2018, l’annus horribilis de la cybersécurité

[ad_1]

Ceux qui croyaient qu’il était impossible de faire pire que 2017, avec la cyberattaque mondiale WannaCry et le piratage d’Equifax, ont rapidement dû changer leur fusil d’épaule cette année.

Déjà en juillet, l’institut de recherche Ponemon estimait (Nouvelle fenêtre) que le coût des piratages avait augmenté de 6,4 % et que le nombre d’éléments volés ou perdus dans ces attaques avait aussi augmenté de 2,2 %.

Le scandale Facebook-Cambridge Analytica

Quelques mois avant la parution de ce rapport, un Canadien du nom de Christopher Wylie révélait à la presse que la firme d’analyse stratégique Cambridge Analytica avait indûment recueilli les données de plus de 50 millions d’utilisateurs de Facebook à des fins politiques.

Ces données ont notamment servi à orienter les campagnes du « Oui » au Brexit et de Donald Trump à la présidence américaine aux États-Unis.

L’année de Facebook a d’ailleur été marquée par une série de faux pas très peu enviables, dont un piratage de dizaines de millions de comptes et un scandale sur ses pratiques de lobbying.

L’affaire Facebook-Cambridge Analytica, qui a eu l’effet d’une bombe partout sur la planète, a ouvert les yeux de beaucoup de personnes sur le pouvoir des mégadonnées, ces banques de données de très grande ampleur permettant de tracer un portrait relativement précis d’individus et de groupes de personnes.

L’électrochoc initial a été si puissant et la pression sociale si forte par la suite que Mark Zuckerberg, puis de nombreux autres dirigeants d’entreprises technologiques, ont défilé devant des comités d’élus dans le monde entier. Leurs témoignages ont finalement permis d’en savoir assez peu sur les coulisses de leurs entreprises. Ils ont toutefois eu pour effet d’éveiller les consciences sur un autre problème : la méconnaissance technologique de nombreux élus et officiels.

Spectre et Meltdown

Il faut dire que l’année 2018 avait déjà démarré de bien mauvaise façon avec la découverte par des chercheurs en cybersécurité de deux défauts importants touchant la plupart des ordinateurs commercialisés dans les 20 dernières années.

Ces failles de sécurité, nommées Spectre et Meltdown, menaçaient directement la sécurité au coeur des ordinateur et pouvaient donc mener à l’obtention des codes de chiffrement et des mots de passe stockés dans l’appareil.

Un vent de panique a brièvement soufflé sur l’industrie informatique à la parution de ce rapport, puisque les chercheurs soulignaient que Spectre était un défaut de fabrication intrinsèque des processeurs. Cela signifie que la seule façon de s’en débarrasser définitivement serait que les fabricants de processeurs revoient l’architecture de leurs puces et que tous les ordinateurs actuellement sur le marché soient remplacés.

Spectre et Meltdown ont été pris extrêmement au sérieux par la communauté de la cybersécurité, qui a proposé de nombreuses mises à jour pour tenter de les neutraliser.

Le piratage de Marriott

Le groupe hôtelier Marriott International Inc. et le système de réservations de sa chaîne Starwood ont été le théâtre de l’un des plus importants piratages de l’histoire en nombre de dossiers compromis.

Avec 500 millions de comptes potentiellement touchés, Marriott reste encore loin du triste record de Yahoo (3,5 milliards de comptes), mais il clôt tout de même l’année de la pire façon qui soit.

La chaîne hôtelière a indiqué que la brèche avait été ouverte en 2014 et était restée active pendant 4 ans.

Quelques jours après la divulgation de ces informations, des enquêteurs privés ont découvert que les individus qui avaient accédé aux dossiers des clients avaient utilisé des méthodes et des outils rappelant ceux d’espions chinois.

Mercredi, le secrétaire d’État américain Mike Pompeo a abondé dans le même sens en accusant directement la Chine (Nouvelle fenêtre) d’être derrière une série d’attaques informatiques, dont celle visant Marriott, sur les ondes de Fox.

L’identité d’un milliard d’Indiens compromise

L’histoire de Marriott paraît toutefois presque négligeable à côté de celle du système d’identité numérique national indien, Aadhaar.

Une journaliste a découvert en janvier que cette banque de données comprenant le dossier criminel, l’identité et même les données biométriques (photo, empreintes digitales et images des iris) d’un milliard de citoyens Indiens a été piratée.

Les malfaiteurs se sont servi du service de messagerie WhatsApp, extrêmement populaire en Inde, pour vendre les informations au coût d’environ 7 $ US par compte.

Plus tard dans l’année, d’autres journalistes ont appris qu’un logiciel distribué par le biais de WhatsApp permettait à quiconque de contourner les systèmes de sécurité d’Aadhaar pour s’approprier les données d’autrui.

[ad_2]

Source link

قالب وردپرس

Un atelier de cybersécurité aide les aînés à se défendre

[ad_1]

Elle offre ces ateliers gratuitement à travers le Canada.

« Je sais quoi faire et ne pas faire maintenant », déclare Gerry Larose, qui vient de finir une formation sur la cybersécurité avec une vingtaine d’autres personnes âgées mardi à Calgary.

Le Bureau de la concurrence du Canada estime que les aînés ont perdu environ 66 millions de dollars dans diverses fraudes en 2017. C’est deux fois plus que les trois années précédentes combinées.

Les ateliers de Telus visent à les familiariser avec les escroqueries les plus fréquentes et les comportements à risque, mais surtout à leur donner des conseils pratiques.

En voici quelques-uns.

Désactivez la géolocalisation

« Demandez-vous si Facebook et Twitter ont vraiment besoin de savoir où vous êtes », recommande le guide fourni par les formateurs. Désactiver les fonctions de géolocalisation, de wi-fi et de Bluetooth lorsqu’on ne les utilise pas protège notre vie privée tout en économisant la batterie de l’appareil.

Pour les désactiver, allez dans la section « paramètres » de l’appareil.

Effacez le contenu de votre appareil avant de vous en débarrasser

Il ne suffit pas de mettre les fichiers dans la corbeille, car les pirates informatiques peuvent toujours les récupérer. Les mots de passe et autres données sauvegardées automatiquement ne seront pas supprimés. Avant de jeter ou de donner un cellulaire ou un ordinateur, il faut effacer le disque dur de l’appareil.

Une vingtaine d’aînés ont participé à une formation sur la cybersécurité à Calgary. Photo : Radio-Canada

Soyez prudent avec un réseau wi-fi public

Les pirates informatiques installent parfois de faux réseaux gratuits dans les endroits publics. Ils attendent que des personnes s’y connectent pour voler leurs informations personnelles plus facilement.

Avant de se connecter à un réseau gratuit, vérifiez sa légitimité. Confirmez avec quelqu’un, par exemple un employé de l’endroit, qu’il s’agit du bon réseau. Même si c’est le cas, on déconseille d’installer des logiciels ou de les mettre à jour en utilisant un réseau public.

La formation sur la cybersécurité offre une série de conseils pratiques aux aînés. Photo : Radio-Canada

Choisissez bien les applications

Avant d’installer une application sur votre téléphone, il faut faire une petite recherche pour s’assurer que c’est bien celle que vous cherchez. Il est recommandé d’éviter les applications qui demandent d’accéder à des données telles que vos contacts ou vos photos. Lisez toujours les conditions d’utilisation.

Utilisez les sites de rencontre de façon intelligente

On recommande de se fier à des sites reconnus et qui s’adressent plus spécifiquement aux aînés. C’est, par exemple, le cas de eHarmony, Senior Match ou Senior People Meet.

Comme ces sites peuvent nous amener à interagir avec des personnes que nous n’avons pas choisies, il est mieux d’utiliser une adresse courriel séparée pour s’y inscrire. On évite par ailleurs de fournir des renseignements personnels. Si on rencontre quelqu’un en personne, on le fait dans un endroit public et on ne donne pas son adresse.

N’oubliez pas de vous déconnecter

Lorsqu’on quitte un site sur lequel on a un compte personnel, il ne faut pas se contenter de cliquer sur le « X ». Il faut plutôt se déconnecter. Mieux vaut resaisir son mot de passe chaque fois que de s’exposer à des cyberattaques. On conseille aussi de supprimer les comptes qu’on n’utilise plus, sans quoi un pirate pourrait les détourner à ses propres fins.

[ad_2]

Source link

قالب وردپرس

Voici pourquoi des experts en cybersécurité sont furieux contre Google Chrome

[ad_1]

Dans la version 69 de Chrome, dès qu’un utilisateur se connecte à un service de Google (Gmail, YouTube, Drive), le fureteur se connecte lui aussi au même compte. Cette opération s’effectue automatiquement, sans que l’utilisateur en soit informé et sans qu’il ait donné son autorisation.

Auparavant, il était nécessaire de se connecter spécifiquement au fureteur, ce qui permettait par la suite d’activer certaines fonctions, comme le service Sync. Ce service permet de téléverser son historique de navigation, ses mots de passe, ses favoris et d’autres données dans le nuage pour les retrouver automatiquement lorsqu’on se connecte sur différents appareils.

Google s’explique

Selon Adrienne Porter Felt, une ingénieure assignée à Chrome, Sync n’est jamais activé par défaut, même avec la version 69 du fureteur.

Mme Porter Felt a expliqué sur Twitter que l’interface de Chrome avait été revue pour mieux indiquer lorsqu’une personne est connectée sur le navigateur. « Dans le passé, des gens se déconnectaient parfois d’un service et pensaient qu’ils n’étaient plus connectés à Chrome, ce qui pouvait poser problème sur un appareil partagé », a-t-elle écrit lundi.

Adrienne Porter Felt fait référence au fait que des utilisateurs ont pu obtenir les témoins de connexion (cookies) d’autres personnes lorsque deux comptes différents étaient utilisés sur un même ordinateur.

Des experts perplexes

Ces explications n’ont pas convaincu la communauté des experts en cybersécurité.

Pour Matthew Green, cryptographe et professeur à l’Université Johns Hopkins, les explications de Google sont insensées, notamment en ce qui concerne le fait que le service Sync n’est pas activé par défaut, malgré la connexion forcée à Chrome.

« Le consentement des utilisateurs compte, écrit M. Green sur son blogue. Pendant 10 ans, Google Chrome m’a demandé une simple question : “Voulez-vous vous connecter à votre compte Google?” Et pendant 10 ans, j’ai répondu “non merci”. Chrome continue de poser cette question, mais il ne respecte plus ma décision. »

Matthew Green pose aussi des questions auxquelles personne n’a encore répondu jusqu’ici. « Si j’utilise Chrome sans être connecté, puis que je me connecte et que j’active Sync, est-ce que mes données amassées alors que je n’étais pas connecté sont envoyées à Google? »

Un bris de confiance

Cet expert estime que le comportement de Google dans ce dossier érode la confiance des utilisateurs envers ses politiques et ses promesses en matière de sécurité et de respect de la vie privée.

« Si vous n’avez pas respecté mon refus de la plus importante option ayant trait à la vie privée dans Chrome (et que vous ne m’en avez même pas informé), pourquoi devrais-je avoir confiance en toute autre demande de consentement que vous m’envoyez? », s’interroge Matthew Green.

L’un de ses homologues, Bálint Szilakszi, explique de son côté que Chrome était jusqu’ici un service pouvant être utilisé de façon complètement indépendante de l’écosystème de Google. Or, ce n’est plus le cas après ce changement, selon lui. Cela signifie que les utilisateurs qui se méfient déjà des autres services de Google pour des raisons de sécurité ou de vie privée devraient désormais se méfier également de Chrome.

Quelles autres options?

D’autres experts, dont Ryan Naraine d’Intel et John Graham-Cumming de Cloudflare ont joint leurs voix au choeur de critiques, dont certaines appellent à abandonner Chrome au profit d’autres navigateurs considérés comme plus sécuritaires, comme Firefox.

Bien qu’il existe de nombreuses alternatives à Chrome, ce navigateur est de très loin le plus utilisé sur la planète selon StatCounter, avec 59,7 % de parts de marché, contre 14,5 % pour Safari, son plus proche poursuivant. Firefox est en quatrième position avec 4,9 % de parts de marché.

[ad_2]

Source link

قالب وردپرس