Newsletter ; l’actualité de la semaine du 8 au 14 mai | RGPD Express

Wow ! Une semaine plus courte que les autres avec un jour férié mais bien riche en actualité! Si vous vous demandez de quoi je parle, lisez la suite ! Comme d’habitude, n’hésitez pas à interagir avec nous sur nos différents réseaux sociaux ou en commentaire, bonne lecture !

Panique aux Etats-Unis !

Vous n’avez pas pu le rater ! C’était l’actualité brulante de la semaine dernière ! La compagnie Colonial Pipeline a été victime d’une cyberattaque. 

Colonial Pipeline c’est un des plus grands réseaux d’oléoducs pour produits raffinés aux États-Unis, allant des raffineries au Texas jusqu’à la région de New-York et représentant le transport de presque 45% des carburants consommés dans l’Est Américain. 

Pour tenter de contenir la menace, l’entreprise s’est vue obligée de mettre certains systèmes hors ligne ce qui a affecté les systèmes informatiques et de surcroît entraîné une interruption de toutes les opérations de pipelines. 

En parallèle, ils ont évidemment décidé de résoudre le problème ainsi que d’enquêter sur la nature et la portée de l’incident, en contactant les forces de l’ordre, des agences fédérales et d’autres agence telles que la CISA, l’agence américaine de la sécurité des infrastructures et cybersécurité. 

Ils ont ainsi pu déterminer que l’incident contenait un ransomware, un logiciel malveillant profitant de vulnérabilités dans les systèmes informatiques de leurs victimes pour crypter tout ce qui s’y trouve et ainsi exiger une rançon. Les auteurs de l’attaque ont aussi été identifiés, il s’agit de DarkSide, un groupe de cybercriminels déjà connus pour de multiples ransomware, qui se déclare apolitique et ne souhaite pas être relié à quelconque gouvernement. 

Le président Américain a confirmé que le gouvernement russe n’était pas impliqué mais que l’attaque provenait de leur territoire. De ce fait, l’administration américaine est en communication directe avec Moscou. 

Cette attaque pourrait avoir de fortes conséquences pour une partie du pays. En effet, la compagnie livre les produits raffinés tous les 5 jours. Par conséquent, si l’attaque rend indisponible les services de l’entreprise pour un délai de 4 ou 5 jours, les terminaux,  stations services, compagnies aériennes et tous les consommateurs d’essence pourraient bien rencontrer une pénurie.  Et un vent de panique s’est fait sentir chez les Américains qui craignaient de manquer d’essence. 

L’incident n’a pas duré longtemps. Quelques jours après, l’entreprise a pu rouvrir certaines de ses lignes de distributions. Néanmoins, les lignes principales, elles, ont été inopérantes un peu plus longtemps. 

L’entreprise aurait aussi payé une rançon de 5 millions de dollars pour pouvoir avoir accès à nouveau à ses données. 

Le groupe DarkSide a annoncé sa dissolution, leur site n’étant plus disponible depuis mercredi dernier. Le groupe a annoncé à ses associés avoir perdu l’accès à ses infrastructures en accusant les autorités américaines et la pression de leur pays. Cependant, cette information est à prendre avec des pincettes car il est courant de voir cette pratique par les gang de cybercriminels qui tentent de se faire oublier…

Dans un contexte où nous ne pouvons plus nier l’importance de la cybersécurité notamment pour les acteurs nationaux d’importance vitale, Joe Biden, le président actuel des Etats-Unis à signé au milieu de la semaine précédente, un décret renforçant la sécurité du pays face aux attaques informatiques. 

Entres autres, il a annoncé la création d’un comité d’examen des cyber-incidents qui enquêtera sur les piratages et incidents majeurs afin de comprendre les tenants et les aboutissants ainsi que les auteurs de tels actes. Il a aussi annoncé la création de nouvelles normes logicielles, à mettre en place dans les 180 jours à venir,  pour sécuriser d’autant plus les agences gouvernementales américaines et limiter le risque de piratage ; détection et réponse des points d’accès, tenue de journaux, authentification multi facteurs, chiffrement des données, sécurité des échanges entre les gouvernements et entreprises privées sont des grands axes. 

A voir si l’affaire va s’arrêter là….

La position de la CNIL sur le passe sanitaire

Vous avez surement dû voir l’information passée, le Gouvernement avait créé un projet de passe sanitaire pour permettre aux Français de se rendre dans des lieux publics rassemblant un grand nombre de personnes. 

La CNIL a donné son avis sur ce projet. En effet, celle-ci demande plus de précisions et de garanties supplémentaires.

On est tous pressés de retourner à la “vie normale” et de pouvoir de nouveau manger au restaurant, aller à un concert ou encore se déplacer librement pour passer nos vacances.  Cependant, ceci n’est pas chose simple. En effet, il est indispensable de limiter le risque de contamination. Pour ce faire, le gouvernement avait projeté de conditionner l’accès aux lieux générant de grands rassemblements, à hauteur de plus de 1000 personnes. Pour y accéder, il vous faudrait une preuve de vaccination, un résultat négatif de test ou une preuve que vous l’avez déjà attrapé. 

En soit,  l’objectif ressemble fortement à la fonctionnalité Tous Anti Covid Carnet, dont nous vous avons déjà parlé dans une précédente newsletter. 

Bien que ce passe sanitaire soit très utile pour la santé de tous, la question des droits et libertés des personnes se pose.

Et le premier point à relever est que ce dispositif devra être uniquement utilisé pendant la période Covid-19 et pas maintenu au-delà de la crise sanitaire. Circonstances exceptionnelles, dispositif exceptionnel ! Afin de décider si ce dispositif est toujours nécessaire, la CNIL impose que son impact soit étudié et documenté régulièrement et à partir de données fiables. 

Deuxième point relevé par la CNIL est le contexte dans lequel le passe devra être utilisé. Le cadre devra être limité aux évènements qui rassemblent un grand nombre de personnes et représentant un risque important. Les lieux d’activités quotidiennes tels que les restaurants, les lieux de travail ainsi que les lieux de manifestations de libertés fondamentales … sont donc exclus.  Ce sont des garanties supplémentaires qui permettront de limiter l’impact sur chaque individu. Plus de détails devront aussi être donnés sur la nature des lieux, établissements et évènements concernés. 

Evidemment, il est impensable de ne pas penser à la protection des données personnelles, notamment dans le contexte sensible et inédit de ces données.  Que ce soit la loi ou le règlement, ils devront préciser très clairement les modalités concrètes de l’outil ; les finalités, la nature des lieux comme dit précédemment, les personnes qui y auront accès, la conservation et archivage de telles données…

Enfin, le dispositif doit obligatoirement concerner tous le monde, sans discrimination. Il ne doit pas y avoir de distinction au niveau du moyen de preuve, de ce fait, le certificat doit aussi être disponible version papier, avec les mêmes garanties que celles pour la version numérique.  Ce dispositif ne doit pas être suffisant, il est complémentaire avec la politique d’accès aux tests et vaccins pour tous.

La CNIL sera donc là pour veiller au grain,  comme elle le fait toujours…

Des faux-avis sur Amazon…

Qui n’a jamais regardé les avis ou les commentaires avant de faire un achat en ligne ? Qui depuis le début de la crise sanitaire n’a fait aucun achat en ligne ?

Et bien, nous pouvons maintenant douter de la fiabilité de tels supports, des chercheurs en cybersécurité ont percés à jour un réseaux de faux avis sur Amazon !

Avec le Covid-19, cette méthode n’a fait que s’accroitre. Le principe est simple, des enseignes vendant leurs produits sur la plateforme américaine payent et offrent des produits à des internautes en échange de faux avis positifs. La marque contacte ces internautes sur des forums, leurs proposent cet échange de bons procédés. Le client achète le produit, laisse une note maximale et se fait ensuite rembourser et offrir le produit. Pendant ce temps-là, les honnêtes consommateurs vont se laisser tromper par ces faux-avis…

Les chercheurs ont réussis à détecter 200 000 comptes susceptibles d’avoir publiés de faux avis et sembleraient trouver leurs sources sur un serveur situé sur le territoire Chinois.

Amazon n’y est pas pour grand chose, car même si la plateforme fait preuve de vigilance, il est très difficile d’identifier de manière précise et sure si l’avis est réel ou est part d’une transaction commerciale. Malgré les lourds investissements pour contrer ces pratiques, gardez bien à l’esprit que nous parlons de 10 millions d’avis hebdomadaires.

En cas de doute, n’hésitez pas à signaler un abus, ce qui permettra au géant Amazon d’être alerté, de pouvoir enquêter et, le cas échéant, de sanctionner le coupable et de vous protéger.

C’est déjà fini pour cette semaine ! On vous laisse avec le chiffre de la semaine…

RGPD Express est là pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !