Pirate repenti, membre de CyberSecurity Alliance, Arnaud Velten contribue au Sommet de l’intelligence économique de la Sécurité et de la Sûreté de Chamonix sous le patronage de l’IHEDN. Membre des organismes professionnels d’intelligence économique Français le SYNFIE et Suisse : SwissIntel, spécialisé dans la vulgarisation des nouvelles pratiques, il contribue à divers événements de CyberSécurité en qualité d’Influenceur (CybSec Conf) ou Conférencier. (Wine-GrappaHat)
Arnaud Velten :
Il me paraît plus intéressant de vous donner un avis puis de vous sourcer quelques articles/links, de sorte que vous fassiez par vous-même votre opinion
D’autre part je parle en mon nom propre, en aucun cas au nom du service, ni des associations dont je suis membre, par conséquent je ne parle pas au nom de la DGSI.
Je présente uniquement mon point vue, qui ne saurait remettre en cause l’expertise de vos interlocuteurs de prédilection.
L’informatique, la cyber et ses enjeux constituent un univers en perpétuelle mutation : nous vous conseillons de prendre plusieurs avis, et de tenir une veille régulière des évolutions.
Cyberattaques, ransomware, phishing… Qu’est-ce que c’est ? Est-ce “réservé” aux pros ou bien les particuliers sont-ils aussi dans le viseur ?
Bonne question … Est-ce que les délinquants ne volent que les voitures d’entreprises ?
Hélas non, ce qu’il faut bien comprendre c’est qu’il est moins risqué (hélas) d’être malhonnête dans le monde numérique que dans le monde réel (ndlr : #IRL).
Le cyber délinquant a plusieurs méthodes d’attaques, je crois que pour mieux les comprendre il est préférable de chercher à comprendre l’effet (objectif) attendu du cyber délinquant
- Le phishing vise à s’approprier des informations sensibles : login/mot de passe et informations bancaires ou administratives (CAF, état civil … )
- Le ransomware consiste à infecter votre matériel informatique et à chiffrer son contenu. On vous propose ensuite son déchiffrement contre une raçon, avec la menace que le ransomware supprime tout …
En 2016 on comptait une attaque toutes les 40 secondes (12-2017) - La cyber attaque : Il en existe plusieurs, de diverses formes mais la plus connue reste le DDOS (Deny of service). Pour simplifier vous allez surcharger de requêtes (de demande d’information) le serveur cible et ainsi provoquer l’effondrement de son infrastructure digitale …
Quels sont les enjeux de la cybersécurité ?
La cyber sécurité, c’est votre ceinture de sécurité informatique ! 🙂
Les normes de sécurité existent, mais il y a encore peu de temps peu de personnes étaient conscientes des enjeux…
De récents évènements Stuxnet, Mirai et la révélation d’Edward Snowden on fait prendre conscience de l’importance de la cybersécurité…
L’absence de condamnation pour les entreprises qui n’assuraient pas la protection des données contribuait jusqu’à maintenant à un certain laisser aller…
Les choses évoluent. Les premières condamnations commencent à tomber: Ashley Madison paye une amende salée de 1,6 millions de dollars (2016).
Il n’y a pas une journée sans qu’une faille importante ne soit découverte. Il y a même un marché des failles et des brokers de failles.
Dites-moi ce qui ne dépend pas d’un ordinateur…
Prenez l’électricité (nucléaire, centrale hydroélectrique), ou des domaines comme la banque et les hôpitaux. Par chance, nous avons de très bons informaticiens et des services reconnus et très pointus, notamment l’ANSSI…
GUIDE D’HYGIÈNE INFORMATIQUE (2017)
La cyber sécurité englobe plusieurs domaines, entre autres, la protection de vos données personnelles, votre historique de recherche ou vos données médicales.
La CNIL fournit un travail remarquable :
Maîtriser mes données & 10 conseils pour rester net sur le web
Où réside le principal danger de l’identité numérique face à la cyber menace et qui sont les plus vulnérables ?
Perdre le contrôle sur son identité numérique, ou sa réputation, voire, pour une entreprise, être parasité par un concurrent…
Je vous renvoie au témoignage de Sylvain : il raconte avoir été ruiné dans sa vie personnelle, professionnelle et financière : « Sylvain & Viviane Briant »
Pour l’expert Thomas Leger Quelques conseils pour éviter l’usurpation d’identité (2016)
“Rendre publiques votre date de naissance, vos photos de vacances ou celles de vos enfants, vos loisirs ou encore votre géolocalisation vous expose considérablement. Il faut être conscient que chaque élément que vous injectez sur le Net peut devenir un indice pour une personne malintentionnée.”
Vous pouvez vraiment perdre le contrôle de votre identité numérique !
Sans rentrer dans les détails, voler une identité n’est pas particulièrement difficile …
“Jardinier à Campénéac (Morbihan), Thierry Plevenage s’est fait voler son identité. Une personne s’en sert pour ouvrir des comptes et créer des sociétés, mais c’est lui qui est privé de carte d’identité… (Source : ouest-france)
Quelles sont les conséquences d’une attaque sur la vie privée ? Et la vie d’une entreprise ?
La vie privée n’existe plus pour Marc Dugain, Invité du Club de la presse, Marc Dugain, écrivain, réalisateur et scénariste, dénonce dans son livre L’homme nu, la dictature invisible, les méfaits du numérique sur la vie privée.
Suite à un échange avec Alexis Rousel je rejoins l’idée que nous avons, en quelque sorte, une « couche numérique » qui vient de s’ajouter aux droits protégeant notre intégrité.
Il existe une multitude d’attaques sur les entreprises, qui peuvent se combiner avec des attaques sur les personnes ou des groupes. Une attaque informatique peut avoir plusieurs objectifs : il est toujours important de se demander comment et pourquoi…
On peut, dans les grandes lignes, parler de conséquences financières, juridiques, individuelles (réputation). Voir l’affaire Ashley Madison.
Pour aller plus loin : Cyberattaques : les conséquences sont multiples
Face à cette menace, comment se protéger ?
Certain, vous diront que la meilleure défense c’est l’attaque…
Je vous répondrais que la meilleure défense c’est plutôt le bon sens…
Dans la majorité des cas les attaques réussies ont été rendues possibles par une inattention, une peur, ou l’urgence : ce sont des méthodes de Social Engineering
Les cyber délinquants les utilisent pour jouer sur votre psychologie.
La CNIL fait un travail exemplaire et reconnu au niveau européen. Les choses avancent…
Loi Numérique : la CNIL pourra infliger des amendes de 20 millions d’euros (2016)
Pour mémoire la CNIL est l’autorité administrative indépendante qui veille à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée. (Source : linternaute)
On entend souvent dire “Je n’ai rien à cacher, je n’ai pas besoin de sécuriser mes données”. Est-ce vrai ?
Oui enfin ça, c’est vite dit…
« Prétendre que votre droit à une sphère privée n’est pas important parce que vous n’avez rien à cacher n’est rien d’autre que de dire que la liberté d’expression n’est pas essentielle, car vous n’avez rien à dire » — Edward Snowden, lanceur d’alertes.
C’est vraiment une question casse gueule entre nous. Je suis pour la protection des données personnelles et je travaille pour le respect de la vie privé.
Toutefois, nous sommes face à une situation particulière.
Il paraîtrait mal-venu de critiquer les choix d’institutions qui travaillent au quotidien à assurer la sécurité de chacun …
On parle rarement de la protection de l’emploi et de la lutte contre l’ingérence économique et digitale, c’est-à-dire la protection de notre économie et des emplois liés… Les exemples sont multiples « flash » à propos d’ingérence économique DGSI … (2017)
(Flash : vise à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, à la faveur d’une culture de sécurité interne)
Si on prend un peu de recul, c’est assez cocasse, car on veut bien être surveillé par des entreprises dont l’objectif est le profit, mais on ne veut pas être surveillé par des services dont l’objectif est de nous protéger …
Ensuite, la surveillance existe dans les entreprises et des salariés ont même perdu leur travail pour des propos publiés sur des profils facebook ouverts.
Licenciement pour faute suite aux propos diffusés sur Facebook contre son employeur
La vigilance est toujours de rigueur selon moi …
Comme je le disais en 2015 j’ai beaucoup de respect pour les gens du renseignement, mais je suis contre les polices politiques …
Les objets connectés sont de plus en plus nombreux et il devrait y en avoir de plus en plus. Ces objets véhiculent des informations, sont-ils fiables ?
Croire à la sécurité des objets connectés est une farce …
« En termes de sensibilisation à la cybersécurité, l’Internet des Objets a au moins 20 ans de retard par rapport à l’industrie des logiciels. » Via L’Internet des Objets et la Sécurité (2016).
Si vous souhaitez approfondir : L’Internet des Objets (obscurs), guide pour se protéger activement face à la menace (2017)
Comment et qui collecte ces informations ? À quoi servent-elles ?
Les données remontent vers un « serveur central » « quelque part » mais comme l’indique le TOS (Terms Of Services) vous êtes consentant, sinon vous ne pouvez pas activer votre objet. En gros, vous signez un chèque en blanc, à une entreprise qui ne vous garantit rien, sauf que cela devrait bien se passer « normalement »… dans la grande majorité des cas…
Je vous renvoie vers l’édifiant article : une avocate a réécrit les conditions d’utilisation d’Instagram comme si elles étaient expliquées à un enfant de 8 ans…
Comment les métadonnées permettent de vous surveiller (expliqué en patates) (2015 Vidéo de 5mn)
À quoi servent les données ? Bonne question ! Je vous répondrais : à vous profiler et vous faire des offres qui correspondent à ce que les algorithmes considèrent comme étant ce dont vous avez besoin… C’est un peu comme un CRM… Vous le remplissez de données et cela vous aide dans votre rapport au client. Le point qui n’est que rarement abordé c’est que le croisement de base de données n’est pas autorisé en France, tandis que dans d’autres pays, il l’est…
Big data : données, données, donnez-moi ! #DATAGUEULE 15 (2015 Vidéo 4m)
Quels types de données peuvent-être collectées ?
Tout, mais faut pas le dire… Enfin, cela dépend par qui…
Il faut comprendre que plus de 90% du trafic Internet passe par des câbles sous-marins… Les câbles sous-marins, clé de voûte de la cybersurveillance (2013)
Donc en gros tout passe par ces câbles …
La question n’est pas là, je pense, mais plutôt sur ce qui se passe actuellement quand les sites vous utilisent comme des cobayes… Je me permets d’attirer votre attention sur un sujet qui avait fait débat en 2014 : Freud 2.0 : Facebook manipule nos émotions, la tech veut percer nos rêves (2014)
Les moteurs renvoient des réponses calibrées sur du profilage donc sur les convictions de l’utilisateur et renforcent ainsi les personnes dans leurs propres croyances …
Sur Internet, l’invisible propagande des algorithmes, là aussi ça peut générer certains biais …
Il existe des outils pour analyser cette masse importante.
Palantir est actuellement le plus connu :
- Palantir, cette discrète licorne qui sait tout et le fait savoir (2016)
- Big Data : la DGSI se rapproche de Palantir (2016)
Est-ce que le traitement des données “certifiées” est géré par l’État français ou des sociétés françaises ?
Sauf erreur, en France, je vous dirigerais vers : hexatrust
Le Clusis de votre région : ClusiR
Et, bien évidement, les correspondants CNIL
Récemment l’ANSSI a lancé lors du FIC : SecNumedu, un label de formations initiales en cybersécurité de l’enseignement supérieur, pour ceux que cela passionnent.
L’armée Française recrute officiellement depuis 2017 des “combattants numériques”.
Points & Anecdotes & Bonus
- Cyberattaques : les écureuils sont bien meilleurs que la NSA
- Forum de la Cybersécurité: la menace jihadiste grandit
- Vols d’identité : les poubelles sont des mines d’or
Un grand merci à Arnaud Velten pour le temps qu’il nous a consacré pour répondre à nos questions et chercher des références utiles à notre compréhension.
Pour en savoir plus, venez participer à la conférence sur l’identité numérique face à la cybermenace qui aura lieu le 16 mars 2017.