Annoncé depuis novembre 2009 par Bruxelles, le renforcement des mesures de sécurité (et de rétorsion…) vient de se matérialiser via l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques du “paquet Télécom”, notamment à travers l’article 38.

En bref, un FAI doit dorénavant avertir la CNIL, et le cas échéant l’intéressé, en cas de “disparition” d’informations à caractère personnel.

Les paris sont ouverts : QUI sera le premier à passer au “20 heures”, pour expliquer que, bon, bah, euh, comment dire….on a paumé des trucs !

Les détails du texte : (notez au passage le “susvisée”…j’adore !)

Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis ainsi rédigé :

• I. ― Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification. Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

• II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
  La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
  A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d‘informer également les intéressés.

• III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

A ce jour, cette ordonnance impacte essentiellement les fournisseurs d’accès à internet (pas seulement les telcos…), mais il faut s’attendre à un élargissement à d’autres secteurs d’activités (banque, grande distribution, santé…), comme l’annonçait récemment Vivian Reding devant un parterre de banquiers :

Je comprends que l’introduction d’une telle notification systématique serait un fardeau pour certains d’entre vous dans le secteur bancaire. Toutefois, l’obligation de rendre public une perte importante d’informations est nécessaire et améliorerait la confiance des consommateurs.

 

Bon, cela dit tout va bien, des solutions existent, qui doivent prendre en compte les aspects humains, procéduraux et technologiques.

Il faut juste prendre les choses au sérieux et traiter l’information à sa juste valeur…enfin.

Et pour ceux qui aurait oublié (!)…un rappel sur ce qu’est une ordonnance en droit constitutionnel.

Certains maliciels sortent du lot. C’est le cas de W32.Xpaj.B, classé parmi les plus complexes et sophistiqués en terme d’infection de fichier. Ce qui a piqué la curiosité des chercheurs, qui ont fini par découvrir une vaste infrastructure de “fraude aux clics”, récupérant au passage toutes les statistiques de l’opération !

Nombreuses machines, nombreux développements,  plusieurs pays, le plein de clics, pour un gain (hors taxe !) de plus de 60.000 $ par an.

Gains en dollar entre septembre 2010 et juin 2011

Le principe, rappelons-le est de générer du revenu en détournant les différents systèmes de rémunération existants autour de la publicité sur internet, big business (!), et notamment basés sur les recherches lancées par les internautes. L’achat de mots-clefs qui propose l’affichage de liens “sponsorisés” représentent un chiffre d’affaire important pour les moteurs de recherche.

Par ailleurs, avez-vous déjà observé la soudaine pertinence des pubs et autres bannières après une recherche sur un bien de consommation ?

Tous les détails et de nombreux schémas dans le document suivant  : W32.Xpaj.B, Making easy mony from complex code

Un petit clic pour le plein de cash…

Il fallait s’y attendre, le remplacement progressif des vrais claviers par des écrans tactiles sur les bidules connectés va mettre au rencard les bons vieux keyloggers…mais alors, serait-ce la fin de la piraterie dactylographique?

Que nenni  !

Des chercheurs de l’Université de Californie ont démontré la possibilité de localiser et d’enregistrer les tapotages et autres glissades dorénavant usuelles sur nos écrans tactiles avec un taux de réussite de près de 72%, dans le cas d’un pavé numérique.

Pas de preuve d’existence de maliciels pour mobiles utilisant ce type de technique dans la nature à ce jour; mais bon… :-/

Pour les amateurs matheux les détails sont ici.