Investigation & transformation numériques

Cybercriminalité

Que dire des Infiltrés (France 2) ?

Site Web de l'émission Les Infiltrés (France 2)

L’émission diffusée par France 2 cette semaine (mardi 6 avril 2010 en deuxième partie de soirée) est visionnable sur le site Internet de l’émission. Tout un débat s’est développé, avant et depuis la diffusion pour critiquer l’action des journalistes qui ont signalé les faits découverts au cours du reportage à des services d’enquête. Ce débat – que je me garderai bien de trancher – ne doit pas occulter le fond du problème.

Cette émission montre d’abord, s’il était nécessaire, que le phénomène des rencontres entre des prédateurs et des enfants sur Internet est loin d’être une fiction et qu’il est nécessaire de développer une réponse adaptée. J’ai développé à plusieurs reprises l’action de nos enquêteurs dans le cadre des cyberpatrouilles, rendues possible depuis un an maintenant. Et cela confirme donc qu’il faut continuer de développer ces dispositifs et former de nouveaux cyberpatrouilleurs.

C’est aussi une sensibilisation intéressante pour les parents, qui doit les inciter – non pas à leur interdire d’aller sur Internet – mais à parler de ces sujets avec leurs adolescents, maintenir le dialogue, les prévenir de ces risques, s’intéresser à leurs activités en adaptant les contraintes à l’âge de son enfant (notamment ne pas laisser les plus jeunes seuls sur Internet). Plusieurs associations diffusent des conseils utiles (Action Innocence, e-Enfance) ou le site Internet Sans Crainte.

Enfin, un sujet est particulièrement préoccupant parmi ceux qui sont dénoncés dans le reportage : le sérieux des entreprises qui gèrent des chats et autres sites dédiés aux plus jeunes. Parmi les problématiques évoquées :

  • la publicité non adaptée au public, dès la page d’accueil ;
  • plus grave, l’absence de modération sérieuse.

Je me contenterais de citer la recommandation pour la création d’une marque de confiance des fournisseurs d’accès à Internet et de services en ligne, à laquelle nous avions contribué sous l’égide du Forum des droits sur l’Internet (extraits de la recommandation) :

1.3 Le prestataire ne diffuse pas, dans les pages qu’il édite sauf dans les espaces réservés aux adultes, des publicités faisant la promotion de contenus violents, pornographiques ou attentatoires à la dignité humaine.

1.4 Le prestataire ne diffuse pas, sur les services et les contenus manifestement destinés aux mineurs qu’il édite, de publicités faisant la promotion de certains biens ou services inappropriés (par exemple : contenus érotiques, services de rencontres pour adultes, loteries commerciales, jeux d’argent, alcool, tabac) ou contraires à la recommandation « enfant » du BVP.

1.5 Le prestataire s’engage à ne pas diffuser, sur les pages qu’il édite sauf dans les espaces réservés aux adultes (protégés par un dispositif empêchant les mineurs de consulter ces contenus), des contenus pornographiques, violents ou attentatoires à la dignité humaine. Il s’engage, en outre, à ne pas faire figurer des liens hypertextes vers de tels contenus depuis sa page d’accueil.

[…]
1.27 Lorsqu’il crée un espace interactif spécifiquement dédié aux mineurs, le prestataire s’engage à modérer les propos échangés conformément à la charte d’utilisation prévue au 1.19, tout le temps de leur accessibilité au public. Le modérateur répond aux sollicitations ; il est spécifiquement informé des procédures à mettre en oeuvre en cas de signalement de contenus ou de comportements illicites.

Même si une telle marque de confiance n’a pas encore été créée, ses recommandations sont parfaitement adaptées à ce type de services qui, s’ils ne les respectent pas, non seulement mettent en danger des enfants, mais risquent de tomber sous le coup de la loi (notamment au regard de l’article 227-24 du code pénal).

Faites-vous votre propre opinion, et informez-vous, en regardant ce reportage et les échanges qui ont suivi sur le plateau.

11 avril 2010 by Cybercriminalité Prospective 2

4ème Forum International sur la Cybercriminalité – Un bilan

Le 4ème Forum International sur la Cybercriminalité qui s’est déroulé les 31 mars et 1er avril 2010 a tenu ses promesses, avec plus de 2200 participants, des dizaines d’exposants, 30 ateliers et conférences pour répondre aux attentes de tous. La reprise assez importante par la presse de cet événement dénote l’intérêt du grand public pour une plus grande sensibilisation sur ces sujets. La présence nombreuse de nos interlocuteurs dans les entreprises, régionales ou nationales montre aussi une véritable préoccupation.

Un public nombreux à l'ouverture du FIC 2010

Le FIC est aussi devenu un véritable événement Européen et International avec la présence de nos partenaires de dizaines de pays. J’ai ainsi pu rencontrer les collègues que j’y côtoie habituellement (Belges, Anglais, Allemands, …), mais par exemple un camarade de la gendarmerie royale du Maroc ou écouter l’exposé de Mohamed Chawki (Conseil d’Etat, Egypte) nous exposer la situation dans son pays et ailleurs en Afrique en matière de législation contre la cybercriminalité.

Dans quelques jours, les photos et les compte-rendus des ateliers seront disponibles sur le site de la conférence.

Guides contre la cybercriminalité

Deux guides qui ont beaucoup contribué au succès du FIC ont été publiés dans une nouvelle édition, chacun à destination d’un public différent.

Le guide pratique du chef d’entreprise face au risque numérique (4° éd.)

Rédigé avec le soutien du Clusif et de l’association S@ntinel, ainsi que de nombreux partenaires publics et privés. Le guide est organisé en deux grands chapitres:

  • Douze études de cas (La divulgation de savoir-faire, Le vol d’ordinateur portable ou de PDA, La défiguration de site Web,…)
  • Les recommandations des institutions.

Il a été distribué au cours du salon et sera disponible en téléchargement très bientôt sur le site du FIC (mais on le trouve déjà en cherchant bien…). Indispensable !

Cybercrimin@lité, réflexes et bonnes pratiques (2° éd.)

Plus discret, car destiné au public des enquêteurs et des magistrats, ce guide en est déjà à sa deuxième édition. Il a été rédigé sous la houlette d’un comité rédactionnel régional trans-frontière: Eric Absil (RCCU Charleroi), David Cassel (NTECH à Arras), Serge Houtain (RCCU Tournai) et Laurent Frappart (NTECH à Arras) et le nombre de contributeurs est particulièrement nombreux.

Ce guide est organisé en cinq grandes parties:

  • Un chapitre d’introduction et de définitions
  • Vecteurs et supports de la cybercriminalité
  • Les constatations dans l’espace virtuel
  • Les cadres légaux belge et français
  • 11 fiches réflexes

Bilan des conférences et ateliers

Tout d’abord un coup de chapeau à mes camarades de la Région de gendarmerie Nord Pas de Calais et à tous leurs partenaires pour la réussite de cet événement ! Je n’ai malheureusement pas pu assister à beaucoup des conférences et ateliers, mais un sujet était très présent cette année, jusque dans les conclusions du Général d’armée Marc Watin-Auguouard, la cyberdéfense.

La France et l’Europe sont-elles prêtes dans la lutte contre les nouvelles formes de conflit sur les réseaux et les risques les plus graves contre nos infrastructures vitales ? Le bilan de la table ronde dédiée à ce sujet est positif, même s’il reste des efforts à faire, notamment en termes de connaissance du dispositif par l’ensemble des acteurs concernés (comme le portail officiel sur la sécurité informatique).

A titre personnel j’indiquerais qu’il faut peut-être encore plus décloisonner les interactions public-privé (les partenariats public-privé dans la cyberdéfense étaient le thème de cette table ronde). On sent en effet, malgré les ouvertures et les projets communs qu’il manque une fluidité dans la circulation de l’information. Les OzSSI (observatoires zonaux de la sécurité des systèmes d’information) sont un outil de ce décloisonnement, peut-être faut-il attendre maintenant des entreprises qu’elles partagent plus facilement l’information, notamment au sein d’un même secteur économique, pour être ensemble mieux préparées aux risques.

Rendez-vous en 2011 !

4 avril 2010 by Cybercriminalité Prospective Sécurité 2

Ouverture de la conférence Octopus Interface du Conseil de l’Europe

Maud de Boer-Buquicchio, SG adj. du CoE

C’est Maud de Boer-Bouquiccho, secrétaire générale adjointe du Conseil de l’Europe qui nous a fait l’honneur d’ouvrir la conférence Octopus Interface 2010 qui se tient du 23 au 25 mars 2010 à Strasbourg.

Le point clé de son discours est la nécessité de trouver un équilibre entre la recherche d’une meilleure sécurité sur Internet et la protection des droits humains et de la vie privée. Ces intérêts sont d’ailleurs aussi des cibles pour les délinquants que les autorités policières et judiciaires sont chargées de protéger.

L’Azerbaijan et le Monténégro sont les deux derniers pays à avoir ratifié la Convention du Conseil de l’Europe sur la Cybercriminalité. L’Argentine, au travers des paroles exprimées par Eduardo Thill -secrétaire-adjoint à la gestion des technologies, cabinet des ministres, Argentine – a exprimé officiellement sa volonté de rejoindre les pays signataires de la convention. Le Portugal a déposé officiellement les instruments de sa ratification pendant la conférence et est donc devenu le 29ème pays partie à la convention.

La carte des pays signataires et ayant ratifié à ce jour la convention est représentée ci-dessous (cliquer pour agrandir, nota: le Portugal n’apparait pas encore comme ayant ratifié) :

Pour mémoire, la convention du Conseil de l’Europe vise à harmoniser les incriminations en matière d’atteintes contre les systèmes d’information, les droits d’auteur ou les mineurs sur Internet ainsi qu’à renforcer les outils de coopération policière et judiciaire entre les Etats parties à la convention, en particulier en matière d’accès aux éléments de preuve détenus par les opérateurs de communications électroniques.

6 ateliers vont se tenir au cours des trois jours de la conférence pour aborder les sujets suivants :

  • La formation des magistrats à la lutte contre la cybercriminalité ;
  • Les responsabilités croisées et la coopération entre les services répressifs et les organes consultatifs ou techniques (ICANN, RIPE, etc…) ;
  • Le développement de la convention du Conseil de l’Europe au niveau mondial ;
  • Une cartographie des réseaux et des initiatives ;
  • Le renforcement des capacités et l’assistance technique contre la cybercriminalité ;
  • Le développement de mesures efficaces contre l’exploitation et les abus sexuels commis à l’encontre des enfants sur Internet.
24 mars 2010 by Cybercriminalité Juridique 0

Conférence de presse d’Action Innocence

L’association Action Innocence ouvrait cette année, le lundi 22 mars 2010, par une conférence de presse et un déjeuner avec l’ensemble de ses partenaires. Ce fut l’occasion de faire le point sur l’ensemble des actions de l’association, notamment en partenariat – en France, mais aussi dans d’autres pays Européens – avec les services de police chargés de la protection de l’enfance sur Internet.

Ainsi, Action Innocence a repris le flambeau depuis quelques années du développement d’une application permettant l’identification des internautes qui sont suspectés de diffuser sur les réseaux pair à pair (P2P) des contenus à caractère pédopornographique, le logiciel Antipedofiles – P2P. Il est exploité en France par la division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois.

Enfin, cette journée fut l’occasion d’inaugurer officiellement la nouvelle plateforme de prévention à destination des jeunes de 9 à 12 ans: Netcity.org. Disponible en 3 langues – français, allemand et italien – il permet aux jeunes internautes de découvrir les risques de l’Internet qui les concernent et les moyens de s’en prémunir. Sous la forme d’un jeu interactif, il permet aussi aux parents d’entamer le dialogue avec leurs enfants et peut-être d’être sensibilisés à leur tour.

23 mars 2010 by Cybercriminalité Prospective 1

Programme détaillé du FIC 2010

Le programme détaillé du 4ème forum international sur la cybercriminalité 2010 est en ligne sur le site de la conférence. On y trouve notamment l’ensemble des intervenants qui ont accepté de participer aux différents ateliers ainsi que les horaires précis. Je rappelle que le FIC 2010 a lieu les 31 mars et 1er avril prochains à Lille, Grand Palais.

Vous pouvez aussi télécharger le planning à conserver dans sa poche pour aller facilement d’une conférence à une autre.

Trois pôles d’ateliers et de conférences:

  • Justice, sécurité, défense ;
  • Entreprises ;
  • Collectivités.

J’interviendrai pour ma part dans la table ronde de clôture « Droit à l’oubli sur le Web : ultime protection de l’identité numérique » aux côtés de Mes. Blandine Poidevin et Martine Ricouart-Maillet, MM. les sénateurs Yves Detraigne et Alex Türk.

16 mars 2010 by Cybercriminalité Prospective Sécurité 0

Priceminister et la lutte contre la contrefaçon

Contrefaçons trouvées par PriceMinister

Lundi 15 mars 2010, Priceminister présentait pour la deuxième année consécutive son bilan en matière de lutte contre la contrefaçon. C’était aussi l’occasion pour la société de signer très formellement un protocole de travail avec la direction générale des douanes et des droits indirects.

Les plateformes de vente en ligne sont un vecteur privilégié des tentatives des ventes de contrefaçon. Aussi les efforts particuliers de ces entreprises sont-ils excessivement louables.

Après une brève introduction par Pierre Kosciusko-Morizet, se sont exprimés :

  • Benoît Tabaka, directeur des affaires juridiques chez PriceMinister a présenté les résultats de ses équipes ;
  • Laurent Masson, directeur chez Microsoft EMEA de la lutte contre la contrefaçon ;
  • Jérôme Fournel, directeur général des douanes et des droits indirects.

Les faits saillants

  • Une poussée des contrefaçons de consoles de jeux (notamment portatives, type PSP et Nintendo DS) ;
  • La confirmation de l’intérêt pour les téléphones mobiles notamment les smartphones (IPhone, mais aussi depuis cette année les BlackBerry et téléphones sous Android) ;
  • Des marques nouvelles apparaissent notamment dans la mode (le chinois Feiyue) et les jeux.

Quelques chiffres

  • 2661 comptes bloqués en 2009 (stable)
  • 242 marques contrefaites rencontrées (légère hausse)
  • Progression forte des contrefaçons de produits Adidas (+210%), Samsung (+205%), Nintendo (+131%), mais aussi toutes les marques de smartphones

Plus d’informations dans le communiqué de presse de PriceMinister.

16 mars 2010 by Cybercriminalité 0

Quand le mail de phishing contient le formulaire

Je ne fais ici que retranscrire une information de MXLab qui m’a semblé particulièrement intéressante. Ainsi dans cet article de leur blog, ils notent une recrudescence des emails de phishing qui intègrent le formulaire dans leur contenu.

En pièce attachée au courriel illicite, une page Web. Trois exemples sont donnés par MXLab:

  • le premier s’en prend à Western Union et récupère les pages de styles, javascript et bannières directement sur le site Web de Western Union, tant qu’à faire !
  • le second s’attaque à Paypal, et semble reposer sur le même principe ;
  • le troisième s’en prend encore à Paypal mais parait vouloir utiliser un autre type de page HTML, le MIME HTML dont l’extension est .mht et qui a la particularité de regrouper dans un même conteneur la page Web au format HTML et les images et autres fichiers à incorporer pour l’affichage de la page.

La conséquence évidente de ce développement est que dans la détection des mails de phishing il faut prendre en compte ce nouveau format, qui ne contient plus de liens URL éventuellement masqués.

Ensuite, cela simplifie le travail de l’hébergement du site de phishing qui ne fait que recevoir le résultat des formulaires, donc est particulièrement discret (au passage le site Web de phishing ne commet pas en tant que tel de contrefaçon des marques attaquées – telles que Paypal et Western Union), rendant d’autant plus complexe et difficile la fermeture de ces sites. En effet, pour expliquer à l’hébergeur qu’il doit fermer le site de phishing, il faudra lui montrer les mails de phishing, ce que fait le formulaire, etc… sans pouvoir lui montrer de page de phishing qui apparaissait jusqu’à présent de façon évidente !

13 mars 2010 by Cybercriminalité Sécurité 0

Comment on vous attire presque automatiquement vers les faux antivirus

Régulièrement la presse en ligne se fait l’écho de l’exploitation des événements de l’actualité par les délinquants… Deux articles du 4 et du 5 mars derniers sur le blog de F-Secure ont attiré mon attention. Ils décrivent quelques techniques utilisées pour amener de futures victimes à télécharger de faux antivirus.

Dans les deux cas décrits, les moteurs de recherche (Google en l’espèce) sont abusés pour référencer les documents qui vont piéger leurs victimes. Ainsi des fichiers PDF sont publiés, avec du contenu intéressant et à l’intérieur pour inciter le visiteur à les télécharger. En réalité, les attaques réalisées grâce à des PDF malveillants ne sont pas nouvelles (voir cet article), elles ont été le phénomène massif de l’année 2009.

Ainsi, des fichiers PDF sont diffusés (sur des sites piratés, par des reprises de contenus, etc.). Le contenu de ces fichiers PDF est inspiré de l’actualité, contient des liens, des mots clés qui vont attirer l’attention des visiteurs, comme des moteurs de recherche. Ainsi, lors de chaque événement récent on a vu apparaître des tentatives basées sur le tremblement de terre au Chili, la mort d’un chanteur. D’ailleurs à la vitesse où se répandent ces manœuvres frauduleuses, on peut raisonnablement soupçonner qu’elles sont fabriquées automatiquement à partir des flux d’actualité. Les articles de presse en ligne qui annoncent que c’est événements sont « déjà » exploités se trompent donc de conclusion: ce n’est pas une vivacité particulière des délinquants numériques dont ils sont témoins, mais une preuve de l’existence de véritables plateformes automatisées de services criminels.

Ce que décrivait F-Secure vendredi est qu’ensuite, les fichiers PDF disparaissent pour être remplacés par de simples pages HTML qui contiennent des animations Flash. Bien entendu, Google n’a pas eu le temps de repasser sur la page et de voir que le contenu avait changé et le référence encore comme un fichier PDF; et le contenu ressemble diablement à une page PDF. Et ce sont ces animations Flash qui contiennent des scripts malveillants qui vont vous amener à installer de faux antivirus:

Fausse détection de virus (F-Secure)

Le plus perturbant dans tout ça c’est que normalement votre véritable antivirus, s’il le détecte, va déclencher une alerte… pour peu que cette fausse alerte lui ressemble vous risquez d’être piégé ! Soyez donc particulièrement attentifs lors de votre navigation.

7 mars 2010 by Cybercriminalité Sécurité 1

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

28 février 2010 by Cybercriminalité Juridique Sécurité 1