Dernières actualités : données personnelles

Numerama – Cyberguerre

Des étudiants de Harvard ont relié un programme d’intelligence artificielle à leurs lunettes Ray-Ban de Meta pour identifier les individus qu’ils croisent dans la rue

L’intelligence artificielle et les lunettes connectées, un cocktail risqué. Deux étudiants de Harvard, AnhPhu Nguyen et Caine Ardayfio, ont travaillé sur un projet, baptisé I-XRAY, combinant des lunettes connectées Ray-Ban de Meta avec des technologies de reconnaissance faciale. L’objectif étant d’identifier des individus dans les espaces publics et récupérer leurs données personnelles en temps réel. Les deux jeunes ingénieurs ont ainsi approché des personnes au hasard, en leur fournissant des infos sur leur emploi ou leurs activités sportives, après les avoir capturées quelques secondes auparavant avec les lunettes de Meta.
Ils ont ensuite détaillé leurs travaux sur le réseau social X, fin septembre 2024.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

UODO (autorité polonaise)

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Les cybercriminels innovent en ajoutant des photos du domicile dans les mails de chantage

Les cybercriminels incorporent aujourd’hui des photos du domicile de leur cible dans les messages d’extorsion envoyés par mail. Ces adresses se trouvent rapidement aujourd’hui à cause des nombreuses fuites de données.
Une nouvelle campagne de sextorsion sévit aux États-Unis avec des méthodes encore inédites dans le milieu des cybercriminels. Plusieurs services de police à travers le pays ont alerté la population au sujet de ces messages envoyés courant septembre. L’entreprise The Record a pu récupérer une partie de ces e-mails, qui contiennent les numéros de téléphone ainsi que les photos de logement avec l’adresse personnelle des victimes.

Disponible sur: numerama.com

Numerama – Cyberguerre

Un trésor pour les cybercriminels : 95 millions de données de Français reposent sur un serveur ouvert

68 millions de Français, 95 millions de lignes de données. Une immense base de données de plusieurs enseignes françaises repose actuellement sur un serveur de ElasticSearch, un moteur de recherche sur les données pour professionnel contenant parfois des informations illégales. Selon une étude publiée le 25 septembre par le média Cybernews et le chercheur Bob Dyachenko à la tête de SecurityDiscovery.com, ce serait « un trésor pour les cybercriminels ».

Notez que si le nombre de lignes est supérieur à celui de la population française, c’est parce que ces fichiers contiennent souvent plusieurs types d’informations : email, adresse, numéro de téléphone, etc.

Le dossier, d’une taille totale de 30,1 Go, contient de nombreux fichiers, principalement liés à de précédentes cyberattaques. « Il est probable qu’un cybercriminel ait réuni l’ensemble des données issues de violations de grandes entreprises et services bien connus » déclarent les chercheurs.

Disponible sur: numerama.com

UODO (autorité polonaise)

Pologne: des violations de la protection des données causées par les inondations, l’autorité rassure les responsable de traitement concernant leurs obligations

En raison des tragiques inondations qui ont touché le sud de la Pologne, l’autorité a publié le communiqué dans lequel elle indique comprendre que de nombreux responsables du traitement des données puissent se trouver dans une situation difficile, tant sur le plan personnel que sur celui de leur activité, et que la priorité absolue doit être la sécurité des personnes. L’autorité a par ailleurs déclaré, ce jour :

 » Nous sommes conscients que vous pouvez être préoccupés par la mise en œuvre de vos obligations en vertu du RGPD, y compris la notification éventuelle de violations de la protection des données.

C’est pourquoi nous vous rappelons que le délai de 72 heures pour signaler un tel incident au président de l’autorité de protection des données ne court qu’à partir du moment où il est découvert. Nous sommes conscients que, dans de nombreux cas, cela ne sera possible qu’après que la situation ait été maîtrisée et que les pertes potentielles aient été évaluées dans un premier temps. Nous sommes également conscients que certains d’entre vous ne parviendront pas à signaler les violations de la protection des données dans les délais impartis. Dans ce cas, nous vous prions de bien vouloir indiquer les raisons de ce retard en faisant référence aux conditions extraordinaires liées à la situation d’inondation.

Soyez assurés que le président et le personnel de l’Office de la protection des données à caractère personnel comprennent parfaitement les difficultés posées par la situation actuelle, de sorte que toutes les notifications que vous ferez seront examinées en tenant compte de ces circonstances particulières. » 

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

Retour en haut