3 millions de brosses à dents connectées utilisées pour une attaque informatique en Suisse
Des cyberpirates ont pris le contrôle d’une armée de brosses à dents connectées pour lancer une attaque DDoS contre le site web d'une entreprise suisse. Cette dernière aurait perdu des millions d’euros.
Selon le journal suisse Aargauer Zeitung, une entreprise helvète a été victime d’une attaque par déni de service (DDoS) menée grâce à un botnet formé par trois millions de brosses à dents connectées. Ces ustensiles utilisent la connectivité pour accompagner l’utilisateur dans son hygiène buccale en analysant l’efficacité du brossage et en prodiguant des conseils.
D’après l’article, qui ne donne pas beaucoup de détails, les cyberpirates ont pris le contrôle de ces objets connectés en exploitant une faille dans leur système d’exploitation Java. Ils les ont alors lancé à l’assaut du site web de l’entreprise ciblée qu’ils ont submergé de requêtes jusqu’à le saturer. Le site web est tombé, ce qui aurait entraîné la perte de millions d’euros de chiffre d’affaires.
Des brosses à dents connectées anonymes
On ignore quelle est l’entreprise victime. Aargauer Zeitung ne mentionne pas non plus les marques de brosses à dents connectées qui ont servi à cette attaque DDoS. Le quotidien cite Stefan Zuger, directeur de l’ingénierie pour la filiale suisse de l’entreprise de sécurité Fortinet, estime que « chaque appareil connecté à Internet est une cible potentielle, ou peut être utilisé à mauvais escient pour une attaque ».
Cet expert explique que les objets connectés sont sous surveillance permanente des pirates à la recherche de failles de sécurité. Pour illustrer cette menace, Fortinet a récemment connecté un PC « non protégé » à l’Internet. Il n’a fallu que 20 minutes pour qu’il soit infecté par des logiciels malveillants.
Le « deep voice », ou comment l’IA permet des attaques par la voix
Corentin Bechade
-
Comment détourner 35 millions de dollars avec quelques
mails bien sentis et un coup de fil ? En utilisant tout simplement des
outils de « deep voice » qui permettent d'imiter la voix de quasi
n'importe qui.
Vous avez sans doute entendu parler des deepfakes,
ces vidéos manipulées par l’intermédiaire d’une intelligence
artificielle, pour faire dire n’importe quoi à n’importe qui de manière
relativement convaincante. Désormais, il faudra aussi compter avec les
« deep voice », un outil qui permet de cloner une voix connue. Et le
système a, sans surprise, déjà été utilisé pour des arnaques.
Trahi par des mails et un coup de fil
Comme le détaille un article de Forbes publié le 14 octobre 2021,
aux Émirats arabes unis un banquier a autorisé un transfert de 35
millions de dollars, pensant reconnaître la voix d’un client au
téléphone. L’arnaque a eu lieu début 2020, lorsqu’un pirate a appelé une
agence bancaire locale en se faisant passer pour le PDG d’une grande
entreprise. En maquillant sa voix grâce à ce mécanisme de « deep
voice », l’homme a pu convaincre le banquier de virer la confortable
somme sur plusieurs comptes situés aux États-Unis, prétextant une « acquisition » d’entreprise à venir. « La
voix de l’interlocuteur ressemblait à celle du directeur de la société
et le responsable de la filiale a donc cru que l’appel était légitime » détaille la plainte déposée auprès du département de justice américaine.
Pour donner un air crédible à l’entourloupe, plusieurs mails avaient
été adressés au directeur de l’agence, tous supposément envoyés depuis
l’adresse mail officielle du client en question. L’un d’eux contenait
même une lettre de validation du supposé PDG à un de ses avocats en
charge de l’affaire. Convaincu par le coup de fil et l’apparence
légitime des mails, le banquier a donc autorisé le transfert.
Des attaques qui vont se multiplier
Ce n’est pas exactement la première fois qu’une arnaque de ce type a lieu. En 2019,
un criminel avait utilisé les mêmes outils pour se faire passer pour le
PDG d’une entreprise allemande, qui avait besoin d’un virement urgent
pour payer un de ses fournisseurs. Le responsable pensant « reconnaître le léger accent allemand de son patron et la mélodie de sa voix au téléphone » a donc viré la coquette somme de 243 000 dollars sur un compte bancaire hongrois.
Interrogé par Forbes, un expert en cybersécurité explique que « la
manipulation de l’audio, qui est plus facile à orchestrer que la
réalisation de fausses vidéos, ne va faire qu’augmenter. Sans une
éducation à ce nouveau type d’attaque, ainsi que de meilleures méthodes
d’authentification, de nombreuses entreprises sont susceptibles de se
faire avoir par ces conversations très convaincantes. »
Le besoin d’une authentification forte
En récoltant des passages d’interviews, de podcasts ou de vidéos, il
devient possible de recréer une voix connue et lui faire dire n’importe
quoi. Résultat, il devient de plus en plus difficile de se fier à un
coup de fil pour jauger de l’authenticité de quoi que ce soit. Comme
l’explique l’expert interrogé par Forbes, la voix n’est plus un facteur
d’authentification suffisant. Dans le cas de l’arnaque à 35 millions de
dollars, un système de double authentification forte (du type validation biométrique)
aurait probablement réduit les risques. Même des mails à l’allure
officielle ne peuvent pas servir de méthode de validation, puisqu’il est
possible de créer de fausses adresses, via la technique de l’email spoofing entre autres.
Dans un autre style, un récent documentaire retraçant la vie et la mort du chef Anthony Bourdain avait fait polémique,
à cause de quelques lignes d’un mail qui avait été lu par un clone
numérique de la voix de Bourdain. Ce genre de manipulations est rendu de
plus en plus facile par l’essor de l’intelligence artificielle. Des
entreprises comme Replica ou Descript en ont même fait leur fonds de commerce (pour des usages légitimes bien entendu). D’autres firmes comme Pindrop sont spécialisées dans la détection de voix digitalisée.
Quand un hacker amateur s'en prend à une entreprise de cybersécurité
Naïla Bouakaz
25 août 2021 à 12h26
Un hacker nigérian a récemment tenté de soudoyer les clients d’une entreprise de cybersécurité, leur proposant d'installer un ransomware sur le serveur de leurs entreprises afin de récupérer une grosse somme d’argent.
Le hacker a ainsi tenté de soutirer
de l’argent à des entreprises clientes de la plateforme
AbnormalSecurity, spécialisée en cybersécurité des e-mail, à l’aide d’un
ransomware. Face à l’ironie de la situation, l’information est
rapidement arrivée aux oreilles de la société qui a décidé d’enquêter de
manière approfondie sur l’auteur de cette tentative de cyberattaque.
La première chose qui interpelle, c’est le modus operandi du
hacker, qui contacte les employés d’une entreprise par mail en
expliquant sa démarche. Contre 40 % de la rançon soutirée et 1 million
de dollars en bitcoins, il propose à ces derniers d’installer un
logiciel de type ransomware sur le serveur de l’entreprise visée. Il
ajoute deux moyens de le contacter, son adresse mail ainsi que son
identifiant Telegram
. C’est ainsi qu’AbnormalSecurity a réussi à entrer en contact avec
le pirate, sous une fausse identité, afin de récolter des informations.
Grâce
à ces échanges, la société a pu constater que son « bourreau » n'était
en fait que l'équivalent d'une fraude. Après une brève discussion au
sujet de la rançon - durant laquelle la somme demandée a été réévaluée
d’environ 100 000 dollars pour le bien de l’entreprise - le hacker a
expliqué à l'employé (fictif donc) que pour supprimer toutes traces du
logiciel, il suffirait de déplacer le fichier .EXE dans la corbeille.
Lorsqu’on l’interroge à propos de la
provenance du fameux ransomware, il prétend l’avoir lui-même développé
en Python. Pourtant, le logiciel en question provient d’un projet open
source trouvé sur GitHub. Pire encore, et c’est là tout l’amateurisme de
la démarche, l'individu finit par révéler son identité ainsi que son
pays d’origine, au fil d’une discussion un peu plus propice aux
confessions.
Avec l’argent soutiré,
le pirate avait d'ailleurs prévu de créer sa propre entreprise. Une
façon peu commune de financer ses projets professionnels…
Les comptes de 14 541 contribuables Canadiens touchés par des cyberattaques
L’accès à tous les comptes touchés a été suspendu pour protéger les renseignements des contribuables canadiens.
MONTRÉAL — L’Agence du
Revenu du Canada (ARC) et les services en ligne du gouvernement fédéral
qui utilisent CléGC pour y accéder ont été la cible de cyberattaques
touchant 14 541 comptes, a annoncé le Secrétariat du Conseil du Trésor
du Canada dans un communiqué samedi.
Utilisée par près de 30 ministères fédéraux, la CléGC permet aux
Canadiens d’accéder à des services comme Mon dossier ou à leur compte
d’Immigration. Les mots de passe et les noms d’usager de 9041 Canadiens
ont été acquis de manière frauduleuse et utilisés pour tenter d’accéder à
des services gouvernementaux.
«Tous les comptes CléGC touchés ont
été annulés dès que la menace a été découverte», selon le gouvernement
fédéral qui assure que les ministères concernés vont communiquer avec
les Canadiens touchés par cette cyberattaque.
Environ 5500 comptes
de l’ARC ont aussi été la cible d’une autre cyberattaque de type
«bourrage de justificatifs». Ce type de cyberattaque utilise les noms et
mots de passe des utilisateurs recueillis lors de précédents piratages
de comptes, profitant du fait que beaucoup d’internautes utilisent les
mêmes mots de passe pour plusieurs de leurs comptes.
L’accès
à tous les comptes touchés a été suspendu pour protéger les
renseignements des contribuables canadiens. Le service en ligne Mon
dossier de l’Agence du Revenu du Canada n’était pas disponible dimanche
matin.
La Gendarmerie royale du Canada (GRC) et le Commissariat à
la protection de la vie privée du Canada ont été informés de ces
cyberattaques visant les renseignements personnels des Canadiens.
Le
gouvernement fédéral rappelle qu’il est fortement recommandé d’utiliser
des mots de passe différents pour chacun de vos comptes en ligne afin
de réduire les risques d’être la cible d’une cyberattaque.
Certains
médias ont récemment fait état de cas de fraude contre des Canadiens à
qui des pirates ont volé des données pour obtenir notamment des
versements de la Prestation canadienne d’urgence.
Selon le Centre
antifraude du Canada, plus de 13 000 Canada ont été victimes de fraude
au cours des six premiers mois de l’année. Le total des sommes soutirés
s’élève à 51 millions $). Entre le 6 mars et le 31 juillet, 2770 fraudes
liées à la COVID-19 ont été signalés aux autorités. Les pertes
financières atteignent 5,55 millions $.
À VOIR AUSSI: L’Australie, cible d’une cyberattaque de grande ampleur
Les
arnaques se multiplient autour du Corona Virus Covid-19. ZATAZ vous en
montre plusieurs afin de ne pas tomber dans le piège de ces vendeurs de
peur.
Oui, le Corona Virus est une « grippe » problématique ! Oui, le Covid-19
peut entraîner de graves complications, dans le pire des cas, la mort.
L’importance du confinement et du respect des règles fixées par de vrais
professionnels de la santé sont donc à suivre à la lettre (OMS, …).
Cette période de confinement est propice
à une utilisation d’Internet beaucoup plus importante. Messages,
vidéos, sites … Une augmentation exponentielles d’informations … et de
fakes news. Les arnaques se multiplient, se diversifient comment ZATAZ a
pu vous en parler dans l’article « Non, l’attestation de déplacement dérogatoire ne coûte pas 5, 10 ou 100€« .
Voici des exemples de faux sites jouant
sur la peur, proposant des produits et des « solutions » pour
« survivre ». Des pièges ! Ne vous faites pas avoir ; alertez vos
proches et ami(e)s de ne pas tomber dans ce type de travers.
Comme à chaque catastrophique humanitaire, sanitaire ou écologique, les escrocs sont là pour en tirer profit. Souvenez-vous de l’ouragan Katrina
et les dizaines de fausses collectes de dons, de logiciels piégés. Pour
le Corona Virus, rien de nouveau, sauf l’ampleur mondiale du phénomène.
Ils se cachent sous des noms tels que sante24, 1tpe, Corona x, boutique.se-former.app …
Ils promettent des « livres » pour survivre !
Pour éviter la contagion
Recevoir une liste pour protéger votre famille !
Eviter les rupture de stock dans les magasins
Des produits défiants toutes concurrence
Bref, prudence. Pour rappel, un faux
message à 77% de plus de chance d’être repartagé qu’une information
légitime. Ne soyez pas dans ce pourcentage !
Des arnaques qui peuvent fonctionner ? Le cas d’un laboratoire pharmaceutique de Rouen a de quoi apporter une petite réponse. L’entreprise a perdu 6,6 millions d’euros dans l’achat de masques et produits de désinfection. L’argent a été viré en Asie ! Une fraude au président (Fraude au faux virement – FOVI) qui a changé de thème. Après les otages qu’il faut récupérer ; après les impôts ; après une facture à payer … voici le FoVI Corona Virus !
Attention aux mails vous demandant de changer le « virement
bancaire » concernant, selon les pirates : votre mutuelle, votre
logement, …
Le gendarme financier britannique victime d'une fuite de données
Technologie : Le gendarme
financier britannique a été victime d'une fuite de données.
1 600 citoyens ont vu des données personnelles rendues publiques.
Par
Charlie Osborne
|
Modifié le
Libellés
vol d'identité, vol de donnés, hackers,
La Financial Conduct Authority (FCA), le gendarme financier
britannique, a admis ce mardi avoir laissé fuité des données contenant
des informations confidentielles appartenant à environ 1 600 citoyens
britanniques. L'organisme de surveillance financière a déclaré que
l'exposition des informations s'était produite à la suite de la
publication de données en réponse à une demande de la loi sur la liberté
d'information britannique.
Les demandes concernant cette loi peuvent être effectuées
outre-Manche pour des dossiers détenus par les autorités publiques. La
demande au cœur de la fuite de données a été faite entre le
2 janvier 2018 et le 17 juillet 2019. Lorsque ces dossiers ont été
publiés et mis à disposition sur le site web de la FCA sous la forme
d'un document, les informations confidentielles des plaignants, au
nombre d'environ 1 600 pendant cette période, ont également été rendues
publiques.
« Certaines informations confidentielles sous-jacentes peuvent avoir
été accessibles », indique l'Autorité, qui reconnaît que « la
publication de ces informations était une erreur ». Les noms, les
descriptions des plaintes, les adresses, les numéros de téléphone et
d'autres informations ont été rendues publiques, totalement ou en
partie. Aucune information financière, aucun passeport ou autre document
d'identité n'a en revanche fait l'objet de fuite, comme l'a indiqué
l'Autorité.
publicité
La FCA présente ses excuses
Celle-ci a expliqué avoir désormais retiré les dossiers et est en
train de contacter directement les victimes de ces fuites pour leur
présenter ses excuses. Le bureau du commissaire à l'information du
Royaume-Uni (ICO) a été informé de l'incident, dans lequel la faute de
fonctionnaires de l'autorité de contrôle peut être soulevée. D'autant
plus que l'autorité de contrôle avait précédemment infligé une amende de
16,4 millions de livres sterling à la chaîne de supermarchés
britannique Tesco pour laxisme des normes de sécurité à la suite d'une
cyberattaque contre les clients.
Pour rappel, l'OIC est chargée de mener des enquêtes sur les plaintes
portant sur le RGPD et d'infliger des amendes. Plus de
160 000 notifications de violation de données lui ont été transmises au
cours des 18 derniers mois. « Nous avons pris des mesures immédiates
pour que cela ne se reproduise plus », a déclaré la FCA.
« Nous avons entrepris un examen complet afin de déterminer l'étendue
des informations qui auraient pu être accessibles. Notre principale
préoccupation est d'assurer la protection et la sauvegarde des personnes
qui peuvent être identifiées à partir de ces données », a également
fait savoir l'Autorité.
Les microphones et les caméras se cachent partout. Vous voudrez peut-être enfiler une armure de confidentialité. L'année dernière, Ben Zhao a décidé d'acheter un haut-parleur Echo compatible Alexa pour sa maison de Chicago. M. Zhao voulait juste un assistant numérique pour jouer de la musique, mais sa femme, Heather Zheng, n'était pas enthousiasmée. "Elle a paniqué", a-t-il dit.
Mme Zheng a caractérisé sa réaction différemment. Elle s'est d'abord opposée à ce que l'appareil soit chez eux, a-t-elle déclaré. Puis, lorsque M. Zhao a placé l'Echo dans un espace de travail qu'ils partageaient, elle a clairement expliqué sa position: «J'ai dit:« Je ne veux pas cela au bureau. Veuillez le débrancher. Je sais que le microphone est constamment activé. »»
M. Zhao et Mme Zheng sont professeurs d'informatique à l'Université de Chicago, et ils ont décidé de canaliser leur désaccord vers quelque chose de productif. Avec l'aide d'un professeur adjoint, Pedro Lopes, ils ont conçu une pièce d'armure numérique: un "bracelet de silence" qui empêchera l'Echo ou tout autre microphone à proximité d'écouter les conversations du porteur.
Le bracelet est comme une anti-smartwatch, à la fois dans son esthétique cyberpunk et dans son objectif de vaincre la technologie. Grand brassard blanc quelque peu disgracieux avec transducteurs hérissés, le bracelet dispose de 24 haut-parleurs qui émettent des signaux ultrasoniques lorsque le porteur l'allume. Le son est imperceptible pour la plupart des oreilles, à l'exception peut-être des jeunes et des chiens, mais les microphones à proximité détecteront le son haute fréquence au lieu d'autres bruits.
"Il est si facile d'enregistrer ces jours-ci", a déclaré M. Lopes. «C'est une défense utile. Lorsque vous avez quelque chose de privé à dire, vous pouvez l'activer en temps réel. Quand ils lisent l'enregistrement, le son va disparaître. »
Au cours d'une interview téléphonique, M. Lopes a allumé le bracelet, ce qui a provoqué un bruit blanc statique pour l'auditeur de l'autre côté. Société de surveillance polie
Comme les maisons américaines sont régulièrement équipées d'appareils d'enregistrement, l'État de surveillance a pris un air de domestique. Google et Amazon ont vendu des millions de caméras de sécurité Nest et Ring, tandis qu’on estime qu’un adulte américain sur cinq possède désormais un haut-parleur intelligent. Frapper à la porte de quelqu'un ou discuter dans la cuisine de quelqu'un comporte désormais la possibilité distincte d'être enregistré.
Tout cela pose de nouvelles questions d’étiquette pour savoir si et comment avertir les clients que leurs visages et leurs mots pourraient se retrouver sur les serveurs d’une entreprise de technologie, ou même entre des mains d’étrangers.
De par leur conception, les haut-parleurs intelligents ont des microphones qui sont toujours allumés, écoutant les soi-disant mots de réveil comme «Alexa», «Hey, Siri» ou «O.K., Google». Ce n'est qu'après avoir entendu ce signal qu'ils sont censés commencer l'enregistrement. Mais les entrepreneurs embauchés par les fabricants d'appareils pour examiner les enregistrements pour des raisons de qualité rapportent des clips auditifs qui ont probablement été capturés involontairement, y compris des offres de drogue et du sexe. Deux chercheurs de l'Université du Nord-Est, David Choffnes et Daniel Dubois, ont récemment diffusé 120 heures de télévision pour un public de haut-parleurs intelligents pour voir ce qui active les appareils. Ils ont constaté que les machines se sont réveillées des dizaines de fois et ont commencé à enregistrer après avoir entendu des phrases similaires à leurs mots de réveil.
«Les gens craignent que ces appareils vous écoutent et vous enregistrent constamment. Ils ne le sont pas », a déclaré M. Choffnes. "Mais ils se réveillent et vous enregistrent à des moments où ils ne devraient pas."
Rick Osterloh, responsable du matériel informatique de Google, a récemment déclaré que les propriétaires devraient révéler la présence d'enceintes intelligentes à leurs invités. "Je le ferais et le ferais quand quelqu'un entre chez moi, et c'est probablement quelque chose que les produits eux-mêmes devraient essayer d'indiquer", a-t-il déclaré à la BBC l'année dernière.
Les tapis de bienvenue pourraient un jour être remplacés par des tapis d'avertissement. Ou peut-être que les entreprises technologiques concevront leurs produits pour se présenter lorsqu'elles entendent une nouvelle voix ou voient un nouveau visage. Bien sûr, cela pourrait également conduire à des situations inconfortables, comme avoir l'Alexa dans votre chevet Echo Dot se présente soudainement à votre stand d'une nuit. «Plus longtemps boudé comme des huards»
Le "bracelet du silence" n'est pas le premier appareil inventé par les chercheurs pour bourrer les oreilles des assistants numériques. En 2018, deux designers ont créé Project Alias, un appendice qui peut être placé sur un haut-parleur intelligent pour l'assourdir. Mais Mme Zheng soutient qu'un brouilleur devrait être portable pour protéger les gens lorsqu'ils se déplacent dans des environnements différents, étant donné que vous ne savez pas toujours où se cache un microphone.
À ce stade, le bracelet n'est qu'un prototype. Les chercheurs affirment qu'ils pourraient le fabriquer pour aussi peu que 20 $ et qu'une poignée d'investisseurs leur ont posé des questions sur sa commercialisation.
"Avec l'Internet des objets, la bataille est perdue", a déclaré M. Zhao, faisant référence à un manque de contrôle sur les données capturées par les appareils intelligents, qu'elles tombent entre les mains d'entreprises technologiques ou de pirates informatiques.
"L'avenir est d'avoir tous ces appareils autour de vous, mais vous devrez supposer qu'ils sont potentiellement compromis", a-t-il ajouté. "Votre cercle de confiance devra être beaucoup plus petit, parfois jusqu'à votre corps réel."
Parmi les autres précurseurs du bracelet, citons un «manteau brouilleur» conçu par un cabinet d'architecture autrichien en 2014 pour bloquer les ondes radio qui pourraient collecter des informations à partir du téléphone ou des cartes de crédit d'une personne. En 2012, l'artiste Adam Harvey a créé des vêtements argentés furtifs qui masquaient la signature thermique des gens pour les protéger des yeux des drones, ainsi qu'une ligne de maquillage et de coiffures, appelée CV Dazzle, pour contrecarrer les caméras de reconnaissance faciale. En 2016, Scott Urban, un fabricant de lunettes à Chicago, a développé une ligne de montures réfléchissantes qui retournent la lumière visible et infrarouge. Lorsqu'une caméra de surveillance filme une personne portant les montures de 164 $, la lumière réfléchie brouille le visage. M. Urban les a appelés Reflectacles.
Il travaille maintenant à temps plein sur des lunettes de protection de la vie privée, y compris une nouvelle version avec des lentilles qui absorbent la lumière infrarouge pour dissuader les caméras à balayage d'iris et de reconnaissance faciale. Ses clients incluent des passionnés de confidentialité, des militants politiques et des compteurs de cartes dont les visages ont été placés sur les listes de surveillance des casinos.
«Les gens dans leur intimité ne sont plus rejetés comme des huards», a déclaré M. Urban. "C'est devenu une préoccupation pour les personnes de tous âges, de perspectives politiques et de milieux différents."
Il a ajouté: «Les nouvelles technologies érodent continuellement notre vie privée et notre anonymat. Les gens recherchent une option de non-participation, ce que j'essaie de fournir. "
Woodrow Hartzog, professeur de droit et d'informatique à la Northeastern University, ne pense pas que l'armure de confidentialité soit la solution à nos problèmes modernes.
"Cela crée une course aux armements et les consommateurs perdront dans cette course", a-t-il déclaré. «Chacune de ces choses est une demi-mesure ou un bouchon. Il y aura toujours un moyen de le contourner. »
Plutôt que de construire des défenses individuelles, estime M. Hartzog, nous avons besoin que les décideurs adoptent des lois qui protègent plus efficacement notre vie privée et nous donnent le contrôle de nos données.
"Jusque-là, nous jouons au chat et à la souris", a-t-il déclaré. "Et cela se termine toujours mal pour la souris." Correction: 14 février 2020
Une version antérieure de cet article a mal identifié Pedro Lopes de l'Université de Chicago. Il est professeur adjoint, pas étudiant diplômé.
Les détails de 10,6 millions de clients des hôtels MGM publiés en ligne
Sécurité : Ce qui se passe à
Vegas ne reste pas toujours à Vegas. MGM Resorts confirme qu'un
incident de sécurité a eu lieu l'été dernier et a informé les clients
touchés l'année dernière. Mais les données ont été publiées en ligne.
vol identité, vol de donnés, hackers Chintock, hackers, faille,
Les détails personnels de plus de 10,6 millions d'utilisateurs qui ont
séjourné dans les hôtels MGM Resorts ont été publiés sur un forum de
piratage cette semaine.
Outre les détails concernants les touristes et les voyageurs réguliers,
les fichiers divulgués contiennent également des informations
personnelles et de contact pour des célébrités, des PDG de du monde de
la technologie, des journalistes, des représentants du gouvernement et
des employés de certaines des plus grandes sociétés de technologie au
monde.
ZDNet a vérifié l'authenticité des données aujourd'hui, en collaboration avec le chercheur en sécurité à l’origine de Under the Breach, un service de surveillance des fuites de données qui sera bientôt lancé.
Un porte-parole de MGM Resorts a confirmé l'incident par e-mail.
publicité
Les données exposées
Selon
notre analyse, la fuite de données MGM qui a été partagé aujourd'hui
contient des informations personnelles concernant 10 683 188 anciens
clients de l'hôtel.
Les fichiers divulgués contiennent des détails tels que les noms
complets, les adresses personnelles, les numéros de téléphone, les
e-mails et les dates de naissance.
ZDNet
a contacté les anciens clients et a confirmé leur séjour à l'hôtel,
ainsi que leurs dates de passage et l'exactitude des données incluses
dans les fichiers divulgués.
Nous avons obtenu la confirmation des de voyageurs, de
journalistes assistant aux conférences techniques, de PDG assistant aux
réunions d'affaires et de représentants du gouvernement se rendant dans
les succursales de Las Vegas.
MGM Resorts déclare avoir informé ses clients l'année dernière
Une fois les données verifiées, ZDNet a également contacté MGM Resorts.
Une heure après avoir contacté l'entreprise, nous étions en
conférence téléphonique avec l'équipe de sécurité de la chaîne
hôtelière. En quelques heures, l'équipe de MGM Resorts a pu vérifier les
données et les faire remonter à un incident de sécurité passé.
Un porte-parole de MGM a déclaré à ZDNet que les données
partagées en ligne cette semaine provenaient d'un incident de sécurité
survenu l'année dernière.
"L'été dernier, nous avons découvert un accès non autorisé à un serveur
cloud qui contenait une quantité limitée d'informations de anciens
clients de MGM Resorts", a déclaré MGM à ZDNet.
"Nous sommes convaincus qu'aucune donnée financière, de carte de
paiement ou de mot de passe n'a été divulguée dans cette affaire."
La chaîne hôtelière a déclaré avoir informé rapidement tous les clients
de l'hôtel concernés conformément aux lois applicables de l'État.
Bien que nous n'ayons pas été en mesure de retrouver personnellement l'une de ces notifications, certains utilisateurs semblent avoir indiqué en ligne en avoir recue une en août de l'année dernière.
De plus, MGM Resorts nous a dit avoir retenu deux cabinets de
cybersécurité pour mener une enquête interne sur l'exposition des
serveurs l'année dernière.
"Chez MGM Resorts, nous prenons très au sérieux notre responsabilité de
protéger les données des clients, et nous avons renforcé et amélioré la
sécurité de notre réseau pour éviter que cela ne se reproduise", a
déclaré la société.
Un danger potentiel de SIM swapping et de spear-phishing
Cependant, alors que l'incident de sécurité de MGM etait passé sous le
radar l'année dernière, la publication de ce fichier de données sur un
forum de piratage très populaire cette semaine l'a portée à l'attention
de nombreux pirates.
Under the breach, la société qui a repéré cette fuite et informé
la presse, a souligné la nature très sensible de cette fuite de données.
Les données divulguées sont un trésor comprenant les coordonnées
de nombreux utilisateurs de haut niveau, travaillant pour de grandes
entreprises technologiques et des gouvernements du monde entier. Ces
utilisateurs risquent désormais de recevoir des e-mails de spear
phishing et d’être visés par des attaques de Sim Swapping, a déclaré
Under the Breach à ZDNet.
Le PDG de Twitter, Jack Dorsey, la pop star Justin Bieber, et les
responsables du DHS et de la TSA sont quelques-uns des grands noms de
Under the Breach repérés dans les fichiers divulgués.
MGM Resorts a déclaré à ZDNet que les données étaient anciennes.
Nous pouvons confirmer cette déclaration, car parmi tous les clients de
l'hôtel que nous avons appelés aujourd'hui, aucun n'est resté à l'hôtel
après 2017. Certains des numéros de téléphone que nous avons appelés ont
été déconnectés, mais beaucoup étaient également valides et la bonne
personne a répondu au téléphone.
La taille et la gravité de cet incident de sécurité de MGM
Resorts reste dérisoires par rapport à la fuite massive de données qui a touché les hôtels Marriott en 2017,
lorsque les détails de centaines de millions d'utilisateurs ont été
volés par des pirates informatiques soutenus par l'État chinois.
Alors que les autorités enquêtent sur des systèmes de reconnaissance faciale, La Presse
a appris que Bell voulait vendre cette technologie aux entreprises. Si
le géant des télécommunications va de l’avant, ses clients d’affaires
pourraient utiliser son outil haute performance pour identifier et
surveiller des milliers de visages à la minute – dans des hôtels,
épiceries, boutiques, banques, stades ou lieux de travail.
Marie-Claude Malboeuf La Presse
Un outil pour « surveiller les individus »
Malgré
la controverse croissante entourant cette technologie, Bell veut vendre
aux entreprises un système de reconnaissance faciale capable de
vérifier « instantanément » l’identité des gens, de détecter leurs
comportements et de les « suivre en continu ».
La Presse
a appris que le géant des télécommunications avait suggéré à ses
clients d’affaires de l’utiliser pour surveiller et cibler les personnes
qui entrent dans leurs hôtels, épiceries, boutiques, banques, stades ou
lieux de travail.
Sa
technologie « haute performance » capte les visages à l’aide de caméras
et les compare à « une large banque de données archivées », peut-on
lire sur une page du site web de Bell. Cette page en anglais semble non
indexée et ne nous a pas été accessible à partir d’un moteur de
recherche.
Bell
a refusé de nous accorder une entrevue, mais a répondu par courriel
qu’elle « ne propose pas de services de reconnaissance faciale en ce
moment ». Sa page web a été construite à des fins promotionnelles, pour
« déterminer le niveau d’intérêt potentiel de ce service et s’il
pourrait être un produit viable », a écrit la porte-parole
Caroline Audet.
Bell
est présente en télécommunications, en télévision, en radio et en
affichage, et a encaissé 3,25 milliards de profits sur des revenus de
24 milliards en 2018. Si les nombreuses entreprises qu’elle dessert
achetaient massivement son système de reconnaissance faciale, des
milliers de Canadiens pourraient bientôt être surveillés et reconnus
dans toutes sortes de lieux – sans forcément s’en rendre compte ni en
avoir réellement le choix.
« Même
avec un éclairage de bas niveau et avec des données vidéo de faible
qualité, l’analyse vidéo de Bell est capable de compter et de suivre en
continu les personnes et les objets », précise son site. Le système
d’intelligence artificielle envoie des « alertes instantanées » aux
responsables de la sécurité et permet de « prendre des décisions plus
rapides et intelligentes ».
Repérer les clients riches
La
semaine dernière, les commissaires à la protection de la vie privée du
Canada ont fait état de leurs « préoccupations croissantes quant à
l’utilisation de la reconnaissance faciale » et déclenché une enquête
nationale sur l’une de ces technologies, Clearview AI, utilisée par des
centaines de corps policiers, dont certains canadiens.
D’après
une note en petits caractères, masquée par le signe « + » au pied de sa
page web, Bell cherche de son côté à revendre l’outil d’une immense
société japonaise, NEC, qui a entre autres mis au point un système
appelé NeoFace, dès 2002. Il sera employé aux Jeux olympiques de Tokyo
l’été prochain, et permet d’analyser des milliers de visages par minute
pour faire de la surveillance ou du marketing, selon le site web de NEC.
Sur
son propre site, Bell suggère par exemple aux banques d’utiliser la
reconnaissance faciale pour détecter aussi la présence de « déposants
fortunés » et de « clients VIP » afin de leur offrir des avantages. La
même chose est possible dans les hôtels et les boutiques.
À
l’autre extrême, toujours selon son site, l’outil promu par Bell
« détecte les comportements suspects », « surveille les individus »,
repère les gens inscrits sur une liste noire et envoie des « alertes
instantanées » aux responsables de la sécurité. Les indésirables peuvent
ainsi se voir bloquer l’accès à un commerce ou à un guichet automatique
« pour éviter les vols et les pertes ».
Autres
possibilités : « garde[r] en mémoire le nombre, le mouvement et le
comportement des personnes sur plusieurs sites », automatiser l’accès
aux stades (sans billets), mieux répartir le personnel selon
l’achalandage et les files d’attente, etc.
1/6
Sur son
site, NEC vante le fait que la reconnaissance faciale puisse se faire
« sans interagir avec l’individu en train d’être identifié ».
Ce
sont deux Torontois férus de technologie, Sydney Eatz et Richard Trus,
qui ont déniché la page web de Bell et l’ont transmise à La Presse.
Ils se surnomment « la police de l’internet », parce qu’ils ont dénoncé
plusieurs dérives à des médias torontois depuis deux ans. Sydney Eatz a
aussi déposé un mémoire sur Google devant un comité de la Chambre des
communes.
« Facebook
a dû payer 550 millions de dollars US pour régler hors cours un recours
collectif, après avoir utilisé la reconnaissance faciale aux dépens de
la vie privée, a-t-elle dit à La Presse en entrevue. Ça démontre que faire de la reconnaissance faciale sans obtenir le consentement des gens a un coût. »
Pire que la police
Le projet de Bell inquiète les défenseurs et les experts de la vie privée joints par La Presse.
« Jusqu’à
récemment, l’identification biométrique était limitée à la police dans
le cadre d’enquêtes criminelles, mais maintenant, c’est en train d’être
généralisé un peu partout », dit Dominique Peschard, porte-parole de la
Ligue des droits et libertés.
En
plus de jumeler les visages, le système promu par Bell suggère des
décisions aux employés des entreprises qui en feraient usage. « Mais ces
algorithmes sont secrets et on ne sait pas comment ils fonctionnent,
souligne M. Peschard. La personne ne sait donc pas selon quel critère
elle a été jugée, pourquoi telle décision a été prise. »
Les
commissaires à la vie privée du Canada commencent enfin à se rendre
compte des dangers de ces technologies et à lancer des consultations,
dit-il.
En attendant, c’est le “free
for all”, les entreprises profitent du vide. Ça prend un moratoire
jusqu’à ce qu’on ait adapté nos lois pour se protéger contre les abus
potentiels.
Dominique Peschard, porte-parole de la Ligue de protection des droits et libertés
Pour
Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle
et de la gestion de l’éthique en entreprise, « il faut fixer les
conditions d’utilisation et instaurer des moyens de contrôle, parce que
la reconnaissance faciale a le potentiel de mener à des écarts éthiques
importants ». Il faut résoudre plusieurs questions de toute urgence,
précise le professeur de l’Université du Québec à Montréal. Jusqu’où
va-t-on aller dans l’enregistrement des moindres faits et gestes d’un
individu ? Avec quoi va-t-on recouper ces images ? Et à qui on va vendre
le tout ?
Autre
écueil : lors de tests, des outils de reconnaissance faciale ont fait
plus d’erreurs lorsqu’ils analysaient les images de personnes à la peau
foncée. Ce qui augmente le risque de les confondre avec un suspect
fiché – comme un voleur à l’étalage –, avec la discrimination et les
ennuis que cela suppose (1).
L’outil
proposé par Bell s’est classé parmi les plus performants lors de tests
organisés par l’industrie. Mais à Londres, où la police l’utilise depuis
2016 pour filmer les rues et repérer les gens inscrits sur une liste
noire, seulement 19 % des 42 personnes signalées par l’algorithme
correspondaient vraiment à leur « sosie » fiché, selon une étude de
l’Université d’Essex, commandée par le gouvernement britannique et
publiée en 2019.
Plus libres que la police
« Si
on ne fixe pas de limites, les entreprises pourraient devenir des
enquêteurs automatiques, se faire justice à elles-mêmes ou faire
d’immenses parties de pêche. Elles auront les coudées plus franches que
la police, prévient Pierre Trudel, professeur de droit de l’information
et du cyberespace à l’Université de Montréal. Au Canada, la police ne
peut filmer vos allées et venues sans avoir demandé une autorisation
judiciaire ni filmer tout le monde au cas où elle trouverait quelque
chose. »
Le potentiel d’intrusion est
considérable. Le législateur doit courir pour faire du rattrapage, car
il y a un défaut affligeant d’encadrement.
Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal
La
Commission d’accès à l’information du Québec (CAI) dit prendre le
déploiement de la reconnaissance faciale « très au sérieux ». « On suit
la situation de très près et ça fait des années qu’on suggère
d’actualiser la loi pour que la biométrie soit plus balisée », a dit en
entrevue la porte-parole de l’organisme, Isabelle Gosselin.
Quiconque
achèterait la technologie proposée par Bell devrait obligatoirement
s’inscrire au Registre des déclarations des banques de mesures
biométriques de la CAI, précise-t-elle, car la Loi sur les technologies
de l’information l’exige.
Les
fournisseurs doivent pour leur part respecter les lois sur la
protection des renseignements personnels – en obtenant par exemple le
consentement des cibles et en agissant « par nécessité ». « Et on ose
tenir pour acquis qu’ils le font », avance Mme Gosselin.
(1)
Les personnes d’origine afro-américaine ou asiatique ont entre 10 et
100 fois plus de risques d’être reconnues erronément par les algorithmes
de reconnaissance faciale que les Caucasiens, selon un rapport
d’évaluation du National Institute of Standards and Technology, basé sur
des tests réalisés sur 189 logiciels. Le taux d’erreur est encore plus
élevé lorsqu’il s’agit d’Afro-Américaines.
De l’inconnu et des craintes
Comment
se déploie de manière très concrète la reconnaissance faciale dans les
entreprises canadiennes ? Le point en six questions.
Les entreprises doivent-elles obtenir notre consentement pour nous identifier avec des caméras ?
Oui, répond Isabelle Gosselin, porte-parole de la Commission québécoise d’accès à l’information.
Mais
la possibilité de refuser son consentement est souvent « ténue ou
pratiquement inexistante », nuance Dominic Martin, spécialiste de
l’éthique de l’intelligence artificielle et de la gestion de l’éthique
en entreprise.
« Quand
il y a des caméras dans l’environnement, on ne peut pas les éteindre.
Il faudrait carrément cesser de fréquenter certains lieux ou quitter son
emploi pour ne pas faire l’objet d’une surveillance accrue », souligne
le professeur qui enseigne à l’Université du Québec à Montréal.
Combien d'entreprises utilisent la reconnaissance faciale au pays ?
Dans
les autres provinces, on l’ignore. Environ 16 % des magasins Canadian
Tire qui y sont établis s’en servent déjà pour lutter contre le vol à
l’étalage, selon un reportage publié en février 2019 par CTV News. Et
une chaîne d’alimentation présente en Ontario et en Colombie-Britannique
a déclaré en novembre qu’elle ferait payer ses clients avec leur visage
pour accélérer leur passage à la caisse.
Au
Québec, la loi oblige à déclarer toute banque de données biométriques à
la Commission d’accès à l’information, et neuf entreprises ont indiqué
faire de la reconnaissance faciale, révèle l’organisme. La plus connue,
Master Card, dit employer cette technologie pour identifier la
clientèle. Les autres entreprises l’utilisent pour gérer les accès aux
bureaux, les présences ou le traitement de la paie.
Qu'arrive-t-il des données biométriques obtenues ?
Mystère,
puisque ni Québec ni Ottawa n’ont encore adopté de loi sur le sujet,
malgré les pressions croissantes, indique Pierre Trudel, professeur de
droit à l’Université de Montréal.
« Proposera-t-on
ces images à quelqu’un souhaitant nous traquer pour d’autres raisons ?
Les raisons possibles sont infinies, et c’est ça qui devient un gros
enjeu », dit le chercheur, qui s’intéresse entre autres à la loi sur les
télécommunications et aux objets connectés.
« On
ne veut pas qu’un système comme celui-là finisse par servir à des fins
d’assurances. On ne veut pas entendre : “Non, on ne vous assurera pas,
parce que d’après nos données, on vous voit aller dans les bars tous les
soirs et rentrer tard…” »
Comment se défendre en cas d'abus ?
Pour
l’instant, il faudrait invoquer le Code civil du Québec et la Charte
québécoise des droits et libertés, qui interdisent de violer la vie
privée sans motif sérieux, explique le professeur Trudel. Mais les
tribunaux n’ont pas encore établi comment ils s’appliquent aux systèmes
de reconnaissance faciale.
« S’ils
servent à assurer la sécurité dans un évènement public, on pourrait
peut-être argumenter que le motif est raisonnable. Mais si c’est pour
savoir si vous êtes un bon client à l’hôtel, on est plutôt dans le
marketing… »
Il
est souvent possible de filmer pour éviter les vols, à condition que la
surveillance soit annoncée. Mais les caméras n’étaient
traditionnellement pas branchées à un système de reconnaissance
faciale – capable d’entraîner l’exclusion d’un délinquant de toute une
chaîne de magasins, sans pardon possible.
« La
question qui se pose, c’est : est-ce un mécanisme disproportionné
compte tenu de la finalité ? demande M. Trudel. Il va falloir que l’État
intervienne. Le marché joue à l’encontre des droits fondamentaux. »
Que sait-on au sujet de l'outil japonais que Bell a vanté à ses clients ?
Il
n’a pas fait la manchette, mais le système NeoFace, conçu par
l’entreprise japonaise NEC, est partout. Le réseau Star Alliance, auquel
appartient Air Canada, vient de signer un contrat pour le faire
installer et la police de Calgary a indiqué qu’elle l’utilisait déjà,
tout comme des navires de croisière de Disney ou des hôtels en Asie.
Aux
États-Unis, des gouvernements, des universités et des entreprises
l’emploient. Et il permettra d’assurer la sécurité aux Jeux olympiques
de Tokyo.
Est-ce rassurant quant à son déploiement possible au pays ?
Pas
forcément. « Bell doit bien saisir que si elle vend cette solution-là à
des clients, ils vont pouvoir l’utiliser de toutes sortes de façons
après », prévient le professeur d’éthique des affaires Dominic Martin.
Le
géant des télécommunications s’associe à des tiers pour offrir des
services spécialisés, parce que son « objectif premier est la
connectivité réseau », selon un courriel que sa porte-parole Caroline
Audet a envoyé à La Presse.
Le
professeur Martin s’interroge néanmoins : « À la place de Bell, je me
demanderais jusqu’à quel point ça cadre dans mon modèle d’affaires,
sachant que de gros joueurs comme Google et Facebook ont officiellement
mis la pédale de frein à cause des possibles débordements éthiques de
cette technologie-là. »
Le
prestataire qui aide le Bureau à accéder aux iPhone de certains
suspects ajoute une nouvelle corde à son arc, permettant de faire la
même chose… Avec des ordinateurs. Est-on encore en sécurité quelque
part ?
On en parlait il y a tout juste quelques heures : les autorités américaines sont en proie à de vives critiques, car elles font pression sur Apple pour que la firme mette en place des backdoors. Alors même que Cellebrite, une entreprise israélienne, lui a déjà fourni toutes les clés pour hacker les smartphones de Cupertino.
Depuis,
une nouvelle de taille vient est venue confirmer la puissance de cette
société : elle vient en effet de racheter BlackBag, un concurrent
indirect californien spécialisé dans les PC, pour 33 millions de dollars
et ce juste après une levée de fonds trois fois plus importante en juin
dernier. Son service MacQuisition permet notamment aux gouvernements, pour seulement un peu plus de 1 100 euros, de pirater 185 modèles de Mac différents. Rien que ça.
Les enquêtes progresseraient plus rapidement, mais à quel risque ?
Pour le FBI, qui a donc déjà été un client de Cellebrite
lors de la fusillade de San Bernardino, une telle information a des
chances d’être une réelle opportunité. Les policiers pourraient ainsi
faire appel au programme de BlackBag pour déverrouiller
un ordinateur appartenant par exemple au suspect d’un attentat
terroriste, voire obtenir des avantages tarifaires avec leur passé
d’acheteur.
Malgré
tout, cet avantage reste à nuancer : on sait que les travaux de Yossi
Carmil, le PDG, ont déjà été compromis par le passé, lorsque des internautes malveillants se sont introduits dans ses systèmes de sécurité. Ironique, quand on connaît l’objectif principal de leur activité.
Par ailleurs, à l’heure de la surveillance de masse perpétrée par de nombreux états comme la Chine,
on est en droit de se poser des questions : dans quelles mains
malintentionnées pourraient terminer de telles technologies ? Les
utilisateurs qui n’ont rien à se reprocher sont-ils encore en mesure de
garantir la confidentialité à leur vie privée ?
banques, fin $ ou fin des Banques, les banques vont manger des crouttes, faille, hackers, vol de donnés
« C’est
clairement des congédiements. Il n’y a pas d’autres façons de le
dire », commente Claude Garcia, ex-président de Standard Life et
administrateur de sociétés.
La
crise liée à la fuite de renseignements personnels au Mouvement
Desjardins entraîne le départ de deux membres de la garde rapprochée du
PDG Guy Cormier.
Denis
Berthiaume, premier vice-président exécutif et chef de l’exploitation du
Mouvement Desjardins, et Chadi Habib, premier vice-président,
technologies de l’information, ne font plus partie de l’organisation.
La
décision a été prise après « quelques mois de vérifications internes »
entourant la fuite de données révélée en juin, a indiqué la coopérative
dans un communiqué. Au final, les données personnelles des 4,2 millions
de particuliers membres de Desjardins ont été dérobées.
« La
confiance que j’accorde aux membres de mon comité de direction est
essentielle, a commenté Guy Cormier dans le communiqué de mardi. Les
événements des derniers mois m’amènent à la conclusion qu’il faut
apporter des changements dans la composition de la haute direction du
Mouvement Desjardins. »
Il
n’a pas été possible de parler à Guy Cormier pour obtenir plus de
détails sur la réorganisation de son équipe. « Nous n’accorderons pas
d’entrevue et ne ferons pas de commentaires », a fait savoir la
porte-parole Chantal Corbeil.
« C’est
clairement des congédiements. Il n’y a pas d’autres façons de le
dire », commente Claude Garcia, ex-président de Standard Life et
administrateur de sociétés. « Guy Cormier veut leur faire porter le
fardeau du problème », ajoute-t-il.
« Ils
[Denis Berthiaume et Chadi Habib] vont avoir de la difficulté à se
trouver un autre emploi de même niveau. Quand vous êtes à ce niveau-là,
les gens disent qu’ils sont bien payés, mais ils avaient de grandes
responsabilités. C’est normal qu’ils assument ces responsabilités si
effectivement ils sont responsables. Je n’ai pas de raison de douter de
la bonne foi de Guy Cormier et du conseil d’administration », affirme
Claude Garcia.
Pour
cet observateur avisé du monde des affaires, il ne fait aucun doute que
Guy Cormier a dû convaincre le conseil d’administration qu’il fallait
faire ce geste. « Car le conseil doit être certain que ce n’est pas une
façon pour lui de se sortir du trou. Il a fallu que Guy Cormier monte un
dossier pour montrer que ces deux personnes-là étaient vraiment
responsables. C’est une question de gouvernance. »
Pour Claude
Garcia, les événements des derniers mois chez Desjardins démontrent
qu’il y avait de « grosses faiblesses » au sein de l’organisation et que
de « graves erreurs » ont été commises.
Le
vol de données des clients de Desjardins aurait été commis par
l’entremise d’une simple clé USB sur laquelle on a téléchargé les
fichiers.
À
la Standard Life, dit-il, des cas de fraude « pas mal plus
sophistiqués » ont été découverts alors qu’il était dirigeant. « On
avait engagé une firme dont le mandat était de défoncer notre système.
Ils finissent toujours par défoncer. Mais une fois que c’est fait, tu en
corriges, des affaires. »
À ce compte-là, le départ de Chadi Habib n’est pas étonnant, selon lui. « Ça ne me surprend pas. »
Des dirigeants choisis par Guy Cormier
Denis
Berthiaume et Chadi Habib avaient spécifiquement été choisis par Guy
Cormier pour faire partie du comité de direction après son élection à la
tête du Mouvement Desjardins, il y a trois ans. Il avait nommé Denis
Berthiaume premier vice‐président exécutif et chef de l’exploitation
avec pour mandat de superviser l’ensemble des opérations du Mouvement.
M.Berthiaume cumulait une vingtaine d’années de service chez Desjardins.
À
titre de premier vice-président, technologies de l’information, Chadi
Habib assumait notamment le co-leadership de la transformation
numérique, un virage visant à faire évoluer les services offerts aux
membres et clients de Desjardins. Il travaillait chez Desjardins depuis
huit ans et il relevait directement de Denis Berthiaume.
L’ancien patron du Mouvement Desjardins Alban D’Amours s’est dit très surpris quand La Presse lui
a appris la restructuration. « Guy Cormier est en mesure de prendre les
mesures qui s’imposent », a-t-il ajouté sans toutefois vouloir
commenter davantage.
Réal
Bellemare, qui occupait le poste de premier vice-président exécutif
finances, trésorerie, administration et chef de la direction financière,
est désigné pour prendre la relève de Denis Berthiaume. Il assurera
aussi, par intérim, les responsabilités de premier vice-président
technologies de l’information.
Réal
Bellemare aura aussi comme responsabilité de mettre en place un Bureau
de la sécurité pour notamment mettre en œuvre des stratégies en matière
de sécurité, assurer la protection des membres et clients, de leurs
actifs et de leurs renseignements personnels, et mettre en place un
processus de reddition de comptes sur la sécurité, aligné sur les
meilleures pratiques.
Il n’a pas été possible d’obtenir des commentaires de MM. Berthiaume et Habib hier.
L’enquête
policière sur le vol de données chez Desjardins se poursuit toujours.
Les autorités n’ont toujours effectué aucune arrestation.
La crise des données personnelles en quelques dates
JEUDI 20 JUIN 2019
En conférence
de presse, le président du Mouvement Desjardins, Guy Cormier, annonce
le vol dans ses systèmes informatiques de renseignements personnels
concernant 2,9 millions de membres-clients du géant financier
coopératif.
Desjardins
avait été informé de ce vol massif de données, attribué à un employé à
l’interne, par la police de Laval à la suite de son enquête sur une
transaction suspecte qui lui avait été signalée à la fin de 2018.
VENDREDI 5 JUILLET 2019
Le
président du Mouvement Desjardins, Guy Cormier, fait part publiquement
de son insatisfaction envers la firme de dossiers de crédit Equifax, qui
a été mandatée pour fournir un service de surveillance et de protection
des dossiers de crédit des membres de Desjardins touchés par le vol de
renseignements personnels.
LUNDI 15 JUILLET 2019
Afin
de « diminuer le niveau d’inquiétude » chez les membres touchés par la
fuite de renseignements personnels, le Mouvement Desjardins bonifie les
mesures de protection contre les transactions frauduleuses par vol
d’identité parmi l’ensemble de ses 4,9 millions de membres particuliers
et de ses 300 000 membres entreprises.
LUNDI 12 AOÛT 2019
Dans
ses résultats de deuxième trimestre, le Mouvement Desjardins
comptabilise une charge spéciale de 70 millions pour couvrir les
premiers coûts liés à la fuite massive de renseignements de 2,9 millions
de membres des caisses populaires. La fuite de renseignements avait été
divulguée par Desjardins à 10 jours de la terminaison comptable de son
deuxième trimestre au 30 juin.
VENDREDI 1er NOVEMBRE 2019
À
la stupéfaction générale, le Mouvement Desjardins annonce que c’est
l’ensemble de ses 4,2 millions de membres particuliers qui ont été
victimes de la fuite de renseignements. « C’était important pour nous
d’informer nos membres le plus rapidement possible », dira le président
Guy Cormier, quelques minutes avant de prononcer un discours devant la
Chambre de commerce de Montréal.
MARDI 3 DÉCEMBRE 2019
Le Mouvement Desjardins remanie sa haute direction et justifie son geste
par le vol massif de renseignements personnels ayant touché ses
4,2 millions de membres particuliers. Denis Berthiaume, qui était numéro
deux en tant que premier vice-président exécutif et chef de
l’exploitation, ainsi que Chadi Habib, qui était premier vice-président
des technologies de l’information, partent. « La confiance que j’accorde
aux membres de mon comité de direction est essentielle », fait valoir
le président, Guy Cormier, dans un communiqué.
TransUnion Canada
affirme que les renseignements personnels d’environ 37 000 Canadiens ont
peut-être été compromis entre juin et juillet.
L’agence
de surveillance du crédit explique que l’accès aux données résultait de
l’utilisation frauduleuse des authentifiants de connexion en ligne d’un
de ses clients d’affaires.
TransUnion
précise avoir averti les personnes dont les informations ont pu être
consultées, ainsi que les commissaires à la protection de la vie privée. PAS DE CYBERATTAQUE
Même
si l’enquête est en cours, TransUnion soutient que l’accès non autorisé
n’est pas le résultat d’une intrusion ou d’une défaillance de ses
systèmes ou de ceux de ses clients. Le type d’informations personnelles
touchées n’a pas été révélé.
L’incident fait suite à de nombreuses atteintes à la sécurité des données ces dernières années, notamment à une violation de grande envergure chez Equifax,
une agence de surveillance du crédit rivale, où de l’information sur
143 millions de clients dans le monde avait été compromise.
Sécurité : Alors que de plus
en plus d'appareils se connectent à l'Internet des objets, les
chercheurs affirment que les pompes à essence sont devenues un sujet
d'actualité sur les forums de cybercriminalité.
Par
Danny Palmer
|
Suivre @zdnetfr
Les cybercriminels se tournent de plus en plus vers le piratage d'IdO
(Internet des Objets ou IoT) à mesure que les produits connectés
évoluent. Depuis peu un appareil en particulier attire l'attention des
pirates. Bien que les routeurs demeurent la principale cible des cyberattaques basées sur l'IdO, il y a beaucoup de discussions au sujet du piratage des pompes à essence connectées à Internet.
Cette nouvelle cible a été découverte par des chercheurs de Trend Micro, qui ont effectué un examen des places de marchés du dark web dans cinq langues différentes (russe, portugais, anglais, arabe et espagnol). Ce rapport décrit
comment le marché russe est la plus sophistiquée des communautés
clandestines, là où les cybercriminels sont désireux de tirer profit des
attaques.
Les pirates informatiques vendent déjà des compteurs
intelligents modifiés, et ce parce que la législation russe exige
désormais que tous les compteurs d'électricité du pays soient remplacés
par des compteurs intelligents connectés. Les cybercriminels modifient
le micrologiciel (firmware) de ces appareils pour que les utilisateurs
reçoivent des factures moins élevées.
Tuto piratage
Cependant,
les utilisateurs de ces forums russes demandent également des
informations sur la façon de pirater les pompes à essence, avec des
tutoriels disponibles sur le fonctionnement interne des pompes, y
compris celles équipées d'automates programmables. Les chercheurs notent
également que des articles sur le piratage des pompes à essence
apparaissent fréquemment dans les forums de langue portugaise, avec même
un tutoriel technique détaillé, étape par étape, sur la façon de
pirater les pompes à essence pour les utilisateurs brésiliens.
Bien
qu'il soit possible que ces attaques fassent l'objet de discussions
pour des raisons semblables à celles des compteurs intelligents, il est
tout à fait possible que les pompes à essence soient compromises à des
fins plus dévastatrices. Comme tout dispositif connecté non sécurisé, il
est possible que des pompes à essence connectées soient bloquées pour
être utilisées lors d'attaques par déni de service (DDoS), les pirates
les utilisant pour surcharger les services en ligne.
Toutefois, un rapport de Trend Micro
montre comment des pirates informatiques peuvent abuser de pompes à
essence non sécurisées et accessibles à distance pour causer des erreurs
ou des dommages physiques."Il y a un certain nombre d'autres scénarios
qui pourraient éventuellement se concrétiser. Cela comprend la
reconnaissance pour connaître le calendrier de livraison, l'extorsion
consistant à bloquer l'accès du propriétaire en échange d'une certaine
somme, et même le sabotage de la pompe à essence en ajustant les limites
du réservoir pour qu'il déborde", a déclaré Bharat Mistry, stratégiste
principal de sécurité chez Trend Micro à ZDNet.com.
Une solution "miracle" anti-piratage ?
Le
rapport prévient également que ces attaques n'en sont encore qu'à leurs
débuts et que des milliards d'autres appareils devraient entrer dans les foyers et les bureaux dans les années à venir.
Comme la 5G contribue à fournir des connexions plus rapides et plus
fiables aux appareils, les cybercriminels se tourneront de plus en plus
vers l'IdO comme moyen d'attaque.
Il existe des moyens de protéger les pompes à essence, même si elles sont connectés, notamment en s'assurant que les mots de passe par défaut des dispositifs sont modifiés,
afin que les attaques ne soient pas aussi efficaces. "Les opérateurs de
ces appareils devraient également envisager d'utiliser des fonctions
telles que les VPN pour chiffrer le trafic et l'authentification
mutuelle, par laquelle l'appareil et l'utilisateur se valident
mutuellement avant de continuer ", a déclaré M. Mistry. Source. : IoT security: Now dark web hackers are targeting internet-connected gas pumps
