Parce que se tenir informé de l’actualité est primordial, voici l’actualité qu’il fallait retenir pour la semaine du 28 octobre au 3 novembre !
Johannesburg, Afrique du Sud, cible d’une nouvelle cyberattaque
Si l’Afrique du Sud a gagné la coupe du monde de rugby ce 2 novembre, la nation n’est pas forcément championne en cybersécurité.
La ville de Johannesburg a été touchée par une cyberattaque le 24 octobre, causée par un DDoS*, transformé en ransomware. Cette attaque, diligentée par des hackeurs, dont l’identité est méconnue*, a eu pour objet de bloquer les sites web de la ville, d’e-commerce, et le paiement en ligne.
En effet, les hackeurs demandent 4 bitcoins (environ 33 000 euros) en l’échange de la rétribution des données cryptées subtilisées à la métropole. Cela consiste en la récupération de l’accès à son réseau intranet.
La ville dit avoir été touchée le 28 octobre, sur le réseau social Twitter, à la suite de laquelle elle déclare son intention de ne pas payer la rançon.
L’entreprise centrale fournisseur d’électricité de Johannesburg, a été victime d’une cyberattaque en juillet dernier. Cela a résulté en une panne d’électricité, répandue sur l’ensemble de la ville, pendant plusieurs heures.
Un manque d’investissement dans une sécurité des systèmes informatiques par les entreprises et l’Etat, serait une des causes de la répétition de ces cyberattaques.
Cependant, même des investissements conséquents ne peuvent totalement endiguer la menace des ransomwares, désormais globale : leur nombre a été multiplié par 48 aux Etats-Unis d’Amériques entre 2013 et 2019, et une attaque similaire a touché récemment l’agglomération du Grand Cognac, en Charente, contaminant des milliers de fichiers.
*Distributed denial of service attack
*The « Shadow kill hackers » sont visés, mais leur mise en cause n’est pas véritablement rapportée.
Sources : 1.https://www.courrierinternational.com/article/rugby-lafrique-du-sud-balaie-langleterre-en-finale 2.https://www.smartcitiesdive.com/news/johannesburg-refuses-to-pay-ransom-after-cyberattack/566120/ 3.https://www.technologyreview.com/f/614630/hackers-shut-down-johannesburgs-networks-once-again/?utm_source=newsletters&utm_medium=email&utm_campaign=the_download.unpaid.engagement 4.https://cyberguerre.numerama.com/1825-lafrique-du-sud-frappee-de-plein-fouet-par-une-double-cyberattaque-ddos-et-ransomware.html 5.http://www.leparisien.fr/societe/cyberattaque-l-agglomeration-grand-cognac-refuse-de-payer-la-rancon-31-10-2019-8183676.php?utm_campaign=twitter_partage&utm_medium=social 6. https://cyberguerre.numerama.com/1803-une-carte-interactive-montre-lexplosion-des-attaques-par-ransomware-aux-etats-unis-entre-2013-et-2019.html
La CNIL contre les nouveaux dispositifs de sécurité numérique :
La Commission Nationale Informatique et Liberté (ou CNIL) a rendu 2 avis majeurs vis-à-vis de la mise en place par la puissance publique de technologies de surveillance dans l’espace public.
Le premier avis concerne l’installation de dispositifs de reconnaissance faciale à l’entrée de deux lycées situés dans la région sud. Le deuxième, quant à lui, concerne le projet de dispositif de captation et d’analyse du son dans la ville de Saint-Etienne.
Ces deux dispositifs ont fait l’objet de recours par diverses associations, dont la Quadrature du Net et la Ligue des Droits de l’Homme, et d’un avertissement par la commission. En effet, leur implantation manquerait de fondements légaux, et n’est pas conformes aux principes de proportionnalité. Elle estime de ce fait que ces dispositifs « ne sauraient être légalement mis en œuvre ».
Les avis de la CNIL, s’appuyant essentiellement sur le Règlement Européen sur la Protection des Données (RGPD) et la loi informatique et libertés de 1978, sont témoins d’un conflit croissant entre le maintien des libertés fondamentales et la volonté des pouvoirs publics d’exploiter des dispositifs invasifs à des buts pratiques ou sécuritaires.
Bien que n’ayant aucune valeur contraignante, les décisions de la CNIL ont déjà eu des effets : La ville de Saint-Etienne a annoncé qu’elle renonçait à son dispositif, et la région Sud a mis en suspend son projet afin d’analyser « ce qui n’a pas convenu à la CNIL ». Renaud Muselier, président de la région, considère cependant l’avis de la commission comme une « décision [qui] a un siècle de retard ».
Sources :
-
La Quadrature du Net, 28 Octobre 2019, « Lycées Nice Marseille : première victoire contre la reconnaissance faciale », La Quadrature du Net (https://www.laquadrature.net/2019/10/28/lycees-nice-marseille-premiere-victoire-contre-la-reconnaissance-faciale/)
-
Olivier Tesquet, 29 Octobre 2019, « Des Micros dans la rue : La CNIL tire les oreilles (intelligentes) de Saint-Etienne », Boites Noires, le blog D’olivier Tesquet ; Télérama (https://www.telerama.fr/medias/la-cnil-tire-les-oreilles-intelligentes-de-saint-etienne,n6492439.php)
-
Jérôme Hourdeaux, 28 Octobre 2019 « La CNIL juge illégale la reconnaissance faciale à l’entrée des lycées », Mediapart (https://www.mediapart.fr/journal/france/281019/la-cnil-juge-illegale-la-reconnaissance-faciale-l-entree-des-lycees)
-
Denis Meynard, « Coup d’arrêt de la CNIL aux nouveaux dispositifs de sécurité numérique », Les Echos (https://www.lesechos.fr/politique-societe/societe/coup-darret-de-la-cnil-aux-nouveaux-dispositifs-de-securite-numerique-1144064)
Facebook accusé de plagiat par Current bank
L’affaire débute au cours de l’été, alors que Facebook dévoile à ses usagers la plateforme d’échange de monnaie virtuelle Calibra. A cette période, la banque en ligne Current publie un tweet dans lequel elle s’amuse de la ressemblance troublante qui existe entre son propre logo et celui du nouvel outil proposé par Facebook.
Il est vrai qu’à les comparer, très peu d’éléments les différencient, si ce n’est les couleurs utilisées et le style graphique de la petite vague placée au centre du cercle de ces deux logos.
C’est ainsi que le 10 octobre dernier, Current déposait une plainte contre Facebook et la société de graphisme Character SF pour violation d’une marque déposée et concurrence déloyale, la banque faisant légitimement valoir qu’une similitude si frappante pourrait bien entraîner une confusion des deux marques chez les utilisateurs.
Cette affaire s’avère particulièrement déconcertante lorsque l’on sait que la société Character SF, à qui Facebook a fait appel pour la création du logo litigieux, se trouve être la société qui avait créé celui de Current trois ans auparavant. Ainsi, existe-t-il encore plagiat lorsque les deux créations proviennent d’une même personne morale ? Les spécialistes interrogés s’accordent pour affirmer que cet élément devrait inévitablement influencer l’issue du procès.
Une ultime question se pose : Facebook aurait-il intérêt à se retourner contre Character ? Le litige sera suivi de près.
Source: https://www.ieepi.org/facebook-accuse-davoir-plagie-le-logo-de-current-pour-creer-celui-de-calibra/
Protection des données personnelles et santé : le cadre NIR
Par un décret « cadre NIR » publié le 19 avril 2019, le législateur met en lumière la sensibilité particulière du Numéro d’inscription au Répertoire national d’identification des personnes physiques, plus communément appelé Numéro de Sécurité Sociale.
Par ce décret, le législateur met en lumière la sensibilité particulière de cette donnée. La Commission Nationale Informatique et Liberté (CNIL) est alors intervenue ce 31 octobre afin de préciser la portée de ce décret et son application dans le système de santé français. En effet, ce décret définit des catégories de responsables mais aussi les finalités de traitement des données pour lesquelles la collecte et l’utilisation du NIR est autorisé.
Il est ainsi interdit de collecter le NIR dans un traitement des données personnelles dès lors que la finalité du traitement ne concerne pas les catégories de responsables de traitement cités par le décret.
Ainsi, seuls quelques acteurs de la santé sont autorisés par le décret cadre à utiliser les données, et ce à des fins bien précises. On peut citer par exemple la Caisse nationale de l’assurance maladie pour la mise en œuvre du dossier médical partagé, ou le Conseil de l’ordre des pharmaciens pour la mise en œuvre du dossier pharmaceutique etc.
Le traitement des données personnelles, fondé sur l’intérêt public ou mis en œuvre à des fins de recherche, d’étude ou d’évaluation, ne sont pas concernés par les dispositions du décret « cadre NIR ». Pour ces derniers il faudra formuler une demande auprès de la CNIL.
Le décret cadre NIR fait suite au RGPD et vient apporter des précisions sur la finalité des traitements de données personnelles à caractère médical mais aussi les traitements entrant dans le champ de la protection sociale, des ressources humaines, du logement, etc.
Le domaine de la santé semble être privilégié en termes de protection des données personnelles, ce qui est compréhensible du fait de la sensibilité de ces données.
Sources :
-
https://www.cnil.fr/fr/tout-savoir-sur-le-decret-cadre-nir-dans-le-champ-de-la-sante
-
https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel
-
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038396526&categorieLien=id
L’union européenne souligne les risques de la 5g en cybersécurité :
Le développement imminent de cette nouvelle technologie soulève de nombreuses questions, en raison de sa non neutralité. Avec une technologie aussi performante, les échanges et la transmission de données seront d’une rapidité extrême, multipliant les dérives possibles.En effet, de multiples risques découlent de cette inquiétude, notamment au niveau de la confidentialité, de la disponibilité et de l’intégrité des infrastructures de 5G.
Le 9 octobre dernier, l’Union européenne a incité ses membres à identifier « les principales menaces et acteurs, les actifs les plus sensibles, les vulnérabilités possibles ainsi que les risques liés à son utilisation ». D’ici le 31 décembre, un accord doit être trouvé entre les membres pour permettre la mise en place de mesures visant à pallier ces risques de sécurité.
En outre, l’Union européenne souligne avec insistance le manque évident de transparence des fournisseurs télécom hors UE, appelant à une grande vigilance dans le domaine.
Source : https://www.lemondeinformatique.fr/?fbclid=IwAR0bzu7ec83BPNuY8BwD_vYiCH84TfwioBNCpU7v1_fyBIwTHPvAbd2Sl4k
Merci à Pauline Roth ! Rendez-vous la semaine prochaine, même heure, pour la prochaine brève!