Brèves du 3 au 9 avril 2023

Bonsoir à toutes et tous,

Les brèves du 3 au 9 avril 2023 sont disponibles !

En vous souhaitant une bonne lecture ainsi qu’une bonne semaine,

Le Collectif

 

Cybersécurité : un renforcement des pouvoirs de l’ANSSI envisagé

Quatre nouvelles dispositions de la prochaine loi de programmation militaire 2024-2030 vont bientôt voir le jour concernant les prérogatives et le champ d’intervention de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour rappel, cette loi est un plan stratégique de défense qui détermine le montant et l’affectation des dépenses militaires, voté tous les 5 ans. Le projet de loi pour la période 2024-2030, qui a été présenté en conseil de ministres ce mardi 4 avril, prévoit un budget de 413 milliards d’euros consacré aux armées. 

Sur le panel de la cybersécurité lié au rôle de l’ANSSI, il prévoit notamment deux cas de figures

Le premier concerne une attaque menée sans le consentement du propriétaire du nom de domaine. Dans ce cas, l’ANSSI pourra demander au propriétaire de prendre des mesures correctives dans un délai donné. À défaut de réponse satisfaisante de ce dernier, l’ANSSI aura le droit de demander le blocage ou la suspension du nom de domaine.

Le deuxième cas envisagé concerne une attaque menée par le titulaire du nom de domaine. Dans ce cas, l’ANSSI pourra ordonner une redirection vers un serveur sécurisé et neutre qu’elle maîtrise, ou encore suspendre ou saisir le nom de domaine. Pour se faire, l’ANSSI sera en étroite collaboration avec les fournisseurs d’accès à Internet (FAI) et les bureaux d’enregistrement.  

Partant, l’ANSSI n’aurait pas besoin de décision de justice pour bloquer les noms de domaines utilisés par les pirates informatiques 

À défaut de décision de justice, l’ANSSI sera soumise à un contrôle a posteriori de l’autorité de régulation des télécommunications, l’ARCEP, qui évaluera « la justification de la menace et la proportionnalité de la mesure ». Les décisions de l’ANSSI pourront également être contestées devant un tribunal administratif selon les nouvelles dispositions de la loi. 

Ainsi, selon le gouvernement, ce projet de loi permettra à l’agence experte en cybersécurité « d’augmenter sa connaissance des modes opératoires des cyberattaquants, de mieux remédier aux effets de leurs attaques et d’alerter plus efficacement les victimes des incidents ou des menaces pesant sur leurs systèmes d’information ». 

Alors que l’ANSSI a seulement accès qu’aux effets des activités malveillantes, les flux réseaux, mais ni leurs causes, le code, les logs ou encore le contenu stocké, celle-ci verrait ses pouvoirs plus étendus lors du traitement des cyberattaques. Et ce serait encore plus chose faite puisque les nouvelles dispositions mettent en place la transmission à l’ANSSI des informations sur les données techniques DNS « non identifiantes, enregistrées temporairement par les serveurs DNS qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau », permettant alors de détecter les serveurs mis en place par les attaquants et d’établir la chronologie de leurs attaques.

De plus, des obligations de signalement sont mises à la charge des éditeurs de logiciels touchés par une cyberattaque ou exposés à une vulnérabilité sur un produit utilisé : ces derniers devront en informer l’ANSSI, ce qui permettra l’amélioration de la transparence et de la réaction dans ce domaine

Il est prévu que ce texte soit examiné à l’Assemblée nationale en mai, nous saurons alors d’ici quelques mois si ces nouvelles dispositions verront véritablement le jour…

Louise FOUQUET-CRISTOFINI

 

 Sources : 

https://www.usine-digitale.fr/article/cyberattaque.N2119866 

https://www.vie-publique.fr/loi/288878-loi-programmation-militaire-2024-2030-lpm

https://www.zdnet.fr/actualites/comment-les-pouvoirs-de-l-anssi-pourrait-etre-renforces-avec-la-nouvelle-loi-de-programmation-militaire-39956680.htm

 

Amazon et sa lutte contre la contrefaçon en 2022

L’INPI définit la contrefaçon comme étant “la reproduction, l’imitation ou l’utilisation totale ou partielle d’un droit de propriété intellectuelle sans l’autorisation de son propriétaire”. Selon le site internet de la Première Ministre française, la France est le deuxième pays le plus touché par les contrefaçons au monde après les Etats-Unis. En 2020, les produits les plus contrefaits et saisis par la douane française ont été les vêtements, chaussures et accessoires. Aujourd’hui, une véritable lutte contre la contrefaçon s’est installée.

En 2022, Amazon, l’une des plus grandes entreprises de commerce en ligne, a réussi à détruire le double de produits contrefaits par rapport à 2021. L’annonce a été réalisée par le géant américain le 4 avril dernier dans son rapport annuel de Protection des marques. Le vice-président d’Amazon en charge des services aux vendeurs partenaires a précisé que toutes les catégories de produits étaient concernées.

En effet, plus de 6 millions de produits contrefaits ont été repérés en 2022 dans le monde contre seulement 3 millions en 2021 et 2 millions en 2020. La même année, le nombre de plaintes valides pour contrefaçon a chuté de 35% sur la plateforme.

Cette amélioration a été permise grâce au renforcement des contrôles. Selon Les Echos, le groupe déclare avoir investi plus de 1,2 milliards de dollars en 2022 dans ces opérations de lutte contre les contrefaçons. Le montant s’élevait seulement à 700 millions de dollars en 2020. Plus de 15 000 personnes ont été recrutées par le groupe dont des développeurs de logiciels d’intelligence artificielle et des enquêteurs spécialisés.

De plus, afin de pouvoir s’assurer de l’authenticité des produits, Amazon exige de ses vendeurs partenaires des informations très détaillées concernant leur identité, leur adresse ou leurs comptes bancaires par exemple. Des entretiens vidéo sont même organisés entre les employés et les vendeurs afin de pouvoir vérifier dans les meilleures conditions les données communiquées.

La lutte contre la contrefaçon pour Amazon est un enjeu judiciaire important. Rappelons qu’en décembre 2022, la Cour de justice de l’Union européenne (CJUE) avait été saisie par la marque de luxe Louboutin qui lui reprochait de faire la promotion de faux produits vendus sur son site par des tiers. La CJUE avait donc ouvert la voie à une responsabilité des marketplaces, en l’occurrence d’Amazon.

Enfin, le groupe a revendiqué avoir détecté plus de 800 000 tentatives de créations de comptes malveillants. Il reste important de préciser que dès l’été 2024, le règlement européen sur les services numériques (DSA) visant une responsabilisation des plateformes sera applicable.

Lili POURHASHEMI

 

Sources :

https://www.lesechos.fr/industrie-services/conso-distribution/amazon-de-plus-en-plus-de-contrefacons-detectees-1921820

https://www.inpi.fr/valoriser-vos-actifs/faire-face-la-contrefacon/quest-ce-quune-contrefacon

https://www.24matins.fr/lutte-contre-la-contrefacon-amazon-a-detruit-6-millions-de-produits-lan-passe-1356032

https://www.vie-publique.fr/en-bref/278681-la-france-deuxieme-pays-le-plus-touche-par-la-contrefacon

https://www.lefigaro.fr/societes/amazon-loue-l-efficacite-de-son-unite-de-lutte-contre-la-contrefacon-20230403

https://www.aboutamazon.fr/actualites/actualites/amazon-publie-son-rapport-sur-la-protection-des-marques

 

La FDJ expérimente un logiciel d’analyse faciale pour vérifier l’âge des joueurs

A l’occasion du Forum international de la cybersécurité du 5 avril 2023, la Française des jeux (FDJ) a déclaré qu’elle testait, depuis trois mois, un logiciel chargé de vérifier que les clients soient bien majeurs. En effet, les jeux d’argent comme les paris sportifs ou hippiques et les jeux de hasard commerciaux sont interdits aux mineurs (article L. 320-7 du Code de la sécurité intérieure). Une utilisation produisant toutefois de nombreuses interrogations sur la précision et l’utilisation des données

Concrètement, des buralistes ont aménagé des bornes dotées d’une caméra et d’un logiciel d’analyse faciale, fournis par la start-up britannique Yoti, qui déterminent l’âge approximatif de l’internaute.

Le procédé est simple : le client se place devant la caméra pour qu’une photographie soit prise puis étudiée. Un résultat en 1,5 seconde pour une précision de 1,6 an. Pour éviter les erreurs, la start-up prévoit qu’en-dessous de l’âge de 20 ans, l’individu doit présenter une pièce d’identité au buraliste.

L’article 9.1 du règlement général sur la protection des données (RGPD) interdit le traitement des « données biométriques aux fins d’identifier une personne physique de manière unique » considérées comme données sensibles. L’entreprise assure que la photographie est immédiatement supprimée après l’utilisation et qu’aucune information n’est conservée. Pourtant, elle ne serait pas la première à faillir à ses engagements en la matière (Clearview AI).

Le système de Yoti est également utilisé :

  • au Royaume-Uni pour l’achat d’alcool dans les hypermarchés,
  • par Meta pour vérifier que les utilisateurs ont 13 ans lors de leur inscription.

L’entreprise aspire à ce que son logiciel soit choisi par le Gouvernement français pour la vérification de l’âge des internautes sur les sites pornographiques.

Ninon VANDEKERCKHOVE

 

Sources :

https://www.usine-digitale.fr/article/la-fdj-teste-un-systeme-de-reconnaissance-faciale-pour-controler-l-age-des-clients.N2119581

https://www.radiofrance.fr/franceinter/la-fdj-a-experimente-chez-des-buralistes-l-intelligence-artificielle-pour-estimer-l-age-des-joueurs-2327435

https://www.01net.com/actualites/comment-fonctionne-lanalyse-faciale-experimentee-par-la-francaise-des-jeux.html

 

FIC 2023 : L’Union Européenne se dote d’un cyber bouclier

Unir les forces des membres de l’Union Européenne pour lutter contre les cybermenaces, en dotant l’Union d’un « cyber bouclier », voilà l’ambition affichée par Thierry Breton lors du Forum International de la Cybersécurité (FIC) qui s’est déroulé cette semaine à Lille.

Déjà fin 2020, l’UE avait évoqué sa volonté de se doter d’outils la rendant à même de « détecter, défendre et dissuader » face aux menaces présentes au sein du cyber espace européen. En deux ans, les instances européennes ont pu réfléchir à la mise en place de cette protection et le FIC fût l’occasion pour le Commissaire européen au marché intérieur, Thierry Breton, de la préciser. 

Ainsi, au-delà de la Directive NIS 1, bientôt révisée par NIS 2, l’UE compte adopter des règlements afin d’encadrer la protection de son cyber espace.

D’abord, l’UE va renforcer l’encadrement juridique des objets connectés avec le Cyber Resilience Act qui a été présenté en 2022 et devrait entrer en application en 2024. Ce règlement vise notamment à imposer l’approche qu’est la « cyber security by design » aux fabricants et développeurs d’objets connectés. Ces derniers devront donc accroître le niveau de sécurité de leurs produits dès leur conception et tout au long de leur cycle de vie.

Ensuite, et c’est ce règlement qui a été mis en lumière lors du FIC, le Cyber Solidarity Act vise à la coordination des efforts des Etats membres aux fins de lutte contre les cyberattaques au travers de la construction d’un cyber bouclier européen. Les contours de ce texte ont été précisés par Thierry Breton lors d’un entretien avec le journal Les Echos et seront fixés lors de sa présentation par la Commission européenne le 18 avril prochain.

Est notamment prévue la construction de cinq à six centres opérationnels de sécurité (Security Operations Centers ou SOC) répartis sur le territoire européen. Plus d’un milliard d’euros, dont les deux tiers proviendront de l’Union, devrait être investi dans la construction de ces centres qui détecteront, à l’aide de supercalculateurs et de l’intelligence artificielle, les malwares afin de prévenir en amont les risques de cyberattaques. Déjà testés sous forme de projets pilotes, ces centres devraient être opérationnels début 2024.

Le commissaire a aussi évoqué la création d’une Cyber Skills Academy européenne qui devrait former des spécialistes en cybersécurité aptes à protéger le cyber espace européen.

En conséquence, il semblerait que l’Union Européenne se dote d’un arsenal conséquent pour assurer une protection efficace de son espace numérique, protection dont le besoin n’est que plus accru du fait de la multiplication des cyberattaques depuis le début de la Guerre en Ukraine.

Esther PELOSSE

 

Sources :

https://www.lesechos.fr/tech-medias/hightech/bouclier-amendes-cyber-reserve-comment-leurope-sarme-face-aux-cybermenaces-1922127

https://www.lesechos.fr/tech-medias/hightech/nous-allons-doter-leurope-dun-bouclier-cyber-annonce-thierry-breton-1922112

https://siecledigital.fr/2023/04/05/lunion-europeenne-annonce-le-deploiement-dun-bouclier-pour-lutter-contre-les-cybermalveillances/

https://www.ouest-france.fr/societe/cyberattaque/tribune-un-bouclier-cyber-pour-l-europe-7088381

https://www.lemagit.fr/actualites/365535015/FIC-2023-Thierry-Breton-detaille-son-bouclier-Cyber-europeen

https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act

MasterIPIT