#DPO_News #cyberisques: Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Exercice difficile de rassembler en deux heures l'actualité d'une année en cybersécurité. La sélection de cette année porte sur les sujets tendances : blockchain, IoT, ransomware, cyberespionnage... Rien sur les risques industriels des systemes SCADA, rien sur la GDPR, pas un slide sur le cloud… En revanche les thèmes traités pour la plupart avaient en commun une actualité brulante: la manipulation des données personnelles et leur exploitation avec chantage à la clé (BtoB et BtoC).

Invitée d'honneur l'ANSSI a déclaré que 80% des cyberattaques pouvaient êtres détectées avec une meilleure « hygiene ». Maitre Garance Mathias et Gérome Billois ont fait une synthese remarquable sur les usages du blockchain définit comme « un réseau autonome sans tiers de confiance » et c'est bien là que pour les deux intervenants le problème se pose : comment « gérer » un écosysteme aussi indépendant doté par ailleurs de trois faiblesses : peu de securite dans les acces, idem pour les services WEB et des « vulnérabilites » dans le developpement des codes. Maitre Mathias rappelle que si jusqu'a maintenant « c'était le code qui faisait loi il est sans doute tant avec le Blockchain de réfléchir autrement en raison des erreurs de  code responsables de problèmes de sécurité au niveau des traitements ». Bref attendons les premières leçons des usages.

 

Intervention de Hervé Schauer (HSC Deloitte) : IoT et atteinte à la vie privée

Vieux routier de la sécurité et adepte des systèmes ouverts Herve Schauer a mis l'accent sur l'insécurité des IoT. Les voitures sans clés sont vulnérables. Les assurances ne couvrent pas ce type de « vol » qui laisse peu de traces d'infraction. Techno numériques et absence de preuves, beau thème aussi;  Malgré les efforts des constructeurs, les numéros d'identification à la base de la sécurité logique sont accessibles par tous chez certains constructeurs. Ce qui permet de connaître les trajets de chaque automobiliste. Première atteinte à la vie privée des automobilites  ? Certainement répond Hervé Schauer en citant chez un constructeur japonais un cas d'injection de codes malwares réalisée faute de signatures. D'ou infection, réécriture du code constructeur, mise a jour des codes « securité » et finalement prise de contrôle totale de la voiture. 

Coté drone c'est guere mieux selon HSC / Deloitte. Les faiblesses du protocole WEP utilisé réduisent les niveaux de securité. Un réel problème pour des drones employés par la gendarmerie par exemple.

Encore un exemple de détournement d'IoT: dans un autre domaine d'apparence anodine, celui des ampoules connectées la prise de contrôle peut se traduire par des clignotements opérés par les cyber-attaquants. Ces clignotements réalisés selon un code predéfini peuvent permettre d'établir un moyen de communication avec l'exterieur d'un bâtiment à travers des fenêtres. Astucieux coté attaquants mais tres pénalisant coté cyber-victimes. Idem pour les particuliers qui commencent a comprendre au delà de leurs PCs les conséquences d'une attaque malware. C'est le cas avec les TVs connectées qui une fois infectées se comportent comme une machine sous contrôle de ransomwares. Seules les constructeurs peuvent intervenir quand on peut joindre le bon interlocuteur précise Herve Schauer.

D'autres interventions ont mis en lumière les augmentations de volume des attaques DDos près d'un teraoctet avec pour conséquences une augmentation de la bande passante pour les attaquants. Depuis 2015, c'est près de 216% d'augmentation des attaques DDos en termes de volume qui existe. Toutefois, rappelons que d'apres le dernier rapport Radware (janvier 2017) les attaques de plus de 50 Gbits ne représenteraient que 4% du total des attaques. Une revue de presse précise des attaques Ransomwares a été évoquée par Eric Freyssinet expert du Ministère de l'Intérieur.

Loic Guezo de Trend Micro rappelle que si des cyber-attaques sur des machines a vote intervenaient notamment aux Etats-Unis ou plus de 50 constructeurs de ces systèmes sont installés « 1% des machines hackées suffirait a faire basculer un vote ».

Sujet d'actualité...

 

@jpbichard

@DPO_News

Capture-4-Cyberisques-DPO NEWS-itw-CNIL

 

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

 

BONUS: 

https://clusif.fr

http://www.cyberisques.com/mots-cles-24/398-panorama-2015-du-clusif-l-expertise-des-attaquants-progresse

 

https://medium.com/un-hackable/q-a-interview-with-a-hacker-hunter-8f2ef2154b06#.2ritwwsfk

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires