@DPO_News @cyberisques Vente de données personnelles : de 1 et 70€ par demande validée

Communication corporate:  KWALEAD

 

Vente de données personnelles : de 1 et 70€ par demande validée

 

 

Communiqué:  

La startup KWALEAD lance la première marketplace qui permet à ses membres de monétiser directement aux partenaires leurs données personnelles.
enquêtes, tests produits, etc.. Ils peuvent déposer leurs demandes de devis afin de les monétiser par une mise en relation avec nos partenaires.

Les membres participent à des sondages, enquêtes, tests produits, etc.. Ils peuvent déposer leurs demandes de devis afin de les monétiser par une mise en relation avec nos partenaires.

Plus de 20 catégories et 120 formulaires disponibles : Banque, Finance, Assurance, Travaux, Automobile, Energie, Immobilier, Paris sportifs, Sondages, Test produit, Enquêtes, Jeux-concours.

 

kwalead-vente-données-perso

 

Kwalead est rémunéré par les annonceurs, nous partageons notre rémunération avec nos membres, nous appelons cela le PAYBACK.

Après s’être inscrit le membre participe à des sondages, tests, enquêtes ou déposer une demande de devis.

Il sélectionne le partenaire en fonction de la rémunération qui lui sera proposée.

Les données personnelles sont envoyées aux partenaires.

Ses gains sont disponibles dans sa cagnotte.

La rémunération varie de 1 et 70€ par demande validée.

100% transparent :

Toutes les informations envoyées aux partenaires sont visibles sur le compte du membre qui pourra savoir à tout moment quelles données sont réellement utilisées et par quel partenaires.

 

Augmentez votre pouvoir d’achat.

Nos membres peuvent percevoir de 1 à 70€ par demande et gagner jusqu’à 500€ par mois.


Plus de 20 catégories et 120 formulaires disponibles : Banque, Finance, Assurance, Travaux, Automobile, Energie, Immobilier, Paris sportifs, Sondages, Test produit, Enquêtes, Jeux-concours.

 

BONUS: 

 

http://www.atlantico.fr/decryptage/en-chine-big-brother-en-plus-epier-vend-vos-donnees-personnelles-franck-decloquement-2928149.html

 

Abonnemnt-2017

 

 

#Cyberisques #DPO_News : 64% de français pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvé

 

64% de français pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvé

 

 

A l'occasion de la 10ème journée Mondiale de la protection des données le 28 janvier 2017 une sensibilisation à l'échelle mondiale est organisée. A l'heure ou certains pays semblent vouloir durcir le ton - https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/ - un rappel sur les fondamentaux de la protetion des données à caractère personnel et de la misene place en Europe du GDPR s'impose : http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

 

Jean-Noel-de-Galzain

 

Une mobilisation notamment rappellée lors du FIC 2017 par Jean-Noel de Galzain Président de Hexatrust (cf section BONUS)  prend toute sa dimension: 

-          « les technologies combinées de notre organisation, permettent de répondre aux enjeux de mise en conformité et de sécurité des entreprises, administrations et utilisateurs. Il faut pouvoir choisir des solutions de confiance et souveraines qui soient certifiées et validées par L’ANSSI. »

 

-          « Peut-on envisager une Europe numérique protégée par une industrie Européenne de la Cybersécurité ? Pour mettre en œuvre nos lois sur la protection des infrastructures critiques (LPM,NIS) et sur la protection des données (loi de 1978,RGPD),pour protéger nos identités numériques et celles de nos enfants et les actifs de nos entreprises, il est indispensable de transformer la mise en œuvre de ces réglementations européennes et nationales en opportunités de marché au service de notre industrie. »

 (propos recueillis par Gérald Delplace) 

 

A lire également pour la journée de la protection des données à cartère personnel la dernière étude de la quadrature du Net ou l'on peut lire ceci à propos des demandes par certaines autorité de dispsoer de "backdoors" pour leurs services:

"Un droit au chiffrement sûr, sans portes dérobées et accessible à toutes et tous de façon égale apparaît indispensable, non seulement pour conserver la confiance que les utilisateurs accordent aux services et outils numériques, mais également pour assurer le respect de la vie privée et la protection des données personnelles : deux libertés fondamentales consacrées par la DUDH, le PIDCP et les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne12 ."

 L’Observatoire des libertés et du numérique appelle les acteurs publics et acteurs privés du numérique à :

 renoncer à toute initiative visant à affaiblir juridiquement ou techniquement les outils de chiffrement ;

 consulter les institutions et les acteurs de la société civile pertinents suffisamment en amont de tout projet qui aurait des incidences sur le chiffrement ;

 garantir à toute personne l’accès à un chiffrement robuste, outil indispensable au respect du droit à la vie privée dans le domaine numérique ;

 promouvoir auprès du public l’importance du chiffrement de ses données et communications numériques et en faciliter l'utilisation et le développement.

https://www.laquadrature.net/files/201701_Oln_chiffrementsecuritelibertes.pdf 

 

Les correspondants « informatique et libertés » futurs DPO pour certains dans le cadre des exigences du GDPR (reglement EUR pour la protection des données à caractère personne)l se sont réunis à Paris lors de l'universite de l'AFCDP. (lire article sur cette journée sur Cyberisques News). 

 

Dernière enquête du cabinet Wavestone menée auprès de 1587 personnes dans 6 pays (France, Allemagne, Angleterre, Italie, Chine et Etats-Unis).

Data-Perso-Wavestone-1-2017-DPO NEWS

 

L'approche d'un éditeur: Sophos 

Michel Lanaspèze, Head of Marketing Western Europe de Sophos, déclare : «  Dans moins de 18 mois - en mai 2018 - les entreprises et organismes publics devront être pleinement conformes aux exigences du RGPD. Bien que la date semble encore lointaine, le délai peut se révéler court pour certains, en particulier si rien n’a encore été fait pour protéger les données des clients et des employés. Protéger la vie privée n’est pas un tâche qui s’accomplit en un jour, car cela exige de mettre en place des processus et d’adopter des comportements qui concernent l’ensemble de l’organisation. »

 

 

Les entreprises jouent un rôle essentiel dans la protection de la vie privée. Ce 28 janvier 2017, la journée mondiale de la protection des données arrive opportunément pour leur rappeler que, si elles ne l’ont pas déjà fait, il est grand temps de se préparer à la mise en conformité avec le nouveau Règlement Général sur la Protection des Données à caractère personnel (RGPD).

 

Il ajoute : « Jusqu’à aujourd’hui, les entreprises ont pu s’accommoder de la perte de données de leurs clients ou employés sans trop de problèmes la plupart du temps. Le nouveau règlement donnera aux autorités de régulation le pouvoir d’imposer des amendes très substantielles et d’exiger la notification des pertes de données aux utilisateurs, ce qui peut les exposer à de sérieuses difficultés, tout particulièrement les PME et les ETI qui sont souvent mal préparées. Ce sont ces organisations qui courent le plus grand risque d’être prises de court après la date buttoir de mai 2018, et ce d’autant plus que les autorités chercheront à montrer en exemple les cas graves de pertes de données, après l’entrée en vigueur du RGDP. Je m’attends à une augmentation progressive de l’intérêt pour les technologies de chiffrement dans la seconde moitié de l’année 2017,  avec la prise de conscience graduelle des exigences du RGDP, suivie d’un pic début 2018 quand les entreprises se précipiteront pour être prêtes avant mai 2018. »

 

Sophos donne les conseils suivants : 

 

  1. Ne pas faire preuve de négligence : il est crucial de prendre le RGPD et la protection des données à caractère personnel au sérieux dès aujourd’hui.

 

  1. Prendre le temps de bien comprendre le RGDP et les mesures à mettre en place. Dans le doute, il ne faut pas hésiter à prendre conseil auprès de ses partenaires en sécurité informatique et d’experts juridiques.

 

  1. Travailler étroitement avec sa DRH pour s’assurer que ses employés comprennent les mesures mises en place pour protéger leurs informations à caractère personnel.

 

  1. S’assurer que ses employés comprennent ce que l’entreprise attend d’eux pour assurer la protection des données personnelles détenues. Ils doivent être pleinement conscients que la sécurité des données de leurs clients dépend de leur bon comportement, de la même manière que la sécurité de leurs propres données personnelles dépend du bon comportement des employés du département des Ressources Humaines.

 

  1. Ne pas donner à ses employés l’accès à des données dont ils n’ont pas besoin pour leurs missions - le RGPD considère que la simple lecture de données à caractère personnel par des personnes non habilitées est une violation de sécurité.

 

  1. Quand l’entreprise collecte des données, elle doit systématiquement les protéger. Dans le doute, il est recommandé de traiter toutes les données collectées auprès de ses employés et de ses clients comme des données à caractère personnel. Mieux encore, il n’est pas nécessaire de collecter des données inutiles. Les pirates ne peuvent pas voler ce que l’entreprise n’a pas.

 

  1. Valoriser le professionnalisme avec lequel l’organisation traite les données à caractère personnel. Il est important de mentionner précisément les données qui sont collectées, ce que l’entreprise prévoit d’en faire et combien de temps elles seront conservées. Il faut éviter le jargon juridiques et privilégier la simplicité dans ses explications. Ainsi, les clients auront davantage confiance en la marque si celle-ci se montre franche et honnête.

 

  1. S’assurer que les mots de passe ne soient jamais partagés et qu’ils soient complexes et uniques. Cela rend non seulement les données plus difficiles à voler, mais c’est également un gage de responsabilité contre les abus de privilèges qui peuvent porter atteinte à la vie privée.

 

  1. Utiliser le chiffrement pour protéger les données contre le vol et le fuites de données accidentelles. Les entreprises en auront besoin pour prouver aux autorités de régulation en charge d’appliquer le RGPD que tout a été mis en œuvre pour protéger les données de leurs employés et de leurs clients.

 

BONUS: 

http://www.hexatrust.com/

https://www.wavestone.com/fr/insight/vie-privee-numerique-conformite-confiance/

https://www.teachprivacy.com/privacy-training-data-privacy-day/

 

 

 

 

 Abonnemnt-2017

 

Ransomware as a Service (RaaS) ESET dévoile des menaces contre les institutions financières russes

Communication Corporate: 

 

ESET dévoile des menaces contre les institutions financières russes

 

Rendu public ce jour, le rapport d’ESET présenté lors de la conférence « Virus Bulletin » à Denver en octobre 2016 détaille les attaques actuelles contre les institutions financières russes. On en dénombre plus de 600, ciblées par de nombreuses APTs. Leur analyse ainsi que celles des groupes criminels opérant dans cette zone sont passées en revue dans ce rapport.

Eset-Rapport-2016-Institutions-Fiancières

 

Récemment, la banque centrale de Russie annonçait une tentative de vol 2.87 milliards de roubles appartenant à des institutions financières russes. Selon le rapport de la banque (CBR), AWS CBC (Automated Working Station of the Central Bank Client software) a été attaqué. Certaines personnes ont supposé à tort que la banque centrale de Russie était la cible principale de l'attaque.

« La confusion est née du fait des publications affirmant que la banque centrale de Russie était victime de ce vol. Cependant, au cours des attaques utilisant AWS CBC, il s'est avéré que l'argent volé appartenait aux banques utilisant ce service et par conséquent qu'il ne s’agissait pas de celui de la banque centrale, » explique Jean-Ian Boutin, Malware researcher chez ESET.

Les attaques utilisant AWS CBC font partie des nombreux types d'attaques répertoriés par ESET dans cette étude. « Nous présentons également des attaques sur des distributeurs automatiques de billets, les systèmes de traitement des cartes bancaires, les terminaux SWIFT et commerciaux, » conclut Jean-Ian Boutin.

 

Le rapport d’ESET sur les attaques actuelles contre les institutions financières de Russie est disponible en cliquant ici.

 

 

Consulter également l’article disponible sur WeliveSecurity (extraits) 

Cybercrime services for the highest bidder

 

The services sales model represents the natural evolution of the offer into a market that is responding to a constantly growing demand. This means that IT threat developers, as well as those monetizing stolen data or kidnapping data, have begun to extend their portfolios, activities, and operations into a market that is requesting this type of service, whether it be to affect companies, industries, users, or even governments.

 

  • Fraud as a Service (FaaS)

 

In the cybercrime arena, one of the industries most affected by fraud is banking. A significant number of threats in the digital era have been developed to generate losses for the users, mainly in the credit and debit card sector, although fraud is not only limited to this transaction option.

 

Similarly, the range of threats goes from stealing cards, skimming and social engineering to attacks by phishing, and malware such as PoS (Point of Sale) and banking trojans – all with the intention of obtaining banking data. In this context, fraud as a service can be offered, from the sale of tools to carry out skimming to malicious codes especially developed to steal financial data, such as Zeus.

 

  • Malware as a Service (MaaS)

 

Additionally, some years ago malicious code began to be offered as a service, developed for specific activities and in parallel with exploit kits. Once they have infiltrated systems via vulnerabilities, they can insert malware tosteal data and passwords, spy on users’ activities, send spam, and access and remotely control the infected equipment using an entire command and control (C&C) infrastructure.

 

This same principle has been used to begin to propagate ransomware, that is, malicious code designed to kidnap files or systems and ask for a payment to retrieve them, thus taking the principle of extortion, as applied to the digital environment, to a new level. Exploit kits or botnets such as Betabot have begun to diversify their malicious activities.

 

  • Ransomware as a Service (RaaS)

 

The main idea of ransomware as a service focuses on the fact that the people who develop this threat are not those who propagate it – their task is limited to developing tools that are capable of generating this type of malware automatically. Consequently, a different group of individuals is involved in using these tools to create than the group propagating it, whatever their skills or technical knowledge.

 

In this business model, both the developers of the tools for generating ransomware and the individuals who distribute it enjoy financial gains, in a “win-win” relationship. A well-known example of ransomware as a service is Tox.

 

  • Attacks as a Service (AaaS)

 

In the same context, attacks can be offered as a service. For example, different attacks such as distributed denials of service (DDoS) may be the result of a large number of infected systems belonging to a botnet, which are offered and hired out so that this type of attack can be carried out. Moreover, they can be used to propagate more malicious code, send unwanted mass mails, or even be used to mine bitcoins.

 

 

 

#DPO_News #cyberisques: Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Exercice difficile de rassembler en deux heures l'actualité d'une année en cybersécurité. La sélection de cette année porte sur les sujets tendances : blockchain, IoT, ransomware, cyberespionnage... Rien sur les risques industriels des systemes SCADA, rien sur la GDPR, pas un slide sur le cloud… En revanche les thèmes traités pour la plupart avaient en commun une actualité brulante: la manipulation des données personnelles et leur exploitation avec chantage à la clé (BtoB et BtoC).

Invitée d'honneur l'ANSSI a déclaré que 80% des cyberattaques pouvaient êtres détectées avec une meilleure « hygiene ». Maitre Garance Mathias et Gérome Billois ont fait une synthese remarquable sur les usages du blockchain définit comme « un réseau autonome sans tiers de confiance » et c'est bien là que pour les deux intervenants le problème se pose : comment « gérer » un écosysteme aussi indépendant doté par ailleurs de trois faiblesses : peu de securite dans les acces, idem pour les services WEB et des « vulnérabilites » dans le developpement des codes. Maitre Mathias rappelle que si jusqu'a maintenant « c'était le code qui faisait loi il est sans doute tant avec le Blockchain de réfléchir autrement en raison des erreurs de  code responsables de problèmes de sécurité au niveau des traitements ». Bref attendons les premières leçons des usages.

 

Intervention de Hervé Schauer (HSC Deloitte) : IoT et atteinte à la vie privée

Vieux routier de la sécurité et adepte des systèmes ouverts Herve Schauer a mis l'accent sur l'insécurité des IoT. Les voitures sans clés sont vulnérables. Les assurances ne couvrent pas ce type de « vol » qui laisse peu de traces d'infraction. Techno numériques et absence de preuves, beau thème aussi;  Malgré les efforts des constructeurs, les numéros d'identification à la base de la sécurité logique sont accessibles par tous chez certains constructeurs. Ce qui permet de connaître les trajets de chaque automobiliste. Première atteinte à la vie privée des automobilites  ? Certainement répond Hervé Schauer en citant chez un constructeur japonais un cas d'injection de codes malwares réalisée faute de signatures. D'ou infection, réécriture du code constructeur, mise a jour des codes « securité » et finalement prise de contrôle totale de la voiture. 

Coté drone c'est guere mieux selon HSC / Deloitte. Les faiblesses du protocole WEP utilisé réduisent les niveaux de securité. Un réel problème pour des drones employés par la gendarmerie par exemple.

Encore un exemple de détournement d'IoT: dans un autre domaine d'apparence anodine, celui des ampoules connectées la prise de contrôle peut se traduire par des clignotements opérés par les cyber-attaquants. Ces clignotements réalisés selon un code predéfini peuvent permettre d'établir un moyen de communication avec l'exterieur d'un bâtiment à travers des fenêtres. Astucieux coté attaquants mais tres pénalisant coté cyber-victimes. Idem pour les particuliers qui commencent a comprendre au delà de leurs PCs les conséquences d'une attaque malware. C'est le cas avec les TVs connectées qui une fois infectées se comportent comme une machine sous contrôle de ransomwares. Seules les constructeurs peuvent intervenir quand on peut joindre le bon interlocuteur précise Herve Schauer.

D'autres interventions ont mis en lumière les augmentations de volume des attaques DDos près d'un teraoctet avec pour conséquences une augmentation de la bande passante pour les attaquants. Depuis 2015, c'est près de 216% d'augmentation des attaques DDos en termes de volume qui existe. Toutefois, rappelons que d'apres le dernier rapport Radware (janvier 2017) les attaques de plus de 50 Gbits ne représenteraient que 4% du total des attaques. Une revue de presse précise des attaques Ransomwares a été évoquée par Eric Freyssinet expert du Ministère de l'Intérieur.

Loic Guezo de Trend Micro rappelle que si des cyber-attaques sur des machines a vote intervenaient notamment aux Etats-Unis ou plus de 50 constructeurs de ces systèmes sont installés « 1% des machines hackées suffirait a faire basculer un vote ».

Sujet d'actualité...

 

@jpbichard

@DPO_News

Capture-4-Cyberisques-DPO NEWS-itw-CNIL

 

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

This email address is being protected from spambots. You need JavaScript enabled to view it.

#Cyberisques

#DPO_News

 

BONUS: 

https://clusif.fr

http://www.cyberisques.com/mots-cles-24/398-panorama-2015-du-clusif-l-expertise-des-attaquants-progresse

 

https://medium.com/un-hackable/q-a-interview-with-a-hacker-hunter-8f2ef2154b06#.2ritwwsfk

 

Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

Communication Corporate: 

Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

A cette occasion, Bitdefender offre un outil gratuit d’analyse approfondie

pour détecter des menaces cachées.

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L'opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que GoznymMarcherDridexMatsnuURLZoneXSWKitPandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l'ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d'euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d'abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d'autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l'empêcher de se connecter à Internet ou d'accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changerqui a rendu impossible l'accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

« Le nettoyage est une étape cruciale que les victimes doivent effectuer afin d'assurer l'éradication complète de ces malwares. Même si nos produits ont réussi à détecter ces menaces depuis leur émergence, l'outil de suppression que nous avons mis en place dans le cadre de la coopération avec Europol, permet aux victimes de désinfecter totalement leurs machines et de les nettoyer après le passage du botnet. Cet outil peut très bien être utilisé en parallèle d'autres solutions de sécurité », a déclaré Catalin Cosoi, Directeur de la Stratégie de Sécurité chez Bitdefender.

Si un utilisateur a des doutes sur le fait que son ordinateur soit infecté par l’un de ces botnets ou s’il souhaite lancer une vérification rapide, Bitdefender conseille de télécharger l'outil de suppression gratuit et d'exécuter une analyse complète du système.

Remerciements à l'équipe de recherche antimalware de Bitdefender au bureau d'Iasi qui a travaillé sans relâche pour proposer la suppression et la désinfection gratuites de toutes les familles de malwares qui ont fait l'objet du démantèlement : Dragos Gavrilut – Directeur de la Recherche Antimalware, Dan Anton - Chef de Projet Technique, Razvan Benchea - Chef d'Équipe de la Recherche Malware, Mihai Leonte - Chercheur Antimalware.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information