hermus – HERMUS

La majorité numérique à 15 ans

La loi du 7 juillet 2023, un début de réponse ?

enfant seul face aux risques numériques — Photo de Thomas Park

L’Étât a pris conscience des dangers que représentent les réseaux sociaux ( Facebook, Tiktok, Waze…) Il existe maintenant un âge de majorité pour les activités sur ces plateformes : 15 ans.

L’enquête de la CNIL prouve que 82% des enfants de 10 à 14 ans vont fréquemment sur le Web sans leurs parents. Des parents qui souvent ignorent l’activité de leur progéniture sur Internet. Pourtant ces connexions sont raremment anodines.

Notre activité de sécurité numérique, nous amène à rencontrer des familles paniquées et démunies lorsque leur pré-adolescent est confronté à des problèmes d’addiction aux écrans, de cyberharcèlement ou découvre des vidéos pornographiques violentes.

S’en suivent les troubles psychologiques et physiques, dont le manque de sommeil, qui vont perturber leurs études, leurs relations sociales, voir conduire au pire.

Comment sera fait le contrôle de cette majorité ?

La loi laisse les acteurs des forums et des réseaux sociaux trouver la solution. D’où ma question en titre « un début de réponse ? » car si l’on se réfère aux systèmes mis en place pour le contrôle de la majorité sur les sites pornographiques, nous sommes loin du compte. Dans la plupart des cas, un simple clic suffit pour déclarer avoir plus de 18 ans.

Il est prévu : « [de] mettre en place une solution technique, conforme à un référentiel que doit élaborer l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), après consultation de la Commission nationale de l’informatique et des libertés (CNIL)« .

De plus les plateformes disposent d’un an pour mettre en place cette obligation. On peut imaginer qu’à cette vitesse, les jeunes de 14/15 ans seront devenus majeurs lors de l’application effective de la loi.

loi 7 juillet 2023 — Photo de Matthew Henry pour Unspslash

Bien sûr, garantir la sécurité de l’accès revient à la question de notre précédent billet : Comment faire de l’identification et non pas de l’authentification ?

cyberharcelement — Photo de Mika Baumeister

Le cyberharcèlement

Tout est bon à prendre si cela peut protéger les enfants et autres victimes de conjoint, du chantage moral, du harcelement et de l’espionnage de la vie privée de l’autre ; la loi va imposer aux réseaux sociaux la diffusion de messages préventifs et d’information sur le numéro vert 3018…

Les diffuseurs de contenus électroniques, comme des vidéos et images, devront agir après réquisitions judiciaires sous 10 jours, voir en moins de 8 heures pour les risques imminents.

Une amélioration puisque aujourd’hui, il n’y a aucun délai défini !

Et si la solution était l’éducation ?

Nous parlons bien d’éducation et pas d’instruction scolaire.

Face à la difficulté de contrôler les accès aux excès et comme il y aura toujours des malins pour contourner les règles, la solution est moins dans la Loi que dans l’Éducation.

Responsabiliser les enfants et les parents, apprendre le respect d’autrui, c’est la mission de chaque père et mère, voir de chacun de nous.

parent enfant reseaux sociaux — Photo de Vitolda Klein

LOI n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne.
Cliquez pour lire le texte de loi sur légifrance ici

Comment récupérer l’accès aux comptes mail ou réseaux sociaux piratés ?

C’est devenu une question quotidien

Encore ce matin, j’ai reçu la demande d’une personne qui a eu son compte Snapchat piraté. C’est à dire que le hacker a trouvé son mot de passe. Ensuite, il s’est connecté et a changé le mot de passe de sorte que le propriétaire légitime ne puisse plus accèder à son compte.

Ici, il s’agit de Snapchat, mais il en va de même pour Facebook, Tweeter et l’ensemble des réseaux sociaux, comptes clients (leboncoin…) et des comptes mails.

La victime souhaite que nous récupèrions son compte et donc son mot de passe. Pour schématiser, on peut dire qu’il y a deux façons de voir comment faire :

légale
illégale

Quelle possibilité légale s’offre à nous ?

Le point délicat, c’est l’identification. Comment prouvez que vous êtes l’auteur de votre blog, votre boite mail…

Même la carte d’identité française, apparu il y a moins de 100 ans, ne peut répondre à cette question. Aucun réseau social ne vous demande une identification lors de la création de votre compte.

Attention, je parle bien d’identification et pas d’authentification. L’authentification, c’est votre mot de passe, l’adresse mail ou le numéro de téléphone, autant d’éléments qui ne prouvent pas qui vous êtes mais juste que vous êtes à l’origine de cette création.

C’est là que les hackers, pirates, ex-conjoint, vont profiter du relatif anonymat de l’Internet pour prendre le contrôle de vos comptes. Ils vont s’authentifier à votre place.

Et ensuite, et ceux qui ont fait la démarche le confirmeront, aucun réseau social, entreprise, client… ne vous redonnera l’accès à vos comptes puisqu’ils ne peuvent pas vous identifier.

Seuls les FAI (fournisseur d’accès à Internet), services de l’État, qui ont votre identité pourront vous rendre votre accès à leurs services.

Alors, les possibilités illégales ?

Comme le proposait la victime du jour :

« Puisque un pirate à hacker mon compte, on peut bien le hacker lui et ainsi récupérer mon accès ! »

Ne pouvons-nous pas le faire ?

Photo Ulvi Safari pour Unsplash

Premier écueil, la loi. Article 323-1 alinéa 1 du Code pénal : Deux ans d’emprisonnement et de 60 000 € d’amende pour toute personne qui cherche à accéder frauduleusement à un système informatique. On ne fait pas justice soi-même.

Second écueil, l’identité. Qui me dit que vous êtes le propriétaire légitime du compte ? Rien. Nous n’avons pas plus de certitude que les réseaux et autres entreprises qui ont ouvert le compte.

Troisième écueil, le temps. On peut penser que le pirate est malin et lui, il a mis un mot de passe fort, pas le nom du chien ou la date de naissance du petit dernier. Cela peut demander des heures voir des années avant de casser un vrai mot de passe.

Alors que faire ?

Les victimes font appel à nos services, en très grande majorité, après l’incident. Mais nous sommes comme le pompier qui va éteindre l’incendie de fôret, mais qui ne fait pas repousser les arbres.

Comme dit le proverbe ; « mieux vaut prévenir que guérir »

1- Utilisez des mots de passe forts
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
2- Utilisez keepassxc pour gérer vos mots de passe
3- Utilisez de vrais gestionnaires de mail avec le protocole POP3
4- Ne publiez pas de photos et de données personnelles sur les réseaux sociaux.
5- Sauvegardez vos données sur des supports hors ligne (clé Usb…)
6- Lisez les guides cybermalveillance

Les mesures préventives sont donc essentielles pour que ça n’arrive pas, car cela ne devrait pas vous arriver.

multiples iformations volées — *Photo libre Unsplash*

Des conséquences qui peuvent être dramatiques.

Le piratage de comptes en ligne est la première étape qui peut mener les pirates à des actions plus graves.

Par la lecture des informations contenues dans vos comptes, ils apprendront :
– le nom de votre banque et de votre conseiller financier,
– son numéro de téléphone, qu’ils peuvent pirater,
– votre numéro de sécurité sociale, vos bulletins de salaire et vos factures,
– les identités des personnes de votre famille et de vos amis,
– vos habitudes de déplacement et la durée de vos absences,
– le nom du comptable, la liste des clients…

Ensuite viendront les attaques :
– usurpation d’identité (article 226-4-1 du Code pénal 1 an de prison et 15 000 euros d’amende),
– ouverture de crédit renouvellable, virement et vol sur vos comptes bancaires,
– chantage aux vidéos intimes et photos compromettantes (vraies ou fausses),
– harcelements,
– faux support technique,
– diffusion de fausses informations.

Des délits qui peuvent être punis par 5 ans de prison et 150 000 euros d’amende.

Mise à jour vers un faux navigateur Chrome

Cheval de Troie sur les côtes de La Manche, le Calvados et l’Ille-et-Vilaine

Trojan MoqHao sur iPhone — *Photo Thom Bradley pour Unsplash*

Comment se débarrasser d’un trojan MoqHao ?

L’analyse de McAfee démontre la sophistication croissante des attaques malveillantes avec ici des pages de Phishing hébergées par un serveur local pour capturer les identifiants, lancer des demandes d’autorisations etc. Et bien sûr envoyer tout cela vers les hackers.

Ce Trojan semble vouloir persister, au moins en partie, après un nettoyage antivirus. Seule la sauvegarde locale de données pourra vous permettre de ne pas perdre vos fichiers puisque la sauvegarde Google Cloud risque d’être compromise, la seconde cible des pirates étant, après les applications bancaires, le compte Google. Certainement pour préparer d’autres attaques.

Granville et La Manche sont bien loin de la Corée du Sud et on pourrait se croire à l’abri des virus des pirates chinois. Pourtant, il semble bien que la France soit touchée par une nouvelle attaque de hackers sur les smartphones Android et iPhone.

La campagne d’infection initiale a débuté mi-2017 en Corée du sud mais fait maintenant des victimes jusque dans la Manche comme le confirme une demande de dépannage que l’on a traité cette semaine ( Saint Valentin 2023).

Tout commencer par la réception d’un SMS, principalement sous la forme d’un Phishing au faux colis. Si vous avez le mauvais réflexe et ouvrez le lien, le processus d’infection débute.

Sans être trop technique informatique, le lien conduit vers un serveur qui déclenche la demande de mise à jour du navigateur Chrome. La fausse mise à jour du logiciel sollicite ensuite les autorisations vers les contacts, les appels téléphoniques…
Une speudo icone Chrome est visible puis, dans la majorité des cas, elle est cachée.

Cette application nommée MoqHao, va ainsi pouvoir accéder à des serveurs distants pour récupérer les charges les virales et envoyer les données de vos appareils. En particulier les applications bancaires que vous utilisez et vos identifiants de compte Google.

Ces informations vont servir à installé, toujours selon le même schéma, des mises à jour de votre application bancaire afin d’accéder à votre compte, avec tous les risques que l’on peut imaginer.

MoqHao va aussi utilisé votre smartphone pour envoyer des SMS piégés vers vos contacts et se propager.

Les ingénieurs sécurité informatique de McAfee ont détaillé les différents processus mise en oeuvre lors de cette attaque. Les plus accrocs au développement peuvent suivre ce lien :

Android banking trojan south korea

Quels sont les ménaces actuelles en Cyber sécurité ?

Nous rencontrons hélas beaucoup trop de victimes qui ne prennent pas au sérieux ce type d’attaque. Enfin jusqu’au moment où les comptes bancaires sont vidés et que le conseiller annonce que la banque ne remboursera pas par faute de négligence du client.

Le remplacement des mots de passe hackés devient d’autant plus problèmatique que les mails sont interceptés par le pirate.

Nous recommandons toujours :

des mots de passe forts et uniques, pas le même mot avec une variance en ajoutant un chiffre à la fin comme cela devient courant,
de NE PAS enregistrer ses mots de passe,
de vrais logiciels de gestion des mails en protocole POP,
l’abandon des mails généralistes où tout à chacun peut créer en 5 minutes une adresse mails.

Avec une augmentation de + 140%, le piratage des comptes en ligne et en particulier des comptes mails a connu une folle progression et se place désormais en tête des actions des hackers.

La mauvaise habitude qui consiste à laisser tous les mails reçus sur le serveur de mail en protocole IMAP comme les webmails Orange, Gmail, SFR … s’est généralisée avec les smartphones.

Ainsi la lecture des mails et autres messages de ces comptes permet d’avoir accès à une large majorité d’informations personnelles. Non seulement la victime risque le piratage de ses informations bancaires mais aussi l’usurpation d’identité, un fléau dramatique pour ceux qui y sont confrontés.

Google Drive et autres Cloud piratés par des hackers chinois !

Les équipes de TRend Micro au Japon, auraient découvert que le groupe de pirates « Earth Preta » utilise les services en ligne de Google Drive et Dropbox pour diffuser leurs virus et voler vos données.

Tout commence classiquement par un mail de phishing. Celui-ci contient un lien vers les services en ligne et en cliquant, vous vous retrouvez à charger en tache de fond, sans le voir, la charge virale qui aspirer vos documents et vos données.

En utilisant un lien Google ou dropbox, les pirates passent sous les radars des antivirus.

Pour le moment, les attaques semblent viser les organisations de l’Asie / Pacifique mais on peut imaginer que la technique se généralise aux autres continents.

Panorama de la menace informatique

2021-repartition — État de la répartition des menaces par type de structures en 2021

Le 9 mars 2022, est certes le jour de l’ouverture de la pêche à la truite mais, et surtout pour nous, il s’agit de la date de publication du dernier rapport de l’Agence Nationale de la Sécurité des Systèmes d’Information.

On y fait le point sur les offensifs, les méthodes et les faiblesses des systèmes. Rien de très réjouissant en particulier lorsque l’on arrive sur ces deux graphiques.

Les TPE / PME sont les principales victimes du rançonnage.

Graphiques du rapport consultable et téléchargeable dans son intégralité ici :

Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR)

Tensions Cyber suite au conflit en Ukraine

Photo Marvin Meyer pour Unspalash

Pas de volonté de créer la panique, mais comme le dit le proverbe : mieux vaut prévenir que guérir.

L’ANSSI communique donc un bulletin avec 5 (cinq) mesures préventives qui valent même en dehors du contexte actuel en ce début mars 2022.

Le bulletin de l’ANSSI

Le bulletin en PDF

Photo Marvin Meyer pour Unspalash

Suis-je protègé en utilisant un VPN

Lors d’une réunion, j’ai entendu un intervenant dire qu’il n’avait rien à craindre pour son identification sur l’Internet car il utilisait un VPN (virtual Private Network).

Il est vrai qu’un réseau privé virtuel permet une certaine confidentialité de l’IP de votre connexion. Votre géolocalisation étant cachée, vous pouvez voir des sites non autorisés et faire du streaming sur Netflix, HBO et autres pour voir vos séries favorites en avance.

Le télétravail et la téléconférence sont devenus des actes quotidiens avec la crise Covid. Pour être « protégé », on utilise des VPN. Idem pour se connecter au réseau interne de l’entreprise.

La fausse confidentialité des VPN purs

Cependant, croire que l’on n’est pas identifiable par l’usage d’un VPN est une erreur. Votre fournisseur de VPN peut vous identifier.

Les « fingerprint », les empreintes numériques.

Conscient que les IP ne permettent pas une identification précise des internautes, les régies publicitaires et autres utilisent ce petit bout de code.

On le génère par un savant calcul de données provenant des numéros de serie de vos logiciels et matériels comme votre adresse MAC.

Les « fingerprint » fonctionnent même si vous refusez les cookies.

C’est le discret business-plan des sites fonctionnant grace au régies publicitaires et des VPN gratuits.

C’est grâce aux empreintes numériques que s’affiche un message vous demandant si vous êtes bien l’auteur d’une connexion à un compte client lorsque vous n’utilisez pas votre ordinateur habituel.

Attention, cela ne signifie pas qu’un VPN ne sert à rien, sinon les autorités chinoises ne les interdiraient pas. Mais ne pensez pas être anonyme sur Internet.

Suis-je infecté par Pegasus ?

Robin-worrall par Unsplash.com

Personne tenant un smartphone par Robin-worrall

Le sujet est à la pointe de l’actualité avec la possible compromission des iPhones de notre Président.

Soyez rassuré, à moins d’être un(e) personnalité du monde politique, des affaires, du journalisme d’investigation, ou trouble fête de toute nature, votre téléphone favori n’est pas infecté par Pegasus.

Si vous faites partie des catégories mentionnées ci-dessus ou pas du tout rassuré par toutes ces histoires, nous pouvons analyser votre « précieux » et vous donner le résultat des tests, pour Pegasus et autres infections <humour>sauf Covid</humour>.

Vol en visioconférence

Visio conference télétravail et sécurisation

Avec la crise sanitaire télétravail et visioconférence sont devenus la norme. Pourtant dans bien des cas, cela c’est fait avec les moyens du bord et dans l’urgence.

Beaucoup d’entreprises n’ont pas pensé aux risques en matière de sécurité que ces solutions (trop simple ?) faisait courir à leur réseau informatique.

La Cnil fait paraître une recommandation demandant aux services de l’État d’éviter ces logiciels qui font transiter les données par des serveurs hébergés hors Europe.

La crainte est de voir ces données utilisées par les Etats-Unis. Et lorsque l’on connait le soutien commercial du pays à ses entreprises, la peur est réelle.