19 Jan 2023
Newsletter
NEWSLETTER Janvier 2023
Monde : Etats-Unis : Une interdiction gouvernementale à l’encontre de TikTok
+++
Juridique : Une loi, ratifiée par le président américain Joe Biden, a interdit la plateforme de partage de vidéos Tiktok, appartenant à la société chinoise ByteDance, sur les appareils des fonctionnaires. Cette loi interdit également l’utilisation de TikTok au sein de la Chambre des représentants et au Sénat. Cette loi a été portée par des élus conservateurs convaincus que TikTok est un outil d’espionnage et de propagande utilisé par le gouvernement chinois. Pour le député républicain Mike Gallagher, très opposé à la Chine au Congrès, TikTok est l’équivalent du « fentanyl numérique ».
(20minutes)
###
Monde : Brésil : Les données du gouvernement brésilien volées par un hacker
+++
Sécurité : Lors d’un coup d’Etat qui s’est déroulé début janvier, des milliers de brésiliens, partisans de l’ancien président Jair Bolsonaro, ont saccagé les bâtiments institutionnels de Brasília avec la volonté de faire tomber le nouveau gouvernement. Il y a eu des destructions massives ainsi qu’un vol de disque dur et de fichiers numériques qui ont été retrouvés sur le darkweb. Le groupe de hackers a déclaré avoir obtenu plus de 800Mb de données extraits du Webmail du gov.br, dédié aux sites du gouvernement brésilien. Diverses informations personnelles sur des pièces d’identité, des passeports, des reçus et courriels du gouvernement font partie des données volées.
(Zataz)
###
Monde : Russie : Un outil anti phishing créé par la Russie
+++
Technologie : Le parquet général, la banque de Russie, le ministère du Développement numérique et le Roskomnadzor souhaitent créer un système de détection automatique des sites de phishing. Ils ont déclaré que le prototype de ce nouvel outil anti phishing est déjà prêt à être utilisé. L’outil coûtera 170,7 millions de roubles soit 2,2 millions d’euros. Cet outil anti phishing a pour but de lutter contre l’utilisation de ressources de phishing qui collectent illégalement des données personnelles, ainsi que des informations sur les cartes de paiement et les mots de passe pour les opérations de banque à distance. Le bureau du procureur général, la Banque de Russie, Mintsifra et le Roskomnadzor utiliseront les données de ce nouveau système.
(Zataz)
###
Monde : Taïwan : La diffusion de données sensibles de chefs d’entreprises taïwanaises par un hacker
+++
Sécurité : Après le piratage de la base de données de la compagnie aérienne China Airlines, les informations personnelles du fondateur et du président de la Taiwan Semiconductor Manufacturing Company ainsi que celles de personnalités nationales et internationales tels que des politiciens, hommes d’affaires et célébrités ont été divulguées. Au moment où la compagnie aérienne a contacté les autorités, un pirate portant le pseudonyme « Je suis Trump » a publié dans le dark web et sur le web les détails de ces données personnelles. La violation de ces données a été confirmé par China Airlines qui a indiqué que d’après ses recherches certaines informations divulguées par le pirate ne provenaient pas de sa base de données.
(Zataz)
###
Monde : Israël : Un logiciel espion ayant la capacité de pirater n’importe quel caméra de vidéosurveillance
+++
Technologie : L’entreprise Toka a créé un logiciel permettant de rechercher des appareils dans un périmètre défini, d’infiltrer le système informatique qui gère les caméras de surveillance, puis d’en observer leurs images. Le logiciel ne laisse aucune empreinte numérique connue, il peut donc être utilisé sans qu’on puisse remarquer la présence d’intrus dans les systèmes. L’outil de Toka peut permettre aux clients de suivre un véhicule et noter ses déplacements grâce à sa plaque d’immatriculation, à l’aide des caméras de vidéosurveillance urbaines. Il permet également la falsification d’enregistrements pour faire mentir des images.
(20minutes)
###
Monde : Arabie Saoudite : Le risque de peine de mort d’un universitaire pour avoir utilisé Twitter et WhatsApp
+++
Juridique : Awad Al-Qarni, professeur de droit, âgée de 65 ans, risque la peine de mort pour des crimes présumés, notamment l’utilisation d’un compte Twitter et d’un compte WhatsApp afin de partager des informations considérées comme « hostiles » au royaume d’Arabie Saoudite. Il est reproché au professeur d’avoir utilisé ses comptes sur les réseaux sociaux afin d’exprimer à chaque occasion son opinion. Le début d’une répression contre la dissidence par le prince héritier, Mohammed bin Salman, a été marquée par l’arrestation du professeur en septembre 2017. Les procureurs ont requis la peine de mort dans cette affaire, un jugement formel n’a pas encore été rendu par le tribunal.
(The Guardian)
###
Europe : Royaume-Uni : Le piratage des données personnels du journal The Guardian
+++
Sécurité : La PDG de Guardian Media Group, Anna Bates et la rédactrice en chef, Katharine Vineron ont informé le personnel du journal que le piratage des données personnelles du personnel trouvait son origine dans un phishing. Le journal The Guardian a déclaré que les données personnelles des lecteurs et des abonnés n’ont pas été consultées. Seules les données personnelles des employés britanniques ont fait lieu d’un piratage. Toutefois, un courriel a été envoyé aux journalistes et employés leur informant que le pirate a pu consulter noms, adresses, dates de naissance, numéros d’assurance nationale, détails de compte en banque, informations sur le salaire et des documents d’identité tels que des passeports.
(Zataz)
###
Europe : Irlande : La CNIL irlandaise attaquée en justice par le CEPD
+++
Juridique : La Commission irlandaise de protection des données (DPC) inflige deux amendes à Meta Platforms Ireland Limited : une amende de 210 millions d’euros relatifs à des violations du GDPR liées à son service Facebook et de 180 millions d’euros concernant des violations liées à son service Instagram. La DPC ne pouvait que se plier à l’avis contraignant de décembre dernier émis par le CEPD. Néanmoins, la DPC n’est pas d’accord avec cet avis. La DPC décide d’attaquer en justice la décision du CEPD et annonce demander en justice l’annulation des instructions de l’EDPB. De plus, elle estime que le CEPD n’est pas compétent pour demander l’ouverture d’une enquête.
(Droit & Technologie)
###
Europe : Le renforcement de la sécurité IT en Europe avec la Directive NIS 2
+++
Législation : La Directive NIS2 a été publiée et porte le nom de Directive (UE) 2022/2555, elle provient du Parlement européen et du Conseil. Cette directive concerne des mesures destinées à assurer un niveau élevé commun de cybersécurité sur l’ensemble du territoire de l’Union européenne. Elle modifie le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abroge la directive (UE) 2016/1148 (directive SRI 2). La Directive NIS2 remplace la directive de 2016, et a pour but notamment de renforcer la résilience des infrastructures IT de l’UE face aux attaques informatiques. La liste des secteurs concernés est élargie. Cette directive augmente considérablement le nombre d’entreprises potentiellement impactées.
(Droit & Technologies)
###
Europe : CJUE : L’exercice parallèle des recours administratif et civil prévus par le RGPD
+++
Juridique : La Cour de justice de l’Union européenne considère que l’exercice parallèle des recours administratif et civil prévus par le règlement général sur la protection des données est possible de manière concurrente et indépendante, à condition que les États membres s’assurent que cela ne porte pas préjudice à l’application cohérente et homogène du règlement. Ainsi, le RGPD ne prévoit pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité de contrôle ou par une juridiction quant à l’existence d’une violation des droits concernés.
(LegalNews)
###
Europe : CJUE : Le droit de savoir l’identité des destinataires de ses données personnelles
+++
Juridique : La Cour de justice de l’Union européenne a confirmé qu’un utilisateur est en droit de demander au responsable de traitement la transmission de l’identité des destinataires de ses données personnelles. En effet, toute personne a le droit de savoir à qui ses données personnelles ont été communiquées, sauf lorsqu’il est impossible pour le responsable du traitement d’identifier les destinataires concernés ou que la demande soit manifestement infondée ou excessive. Si l’identité des destinataires est inconnue, le responsable de traitement peut alors se contenter d’indiquer les catégories des destinataires.
(LegalNews)
###
Europe : CJUE : La vente de Louboutin sur Amazon
+++
Juridique : La Cour de justice de l’Union européenne estime qu’Amazon pourrait être considérée comme faisant lui-même l’annonce de faux produits Louboutin vendus sur son site par un vendeur tiers. En effet, Amazon fait usage du signe enregistré par Louboutin lorsque l’utilisateur de son site a l’impression que c’est elle qui commercialise, en son nom et pour son compte, des escarpins de la marque. La Cour souligne que c’est notamment le cas lorsqu’Amazon présente de manière uniforme toutes les annonces sur son site Internet, en faisant apparaître son propre logo de distributeur renommé également sur les annonces des vendeurs tiers, et qu’elle effectue le stockage et l’expédition des produits.
(LegalNews)
###
France : La télésurveillance médicale en plein essor
+++
Technologie : L’utilisation de dispositifs médicaux connectés et notamment la télésurveillance médicale a fait beaucoup de progrès ces dernières années. La loi de financement de la Sécurité sociale pour 2022 a fait entrer les activités de télésurveillance dans le droit commun français. L’entrée en vigueur de ce dispositif a été longue, toutefois un nouveau pas vers la progression de la télésurveillance a été franchi avec deux décrets publiés au Journal officiel. Le premier décret concerne les modalités d’évaluation et d’inscription au remboursement de la télésurveillance et le second décret porte sur la déclaration des activités de télésurveillance des équipes soignantes aux agences régionales de santé.
(Zdnet)
###
France : La condamnation de TikTok à une amende de 5 millions d’euros par la CNIL
+++
Société : La Commission nationale de l’informatique et des libertés a sanctionné l’application de partage de vidéos TikTok à une amende de 5 millions d’euros, car le réseau social a violé la loi Informatique et libertés, en ne permettant pas à ses utilisateurs de refuser les cookies aussi facilement que les accepter et en ne les informant pas précisément des objectifs des différents cookies. Les cookies sont des traceurs informatiques utilisés pour suivre le comportement des internautes et leur proposer des publicités ciblées. La CNIL précise que les contrôles sur les cookies concernent le site Web de TikTok et non l’application mobile.
(Le Monde)
###
France : Apple sanctionné par la Cnil à une amende de 8 millions d’euros
+++
Société : La Commission nationale de l’informatique et des libertés a sanctionné Apple à une amende de 8 millions d’euros pour avoir imposé des traceurs publicitaires à ses utilisateurs en France, sans recueillir explicitement leur consentement. Après une plainte de l’association France Digitale, qui fédère les start up françaises et notamment des développeurs de logiciels distribués via le magasin d’applications d’Apple, une enquête a été lancée par la Commission nationale de l’informatique et des libertés. La sanction ne concerne que la France, car elle se fonde sur la directive européenne e-Privacy, qui ne permet que d’infliger des sanctions nationales. Le Règlement européen sur la protection des données, permettant d’infliger des sanctions à l’échelle européenne, ne peut pas s’appliquer ici.
(LegalNews)
###
France : Une campagne de hameçonnage via le site Booking
+++
Sécurité : Le Groupement national des indépendants Hôtellerie et restauration a déclaré qu’une campagne de hameçonnage vise l’hôtellerie française. Le stratagème de ces escroquerie est de prendre le contrôle de l’espace Booking d’un hôtelier, puis d’escroquer des clients. Il procède à leur hameçonnage tout d’abord par l’envoi de messages à un hôtel par de faux clients. L’expéditeur va par exemple demander au destinataire de l’aide afin de guider ses parents âgés. Ensuite, il précise qu’il faut ouvrir le lien sur un ordinateur Windows et non un smartphone, afin d’accéder à des photos sur Google Maps.
(Zdnet)
###
France : Une campagne de hameçonnage basée sur des faux sites AnyDesk
+++
Sécurité : Une campagne de hameçonnage basée sur des faux sites AnyDesk a été repérée et signalée. Une page usurpant le site officiel de AnyDesk a été hébergée par plus de 1 300 noms de domaines. Cette page renvoie ses cibles depuis un compte Dropbox vers le téléchargement d’un stealer, Vidar. Les noms de domaine dans la campagne de hameçonnage ne font pas que recours à la technique de l’usurpation ou l’imitation d’une marque. En effet, ils utilisent également la technique du typosquatting, qui consiste à acheter des noms de domaine dont la graphie ou la phonétique ressemble au site fréquenté par les internautes, l’internaute sera alors dirigé vers le site de typosquattage en cliquant sur le lien.
(Zdnet)
###
France : Le détournement de ChatGPT pour écrire des logiciels malveillants
+++
Sécurité : Les analyses réalisées sur plusieurs grands forums de piratage clandestins du dark web montrent que les cybercriminels utilisent déjà le ChatGPT, créé par OpenAl pour développer des outils facilitant les cyberattaques et les opérations malveillantes. OpenAI interdit spécifiquement la génération de logiciels malveillants dans ses conditions d’utilisation. Cela signifie que les rançongiciels, les enregistreurs de frappe et les virus ne devraient pas être générés par le ChatGPT. Toutefois, selon des analyses, ce chatbot permet déjà à des cybercriminels de bas niveau sans grandes compétences en développement ou en codage de créer des logiciels malveillants.
(Zdnet)
###
France : Le chantage de la société Nuxe par le groupe de hackers LockBit
+++
Sécurité : Les hackers malveillants du groupe LockBit demandent 300 000 dollars, en bitcoins ou en Monero, avant un délai d’une petite dizaine de jours, à la société de cosmétique Nuxe, pour supprimer 29 gigaoctets de données volées. Le groupe LockBit a publié des documents internes de la société Nuxe afin de prouver le sérieux de leurs propos. La société déclare qu’elle a déposé plainte et signalé la violation de ses données à la CNIL. De plus, elle précise avoir engagé une enquête interne, en engageant des experts afin de trouver l’origine de l’attaque informatique.
(Zdnet)
###
