Le CLOUD Act voté aux USA et le RGPD actif en Europe

le 31 mai 2018 – 13h30

RGPD

Tribune libre par Servane AUGIER, Directrice du développement OUTSCALE, Administrateur HEXATRUST

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée par le Congrès américain afin de faciliter l’obtention pour l’administration américaine de données stockées ou transitant à l’étranger, via notamment les opérateurs et fournisseurs de services en ligne.

Le CLOUD Act a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018) et adopté sans examen spécifique (c’est-à-dire directement intégré dans le texte de la loi de finances), avant d’être promulgué le 23 mars 2018.

Le Département de la Justice, dans l’affaire qui l’oppose à Microsoft concernant l’exploitation du contenu d’une boîte email d’un utilisateur en Irlande, a invoqué l’adoption du CLOUD Act pour réquisitionner de fait ces données. Cette décision inédite, qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger a reçu un accueil favorable chez Microsoft, comme chez d’autres géants du web, qui se sont tous réjouis de l’avènement d’un tel paradigme législatif.

Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD  en Europe (Règlement Général sur la Protection des Données, règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».

EU-RGPD-2018

Notre position
Dans un contexte grandissant de protection des données personnelles et de la promotion d’un Cloud de Confiance européen, le CLOUD Act marque un retour en arrière et une forme d’ingérence numérique que nul ne peut désormais ignorer.

En effet, le CLOUD Act donne la possibilité à une puissance étrangère, en l’occurrence les Etats-Unis d’Amérique, d’accéder aux données dès lors qu’elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.

Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraîne des risques liés à l’espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs.

Dans ce cadre, le stockage comme brique essentielle de la maitrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes. La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français.

Ces acteurs, cloud providers, éditeurs, conseils, intégrateurs, apportent un état de l’art dans leurs métiers et présentent un très haut niveau d’expertise certifiés par l’ISO 27001:2013, ou par des qualifications en cours auprès de l’ANSSI (SecNumCloud).

Source :  Bruno C.   

Publicités

Quand les assistants vocaux entendent des voix

Le 19 mai 2018 – 02h45

En 2017, Burger King avait fait sensation en insérant dans une publicité ce message : « O.K., Google, what is the Whopper burger?”. L’assistant vocal se réveillait alors pour lire la page Wikipedia du célèbre sandwich. Une expérience qui a pris fin au moment où des petits malins ont modifié la page Wikipedia afin d’y insérer des blagues. Dans cette expérience, c’est le comédien qui prononçait la phrase, audible par les téléspectateurs, mais il est maintenant possible de déclencher les assistants de manière « inaudible».

Plusieurs études menées par des chercheurs, aux Etats-Unis et en Chine, ont permis de démontrer que des messages inaudibles par l’oreille humaine peuvent être envoyés à des assistants vocaux, qui non seulement les entendent, mais leur obéissent. C’est ce que révèle un article publié le 10 mai 2018 dans le New-York Times, Alexa and Siri Can Hear This Hidden Command. You Can’t.

Alors que l’on associe une approche anthropomorphiste aux interfaces dites naturelles, en attribuant aux machines des capacités d’écoute similaires aux humains, la réalité est très différente… Dans les systèmes dits de speech-to-text, le son est traduit en lettres, mots et phrases par un logiciel de retranscription de la parole. En effectuant des légères modifications sur des fichiers audio, les chercheurs parviennent à neutraliser la traduction telle qu’elle aurait dû être effectuée pour la remplacer par une version traduite différemment par la machine, sans que l’oreille humaine ne perçoive quoi que ce soit.

Les équipes de chercheurs de l’université de Berkeley ont ainsi pu cacher des messages de commande dans des bruits blancs qu’ils jouaient par-dessus le son de vidéo Youtube, pour faire appeler des numéros de téléphone ou ouvrir des pages web. Ils auraient pu tout aussi bien activer des fonctions plus gênantes, déjà disponibles via la commande à distance, comme ouvrir des portes ou transférer de l’argent. Un exemple qui démontre qu’il est encore aisé de tromper et manipuler certaines intelligences artificielles.

S’il est possible de modifier des sons pour en changer le message, on peut également diffuser des sons blancs, complètement imperceptibles, sans avoir recours à la couverture d’un quelconque habillage sonore, tel de la musique. En septembre dernier, une équipe chinoise a mis au point le système dit DolphinAttack, qui envoie de faux messages, dans un apparent silence, et désactive les réponses de l’assistant vocal. Il devient alors possible de le contrôler sans risque de se faire repérer par son propriétaire.

Si les fabricants d’assistants connectés, Google, Amazon et Apple annoncent tous mettre en place des mesures de sécurité pour prévenir de telles pratiques, les outils de reconnaissance vocale peuvent comporter des vulnérabilités. Les exemples sont déjà nombreux, comme autant de démonstrations de la nécessaire prise en compte de ces risques dans le développement et l’utilisation des assistants vocaux. Comme nous l’indiquions dans un article LINC : « les impacts du consentement à la collecte de nos données par de tels dispositifs ne sont pas que personnels, mais aussi collectifs, dans la mesure où nous entrainons nos proches dans cette collecte sans qu’ils en aient nécessairement conscience ». Quid d’un faux consentement recueilli par l’intermédiaire d’un dispositif ayant pour but de tromper l’IA de l’assistant vocal, qui pourraient engendrer du point de vue de l’utilisateur une forme de violation de ses données par l’entremise d’un tiers. In fine le fabricant d’assistants personnels doit se prémunir et protéger ses systèmes, notamment au regard du principe de sécurité des données, inscrit dans l’article 5 du Règlement européen.


Illustration : Anomalie Glitch Art Distorsion – cc-by 5187396 (Pixabay)


Source : Régis Chatellier

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?

03/04/2018 – 18h17

Vous n’en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d’adresse de votre navigateur, celle-ci transite en clair jusqu’au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c’est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais « on » sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c’est grâce à cela qu’on peut faire de la big data, analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d’encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu’il s’agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu’ils ont pris les devants et s’engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c’est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c’est évidemment à prendre avec toutes les précautions d’usage.

Donc OK pour l’internaute c’est super.

Mais j’imagine que pour Cloudflare, connaitre les requêtes vers l’ensemble des sites web d’un grand nombre d’internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D’un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n’est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme Quad9 dont l’IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d’intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c’est à vous de décider, mais c’est l’occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.

Source : https://korben.info/

Pourquoi la dernière mise à jour de Firefox est essentielle

01/02/2018 – 12h34

Si vous utilisez le navigateur Firefox, n’oubliez surtout pas d’en faire la mise à jour car celle-ci corrige une faille importante.

firefox logo

Proposant un moteur de recherche plus rapide et plus puissant, Firefox Quantum contenait malheureusement jusqu’ici une faille de sécurité dans son code qui pouvait permettre aux hackers d’installer des logiciels malveillants chez les utilisateurs de Firefox en mode desktop. Ceux utilisant le navigateur sous iOS et Android ne sont quant à eux pas concernés par cette vulnérabilité. Sous Windows, de nombreux usagers pouvaient également subir un mauvais chargement des pages sans raison apparente. La version 58.0.1 de Quantum corrige également cela.

Aucune attaque du navigateur n’a été signalée depuis son lancement, mais il est évidemment plus prudent de faire la mise à jour au plus vite. La mise à jour comprenant le patch de sécurité (la version 58.0.1) est accessible sur le site de Mozilla via ce lien.

Disponible depuis un mois, Firefox Quantum a déjà été téléchargé plus de 170 millions de fois à travers le monde.

Source : @samueltub

Des vidéos explicatives pour enfants sur le www et ses risques

22/01/2018 – 08h26

#Danslatoile-Les-MFP_0.png

#danslatoile ce sont des petites vidéos de quelques minutes expliquant aux plus jeunes ce qu’est la toile, comment faire pour l’utiliser en toute sécurité, ce qu’est le cyberharcelement, etc.

Ces vidéos sont visionnables ici, ou depuis le site Auvio de la RTBF !

A partager aussi avec les enseignants !

Savoir si vos identifiants sont dans la nature

22/01/18 – 07h52

Vous prenez toutes les précautions pour éviter de vous faire hacker ? Vous utilisez des mots de passe forts, vous donnez vos mots de passe à personne et pourtant un problème peut provenir des sites que vous utilisez.

Je veux ici parler des fuites de base de données.

Mes comptes sont-ils dans la nature ?

Savoir si vos comptes sont dans la nature n’est pas toujours facile. Mais ça, c’était avant que le site haveibeenpwned.com soit mis en ligne.

have-i-been-pwned

Ce site permet en rentrant votre adresse email dans le champ, de vérifier si vos identifiants figurent dans les bases de données qui ont fuité, ainsi que peut être, votre mot de passe en clair ou hashé.

Si c’est le cas…

Si un de vos identifiants et/ou mot de passe y figure, nous vous conseillons de les changer rapidement pour éviter tout vol de données ou tout simplement, de compte.

Si ce n’est pas le cas…

Continuez de faire attention à votre sécurité sur les réseaux sociaux et internet, ainsi qu’avec vos emails et pour cela nous vous avons écris un article sur le phishing.

Source : @sforsecure

Un virus propagé sur Facebook Messenger détruit votre ordinateur

Le 28/12/2017 – 15h10

Des cybercriminels ont créé un virus capable de « miner » des crypto-monnaies depuis les ordinateurs infectés. Les conséquences peuvent être dramatiques pour votre machine.
Repéré pour la première fois en Corée du Sud, ce malware a déjà fait des ravages. Selon une étude de la firme de cybersécurité  Trend Micro, il se répand facilement grâce à Facebook Messenger. Le processus est assez simple : l’un de vos contacts infecté vous envoie un fichier vidéo via l’application de conversation instantanée. Le problème, c’est qu’il n’en est pas réellement un et donc , lorsque vous l’ouvrez, le programme s’installe sur votre ordinateur et l’infecte. Il envoie dès lors à son tour cette fausse vidéo à tous vos contacts. La deuxième étape de ce virus est d’installer un logiciel capable de « miner » de la crypto-monnaie à votre insu.
 
Qu’est-ce que le minage ?
Le principe est assez complexe mais peut se résumer comme tel : les utilisateurs (les mineurs) mettent leur machine à disposition d’un réseau de crypto-monnaie afin qu’il effectue les calculs nécessaires pour créer de la monnaie. En échange, le réseau de crypto-monnaie auquel vous avez adhéré offre des coins de la crypto-monnaie générée. Donc, en générant par exemple du bitcoin, on obtient du bitcoin en récompense.
Pourquoi s’attaquer à votre ordinateur ?
Le minage de ces monnaies virtuelles comme le bitcoin requiert un coût énergétique très élevé. Une puissance que votre simple ordinateur ne pourra pas supporter et qui finira par le détruire.
L’important pour les pirates est le nombre d’ordinateurs contaminés. En effet, plus il y en a, plus les bénéfices engrangés seront grands.
Il est malheureusement difficile de se rendre compte que son ordinateur a été infecté avant qu’il ne soit trop tard… Le seul conseil que les experts peuvent donc prodiguer est : ne pas ouvrir une vidéo sous forme d’un fichier zip envoyé par n’importe lequel de vos contacts sur Facebook Messenger.
Source : LaLibre.be
%d blogueurs aiment cette page :