Les profils Linkedin siphonnés par une armée de robots Crédit Photo: D.R Le réseau social professionnel a attaqué en justice une société qui utilise des robots pour collecter les profils des utilisateurs de Linkedin et ensuite les revendre. De même, une autre entreprise propose une extension pour navigateur qui dévoile les adresses mails des abonnés. En janvier, Linkedin a déposé une plainte contre X pour la création de faux profils pour pouvoir se connecter à des utilisateurs et siphonner leurs profils professionnels. Linkedin veut maintenant obtenir des dommages et intérêts de Shon Burton et HiringSolved, qui vend ses données entre 199 et 799 dollars à ses abonnés. Une extension très indiscrète Shon Burton s'est défendu en niant qu'il avait fait quelque chose de mal. « Je peux dire que nous ne croyons pas avoir quelque chose d'illégal. Ce système de collecte d'informations sur les profils semble se développer sur Linkedin.
L'ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique La sécurité informatique est parfois trop prise à la légère par certains, avec toutes les conséquences désastreuses que cela peut avoir. Afin de limiter les dégâts et de prodiguer quelques conseils, l'ANSSI et la CGPME ont publié un guide des bonnes pratiques de la sécurité informatique. Une première approche intéressante, mais est-ce suffisant ? Selon un rapport de l'éditeur GFI, l'année 2014 a été relativement épouvantable pour la sécurité informatique avec plus de 7 000 failles identifiées, contre un peu moins de 4 800 l'année précédente. Pour début 2015, la situation ne s'améliore pas vraiment avec, par exemple, Adobe, plusieurs banques (Carbanak), l'affaire Gemalto, Labio.fr, Lenovo et Microsoft qui ont été victimes de pirates informatiques aux cours des dernières semaines. Premières règles : un mot de passe robuste et des logiciels à jour Premier élément abordé : l'incontournable mot de passe. La question de la sauvegarde des données, du stockage en ligne et du chiffrement
Numérique / Cookies : réglementation et bonnes pratiques La récente condamnation de Google à l’amende maximale de 150 000 euros que peut prononcer la Cnil (Commission nationale Informatique et Libertés) concerne sa politique de confidentialité des données, jugée non conforme à la loi Informatique et Libertés. Concrètement, Google n’informe pas suffisamment les utilisateurs de ses services sur la finalité des cookies qu’elle installe dans leurs terminaux et les dépose sans leur accord préalable. En décembre dernier, la Cnil a publié ses recommandations en la matière(1). Un document, destiné aux éditeurs de site et émetteurs de cookies (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d’audience…) pour les aider à se mettre en conformité. Cookies soumis à accord préalable des internautes Pour la Cnil, compte tenu des risques qu’ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables des utilisateurs sont notamment : - ceux liés aux opérations relatives à la publicité ciblée ;
Les technologies « finger printing » permettent de tourner la page du cookie ? Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs. Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées. Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment.
Microsoft comble une faille critique vieille de 15 ans 01net le 11/02/15 à 20h20 Chez Microsoft, on aime parfois prendre son temps pour bien faire les choses. Hier, à l'occasion de son traditionnel Patch Tuesday, l’éditeur a publié un énorme paquet de rustines Windows : neuf mises à jour pour combler pas moins de 56 failles de sécurité ! Parmi elles figure une faille critique baptisée « Jasbug » qui existe dans le système d’exploitation depuis... 15 ans. Elle a été découverte il y a un an par la société de sécurité « JAS Global Advisors » (d’où le nom de la faille) et elle est particulièrement méchante. Mais corriger cette faille n’était pas si facile, car le problème résidait dans le design même d’une partie de Windows, créée il y a quinze ans. Sources :
Cybersécurité: une majorité craint pour sa vie privée, selon un sondage Les Français et les Allemands sont beaucoup moins enclins que les Indiens ou les Japonais à livrer certaines informations personnelles pour pouvoir surfer plus facilement sur l'internet. En tout, 15 000 consommateurs ont été interrogés dans quinze pays. C'est en Allemagne que les sondés sont les moins prêts (71%) à «échanger une part de vie privée pour plus de facilité et de commodité» lorsqu'ils utilisent l'internet, par exemple parce que les annonceurs ont accès à leurs goûts et préférences et peuvent donc fournir des réponses plus appropriées à leurs recherches. La France arrive en deuxième position, avec 63% de sondés qui ne sont pas prêts à sacrifier ou partager certaines données personnelles, tandis que cette catégorie d'internautes représente 56% aux États-Unis, 52% aux Pays-Bas et baisse jusqu'à 40% en Inde, 39% au Mexique et 35% au Japon.
Une faille dans le plug-in d'analyse de WordPress Les utilisateurs de Wordpress utilisant WP-Slimstat doivent mettre le plug-in à jour. Une vulnérabilité dans le plug-in WP-Slimstat de WordPress a été corrigée dans la version 3.9.6 de l'outil. Les gestionnaires de sites WordPress utilisant le plug-in d’analyse de statistiques WP-Slimstat doivent passer sans attendre à la dernière version de l’outil, 3.9.6. La précédente version comporte une faille critique, viennent d’avertir des experts en sécurité de la société Sucuri, dans un billet. Très utilisé, WP-Slimstat a été téléchargé plus 1,3 million de fois. Il permet aux propriétaires de sites web de suivre leurs visiteurs, de surveiller les événéments JavaScript, de détecter les intrusions, d’analyser les campagnes de mails, etc.
Un espace du journal 20 minutes piraté Un espace du journal 20 minutes piraté Publié le 09-04-2014 à 13:26:05 dans le thème Réseau - Sécurité Pays : France - Auteur : Damien Bancal Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet Mots de passe, identifiants de connexion, ... un pirate passe dans le serveur de l'espace Cuisine du journal 20 minutes. Le "curieux" explique avoir injecté un shell dans le serveur, comprenez une porte cachée qui lui donne la possibilité de faire un peu tout et n'importe quoi dans le serveur "Et il m'a suffi d'ouvrir le index.php pour trouver les identifiants de la base de donnée à entrer dans phpmyadmin" indique-t-il. Une méthode que nous réfutons. Nous vous conseillons de passer par le protocole d'alerte de zataz afin de permettre une correction efficace et une mise en relation , quand cela est possible. Tweet Derniers contenus Un espace du journal 20 minutes piraté 09-04-2014 à 13:26 - 0 commentaire(s) Sur le même thème : Réseau - Sécurité Histoire Belge
L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. a) La responsabilité pénale i. Accès frauduleux Quid, pourtant, si le système n’est pas protégé ? Le maintien frauduleux ii. iii. b.
Faille de sécurité et responsabilité de l'entreprise On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. Cette obligation est d’autant plus vraie que c’est l’entreprise qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet. C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales. La responsabilité de l’entreprise A ce titre il est recommandé de : Par Yaël Cohen-Hadria, Avocate chez HAAS-Cabinet d’Avocats labellisé par la CNIL
Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre La faille dans OpenSSL est-elle une ombre au tableau du logiciel libre ? Pour l’April, une association de promotion du logiciel libre, cette conclusion ne pourrait déboucher que d’une « analyse trop rapide ». Pas question ici pour l’April d’éclipser les risques découlant de cette vulnérabilité. « L’impact de cette faille peut potentiellement être énorme » reconnaît ainsi l’association, qui ajoute aussi : « personne n'a jamais dit que le logiciel libre était infaillible ! Le libre a démontré ses atouts sur le logiciel "privatif" Mais pour l’April, la nature ouverte du code est justement ce qui a « permis de réduire considérablement l'impact de cette faille. » « Dans le cas de HeartBleed, c'est même l'analyse du code lui-même, en voulant y ajouter de nouvelles fonctionnalités, qui a permis la détection de l'erreur. Et pour elle, le cas HeartBleed est même une nouvelle illustration de ce qui fait la force du libre sur le logiciel propriétaire, qualifié ici de « privateur ». La sécurité ?