PlanèteMembres  |  Mission   xlsAsset xlsAsset
Cherchez dans nos forums :

Communauté des investisseurs heureux (depuis 2010)

Echanges courtois, réfléchis, sans jugement moral, sur l’investissement patrimonial pour devenir rentier, s'enrichir et l’optimisation de patrimoine

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Flèche Prosper Conseil (partenariat) : optimisation patrimoniale et fiscale sans rétro-commission en cliquant ici.

1    #1 05/05/2024 18h47

Membre (2016)
Top 50 Dvpt perso.
Réputation :   118  

Bonjour,

Prenez-vous des précautions et préconisez-vous des solutions pour la sécurité informatique quand on voit dans la presse très régulièrement des articles de cyberattaques diverses.

Comme celles-ci :

Sabotages, cyberattaques, désinformation… Comment la Russie maintient la pression sur l’Occident - Le Parisien

Actualités Cyberattaques

Apparemment actuellement les particuliers, dont nous les investisseurs / entrepreneurs particuliers ne semblent pas trop attaqués directement, ou bien ? Mais encore faut il être au courant des attaques potentielles souterraines.

Et il vaut mieux prévenir que guérir !

Probablement qu’il vaut mieux aussi ne pas être une trop grosse entreprise, ou un service d’état comme une mairie, un hôpital, une écluse, etc…
Et ne pas être inscrit tout court si on peut sur une liste d’entreprises de la région.
Peut-être que pour les micro-entreprises cela irait, mais pas sur car j’ai lu que les PME doivent aussi se méfier et se préparer.

- Pour ma part, je sauvegarde le maximum sur mes disques durs. Même ce que je mets sur le Cloud.
Par exemple 1 fois par mois ou plus souvent si j’ai des documents importants a sauvegarder.
J’en connais qui sauvegardent tous les soirs ou davantage leur travail sur une clé USB, accrochée celle-ci en permanence sur eux a leur porte clés.

Je fais aussi des Clonages image système de temps a autres.
Avant j’utilisais Clonezilla, qui met un certain / beaucoup de temps a être correctement maitrisé, mais avec mon nouveau PC Windows 11 j’ai eu la superbe surprise que cela ne fonctionnait plus.

Tout cela prend évidement régulièrement du temps, mais probablement qu’il faut être prêt a TOUT re-installer, l’OS compris sur son PC.

Des avis, des infos, des suggestions, améliorations ?

Dernière modification par Serrure (05/05/2024 20h31)

Mots-clés : cyberattaque, protection des données, sécurité informatique

Hors ligne Hors ligne

 

#2 05/05/2024 19h17

Membre (2021)
Réputation :   52  

INTJ

Les sauvegardes manuelles c’est évidement mieux que rien, mais seul un système un peu automatisé permet d’avoir une bonne fiabilité à mon avis.

Malheureusement je ne peux pas vous conseiller grand chose, j’utilise des systèmes faits maison il y a plus de 10 ans et utilisés uniquement par moi-même et ma petite personne, mais le principe est que tous les systèmes importants sont sauvegardés en automatique au de 3 manières différentes (en l’occurrence ma comptabilité, mes documents importants et les serveurs hébergeant les systèmes de mes clients).

- Les données sont redondantes (chaque machine héberge au moins 2 disques avec un système RAID, permettant que si un disque ne fonctionne pas le système soit rétabli) cela protège uniquement des dysfonctionnements technique du disque mais c’est un début.
- Une sauvegarde quotidienne (ou plus si nécessaire pour les données de mes clients) est réalisée à partir de la machine concernée vers un cloud (ou équivalent) et stockée pendant quelques jours, ce système permet de s’adapter aux piratages de base (typiquement le client qui installe un truc foireux sur son serveur et se fait pirater) après vérification que la sauvegarde ne soit pas contaminée et identification de la source, on rétabli le système avant piratage en bloquant la porte d’entrée. Ce genre de situation m’est arrivée une demi douzaine de fois en plus de 10 ans de gestion de serveur pour des tiers. Le risque est qu’un pirate chevronné ne se manifeste pas pendant plusieurs semaines, pénètre sur le serveur, analyse l’ensemble de ce qui se passe, récupère les accès au système de sauvegarde et fasse en sorte d’attendre que toutes les sauvegardes soient contaminées pour activer ses dégâts. Cette précaution permet aussi de gérer les évènement catastrophique type destruction partielle voire incendie de datacenter (j’ai connu deux évènement de ce type, sans jamais perdre plus d’une heure de données, mais c’était un coup de bol, selon le cas ça aurait pu être 24h)
- Pour limiter ce risque, un second système de sauvegarde transparent pour le système concerné est réalisé (selon le cas par l’ouverture d’un accès ou un archivage à partir de la sauvegarde) avec une stratégie d’archivage différent sur un stockage "à froid" (généralement sur bande magnétique, c’est le moins cher)
On peut ainsi se permettre de revenir de nombreuses semaines en arrière voire de repartir du système de base et de reconstituer au mieux l’état du système avant piratage.

Aujourd’hui, de nombreux prestataires de sécurité proposent ce genre de services, sûrement de manière plus fluide que mes prototypes d’il y a 10 ans …

Sinon il faut savoir que la principale cause de piratage est une mauvaise hygiène numérique, donc limiter les comportements à risque :
- avoir une stratégie de gestion de mots de passe appropriée sans aucun doublon.
Différentes stratégies existent : un gestionnaire de mot de passe mais qui ajoute une vulnérabilité non négligeable. Autre possibilité, une stratégies d’encodage personnalisées : on utilise un mot de passe de base et on ajoute pour chaque usage une combinaison basée par exemple sur le nom du site. Exemple si mon mot de passe de base est Zat0wvUaai, je va ajouter en 3ème place un caractère spécial suivi de la seconde et la quatrième lettre du site, donc pour ici par exemple Zat#ne0wvUaai (pour iNvEstisseur…). Ainsi un robot qui a piraté l’accès à la boite mail n’aura pas le mot de passe du forum, mais un humain peut comprendre votre truc assez facilement
- utiliser au maximum la double authentification
- ne pas noter les mots de passe dans un fichier ou des post its.
- changer les mots de passe de temps et temps, et à chaque fois qu’il y a un doute (alerte de connexion depuis un endroit, perte d’un ordinateur…)
- Se protéger du phishing : ne pas cliquer sur les liens sans vérifier le domaine d’expédition d’un email (le vrai, pas l’adresse d’expédition) ET le domaine du lien final
- ne pas télécharger les pièces jointes non sollicitées ou semblant illégitimes
- utiliser des logiciels d’entreprise ayant pignon sur rue, ou privilégier le SAAS (logiciels en ligne)
- avoir un système le plus simple possible (pas des dizaines de logiciel que vous n’utilisez pas et des tas de plugins sur votre navigateur)
- utiliser un antivirus, sachant que l’antivirus gratuit de microsoft peut faire le boulot si on suit tout le reste

Et savoir aussi que l’ingénierie sociale est la principale source de piratage :
- former ses salariés, alerter sa famille
- limiter la présence de données personnels en ligne (pour limiter l’usurpation d’identité)
- toujours vérifier auprès de plusieurs sources avant toute décision sensible, par exemple, si quelqu’un prétendant bosser pour votre banquier vous demande une info personnelle, dites lui que vous allez appeler votre conseiller pour vérifier.

Je croyais que tout cela était relativement connu des chefs d’entreprise, mais je me rend compte que pas du tout, donc de mon côté je prépare une formation sur le sujet avec un organisme avec qui je travaille, ce sera une formation basique comportant les points ci dessus et quelques autres. Je pense néanmoins que ce sera utile pour de nombreuses TPE.

Hors ligne Hors ligne

 

#3 05/05/2024 19h52

Membre (2022)
Réputation :   26  

INTJ

Bonjour,

Je vais répondre en tant que spécialiste du secteur.
Notre secteur de la Cybersécurité gagne en maturité chaque année et fait l’objet de pas mal de littérature sur laquelle il faut prendre un peu de recul.

Il est difficile de faire un focus sur des mesures de sécurité particulières sans en oublier. L’idée primordiale est surtout de connaitre ce que l’on a à protéger.
Par exemple
  - Est ce la confidentialité des Informations ? Dans ce cas, je me prémunie par exemple d’une fuite de données.
  - Est ce l’intégrité de mes données ? Dans ce cas, je me prémunie par exemple d’un ransomware.

Les mesures de sécurité à mettre en œuvre pour les grandes entreprises sont définies dans la normes ISO 27002 et leur équivalent américain le NIST Cybersecurity Framework. Le secteur financier s’appuie majoritairement sur le NIST.

Pour les TPE, je trouve ces mesures trop nombreuses et difficilement applicables. Le guide hygiénique de l’ANSSI (Agence nationnale SSI) est beaucoup plus léger. Sa lecture en première approche est une bonne base de travail.

A titre personnel, je sauvegarde les données importantes (photos) sur une clé USB que je laisse dans un autre lieu que mon habitation. C’est le niveau 0 de la sécurité, mais cela protège mes données importantes de plusieurs sources de corruption. (vol, perte d’intégrité, destruction)
Je reste disponible pour des échanges dans des contextes plus précis.

Bonne journée

Hors ligne Hors ligne

 

#4 06/05/2024 14h35

Membre (2016)
Top 50 Dvpt perso.
Réputation :   118  

Intéressant tout cela, et vaste a étudier avec le document PDF.

Beaucoup utilise des anti-virus gratuits comme Windows Defender ou Avast, pour un particulier cela semblerait être suffisant, mais j’ai entendu que des entreprises payent pour des anti-virus plus performants.

- Et cela me rappelle les années 2000, ou l’on téléchargeait beaucoup sur du peer-to-peer comme eDonkey ou eMule.
  + l’échange entre copains étudiants et jeunes salariés très limités en argent, de beaucoup de docs, jeux, logiciels.

Alors la c’était la fête, et c’était très formateur au final.

Il faut avoir vécu les alertes assez fréquentes a l’écran des antivirus.
Puis des fois, le PC qui plus le temps passe, plus il fonctionne de plus en plus mal et de plus en plus lennnnntement, puis l’antivirus quand on clique dessus qui ne s’enclenche même plus…

Direction avec la tour chez un bon pote informaticien, verdict : L’antivirus s’est fait bouffer par le virus ( Norton de mémoire ).
Donc, il ne reste plus a notre niveau qu’a tout formater et tout réinstaller.

Ou des fois tout se passait bien, puis lorsque l’on fait une analyse avec l’antivirus plus approfondie et complète dans le mode redémarrage du PC ( a l’époque cela prenait du temps ) on découvre une collection d’une 20 aine de parasites et choses parasites qui se cachaient.

Mais bon a l’époque des années 2000 personnellement je ne consultais pas de comptes bancaires et ne payais rien en ligne, que par chèque.

- L’histoire vraie aussi d’un responsable d’une entreprise somme toute très a cheval niveau sécurité informatique.

Celui-ci en déplacement, en attente de son avion dans un aéroport discute et sympathise avec une autre personne, puis la personne lui dit que son téléphone est déchargé, et lui demande poliment si elle peut le recharger un peu sur son laptop.

La suite vous la devinez…
Ceux qui devinent pas tout de suite faut faire une formation de recyclage ;-)

Hors ligne Hors ligne

 

#5 08/05/2024 07h49

Membre (2018)
Réputation :   3  

Mon dernier pc portable avec windows 11 avait par défaut la synchronisations de "Mes Documents" avec One Drive, j’avais trouvé ça plutôt pratique. (attention limite de stockage gratuite à 5go)
Le gros point fort est que ça copie automatiquement dans le cloud mais pour moi ce ne doit pas être considéré comme une sauvegarde car si un fichier est supprimé en local alors il est supprimé dans le cloud et s’il est supprimé dans le cloud il est supprimé en local !
Donc en cas d’attaque et de corruption des fichiers ça ne sert à rien.
Il faut voir ça comme de la synchronisation multi périphériques.

Je pense que le meilleur moyen d’utiliser cet outil est de le désactiver au démarage et de lancer la synchronisation une fois de temps en temps manuellement.

Sinon en plus de ça, voilà ce que j’utilise :
- suite kaspersky pour la protection et le gestionnaire de mot de passe, suite achetée il y a plusieurs années, je pense en changer cette année.
- KeePass pour le gestionnaire de clés et données importantes
- sauvegarde mensuelle des dossiers importants dans un rar avec mot de passe et déposé sur mon cloud google.
- navigateurs et windows  toujours à jour, c’est la base

Ce n’est pas grand chose mais j’ai l’impression que ça suffit. Comme évoqué plus haut le plus gros risque est la bourde par l’utilisateur qui ouvre le mail ou le site qui ne faut pas.

On est loin du temps où passer 2h sur internet avec un windows 98/2000 non protégé et c’était une boucherie. Obligé d’avoir les install des antivirus et firewall sur cd pour pouvoir formater et reinstaller tout ça avant de connecter le cable réseau.

Hors ligne Hors ligne

 

#6 18/05/2024 16h29

Membre (2021)
Réputation :   3  

Et sinon, certains ont inventé linux, et les "types unix" (bsd, etc..)
Il y a moult systèmes alternatifs à Windows.
Là encore, nombreuses précautions sont  à préférer pour éviter de se faire véroler : la sauvegarde est la plus connue, mais le principal vecteur se situe entre la chaine et le clavier (surnommé "Pebkac" dans la profession).

Pour ma part, j’estime qu’il y a trois grands "dangers" pour un particulier à cette heure, en informatique :
- Évidemment le piratage des moyens de paiement, via hamerçonnage par communication numérique (remplace un peu l’escroquerie au faux policier des années 90)
- Le piratage ordinaire en bonne et due forme, en exécutant un programme malveillant, reçu par courriel, téléchargé ou autre, qui "moucharde" l’ordinateur
- La fuite des bases de données, qui frappe de plein fouet les acteurs d’internet aujourd’hui.. Normalement, une personne censée, appliquera la méthode "prudente", à savoir ne jamais sauvegarder ses coordonnées bancaires sur un site internet, et les mettre à la main systématiquement.

Reste le dernier aspect, les données personnelles non financières, parfois autant sensibles : données médicales (notamment une personnalité pouvant se faire "doubler" dans la communication de son cancer), familiale ou intimes (jennifer lawrence, aout 2014), mais parfois aussi d’autres documents précieux : écrits, documents industriels etc..

Le problème, aujourd’hui, reste de ne pas laisser faire n’importe quoi avec sa connexion internet, notamment quand les plus jeunes y accèdent dans le dos de leurs parents..


Parrain IB - Boursorama - Hello Bank - Fortuneo - et beaucoup d'autres!

Hors ligne Hors ligne

 

#7 18/05/2024 19h17

Membre (2021)
Réputation :   18  

Les fuites de données issues d’entreprises ou d’organismes publics représentent un danger préoccupant, contre lequel on ne peut pas vraiment se prémunir. En particulier, toute société imposant à ses clients de répondre à une « question secrète » est un danger public. En effet, une fois la « question secrète » et la réponse associée entre les mains des cybercriminels, ceux-ci pourront s’en servir auprès des autres organismes qui font reposer votre sécurité sur des « questions secrètes ».

Pour se protéger de cela, il faut répondre quelque chose d’arbitraire, non prévisible à chaque « question secrète », différent pour chaque organisme, et le garder bien en sécurité, avec redondance en cas de catastrophe… En d’autres termes, il faut traiter la réponse à la « question secrète » comme un second mot de passe (de même que les “recovery codes” qui sont souvent donnés lorsqu’on met en place une authentification multi-facteurs [MFA] reposant un un secret, pour se connecter à un site ­— ex. : OATH-TOTP, U2F ou FIDO2, mais pas pour la MFA faible « envoi d’un SMS »).

Parenthèse sur les mots de passe — Il faut être bien organisé pour stocker les identifiants, mots de passe primaire et secondaire de chaque compte, l’adresse mail associée (éventuellement aussi la date de dernière modification du mot de passe), ceci de manière « sûre » (piratages, aïe !) et avec une redondance suffisante pour résister à une panne matérielle grave, une attaque du genre ransomware, un incendie…

Le problème des fuites de vos données dues à des tiers se pose aussi avec des informations telles que nom, prénom, adresse, date de naissance, adresse mail, numéro de Sécurité Sociale… Ces informations sont régulièrement fuitées par des sociétés (ex. de 2024 : Free, Viamedis, Almerys… et toutes les mutuelles, organismes de « prévoyance », etc., qui leur ont transmis vos données) et facilitent substantiellement l’usurpation de votre identité, l’envoi d’un faux agent Enedis/GRDF/Veolia, etc. Triste époque où certains pays nous font la guerre par la voie cyber en toute impunité (sur le podium : Russie, Chine et Corée du Nord).

L’authentification selon le standard FIDO2 est intéressante mais peu répandue pour les sites ou organismes qui s’adressent au grand public ; de plus, Google et Apple sont en train de torpiller le système avec leurs “passkeys”, dans lequel vos clés privées sont stockées dans leurs clouds respectifs !

Hors ligne Hors ligne

 

#8 28/05/2024 18h41

Membre (2019)
Réputation :   7  

ISTP

Bonjour,

Je crée cette discussion pour vous inviter à participer à une activité importante : un nettoyage de printemps numérique !

Depuis combien d’années utilisez-vous Internet ? Sur combien de sites Web et autres applications mobiles vous êtes-vous inscrit ? Nom, prénom, photo de profil, e-mail, date de naissance, adresse, numéro de téléphone, numéro de carte bleue, contact d’urgence et bien d’autres informations personnelles sont partagées avec ces sites, ce qui n’est pas nécessaire, et probablement pas souhaitable non plus.

Je vous propose donc de commencer par jouer aux devinettes et faire une estimation, sans vérifier, du nombre de sites sur lesquels vous êtes inscrit. Ensuite, faite une liste et comparez votre idée à la réalité. Pour cela, vous pouvez bien sur vous servire de votre boite mail. Des recherches de mots clés comme "compte", "account", "password", "registration", "confirmation", "confirm" devrait vous permettre à retrouver pas mal de mails d’inscription. Vous pouvez aussi, pour les informaticiens de la bande, utiliser des outils d’OSINT pour vous aider, par exemple :
- GitHub - megadose/holehe: holehe allows you to check if the mail is used on different sites like twitter, instagram and will retrieve information on sites with the forgotten password function.
- Epieos, the ultimate OSINT tool
- Have I Been Pwned: Check if your email has been compromised in a data breach

Je vous suggère de lister également les sites bancaires, e-mail provider, e-commerce, réseaux sociaux et autres sites de rencontre, etc. L’idée est d’établir un état des lieux.

A minima, vous vous rendez maintenant compte de la quantité de services avec lesquels vous partagez généreusement des données vous concernant. Pour ceux qui y sont sensible, vous pouvez ensuite faire du nettoyage. Vous connecter aux différents sites, demander la suppression des données puis supprimer vos comptes, ou encore contacter le SAV/support technique pour faire la demande si la fonctionnalité n’est pas disponible directement sur le site Web ou l’application mobile.

Pour conclure, je vous recommande de maintenir cette liste à jour. On s’inscrit sur un forum ? On le note dans le fichier de suivi. On clique sur "se connecter avec mon compte google" sur une app ? idem. Votre futur moi vous en remerciera certainement.

Hors ligne Hors ligne

 

#9 28/05/2024 19h35

Admin (2009)
Top 5 Année 2024
Top 5 Année 2023
Top 5 Année 2022
Top 10 Portefeuille
Top 5 Dvpt perso.
Top 10 Expatriation
Top 5 Vivre rentier
Top 5 Actions/Bourse
Top 50 Obligs/Fonds EUR
Top 5 Monétaire
Top 5 Invest. Exotiques
Top 10 Crypto-actifs
Top 5 Entreprendre
Top 5 Finance/Économie
Top 5 Banque/Fiscalité
Top 5 SIIC/REIT
Top 20 SCPI/OPCI
Top 50 Immobilier locatif
Réputation :   3978  

 Hall of Fame 

INTJ

sjdc a écrit :

A minima, vous vous rendez maintenant compte de la quantité de services avec lesquels vous partagez généreusement des données vous concernant. Pour ceux qui y sont sensible, vous pouvez ensuite faire du nettoyage. Vous connecter aux différents sites, demander la suppression des données puis supprimer vos comptes, ou encore contacter le SAV/support technique pour faire la demande si la fonctionnalité n’est pas disponible directement sur le site Web ou l’application mobile.

Hélas, rien ne prouve que les données sont effectivement supprimées.

Qui va aller vérifier ? Contrôler ? Personne.

Je ne serais pas surpris que dans bien des cas, nos données soient juste désactivées, pour qu’elles puissent malgré tout être utilisées pour du data mining.

Pour s’éviter des ennuis, le mieux est encore de faire du "minimalisme numérique" : le moins de services numériques possibles, le moins d’applis possibles…

Mais même en faisant le moins possible, on en a quand même une tonne, tant nous vivons dans un monde de + en + digitalisé.

Hors ligne Hors ligne

 

#10 28/05/2024 20h45

Membre (2019)
Réputation :   7  

ISTP

InvestisseurHeureux a écrit :

Qui va aller vérifier ? Contrôler ? Personne.

Vous avez raison, mais il y a quand même 3 bonnes raisons de le faire :
1. Il est possible qu’ils suppriment réellement vos données :)
2. Nous sommes dans l’UE et la RGPD est un outil assez dissuasif pour que les acteurs, petits ou grands, n’aient pas trop envie de se prendre une amende.
3. A minima, une personne qui fait de l’OSINT ne pourra plus savoir que vous avez (eu) un compte sur telle ou telle plateforme.

Si sur des dizaines de suppressions de comptes, quelques un ne jouent pas le jeu, je pense que le jeu en vaut quand même la chandelle. Comme la police qui n’arrête pas le crime, mais qui le réduit quand même beaucoup (sans vouloir nous lancer sur un autre débat).

Hors ligne Hors ligne

 

#11 28/05/2024 20h57

Membre (2021)
Réputation :   52  

INTJ

Je confirme en tant que pro, j’essaie de respecter scrupuleusement la RGPD et de la faire respecter à mes clients (et à vrai dire j’avais déjà une politique assez restrictive sur le sujet de par les sensibilisations que j’ai eu pendant ma formation bien avant).

Donc en cas de demande, soit on anonymise les données quand c’est nécessaire, soit on les supprime purement et simplement.

En 15 ans de vie professionnelle, personne n’a jamais contrôlé quoi que ce soit en terme de stockage de données, ni sur la question des données personnelles ni des données bancaires par exemple

Hors ligne Hors ligne

 

#12 29/05/2024 22h03

Membre (2015)
Top 50 Dvpt perso.
Top 50 Invest. Exotiques
Top 50 Crypto-actifs
Top 50 Entreprendre
Top 50 Finance/Économie
Réputation :   200  

InvestisseurHeureux, le 28/05/2024 a écrit :

Je ne serais pas surpris que dans bien des cas, nos données soient juste désactivées, pour qu’elles puissent malgré tout être utilisées pour du data mining.

Oui, c’est pour ça que plutôt que de supprimer mes données, je les fausse, je mets n’importe quoi de crédible pour pourrir au maximum les données, les statistiques, tout ce qu’ils feront de mes données sans mon consentement. Ensuite seulement, je demande la suppression : s’ils n’exécutent pas leurs obligations légales… tant pis pour eux.

sjdc, le 28/05/2024 a écrit :

2. Nous sommes dans l’UE et la RGPD est un outil assez dissuasif pour que les acteurs, petits ou grands, n’aient pas trop envie de se prendre une amende.

Moi j’ai plutôt la nette impression que c’est un je-m’en-foutisme généralisé. À chaque fois que j’ai contacté un DPO, je n’ai aucune réponse. Tous les échos que j’ai de gens qui ont fait des procédures se font balader :
1/ on va voir la CNIL, elle nous dit de s’adresser au DPO du site, qu’elle ne peut être saisie en premier ressors
2/ on écrit au DPO du site
3/ poireauter un mois (délai demandé par la CNIL)
4/ saisir la CNIL : indiquer qu’on a contacté le DPO, qu’on a pas de réponse
5/ attendre trois mois (délai à respecter)
6/ saisir la CADA : indiquer que la CNIL est censée répondre dans un délai raisonnable (au passage, remarquer que le site de la CADA n’est pas conforme RGPD, et le signaler à la CNIL)
7/ attendre des mois / années
8/ recevoir un courrier de la CADA : "blablabla… nous avons rappelé à la CNIL ses obligations blablabla"
9/ attendre encore des plombes
10/ recevoir un courrier de la CNIL : "blablabla… désolé pour le retard… blablabla… nous avons constaté les manquements de l’entreprise machin et les avons rappelé ses obligations quant au respect du RGPD"
11/ n’avoir aucune idée de si il s’est vraiment passé quoi que ce soit chez l’entreprise en question à part avoir reçu un courrier de la CNIL ("vu et s’en tape")

C’est pour moi un des plus gros fiasco juridique. Ça fait des années que ça existe et on en est à peu près au même point qu’avant le RGPD, à part les quelques amendes infligées aux très gros (qu’ils auront remboursé en quelques minutes de CA, ayant très bien pondéré le bénéfice/risque de la violation).

Les boîtes respectueuses sont celles qui l’étaient déjà parce que faites par des informaticiens conscients.

P.S : mon analyse est que le présent forum n’est pas conforme RGPD, car utilisation de Cloudflare (= transfert de nos adresses IP, donnée personnelle, à une boîte américaine).

Hors ligne Hors ligne

 

#13 29/05/2024 22h40

Membre (2022)
Réputation :   26  

INTJ

InvestisseurHeureux, le 28/05/2024 a écrit :

Hélas, rien ne prouve que les données sont effectivement supprimées.

Qui va aller vérifier ? Contrôler ? Personne.

Bonjour,
Vous venez de mettre le doigt sur LE gros problème.

En pratique les grandes sociétés font appel à des sociétés spécialistes de la destruction de données (Par exemple Blanco). La société spécialisée détruit les données des supports physiques qui lui ont été fournis selon des méthodes certifiées par l’ANSSI. La société fournit également un PV de destruction précis avec la référence du support et la méthode de destruction.

Par contre, je n’ai jamais vu de mapping précis entre les données confiées à un prestataires et les supports physiques. Les données sont souvent répliquées à de multiples endroits du SI (PRA, sauvegardes, coffre fort électroniques, Datawarehouse, partenariat). Ce qui rend quasi impossible leur identification exhaustive et donc leur destruction.

Hors ligne Hors ligne

 

#14 29/05/2024 23h20

Membre (2021)
Réputation :   52  

INTJ

Les boîtes respectueuses sont celles qui l’étaient déjà parce que faites par des informaticiens conscients.

ça nous a quand même apporté un bon cahier des charges à respecter quand on a envie de le faire…

bon cahier des charges très couteux pour la collectivité, mais c’est déjà ça

Hors ligne Hors ligne

 

#15 30/05/2024 07h15

Membre (2016)
Top 50 Dvpt perso.
Réputation :   118  

Un exemple concret de piratage / hacking récent.

Xavier Tytelman le Youtubeur assez connu qui traite beaucoup du sujet de la guerre en Ukraine, dit dans sa vidéo a 13:18  :

Vous savez que j’ai perdu la chaîne, il y a eu un piratage de la chaîne.
J’ai perdu énormément de vidéos qui étaient en préparation, beaucoup de validations qui doivent être réalisé.
J’ai également perdu mon compte Google Drive, donc il y a pas mal de scripts qui ont été perdus.

Il dit aussi dans les commentaires :

mais pour les vidéos avec script et préparation on va devoir repartir de zéro, ainsi que la recherche des illustrations…

Ainsi il semblerait déjà qu’il n’est pas fait des sauvegardes de base sur des supports comme des disques durs externes.
De mémoire j’ai lu ou entendu quelque part qu’il a eu encore d’autres dégâts et pertes en plus de ce dont il parle dans cette vidéo.

Remarque, avec tous ces conflits mondiaux actuels on peut parier que les hackers pro n’ont pas le temps de s’occuper de gens trop petit comme un particulier somme toute lambda. Mais bon des punitions de groupe semblent toujours possibles.

J’aurais bien aimé davantage d’informations, et sur comment les hackers ont réussi ?

Dernière modification par Serrure (30/05/2024 11h48)

Hors ligne Hors ligne

 

Favoris 1    #16 30/05/2024 10h40

Membre (2011)
Top 50 Vivre rentier
Réputation :   63  

Gog, le 29/05/2024 a écrit :

P.S : mon analyse est que le présent forum n’est pas conforme RGPD, car utilisation de Cloudflare (= transfert de nos adresses IP, donnée personnelle, à une boîte américaine).

Votre analyse est fausse. Avant d’être possiblement une donnée personnelle, l’adresse IP est une données technique nécessaire à l’utilisation du protocole IP nécessaire pour atteindre le site Web. Cette transmission d’adresse IP est nécessaire à l’exécution du contrat implicite entre le forum et vous : vous voulez y accéder, il a besoin de transmettre votre adresse IP.

C’est très différent du cas du reCAPTCHA de Google qui transmettait l’adresse IP des utilisateurs pour un traitement de tracking aux USA.

Hors ligne Hors ligne

 

#17 30/05/2024 11h01

Membre (2019)
Réputation :   12  

Egalement le transfert des données vers les US peut être conforme au RGPD depuis l’année dernière si l’entreprise est présente sur la liste du ministère du commerce US, ce qui semble être le cas de le Cloudflare : Data Privacy Framework

Hors ligne Hors ligne

 

#18 31/05/2024 22h47

Membre (2015)
Top 50 Dvpt perso.
Top 50 Invest. Exotiques
Top 50 Crypto-actifs
Top 50 Entreprendre
Top 50 Finance/Économie
Réputation :   200  

fred42, éclairez-moi : qu’est-ce que je n’ai pas compris sur cette page ?

la "CNIL" allemande a écrit :

The use of Cloudflare violates Art. 44

The DPA believes that the transmission of data, in particular. - Date and time of access, - name of the requested file, - web page from which the file was requested, - access status {e.g. e.g. file transferred, file not found), - the web browser used and the operating system, - the lp address of the requesting device, - online identifiers (e.g. device identifiers, session lDs}. Unlawful and a violation of Art. 44 GDPR.

Je considère que Cloudflare n’est pas nécessaire mais superflu (sans parler du fait qu’il est pénible avec ces constantes mise en attente sur une mire et ces CAPTCHA). RGPD ou pas mon IP est transmise et Cloudflare sait que je consulte le forum et revend sûrement l’information.

Je ne sais pas si le forum permet encore d’inclure des vidéos youtube directement dans les messages mais si c’est le cas, c’est non-conforme également (merci encore à IH qui, suite à ma demande, a fait en sorte que les vidéos ne soient pas incluses directement si l’entête DoNotTrack est envoyé par la navigateur).

Vous avez raison Bobdocland : la chute du Privacy Shield fut une grande victoire mais avec ce nouvel accord EU/US, le pillage des données européennes est redevenu légal. En Irak quand les USA pompaient le pétrole, ça se voyait dans le paysage. Aujourd’hui, avec la "data", "the new oil" on se fait piller pareillement mais ça se voit pas dans le décor.

Hors ligne Hors ligne

 

#19 01/06/2024 00h55

Membre (2016)
Top 50 Dvpt perso.
Réputation :   118  

Un bon VPN semble faire partie de la base pour préserver l’anonymat en ligne et se protéger contre le pistage.

Le principal avantage d’un VPN est qu’il masque votre adresse IP réelle en la remplaçant par celle du serveur VPN auquel vous êtes connecté.

Cela empêche les sites web, votre fournisseur d’accès Internet et les éventuels pirates d’associer votre activité en ligne à votre véritable adresse IP et votre localisation géographique.
Même si les VPN ne peuvent pas dans l’absolu masquer toute votre activité en ligne, certains sites Web et certains services en ligne peuvent toujours suivre votre activité en utilisant des cookies et d’autres technologies de suivi.

Dernière modification par Serrure (01/06/2024 01h52)

Hors ligne Hors ligne

 

#20 01/06/2024 01h27

Membre (2021)
Réputation :   18  

Puisqu’on cause VPNs, les aficionados seront peut-être intéressés par la lecture suivante (article de Brian Krebs) : Is Your Computer Part of ‘The Largest Botnet Ever?’

En très résumé, certains produits « VPN gratuits » font de votre ordinateur un membre des botnets utilisés par les cybercriminels pour faire ce qu’ils aiment faire. Concrètement, c’est de votre ordinateur que vont partir certaines attaques, et vous faites serveur VPN à votre insu.

Hors ligne Hors ligne

 

1    #21 05/06/2024 14h42

Membre (2012)
Top 50 Portefeuille
Réputation :   284  

Bonjour à tous,

Déjà ravi de voir que ce sujet est abordé sur le forum!
Je travaille dans le secteur, et je conseille mes amis et ma famille sur des mesures d’"hygiène cyber" de base (les solutions simples pour les individus n’ont rien à voir bien entendu avec ce qu’on peut proposer à des entreprises).

Petit résumé des conseils que je donne à mes proches:

- Gestion des privilèges: Sur PC Windows, ne jamais utiliser le compte "admin". Ne travailler que sur un compte "local"
- Gestion des mots de passe : utiliser plutôt des phrases de passe, minimum 10 caractères . Perso j’utilise un gestionnaire de mot de passe (1Password). Et pas de réutilisation d’un mot de passe pour plusieurs accès.
- Au minimum activer le firewall de Windows. Ou rajouter un autre firewall (Comodo pour moi)
- Antivirus : j’utilise Avast , mais il y en a d’autres. De toute façon, il en faut un au minimum!
- Nettoyage perf & sécurité : j’utilise CCleaner (gratuit)
- VPN : j’utilise NordVPN, qui a aussi le bon gout de proposer des systèmes intégrés de protection Web, protection des fichiers, détection de vulnérabilité. Obligatoire si vous vous connectez à l’extérieur de votre domicile ( Gare, aéroport, café, …)
- Protection des données: tout est stocké 3 fois: une en local sur mon disque dur, une dans le cloud (Dropbox), et régulièrement sur un disque dur externe, déconnecté en dehors des temps de sauvegarde.
- Si vous craignez un pistage, vous pouvez utiliser TOR (Tor Project | Download)
- Mail : Et pour la gestion de vos mails, vous pouvez utiliser plusieurs mails, un pour les interlocuteurs de confiance,  et un chaque fois qu’il faut donner un mail pour accéder à de l’information.  A noter que si vous avez une adresse gmail, vous avez la possibilité de créer à la volée une adresse différentes:

CCM a écrit :

La méthode pour créer des adresses personnalisées dans Gmail demeure assez simple et ne demande aucune manipulation spécifique dans les réglages du service de messagerie. Elle consiste simplement à ajouter un indicateur dans le libellé de l’adresse que vous saisissez lors de votre inscription auprès d’un service Web ou une boutique en ligne. Ainsi, plutôt que de saisir prenomnom a gmail.com, il suffit d’indiquer prenomnom+auchan a gmail.com si vous voulez vous inscrire sur le site de l’enseigne Auchan par exemple.

Sinon utilisez un mail "jetable" comme Yopmail (yopmail.com).

Tous ces outils sont intéressants, mais comme on dit dans la cyber, la principale vulnérabilité se situe entre l’écran et la chaise…

Donc il faut faire preuve de bon sens et d’un peu de paranoïa…
La base de la base : ne cliquez JAMAIS sur un lien dans un SMS ou un mail. SI une action est requise par une application dont vous êtes clients, allez sur le site en tapant vous même l’adresse et voyez si effectivement vous avez une action à accomplir.

Rien de révolutionnaire dans tout ça.
Je renvoie sur le site de l’ANSSI qui donne quelques bonnes pratiques pour les particuliers:
Bonnes pratiques - Protégez-vous ! | ANSSI

Bonne cyber sécurité!


L'Investisseur Individuel, mon blog orienté "Dividendes Pérennes": http://investisseur-individuel.com/

Hors ligne Hors ligne

 

Favoris 1    #22 15/06/2024 12h18

Admin (2009)
Top 5 Année 2024
Top 5 Année 2023
Top 5 Année 2022
Top 10 Portefeuille
Top 5 Dvpt perso.
Top 10 Expatriation
Top 5 Vivre rentier
Top 5 Actions/Bourse
Top 50 Obligs/Fonds EUR
Top 5 Monétaire
Top 5 Invest. Exotiques
Top 10 Crypto-actifs
Top 5 Entreprendre
Top 5 Finance/Économie
Top 5 Banque/Fiscalité
Top 5 SIIC/REIT
Top 20 SCPI/OPCI
Top 50 Immobilier locatif
Réputation :   3978  

 Hall of Fame 

INTJ

Modifier les serveurs DNS de sa configuration Internet peut aussi aider à améliorer la sécurité informatique de son ordinateur ou smartphone.

Pour les Européens, le + rapide et le + sécurisé semble être les DNS CloudFlare :



Source : DNS Performance - Compare the speed and uptime of enterprise and commercial DNS services | DNSPerf

Sachant que les DNS CloudFlare sont :

1.1.1.1 et 1.0.0.1 en IPv4
2606:4700:4700::1111 et 2606:4700:4700::1001 en IPv6

Il semble même possible de bloquer l’accès au contenu pornographique en ajustant les DNS [des smartphones de vos enfants] avec les DNS suivants :

1.1.1.3 et 1.0.0.3 en IPv4
2606:4700:4700::1113 et 2606:4700:4700::1003 en IPv6

Source : IP addresses · Cloudflare 1.1.1.1 docs

P.S. : si je sais changer les paramètres DNS de mon PC, j’avoue que sur le smartphone, c’est moins évident ?! J’ai dû installer l’application [gratuite] DNS Changer.

EDIT

Voici la méthode pour changer sur le smartphone : How to turn on Private DNS Mode on Android (and why you should) | ZDNET

Il faut mettre 1dot1dot1dot1.cloudflare-dns.com dans la rubrique Private DNS provider hostname.

Hors ligne Hors ligne

 

#23 15/06/2024 15h02

Membre (2022)
Réputation :   26  

INTJ

Bonjour,

Je vais rebondir sur les propos de IH.
Il y a effectivement plusieurs intérêts à changer de serveurs DNS.

1 Protection contre le phishing et les sites malveillants :
Certains services DNS, comme ceux proposés par Cloudflare (1.1.1.1), Google (8.8.8.8) ou OpenDNS (208.67.222.222), offrent des fonctionnalités de sécurité supplémentaires qui bloquent l’accès aux sites web malveillants, de phishing et de contenu potentiellement dangereux. En utilisant ces serveurs DNS, on réduit le risque de visiter accidentellement des sites qui pourraient compromettre la sécurité de son appareil.

2) Cryptage des requêtes DNS
Certains services DNS prennent en charge des protocoles comme DNS over HTTPS (DoH) ou DNS over TLS (DoT), qui chiffrent les requêtes DNS. Le chiffrement empêche les attaquants et les fournisseurs de services Internet (FAI) de surveiller ou de manipuler les requêtes DNS, ce qui renforce la confidentialité et la sécurité des utilisateurs.

3) Filtrage de contenu
Des services comme OpenDNS offrent des options de filtrage de contenu qui peuvent être configurées pour bloquer l’accès à des catégories spécifiques de sites web (comme la pornographie, les jeux d’argent, etc.). Cela peut être particulièrement utile pour les familles ou les entreprises souhaitant restreindre l’accès à certains types de contenu.

Au sein des grandes entreprises , je vous laisse imaginer imaginer la sensibilité du sujet.

Bonne journée.

Hors ligne Hors ligne

 

#24 15/06/2024 17h33

Membre (2021)
Réputation :   18  

Puisqu’on en est à citer des résolveurs DNS publics, il y a aussi ceux de FDN. Explications en français d’un expert du protocole et de l’architecture DNS.

Note : même si les données sont chiffrées entre vous et le résolveur choisi (c.-à-d. si utilisation d’un des protocoles DoT ou DoH mentionnés par PascalD), les administrateurs de ce dernier ont accès à tout en clair s’ils le souhaitent. Donc par exemple, les autorités U.S. (NSA…) lorsqu’on utilise les résolveurs de Google ou de Cloudfare, etc.

Hors ligne Hors ligne

 

#25 15/06/2024 18h23

Membre (2020)
Top 20 Monétaire
Réputation :   47  

Bon je dégaine aussi ma solution préférée : Pi-Hole

Elle consiste à installer un petit serveur DNS privé chez soi sur son réseau local, au lieu de dépendre de serveurs DNS externes. L’installation peut se faire sur linux, en natif ou sous forme de container.

Parmi les services rendus :

- Supprime la quasi totalité des publicités que nous subissons lors de la navigation sur internet
- Supprime les références à des sites malicieux (il y a de multiples listes de filtrage au choix, mais les listes par défaut sont déjà très bien)
- Accélère la navigation (mise en cache local) et suppression de toutes les pubs
- Evite de passer par des serveurs DNS curieux (il faut configurer pour cela des serveurs upstream confidentiels)
- Fournit des analyses de traffic
- Simple à installer
- Ne consomme absolument rien comme ressources
- Très Stable
- Vous permets d’avoir aussi un serveur DHCP et DNS interne sur votre réseau maison
- Gratuit

Bref un must-have que j’utilise avec bonheur depuis longtemps

@IH
Pour modifier les paramètres DNS d’un smartphone Android (depuis la v9) , il suffit de chercher et modifier le paramètre "DNS privé".

Voir exemple documenté chez ADGuard ici, chapitre "Solution 2, configurer le DNS manuellement". Après cette manip, en déplacement hors du domicile (hors Wifi), en naviguant via connexion 4g/5g on est sur le DNS privé choisi.
Moi j’ai pris le DNS d’ADguard car il filtre les pubs, la navigation n’en n’est que plus fluide, et le forfait moins consommé …

Dernière modification par bg57 (16/06/2024 13h40)

Hors ligne Hors ligne

 

Discussions peut-être similaires à “comment se protéger à moindre coût des cyber-attaques ?”

Pied de page des forums