groupe de musique Erasure, en plus du contenu tout frais de Nintendo.
<noscript><iframe title="Newtendo (The Jimquisition)" width="800" height="450" src="https://www.youtube.com/embed/9w2RMBrmTsk?feature=oembed" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></noscript>
Comme prévu, les requins se sont battus et la vidéo a été simplement démonétisée.
Fallait y penser. J’imagine que YouTube trouvera la parade à un moment, en proposant aux ayants droit du partage de revenus, mais cela va diminuer sévèrement les revenus de certains requins marteaux maquereaux accro au Content ID.
Source.:

Revenu Canada a perdu les renseignements confidentiels de plusieurs contribuables

Revenu Canada a perdu les renseignements confidentiels de plusieurs contribuables






vol d'identité, vol d'identité, Revenu Canada, Hackers,
 
 

Au mois de février dernier, revenu Canada a perdu des renseignements confidentiels de plusieurs contribuables et c'est seulement maintenant que cette information est révélée au grand public.
C'est Radio-Canada qui rapporte cette nouvelle qui risque de faire beaucoup de bruit. En effet, l'Agence du revenu du Canada a perdu des renseignements confidentiels de plusieurs contribuables en février dernier. La chaîne de télévision explique que cet événement malheureux est intervenu à la suite d'un accident de la route au nord de Toronto impliquant un camion de livraison de l'entreprise Purolator qui devait transporter ces fameux documents dans un site d'entreposage. Ainsi, le camion a perdu une boîte des huit qu'il transportait ce jour-là.
Radio-Canada indique que cette boîte contenait 18 dossiers susceptibles de contenir des numéros d'assurance sociale et des avis de cotisation. La chaîne de télévision parle d'informations sensibles. Il faut dire que les numéros d'assurance sociale sont très précieux et l'un d'entre eux peut permettre d'usurper une identité. La police de l'Ontario et l'Agence du revenu du Canada collaborent depuis plusieurs mois pour remettre la main sur ces fameux dossiers, mais pour le moment sans-succès.
Toujours selon les informations relayées par Canada, cet événement fait parti des 150 cas de violation de confidentialité qui ont eu lieu lors des 6 premiers mois de l'année 2019.

REF.:

dimanche 15 décembre 2019

Un livre gratuit pour vous mettre au Reverse Engineering



Un livre gratuit pour vous mettre au Reverse Engineering

Je ne sais pas pour vous, mais quand j’ai envie de me détendre, je peux me mettre à cuisiner, à écrire sur le blog, à faire un peu de musique sur FL Studio ou jouer à reverser quelques crackmes.
Je faisais pas mal de reverse engineering quand j’étais ado, ça remonte un peu, et j’étais clairement rouillé. Et en septembre, je m’y suis remis un peu. Les outils ont changé, les crackmes se sont complexifiés, mais la démarche intellectuelle reste la même. Et c’est clairement un gros kiffe de comprendre comment fonctionne un algo et essayer de l’apprivoiser, le détourner ou le contourner.
Alors évidemment, pour apprendre il existe de nombreuses ressources un peu partout sur la toile et principalement en anglais et surtout, il y a Root Me qui permet de se lancer directement sur des challenges avec un niveau de difficulté croissant.
Et si le sujet vous intéresse et que vous voulez vous y mettre, il existe un livre au format PDF, qui s’appelle « Reverse Engineering for Beginners« , disponible dans plusieurs langues dont le FRANÇAIS et qui vous permettra d’apprendre les bases du reverse engineering. Comprendre le code assembleur, savoir chercher les trucs qui comptent dans le code, les bons outils pour bosser et pas mal d’exemples et d’études de cas.
C’est un contenu assez long (+1000 pages) mais les vacances de Noël arrivent dont vous allez bientôt avoir un peu de temps devant vous.
Bonne lecture !

REF.:

Banques/Caisse Desjardins: Piratage Informatique: des génies qui font peur



Banques/Caisse Desjardins: Piratage Informatique: des génies qui font peur

Sans surveillance, les experts en informatique malintentionnés peuvent faire des ravages 

 

 
Libellés

Hackers, failles, banque, vol de donné, vol d'identité,

photo jean-françois desgagnés Pascal Desgagnés a comparu jeudi au palais de justice de Québec pour faire face à de multiples accusations dont vol et fraude à l’identité.
Les maîtres de l’informatique comme Pascal Desgagnés, qui sont « dangereux » pour les organisations selon certains experts, continueront de nuire à la vie privée des citoyens et des vedettes qui protègent mal leurs informations sensibles.  
« Les victimes, comme la majorité du monde, ont de mauvais mots de passe et ils n’ont pas un deuxième facteur d’authentification », assure le créateur du Hackfest et expert reconnu en sécurité informatique, Patrick Mathieu.  
Pour le moment, la méthode précise utilisée par Desgagnés pour pirater les cellulaires des personnalités comme Véronique Cloutier reste nébuleuse.  
Cependant, tout porte à croire qu’il s’agit d’une fuite de photos similaire à celle vécue par des vedettes américaines en 2014, de type « fappening ».  
Il s’agit d’un pirate qui trouve facilement les mots de passe des iCloud des vedettes. « Ils ont ensuite accès à la sauvegarde de leurs cellulaires », explique M. Mathieu.   
Organisations à risque 
De son côté, le président du Groupe Vigiteck, une firme en informatique judiciaire, estime que les individus considérés comme des génies de l’informatique comme Desgagnés peuvent être dangereux pour toutes organisations privées et gouvernementales.  
« Ces gens ont des expertises de niche et ils sont en demande. Ils font leur travail et si le gestionnaire n’est pas alerte, il peut avoir de lourds impacts », prévient Paul Laurier, également ex-policier à la Sûreté du Québec.  
Selon l’expert, les entreprises et les ministères ne supervisent pas assez l’évolution du travail de leurs informaticiens. Il estime que l’incident avec Pascal Desgagnés n’est que « la pointe de l’iceberg ».  
« Je fais des dossiers dans le privé et 80 % du temps l’entreprise et l’informaticien règlent à l’amiable. De cette manière, il peut aller travailler ailleurs. Il n’est pas le seul. Il y en a d’autres », assure-t-il.  
Le PDG d’EVA-Technologies, une firme en cybersécurité, est également d’avis que les entreprises n’encadrent pas assez leurs experts.  
« Les informaticiens ont souvent des droits plus élevés que la moyenne au sein d’une organisation. C’est certain qu’il y a un risque plus élevé s’il n’y a pas une bonne supervision », souligne Éric Parent.  
Desjardins, victime 
Le Mouvement Desjardins est un bel exemple où l’organisation n’a peut-être pas suivi d’assez près Pascal Desgagnés.  
Selon notre Bureau d’enquête, il a ruiné un logiciel de gestion de projets et fait perdre des milliers de dollars à la coopérative.   
À partir d’un logiciel Microsoft, il devait créer un outil personnalisé selon les besoins de la coopérative financière.     
Or, il a tellement modifié l’outil de gestion pour répondre au besoin du client, qu’une fois parti, plus personne ne pouvait entretenir le logiciel chez Desjardins.   
Il avait ajouté des « bouts de code », il a « joué dans les bases de données du produit » même s’il n’en avait pas l’autorisation.   (C'est non éthique aux produits Microsoft, a la limite de reverseingenering)

En raison de son improvisation, Desjardins a dû faire table rase du projet. Précisons que cet incident n’a pas de lien avec la fuite de données.   
« Pas gérable » 
Ce n’était « pas gérable », nous a confirmé une source bien au fait du dossier. Pourtant, Desjardins y avait injecté plusieurs centaines de milliers de dollars.  
Par ailleurs, après avoir réalisé une enquête interne, Revenu Québec a assuré hier qu’aucune donnée n’a été compromise dans le cadre de son contrat avec Pascal Desgagnés.  
Le suspect agissait comme consultant au fisc depuis deux ans pour la firme R3D Conseil.   
Il travaillait comme « pigiste » pour R3D Conseil depuis 2015.  

Les trois victimes identifiées  

Seulement trois des 32 victimes alléguées de Pascal Desgagnés sont connues jusqu’ici.  
Véronique Cloutier 
Pascal Desgagnés a comparu jeudi au palais de justice de Québec pour faire face à de multiples accusations dont vol et fraude à l’identité.
Photo Stevens LeBlanc
  • Animatrice      
Jessica Harnois 
Pascal Desgagnés a comparu jeudi au palais de justice de Québec pour faire face à de multiples accusations dont vol et fraude à l’identité.
Photo Pierre-Paul Poulin
  • Sommelière      
Martine Forget 
Pascal Desgagnés a comparu jeudi au palais de justice de Québec pour faire face à de multiples accusations dont vol et fraude à l’identité.
Photo Ghyslain Lavoie
  • Mannequin et épouse du gardien des Red Wings Jonathan Bernier      

Les initiales des 29 autres   

  • A.N.  
  • J. M-T.  
  • F.B.  
  • J.M.  
  • C.M.  
  • J.R.  
  • M.C.  
  • L.M.  
  • A.G.  
  • K.K.  
  • I.V.  
  • E.F.  
  • C.P.  
  • K.R.  
  • A.B.  
  • M.B.  
  • E.F.  
  • A.L.  
  • G.O.C.  
  • M.-P.D.  
  • M.-M.B.  
  • A.A.  
  • B.C.-M.  
  • B.H.  
  • C.L.  
  • F.S.  
  • K.T.  
  • M.-O.P.  
  • N.G.-V.   

Revenu Québec met un terme à son contrat avec l’homme soupçonné d’avoir espionné les cellulaires de personnalités publiques. Il avait aussi accès au système informatique de l'Assemblée nationale.
Selon son profil LinkedIn, Pascal Desgagnés avait un mandat d’un an comme consultant avec le fisc. Il a également collaboré avec le Mouvement Desjardins et la Ville de Québec sur des projets informatiques.
Jeudi, Revenu Québec n’a pas voulu dire le rôle de l’homme de 45 ans dans son organisation. Il n’a également pas été possible d’obtenir plus d’information sur les accès qu’il avait dans les systèmes de l’agence.
«Revenu Québec a mis fin au lien contractuel qu’il entretenait avec Pascal Desgagnés, à la suite de son arrestation et de sa mise en accusation par le Service de police de l’agglomération de Longueuil, hier», a indiqué au Journal la porte-parole, Geneviève Laurier, ajoutant qu’aucun autre commentaire ne sera émis afin de ne pas nuire au processus judiciaire.
Consultation des dossiers
Selon l’expert en sécurité informatique, Éric Parent, en raison de son profil, le suspect pourrait effectivement «par curiosité» avoir pu consulter des dossiers de gens chez Revenu Québec. Actuellement, précisons qu’aucune des victimes n’aurait subi de dommages financiers.
«Tout dépendamment de ses accès, c’est quasiment une certitude qu’il a jeté un coup d’œil. Il ne s’est pas gêné pour le faire avec les cellulaires», indique le PDG d’EVA-Technologies, une firme en cybersécurité.
Pascal Desgagnés
Photo Jean-François Desgagnés
Le suspect était aussi consultant externe en informatique à l'Assemblée nationale. Son accès au système lui a été retiré hier soir.
«J’ai comme information que ses accès informatiques étaient très limités. Nous effectuons actuellement des vérifications», note la porte-parole de l'Assemblée nationale, Julie Champagne.
Cette dernière n’était pas en mesure de dire, jeudi, si l’homme a écouté ou non des conversations de députés.
Du côté de la Ville de Québec, la direction confirme que Pascal Desgagnés a collaboré avec la municipalité comme consultant notamment avec la firme Fujitsu de 2011 à 2012.
«Il était mandaté sur des systèmes de gestion de projet à titre de spécialiste Sharepoint.Il n'avait pas accès aux systèmes et données sensibles de la Ville», a souligné le porte-parole, David O’Brien.
Jeudi, Pascal Desgagnés, qui aurait commencé à sévir le 20 décembre 2013, a comparu au palais de justice de Québec. L’homme qui fait notamment face à des accusations pour vol d’identité et de fraude à l’identité a été libéré et reviendra devant le tribunal le 31 mars.
Pascal Desgagnés est le président de la firme Conseil TI Newcolorz.

REF.: