Combien valent vos données personnelles sur le dark web?


Ces derniers mois, nous avons entendu parler de vol de données de clients dans certaines entreprises. Ces données sont vendues dans le darknet, le côté sombre d’Internet. Tout est a risque, vol d’identité, carte de crédit, même un dossier médical peut devenir notre pire cauchemar.
Nuage


Combien valent vos données personnelles sur le dark web?

Une main tenant un sac d'argent sort d'un écran d'ordinateur.

Les données volées ont une valeur marchande et peuvent servir aux acteurs malveillants, qui les vendent et les achètent dans les recoins du web.

PHOTO : RADIO-CANADA / ÉMILIE ROBERT

Desjardins, Capital One, Cambridge Analytica… Les scandales liés à la protection des données personnelles se multiplient ces dernières années et nos informations sont plus convoitées que jamais. Certains banalisent la situation. « Je n’ai rien à cacher », entend-on souvent. Pourtant, les risques sont sérieux, et vos données ont une valeur marchande dans les recoins du web.

Le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu, connaît bien cette facette du monde interlope. Voici ses réponses à nos questions sur le sujet.

Ce texte est le premier d’une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent

Radio-Canada Techno : Où se vendent les données personnelles sur le web?

Jean-Philippe Décarie-Mathieu : Ça se fait sur des cryptomarchés accessibles sur les darknets, donc dans des parties cachées du web. On trouve sur ces marchés de l’information volée, des cartes de crédit fraudées, des outils de hacking, de la drogue, des armes et plus. Il existe plusieurs marchés de différentes tailles, un des plus connus étant BerlusconiMarket.

Dans le fond, ces sites sont comme un eBay du crime électronique. Les vendeurs ont des profils et une réputation, ils montrent des fiches de produits. Tu cherches ce que tu veux acheter, et tu as toi-même une réputation en tant qu’acheteur. On paie le vendeur d’une manière qui est difficilement traçable, généralement en utilisant une cryptomonnaie comme bitcoin ou Litecoin.

Quel genre de données personnelles peut-on acheter?

Il y a de tout. On peut par exemple acheter des fullz, un dossier qui représente en quelque sorte l’identité numérique ou l’entièreté des dossiers personnels de quelqu’un.

Il n’y a pas de définition exacte d’un fullz, mais généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un.

La valeur des fullz a énormément baissé. Il y a deux ans, ça valait environ 800 $ US. L’an dernier, c’était en dessous de 600 $ et présentement, le prix tourne autour de 150 $.

Il y a tellement de fuites de données et d’informations personnelles accessibles sur le web que les prix chutent drastiquement. C’est l’offre et la demande, mais ça reste très peu cher pour une solution clés en main de vol d’identité.

On peut aussi acheter des accès à des comptes de courriel GMail, Yahoo et autres. Ça se vend pour environ 3 dollars américains et c’est aussi considéré comme des fullz, mais plus en matière d’identité numérique. Il y a beaucoup d’informations personnelles là-dedans : on y trouve toutes les communications des gens depuis souvent des années, et tous leurs mots de passe peuvent être réinitialisés à partir de leur compte.

Des prix de données personnelles en dollars américains

Fullz : 50-150 $ (très variable selon la cote de crédit)

Courriel et mot de passe Gmail : 3 $

Accès à un site web bancaire : 100 $

Numéro de carte de crédit avec code CVV : 60 $

Permis de conduire : 400-500 $ pour un permis d’un État américain (moins cher pour les autres pays)

Passeport canadien : 2000 à 5000 $, aussi peu que 15 $ pour un scan

Carte d’assurance maladie du Québec : 200 $

Nouvelle identité complète (incl. documents, etc.) : 46 000 $

* Les prix fluctuent selon les marchés, les vendeurs, la demande et d’autres facteurs. Ces chiffres ne sont que des estimations.

Concrètement, on peut faire quoi avec mes données?

Toutes sortes d’activités criminelles. Commander un téléphone cellulaire pour faire des transactions de drogue illicite, faire une demande pour une carte d’identité qui requiert plus ou moins de vérification… Il y a plein de raisons pour lesquelles les gens se créent une fausse identité.

C’est rare de voir des cas extravagants, comme se faire coller une hypothèque sans le savoir, parce que les compagnies de carte de crédit ont des bons systèmes pour la fraude, bloquent les cartes et remboursent rapidement les victimes.

Souvent, les gens vont ouvrir des nouveaux comptes de cartes de crédit pour acheter des choses, par exemple 200 cartes prépayées Amazon qui sont ensuite revendues ou utilisées. Une fois que le fraudeur se rend au magasin et achète les cartes, la compagnie de crédit remarque que c’est une fraude et désactive la carte de crédit.

Le fraudeur a maintenant 200 cartes-cadeaux Amazon, et pour qu’il se fasse prendre, il faudrait que la compagnie de crédit parle à Amazon pour savoir où il a acheté les cartes, trouver dans quel dépanneur il les a achetées, appeler le dépanneur pour regarder les caméras et voir à quoi ressemble le fraudeur…

Ça marche bien parce que ça se passe dans différents pays, et on ne va pas faire appel à Interpol pour chaque vol de 200 cartes-cadeaux Amazon.

Même juste mon courriel et mon mot de passe, c’est risqué?

Il y a un an, plein de gens ont reçu un courriel qui leur disait qu’on les avait vus se masturber devant leur webcam. Le message montrait leur mot de passe et disait que s’ils n’envoyaient pas X nombre de bitcoins, on enverrait à toute leur famille des enregistrements d’eux en train de se masturber. On appelle ça de la sextorsion.

Deux groupes criminels en Europe de l’Est ont fait des dizaines de millions de dollars avec ça, et toutes les informations qui ont servi à monter ce stratagème provenaient de fuites publiques. Ils ont réussi à créer un modèle de courriel qu’ils ont pu automatiser et ils l’ont envoyé à des millions de personnes en achetant simplement des listes d’adresses courriel avec des mots de passe. C’est simple et c’est super efficace.

Nos données sensibles peuvent-elles être utilisées d’autres façons?

Prenons par exemple une hypothétique fuite de données d’une banque. L’historique de transactions des gens, c’est de l’information qui parle. Si je suis un ex frustré et que je sais que mon ex est dans cette fuite-là, je peux me servir de ces données comme des munitions contre elle.

J’ai vu ça très souvent, des gens qui espionnent leurs ex, quand j’étais à Crypto.Québec. On recevait au moins un courriel par semaine d’une femme qui nous rapportait ça. C’est plus répandu qu’on pense, et je dirais même que c’est un très gros problème.

Si je veux cibler une personne, il y a plein d’information nominative que je peux utiliser contre elle, que ce soit 10 ans de courriels, de l’historique de navigation, ou autre chose comme son inscription à Ashley Madison, le site de rencontres extraconjugales qui a fait l’objet d’une fuite de données en 2016.

Aussi, je ne sais pas pourquoi on n’entend pas trop parler des dossiers médicaux. Dans l’industrie de la santé, les menaces internes, c’est-à-dire des employés qui sortent de l’info à grande pelletée, sont un problème important. Il y a eu plusieurs fuites comme ça aux États-Unis, et ça peut aussi servir à l’extorsion.

L’information médicale, c’est de l’information très sensible. Ça en dit beaucoup sur nous, sur notre famille et sur nos habitudes de vie. C’est de l’information qui peut être utilisée contre nous et sur laquelle on n’a aucun contrôle.

Le grand drame du 21e siècle est que toutes ces données-là, toutes mises ensemble, peignent un portrait très détaillé de quelqu’un. 

Est-ce que des données de base comme le nom, la date de naissance, l’adresse physique et l’adresse courriel d’une personne valent quelque chose?

Monétairement, ça ne vaut rien parce que ça se trouve dans plein de fuites de données des dernières années qui sont accessibles gratuitement. Il y en a tellement eu que des informations qui sont sensibles, mais non confidentielles sont extrêmement faciles à obtenir.

Ce n’est pas ça qui est vendu sur les cyptomarchés, à moins que ce soit, disons, 150 millions d’enregistrements provenant de plusieurs fuites, toutes mises ensemble dans un package deal. On peut facilement créer sa propre base de données comme celle-là, par contre.

Les données personnelles des Canadiens valent-elles plus que celles d’autres pays?

Elles valent moins que celles des Américains, mais tout ce qui est occidental vaut plus que ce qui est oriental. C’est dommage, mais si tu fais affaire avec quelqu’un en Inde, les gens penseront que c’est une arnaque pour plein de raisons et à cause de plein de préjugés.

Et si on parle de documents, c’est une autre histoire. Un passeport américain vaut plus qu’un passeport nicaraguayen. C’est un peu un reflet du statut de la strate géopolitique du vrai monde qui se transpose là-dedans. Si c’est juste des accès, on s’en fout plus.

Est-ce qu’on prend la vente de données personnelles assez au sérieux?

Je dirais que la valeur des données personnelles et l’importance de leur sécurisation ne sont pas prises au sérieux par tout le monde alors que ça devrait l’être.

Ça dort au gaz au gouvernement. Personne ne comprend les enjeux, et même dans la société civile, personne ne prend ça au sérieux quand les données de dizaines de milliers de personnes ont fuité.

C’est toujours l’histoire du je n’ai rien à cacher. Ça ne change rien si on a une vie de comptable ou non; le problème, c’est qu’on n’a aucun contrôle sur nos données.

Les citations ont été éditées à des fins de clarté et de précision.

https://ici.radio-canada.ca//

Sur les réseaux sociaux, combien valent vraiment vos données personnelles ?


Je trouve cela un peu compliqué, mais nos données personnelles sur Facebook pour des revenus publicitaires, c’est payant pour eux. Même si on ne clique par sur ces publicités, Facebook rapporte quand même un certain revenu
Nuage

 

Sur les réseaux sociaux, combien valent vraiment vos données personnelles ?

 

.

Données personnelles

Sur Internet, comme le dit l’adage : si c’est gratuit, c’est vous le produit.

SUPERSTOCK/SUPERSTOCK/SIPA

Par Sarah Sermondadaz

Une extension pour navigateur développée par des chercheurs de l’université de Madrid vous permet de connaître en temps réel les revenus publicitaires générés par votre profil Facebook.

MONÉTISATION. Dans le monde des big data, combien valent vraiment vos données personnelles sur Facebook ? Les recettes publicitaires du réseau social ne cessent de croître de façon exponentielle : 17 milliards de dollars pour 2015, contre 764 millions en 2009. Et combien d’euros gagnés grâce à votre propre activité ? Pour l’usager, il est souvent délicat de répondre à cette question, tant l’opacité sur les algorithmes utilisés par les plate-formes (dont réseaux sociaux) est grande. Mais une extension gratuite pour le navigateur Chrome (bientôt disponible aussi pour Opera et Firefox) développée par des chercheurs de l’Université de Madrid permet d’estimer en temps réel la valeur économique dégagée par votre profil au fur et à mesure du temps passé sur le site de Mark Zuckerberg… un travail de recherche qui interroge d’ailleurs la valeur commerciale globale de nos données et les modes de régulation possibles.

Même sans cliquer sur les pubs, un internaute rapporte

L’outil madrilène, baptisé FDVT (pour Facebook Data Valuation Tools), permet de quantifier l’évolution de la valeur publicitaire d’un profil en fonction du temps passé sur le réseau social. Il s’appuie sur le projet TYPES, financé par l’Europe dans le cadre de l’initiative Horizon 2020, qui se préoccupe de la transparence de la publicité en ligne dans l’économie numérique.

« Chacun a une valeur différente sur le marché selon son profil, de sorte que l’outil ne fournit qu’une estimation des profits », expliquent Ángel et Rubén Cuevas, professeurs à l’Université Charles III de Madrid et créateurs de l’extension.

« Lorsque vous vous connectez à Facebook et recevez une publicité, nous déterminons la valeur qui lui est associée, le prix que ces annonceurs paient pour afficher ces publicités et chacun de vos clics sur une de ces publicités. »

Les deux chercheurs ont notamment constaté que le coût d’un utilisateur américain est à peu près deux fois supérieur à celui d’un utilisateur espagnol. Et ce n’est pas tout : ils ont également mis en évidence que même sans jamais cliquer sur un lien sponsorisé, Facebook générait néanmoins de la valeur à partir de votre profil.

Capture d’écran de l’extension : après quelques minutes seulement d’activité et sans cliquer sur aucune pub, l’auteur de ces lignes a déjà cédé près d’un dollar de revenu publicitaire à Facebook.

Une commodité marchande comme les autres ?

À l’heure où les données personnelles s’échangent pour une poignée de dollars (et notamment en Chine, on l’on peut acquérir les données personnelles de citoyens américains pour à peine 100 dollars), se pose la question de leur valorisation. Un rapport écrit fin 2016 par le Oxford Internet Institute s’interrogeait ainsi sur la chaîne de valeur des données personnelles (c’est à dire, l’évolution de leur valeur de leur création à leur utilisation dans l’économie numérique), et sur les types de régulation possibles, par exemple via une possible taxation de l’usage des données personnelles. Une démarche qui n’aurait rien d’évident, au vu de la nature internationale et dématérialisée des échanges de données

https://www.sciencesetavenir.fr

Les États-Unis abrogent un règlement protégeant la vie privée des internautes


Les Américains vont voir leur vie privée sur Internet se vendre aux plus offrants leurs données personnelles même si c’est contre leur gré. Au Canada, cela demeure illégal sans le consentement
Nuage

Les États-Unis abrogent un règlement protégeant la vie privée des internautes

 

Les fournisseurs d’accès Internet américains pourront continuer à vendre les données personnelles de leurs clients sans leur consentement après la révocation par le Congrès d’un règlement adopté à l’époque d’Obama.

En octobre dernier, les défenseurs de la vie privée aux États-Unis avaient de quoi saluer la FCC : l’agence américaine avait validé le projet d’imposer de nouvelles restrictions aux fournisseurs d’accès Internet, qui allaient désormais devoir demander l’autorisation explicite de leurs clients avant de pouvoir partager leur historique de navigation à des tiers.

Malheureusement, cette lune de miel fût de courte durée.

«C’est informations comptent parmi les détails les plus intimes de la vie d’une personne.»

Car avant même qu’entre en vigueur ce texte réglementaire, le Sénat la semaine dernière puis le Congrès mardi ont tous deux voté pour son abrogation. Le statu quo veillera à ce que des informations personnelles au sujet de l’appartenance religieuse des internautes, leur orientation sexuelle, leur état de santé ou leur emplacement géographique puissent être utilisées à des fins discriminatoires, selon des organismes à la défense du droit à la vie privée.

«C’est informations comptent parmi les détails les plus intimes de la vie d’une personne», a déclaré Natasha Duarte, du Center for Democracy and Technology, à l’AFP. «Les consommateurs doivent pouvoir contrôler ce que les entreprises font de ces informations.»

Sans surprise, la nouvelle a suscité un important débat aux États-Unis. The Verge a publié ce matin la liste des 256 membres du Sénat et du Congrès, tous deux à majorité républicaine, ayant voté pour le renversement de la décision prise en octobre dernier. La somme des dons versés à chacun d’eux par des entreprises comme AT&T, Comcast et Verizon y est également répertoriée.

Tout ce dont les FAI ont besoin maintenant est la signature de président Trump avant que ne disparaisse officiellement la mesure trop contraignante à leurs yeux.

Qu’en est-il du Canada?

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques exige que les entreprises qui souhaitent recueillir, utiliser ou communiquer des renseignements personnels de clients obtiennent le consentement explicite de la personne concernée. Leur demande doit également préciser les fins auxquelles les renseignements en question seront utilisés. Si l’organisme décide de les utiliser à d’autres fins, elle doit obtenir à nouveau l’autorisation explicite d’agir selon ses nouveaux motifs.

Qui plus est, les entreprises ne peuvent refuser de fournir un produit ou un service à une personne qui ne consent pas à la collecte, l’utilisation ou la communication de ses renseignements personnels autres que les renseignements requis à des fins explicites et légitimes.

En octobre 2015, Bell s’est retrouvée dans l’eau chaude en dévoilant son programme de publicité pertinente, une initiative qui visait à collecter et partager les renseignements de ses clients – puisés à même leur historique de navigation – avec des tiers à des fins de marketing. L’entreprise croyait, à tort, qu’en annonçant publiquement ses intentions, un client qui ne se manifestait pas contre l’utilisation de ses renseignements personnels dans ce contexte souscrivait automatiquement à cette nouvelle politique.

Une enquête a ensuite été déclenchée par le Commissariat à la protection de la vie privée du Canada, et Bell a accepté en avril 2015 de mettre fin à son controversé programme. L’entreprise a également indiqué que si elle lançait à nouveau un tel programme à l’avenir, elle le ferait en demandant le consentement explicite de ses clients.

http://branchez-vous.com

Votre façon de conduire est une manière… de vous reconnaître


Les ordinateurs des automobiles enregistrent tout et peuvent même savoir si le conducteur est inexpérimenté ou encore donner des indications à la police au besoin …
Nuage

 

Votre façon de conduire est une manière… de vous reconnaître

Avez-vous déjà songé à votre manière de freiner, d’accélérer et de manier le volant ? Dans les voitures modernes, ces données sont enregistrées par l’électronique embarquée et il est possible de les exploiter pour reconnaître une personne à coup sûr. © Ambrozinio, Shutterstock

Avez-vous déjà songé à votre manière de freiner, d’accélérer et de manier le volant ? Dans les voitures modernes, ces données sont enregistrées par l’électronique embarquée et il est possible de les exploiter pour reconnaître une personne à coup sûr. © Ambrozinio, Shutterstock

Marc Zaffagni, Futura-Sciences

Il est possible d’identifier des conducteurs à partir des données récoltées dans les boîtiers électroniques d’une automobile, comme la position du volant, la sollicitation de l’accélérateur et de la pédale de frein. C’est ce que démontrent des chercheurs dont l’objectif est d’attirer l’attention sur l’énorme quantité de données personnelles engrangées dans une voiture moderne et qui devraient être aussi bien protégées que celles d’un ordinateur ou un smartphone.

Les voitures modernes sont devenues de véritables ordinateurs qui enregistrent tout. Vraiment tout. À tel point qu’en recoupant les informations que contiennent les boîtiers électroniques, les ECU (Electronic Control Unit, en anglais), on peut identifier avec certitude une personne à la façon dont elle conduit. Oui, notre manière d’accélérer, de freiner, de manier le volant et le clignotant nous est autant personnelle que nos empreintes digitales.

C’est ce que vient de démontrer une équipe de chercheurs des universités de Washington et de Californie à San Diego (États-Unis). En branchant un ordinateur portable sur la prise de diagnosticou prise OBD (On-Board Diagnostics) d’une voiture de 2009, ils ont récolté les données provenant des boîtiers électroniques et des capteurs. Ces informations leur ont servi à entraîner un algorithme d’apprentissage, lequel a ensuite pu identifier les 15 conducteurs ayant participé à l’expérience. Les résultats de cette étude seront présentés lors du Privacy Enhancing Technology Symposium qui se tiendra en juillet à Darmstadt (Allemagne).

Chaque volontaire devait conduire au même moment de la journée, emprunter le même parcours et écouter la même musique, de façon à isoler le plus possible le style de conduite. L’ordinateur enregistrait les 16 informations les plus fréquemment disponibles via une prise de diagnostic, notamment la position du volant, la vitesse, la position de la pédale de frein et de l’accélérateur et l’usage des clignotants. 90 % des données collectées ont été employées pour que l’algorithme apprenne le style de conduite des 15 chauffeurs. Puis, les 10 % de données restantes ont servi aulogiciel à reconnaître chaque individu.

Pour réaliser leur étude, les chercheurs ont demandé à 15 personnes de conduire une voiture sur un trajet urbain (à gauche) et d’effectuer des manœuvres spécifiques sur un parking (à droite). © University of Washington, University of California at San Diego

Pour réaliser leur étude, les chercheurs ont demandé à 15 personnes de conduire une voiture sur un trajet urbain (à gauche) et d’effectuer des manœuvres spécifiques sur un parking (à droite). © University of Washington, University of California at San Diego

15 minutes de conduite suffisent à identifier un conducteur

Résultat, avec un volume d’informations équivalent à 15 minutes de conduite, l’algorithme est parvenu à identifier les 15 personnes avec 100 % de réussite. Et en ne retenant que les données liées à la manière de freiner, le taux de réussite était tout de même de 87 %.

Un tel outil d’identification pourrait par exemple être utilisé par la police ou des compagnies d’assurance afin de confirmer l’identité d’un conducteur en cas d’accident ou d’infraction. Encore mieux, la voiture elle-même pourrait analyser la conduite et savoir si elle est entre les mains d’un voleur ou de votre adolescent un peu trop précoce ! Vu sous cet angle, l’identification des conducteurs à partir des données de leur voiture présente une utilité évidente.

Cependant, « les conducteurs devraient faire preuve de prudence quant au partage des informations de leur véhicule sans garanties substantielles des services qu’ils utilisent », avertissent les chercheurs dans leur publication scientifique.

En effet, leur étude a pour vocation principale de sensibiliser l’opinion sur la quantité de données personnelles qu’une voiture peut contenir et qui sont aujourd’hui accessibles et partagées sans véritables garde-fous.

Les auteurs militent pour un encadrement plus strict des instruments de dépannage qui ont aujourd’hui accès à l’ensemble des informations que contiennent les boîtiers électroniques de la voiture via la prise de diagnostic. Ils permettent de se connecter à sa voiture via son smartphone ou son PC portable en Wi-Fi, Bluetooth ou USB pour surveiller sa consommation de carburant, connaître la puissance moteur, le couple, l’accélération, voire lire et effacer les codes d’erreur émis par les ECU.

Les chercheurs proposent de s’inspirer du modèle des applications pour les smartphones qui, lors de l’installation, demandent à l’utilisateur une permission d’accès aux différentes fonctionnalités et données dont elles ont besoin. Par exemple, un boîtier destiné à suivre la consommation de carburant ne devrait pas pouvoir accéder aux informations relatives au freinage ou à la direction. Il ne nous viendrait pas à l’idée de donner les clés de notre voiture à n’importe qui. Il doit en être de même avec les données qu’elle contient…

http://www.futura-sciences.com/

Piratage : une rançon pour sauver vos vidéos


Des cybercriminels amassent de l’argent en prenant des ordinateurs en otage dans le but de demander des rançons. Ils peuvent toucher des professionnels comme monsieur et madame partout dans le monde. Il faut être prudent quand on clique sur des liens sur des sites ou dans nos courriels
Nuage

 

Piratage : une rançon pour sauver vos vidéos

 

Des cybercriminels ont trouvé une façon de faire beaucoup d’argent en kidnappant carrément le contenu de votre ordinateur. Au moyen d’un logiciel malveillant, ces fraudeurs encodent toutes vos données et affirment que la seule façon de les décoder est de payer une rançon.

Une internaute québécoise s’est fait prendre au piège. Un réel problème pour des internautes, des entreprises, mais aussi pour des municipalités.

Le virus informatique Cryptowall est le cauchemar de nombreux internautes depuis déjà plusieurs années. En ouvrant un fichier infecté ou en cliquant sur un hyperlien malveillant, l’internaute se retrouve dans une spirale où ses données sont encryptées et difficilement récupérables.

Le traquenard

Votre ordinateur est infecté dès le début du téléchargement de ce programme troyen malveillant. Le logiciel Crypto prend alors le contrôle et chiffre vos données, qui deviennent alors inaccessibles par son propriétaire. Peu de temps après, un message flash apparaît sur votre écran. On vous demande alors une rançon pour obtenir une clé de déchiffrement de vos photos, de vos vidéos et d’autres documents importants.

La pression

Le message vous explique que la seule façon de désencrypter vos données est de payer la rançon dans un délai de 72 à 96 heures. Passé ce délai, on pourrait vous demander une rançon supplémentaire.

« Alors à un moment donné, la pression monte et monte. Malheureusement, les gens cèdent à cette pression et ils vont payer. Et il n’y a pas de garantie qu’ils vont récupérer leurs fichiers. » — François Daigle, expert en sécurité de l’information chez Okiok

Les transactions se font souvent en bitcoin, une monnaie virtuelle qui préserve l’anonymat du fraudeur.

L’an dernier, c’est au Québec où il y a eu le plus de plaintes pour vols de données et tentative d’extorsion, 196, devant l’Ontario, selon le Centre antifraude du Canada. En Ontario, les rançons payées sont en moyenne de plus de 10 300 $ et de plus de 9300 $ au Québec.

Une résidente de Saint-Lambert extorquée

Angèle Bisaillon accorde beaucoup de valeur aux photos et aux vidéos prises avant et après la naissance de son premier enfant. Elle avait sur son disque dur près de 40 000 fichiers, d’impérissables souvenirs.

« On a des photos, des vidéos qu’on a prises à l’hôpital quand il avait quelques heures de vie. Pour moi, ça n’a pas de prix », dit-elle.

Mais à la fin du mois de mars, elle apprend que ses données ont un prix : 3 bitcoins.

Après avoir consulté plusieurs spécialistes en informatique, elle décide de payer la rançon demandée. Elle demande à l’entreprise Microfix d’effectuer la transaction en bitcoins. En vain, puisqu’elle apprend que son ordinateur n’a pas été infecté par un seul virus informatique, mais bien par deux. Elle paie une autre rançon, encore une fois par bitcoins.

« On est rendu à près de 3000 $. On a mis ça sur notre carte de crédit. Je ne sais pas comment je vais faire pour payer ça. » Angèle Bisaillon

Au final, Microfix a pu récupérer ses vidéos, mais pas ses photos.

Payer ou ne pas payer?

La Gendarmerie royale du Canada recommande de ne pas payer la rançon, car avec les fraudeurs, rien n’est garanti. Chez les spécialistes en informatique, deux points de vue s’affrontent. En grande partie à cause de la complexité du chiffrement.

Fraudes sur Internet 

Photo :  Radio-Canada

« On n’a pas le choix de payer la rançon si on n’a pas de copies de sauvegarde de ses documents. »— Mathieu Jacques, directeur général de l’entreprise Microfix

Du côté de l’entreprise Okiok, on tient un discours différent.

« Moi, je suggère toujours de ne jamais payer. On vous kidnappe le contenu de votre ordinateur et on vous demande une rançon. Une fois que vous avez payé, il n’est aucunement garanti qu’on va vous envoyer la clé de déchiffrement », dit François Daigle.

Un phénomène mondial

Le phénomène est important. Le Centre antifraude du Canada estime que, partout dans le monde, les cybercriminels ont recueilli des millions de dollars grâce à des cryptorançongiciel. Les particuliers, les entreprises et les gouvernements sont visés.

Au Québec, la Ville de Dorval a été infectée par le Cryptowall et tous les courriels de ses employés ont été codés. Les fraudeurs ont demandé une rançon de 1000 $, et la Ville a payé. Son porte-parole a refusé notre demande d’entrevue.

Prendre ses précautions

La meilleure façon de se protéger d’un virus comme Cryptwall est de faire des copies de sauvegarde de ses données sur un disque dur externe qu’on débranche de son ordinateur une fois que les copies sont effectuées. Il faut aussi éviter d’ouvrir des pièces jointes qui proviennent d’un expéditeur qu’on ne connaît pas.

Certains sites Internet peuvent aussi héberger des hyperliens malveillants dont il faut se méfier. Angèle Bisaillon a bien appris la leçon.

« C’est sûr que je suis contente d’avoir récupéré mes vidéos, mais pour les photos, je suis très déçue. Surtout que ça a coûté cher. »

http://ici.radio-canada.ca/

Rançongiciels: quand les pirates kidnappent vos données


On ne finira jamais à se débarrasser de tous ceux qui arnaquent sur Internet par n’importe quels moyens. Faites attention à des liens qu’on vous demande de cliquer quand cela parait louche. Et si jamais on vous vole vos données, il y peu de chance qu’on vous les redonne même en payant une rançon
Nuage

 

Rançongiciels: quand les pirates kidnappent vos données

 

Rançongiciels: quand les pirates kidnappent vos données

Photo Fotolia

SAN FRANCISCO – Valerie Goss conseille les couples dont le mariage bat de l’aile. Un jour, cette Californienne allume machinalement son ordinateur… et se rend compte que la totalité de ses données ont été «prises en otages» par des pirates qui exigent une rançon en bitcoins.

À l’aide d’un codage baptisé «ransomware» ou «rançongiciel», les cyberdélinquants sont parvenus à encrypter les données de Mme Goss, lui en interdisant l’accès. Les pirates lui demandent alors 500 $ en bitcoins, une monnaie virtuelle très difficile à pister, en échange du sésame qui lui permettra de récupérer ses dossiers.

Et ils préviennent: si elle ne paye pas dans les 24 heures, la rançon montera à 1000 $.

«J’étais sous le choc. J’avais l’impression qu’on m’avait détroussée», raconte la thérapeute. «J’étais sous pression et je devais prendre une décision rationnelle. C’était totalement irréel».

Son fils entreprend alors des recherches sur internet et constate qu’un quart des victimes de ce genre d’arnaques ne revoient jamais leurs données, même quand elles payent.

Valerie Goss refuse de payer. À la place, elle s’achète un nouvel ordinateur qu’elle dote d’un logiciel de sécurité renforcé. Depuis sa mésaventure, elle ne manque pas de stocker toutes ses données sur un support qui n’est pas connecté à internet.

Elle n’a bien sûr jamais revu ses données «kidnappées», mais elle a sans doute bien fait de ne pas céder aux pirates, estiment des analystes.

«C’est malheureusement la bonne chose à faire», juge Marcin Kleczynski, expert chez Malwarebytes. «Lorsque vous payez une rançon, vous perdez votre argent et rien ne vous dit que vous allez récupérer vos données».

MENACE TRÈS SÉRIEUSE

Les «rançongiciels» n’ont rien de nouveau, mais ils connaissent un véritable engouement, relève M. Kleczynski.

D’autant que les pirates ciblent désormais aussi les téléphones, et surtout les modèles qui fonctionnent sous Android, le logiciel conçu par Google, souligne Meghan Kelly, du cabinet Lookout, spécialisé dans la sécurité informatique.

Et les États-Unis sont l’un des terrains de chasse favoris des «ravisseurs de données», parce que les Américains stockent plus que quiconque leurs données personnelles sur leurs ordinateurs et leurs téléphones.

Une étude publiée l’an dernier par Lookout révélait d’ailleurs qu’un Américain sur trois serait prêt à payer pour récupérer ses photos, contacts et autres dossiers stockés sur son téléphone si ces données étaient prises en otages.

À l’instar d’autres logiciels malveillants, les «rançongiciels» s’introduisent dans les ordinateurs, téléphones et autres tablettes lorsque leur propriétaire clique sur des liens douteux ou ouvre des documents attachés à des courriels infectés.

Mais parfois les pirates poussent le vice jusqu’à dissimuler les logiciels sur des sites internet tout à fait anodins.

«Et là, vous n’avez rien à faire, il suffit que vous vous rendiez sur un site qui a été infecté et tout à coup vous vous retrouvez avec un logiciel malveillant sur votre ordinateur», soupire Marcin Kleczynski.

De manière générale, les «ravisseurs de données» exigent des rançons allant de 100 à 1000 $.

Pour se prémunir contre ce genre de déboires, les informaticiens conseillent aux internautes de faire attention aux liens sur lesquels ils cliquent et de mettre à jour régulièrement leurs logiciels de protection.

Autre mesure: toujours dupliquer les données stockées sur l’ordinateur et garder des copies sur le nuage (informatique dématérialisée), et sur des supports qui ne sont pas ou peu connectés à internet.

«La menace est très sérieuse, n’importe qui peut être touché n’importe quand. Les codes d’encryptage sont tellement complexes qu’il est impossible de récupérer les données», prévient encore M. Kleczynski.

«Un rançongiciel peut vous atteindre à n’importe quel moment et il faut être préparé au pire», conclut-il.

http://fr.canoe.ca/

La sphère privée, c’est fini, selon des experts


La technologie a de bons et de mauvais côtés tout dépend pour qui et pourquoi ont l’emploi. Les drones ont changé, à mon avis, la façon de faire du Big Brothers, ils sont plus sournois pour épier et collecter des données en tous genres.
Nuage

 

La sphère privée, c’est fini, selon des experts

 

Les violations de la sphère privée vont se... (PHOTO FRANCISCO SECO, ARCHIVES AP)

Les violations de la sphère privée vont se faire de manière «de plus en plus pernicieuse», a prédit une professeure de science informatique à l’université Harvard.

PHOTO FRANCISCO SECO, ARCHIVES AP

RICHARD CARTER
Agence France-Presse
DAVOS

Imaginez un monde où des robots de la taille de moustiques volent autour de vous et s’emparent d’échantillons de votre ADN.

Ou imaginez qu’un grand magasin connaît toutes vos habitudes d’achat, et qu’il sait que vous êtes enceinte avant même que vous ayez prévenu votre famille.

Cette effrayante «contre-utopie» a été décrite jeudi par un groupe de professeurs de Harvard au Forum économique de Davos, où les participants à ce sommet de l’élite économique et politique mondiale ont appris que la sphère privée était définitivement morte.

«Bienvenue dans ce monde, nous y sommes déjà», a déclaré Margo Seltzer, professeure de science informatique à l’université Harvard.

«La sphère privée telle que nous la connaissions ne peut plus exister, la façon dont nous envisagions avant la sphère privée, c’est fini», a-t-elle ajouté.

Pour un autre chercheur de Harvard, cette fois en génétique, il est «inévitable» que des données génétiques personnelles entrent petit à petit dans le domaine public.

Sophia Roosth estime que des agents du renseignement ont d’ores et déjà été chargés de collecter des informations génétiques concernant les leaders étrangers afin de savoir s’ils sont susceptibles de contracter telle ou telle maladie, ou quelle est leur espérance de vie.

«Nous sommes à l’aube d’une ère de Maccarthysme génétique», a-t-elle dit, en faisant allusion à la chasse aux sorcières aux États-Unis contre les communistes dans les années 50.

La «génération Google» serait moins regardante

En outre, Mme Seltzer a imaginé un monde dans lequel de petits drones volent autour de vous, de la taille d’un moustique, pour extraire un échantillon de votre ADN afin de l’analyser, pour le compte d’un gouvernement ou d’une compagnie d’assurances.

Les violations de la sphère privée vont se faire de manière «de plus en plus pernicieuse», a-t-elle prédit : «Nous vivons déjà dans un état de surveillance».

Cependant, en dépit de cette vision pessimiste rappelant celle d’Aldous Huxley et de son «Meilleur des mondes», les universitaires ont relevé que les aspects positifs de ces développements de la technologie étaient plus importants que leurs aspects négatifs.

«De la même façon que nous pouvons envoyer de petits drones pour espionner les gens, nous pouvons envoyer les mêmes appareils dans les régions touchées par Ebola et supprimer les germes», a déclaré Mme Seltzer.

«La technologie est là, c’est à nous de décider comment nous en servir», a-t-elle ajouté.

«Grosso modo, la technologie a fait plus de bien que de mal», a-t-elle jugé, relevant les «extraordinaires» avancées en matière de santé dans certaines zones rurales de pays en développement, rendues possible grâce à la technologie.

Au cours d’une session consacrée à l’intelligence artificielle, les débatteurs ont semblé résignés, comme s’ils acceptaient les limites de la sphère privée, induites par la société moderne.

Rodney Brooks, président de la société Rethink Robotics, une société technologique américaine, a pris l’exemple de Google Maps que l’on consulte lorsqu’on veut théoriquement savoir où on va, mais qu’on utilise aussi à d’autres fins.

Anthony Goldblum, un jeune entrepreneur dans les hautes technologies, a déclaré devant cette même session que ce qu’il appelle la «génération Google» était beaucoup moins regardante quant à la protection de sa sphère privée que les précédentes.

«Je considère ma sphère privée en fonction de ce qui me convient, la sphère privée n’est pas quelque chose qui m’inquiète», a-t-il dit.

«De toute façon, les gens se comportent souvent mieux lorsqu’ils savent qu’ils sont peut-être observés», a-t-il conclu.

Le Forum économique de Davos réunit environ 2500 décideurs politiques et économiques mondiaux, jusqu’à samedi.

http://affaires.lapresse.ca/