Vers une identité numérique UE

Le Conseil et le Parlement européen ont progressé vers la création d’un portefeuille électronique d’identité numérique européenne (eID). L’accord provisoire du 8 novembre 2023, basé sur les principes établis en juin 2023, vise à faciliter et sécuriser l’accès en ligne des citoyens de l’UE.

Ce portefeuille, utilisable sur téléphone mobile, liera l’identité numérique nationale à d’autres données personnelles. Il simplifiera l’identification sur les sites dans l’UE sans divulguer de données personnelles.

L’accord précise l’usage gratuit du portefeuille et de la signature électronique pour les particuliers, la gratuité des mécanismes de validation des États membres, l’utilisation de logiciels en code ouvert, et la possibilité de vérifier les administrateurs de sites via des certificats qualifiés. La prochaine étape consiste à adapter le texte juridique à cet accord, avant son adoption officielle.

6 questions pour comprendre l’identité numérique.

Les cryptoactifs et les identifiants Web sont les données personnelles les plus à risque

Trend Micro a publié un rapport nommé « Your Stolen Data for Sale », qui met en lumière les dangers du marché noir des données personnelles et professionnelles volées. Ce rapport aborde les risques liés au vol de données, tels que l’usurpation d’identité, les pertes financières, les atteintes à la réputation et l’usage malveillant des informations. Les chercheurs ont étudié 16 programmes malveillants de vol d’informations (infostealers) actifs ces dernières années, en se concentrant sur leurs capacités de vol et les types de données ciblées. Leurs analyses, menées sur des marchés du dark web, ont permis de créer une matrice de risque.

Le rapport souligne que les crypto-monnaies et les identifiants d’authentification Internet sont particulièrement vulnérables, car ils sont très monnayables sur les marchés clandestins. D’autres données, comme les identifiants Wi-Fi et les captures d’écran, présentent un risque moindre. Google.com, Live.com, Facebook, et Instagram figurent parmi les sites dont les identifiants sont les plus vendus sur le dark web.

David Sancho de Trend Micro conseille l’utilisation de coffres-forts numériques pour les cryptoactifs et de gestionnaires de mots de passe pour les identifiants web. Le rapport révèle aussi les pays les plus touchés par le vol d’informations, avec l’Inde, le Brésil, et l’Indonésie en tête en termes de volume de données volées. En ajustant ces données en fonction du nombre d’utilisateurs d’Internet, le Portugal, le Brésil et la Grèce apparaissent comme les plus affectés.

Le rapport met en évidence l’importance croissante du vol d’informations, exacerbée par le travail hybride, et recommande de concentrer les efforts de défense sur les infostealers* les plus actifs sur le dark web.

*Infostealer : logiciel malveillant (malware) conçu pour voler des informations personnelles depuis l’ordinateur ou le réseau d’une victime.

Réparateurs indiscrets : smartphone cassé, vie privée ébréchée !

Des enquêtes menées par le site PrivacyEnd et par des journalistes de CBC News et Radio Canada ont révélé des pratiques inquiétantes chez certains réparateurs d’appareils électroniques. Plus de la moitié des techniciens ont consulté des données privées sur les appareils qu’ils étaient censés réparer, y compris des photos intimes et des historiques de navigation. Certains techniciens ont même copié ces données sur des clés USB.

Les enquêtes ont été menées en Ontario, impliquant des chaînes majeures comme Best Buy et Mobile Klinik. Les journalistes ont utilisé des logiciels de traçage pour surveiller l’activité des réparateurs. Plusieurs enseignes ont réagi en indiquant que les actions de ces techniciens étaient isolées et contraires à leurs politiques internes.

Recommandations :

  1. Sauvegarde et restauration : Avant de confier un appareil à un réparateur, effectuez une sauvegarde de vos données et réalisez une « restauration d’usine » pour effacer toutes vos informations personnelles.
  2. Chiffrement : Utilisez des outils pour chiffrer vos données sensibles, rendant leur accès difficile sans le mot de passe approprié.
  3. Recherche et réputation : Choisissez un réparateur de confiance en vérifiant sa réputation en ligne ou en demandant des recommandations.
  4. Questions sur la confidentialité : Interrogez le réparateur sur ses pratiques en matière de protection des données et assurez-vous qu’il respecte la confidentialité de vos informations.
  5. Récupération rapide : Récupérez votre appareil dès qu’il est prêt pour éviter qu’il ne reste plus longtemps que nécessaire chez le réparateur.

Sources : securite.developpez.com, bfmtv.com.

Crédit photo : Freepik

Alerte de Mozilla : Niveau alarmant de protection de la vie privée en ligne

Une étude annuelle nommée « Consumer Creep-O-Meter », menée par la Fondation Mozilla, met en évidence un niveau alarmant de protection de la vie privée en ligne.

Si certaines entreprises sont vertueuses sur la collecte des données personnelles, d’autres collectent et partagent sans vergogne prétextant la fournitures de publicités ciblées et l’entrainement des I.A.

Un outil permettant d’évaluer le niveau de respect de votre vie privée est proposé sous la forme d’un quiz : Digital Privacy Footprint

Article complet à lire ICI

Crédit photo : wallpapercave.com

QR codes : scanne-moi si tu oses !

Le QR Code est devenu courant dans la vie quotidienne et est récemment redevenu populaire avec l’application TousAntiCovid Verif. En utilisant un smartphone, il est possible de scanner un QR code pour accéder rapidement à une page Web sans avoir à saisir une longue adresse.

Cependant, l’utilisation des QR codes peut également présenter des risques de sécurité, notamment en dirigeant les utilisateurs vers des sites malveillants ou en récupérant des informations confidentielles. Une enquête récente montre que la majorité des personnes trouvent les QR codes pratiques, mais beaucoup s’inquiètent de la sécurité de leurs données lors de leur utilisation.

Pour se protéger contre les attaques potentielles liées aux QR codes, il est recommandé de suivre certaines règles de sécurité, telles que vérifier l’URL avant de cliquer sur une redirection, éviter de scanner des QR codes douteux, et ne pas installer d’applications à partir de liens QR codes non fiables. De plus, les professionnels sont encouragés à adopter des solutions de défense contre les menaces mobiles pour protéger leurs appareils.

Pour en savoir plus : francenum.gouv.fr

Image by Freepik

14 Millions de Données Clients de Free en Vente sur le Dark Web

Les données personnelles de 14 millions de clients de l’opérateur mobile Free sont en vente sur le dark Web. Un hacker a réussi à accéder à la base de données de l’opérateur, contenant des informations sensibles telles que les noms, adresses e-mail, numéros de téléphone et adresses postales des clients, puis les a mises en vente sur un forum clandestin.

Le pirate ne vend qu’une copie de ce fichier, conservant une copie pour lui-même, et exige un paiement en Monero, une cryptomonnaie assurant l’anonymat des transactions. Pour prouver son sérieux, il a publié une partie des données volées, qui semblent être anciennes, car certaines personnes concernées ont déménagé ou ne sont plus clientes de Free depuis longtemps.

Malgré leur ancienneté, ces données peuvent être utilisées pour des activités frauduleuses, notamment des campagnes de phishing et des attaques par force brute pour déchiffrer les mots de passe de comptes email.

Les constructeurs automobiles accusés de collecter des données sensibles des conducteurs : l’étude de Mozilla révèle des pratiques alarmantes

Selon la fondation Mozilla, la plupart des constructeurs automobiles ne respectent pas toujours leurs politiques de confidentialité, collectant, partageant et vendant des données personnelles issues de véhicules de plus en plus connectés. Une étude intitulée « Guide confidentialité non incluse » a analysé les pratiques de 25 constructeurs automobiles en matière de données des conducteurs.

Tous les constructeurs collectent plus de données que nécessaire. Les données sont collectées via divers moyens, y compris des capteurs, des microphones, des caméras, des téléphones, et même par les concessionnaires. Les constructeurs collectent également des informations sensibles telles que l’origine ethnique, les expressions faciales, la santé et les préférences sexuelles des conducteurs. Les marques américaines comme Tesla, Cadillac, GMC, Buick et Chevrolet sont pointées du doigt, tout comme certaines marques sud-coréennes et japonaises. Même les constructeurs européens tels que Volkswagen et Mercedes-Benz sont concernés.

La fondation Mozilla souligne les failles de confidentialité dans l’industrie automobile et estime que la monétisation des données automobiles pourrait atteindre 750 milliards de dollars d’ici 2030. En outre, 17 des 25 marques étudiées ont subi des fuites de données ou des piratages au cours des trois dernières années, exposant ainsi la vulnérabilité des données personnelles des utilisateurs.

Données synthétiques : une clé pour protéger la vie privée

Une donnée est qualifiée d’anonyme seulement si on a fait la preuve qu’on ne peut pas remonter à la personne à l’origine de cette donnée, ni directement, ni indirectement. Mais plus les données individuelles sont massives, plus elles sont potentiellement ré-identifiantes.

La donnée synthétique a pour objet la modélisation de l’individu lui-même, dont on fournit une simulation appelée un avatar. En utilisant l’intelligence artificielle de manière éthique, chaque avatar simulé est suffisamment éloigné de l’individu pour empêcher toute réidentification, mais suffisamment fidèle pour conserver toute sa valeur statistique.

La suite ICI

Protection des données et éthique : l’importance de l’IA Act européen

En avril 2022, la Commission Européenne a voté la décision de mettre en place le premier cadre mondial juridique pour réguler l’utilisation et la commercialisation de l’IA. La nouvelle législation a pour but de garantir le respect des droits fondamentaux par les technologies génératives. Le modèle est similaire au RGPD, qui se dédié à la protection des données personnelles. Elle exige également la mise en place, la documentation et le maintien de systèmes de processus et de gestion des risques. Des systèmes à risque élevé sont d’ores et déjà interdits, tels que ceux qui pourraient exploiter les données des personnes vulnérables ou proposer la mise en place de scores sociaux. La transparence sera exigée pour garantir l’utilisation responsable et légale des données. Cependant, une IA en open source pourrait poser des difficultés. L’IA Act vise à protéger les données et les droits des citoyens.

Article complet à lire ICI

Credit photo : wallpapercave

« Les progrès et les défis du Règlement Général sur la Protection des Données »

rsync-link-rgpd

Le Règlement Européen sur la Protection des Données (RGPD) adopté en 2016 semble encore perfectible, mais des progrès ont été réalisés. Une enquête menée dans les 27 pays de l’Union européenne montre une augmentation de 168% des amendes pour non-respect du RGPD en 2022, atteignant près de 3 milliards d’euros au total. La plus grande amende de 405 millions d’euros a été infligée à Meta Platform (Facebook, Instagram, WhatsApp) en Irlande pour des manquements présumés à la protection des données personnelles des enfants sur Instagram. Malgré cela, de nombreuses entreprises ne se sont pas encore conformées strictement au RGPD.

Le RGPD a également eu des effets positifs en consolidant la confiance des consommateurs et des clients, en favorisant de bonnes pratiques de sécurité et de confidentialité des données, et en responsabilisant les fournisseurs. Il a entraîné une acculturation des organisations et a permis de débloquer des budgets pour la sécurité des données. La sécurité des données est une culture essentielle, en particulier dans le cloud, où se pose la question de la protection des données actuelles. Les données contenant des informations personnelles doivent être restreintes et protégées lorsqu’elles sont partagées avec des tiers de confiance.

Le RGPD est un cadre que chaque entreprise doit respecter et il met en avant l’importance de la protection des données dans un contexte où nos vies professionnelles et personnelles sont de plus en plus connectées. La sécurité du cloud est une préoccupation majeure et continuera de l’être à l’avenir.