Été 2020, une rentrée à fond à fond à fond

Bon, je dis « normal », mais en réalité entre la future obligation de porter le masque en entreprise, le vaccin contre le Covid-19 qui est annoncé au mieux au premier trimestre 2021 (sauf en Russie) et les attaques SI qui ont pullulé cet été, on se demande bien ce que cette fin d’année pourrait avoir de « normal ».

On commence très fort avec la société Spartoo qui s’est pris la première prune RGPD en France : 250 000 euros, beau score. La lecture de l’avis de la Cnil (ici [1]) laisse tout de même une impression bizarre. Par exemple, parmi les motifs qui ont fâché le régulateur, on lit que la société réclamait un justificatif de domicile et une copie recto de la CB, au motif de la lutte contre la fraude et les impayés – et ce qui a fâché la Cnil concerne surtout la durée de rétention de ces éléments, qui manifestement n’étaient jamais effacés par Spartoo. Je suis étonné que la Cnil n’ait tout simplement pas jugé cette collecte de documents disproportionnée : si un site marchand en ligne me demandait une copie de ma CB, je ne pourrais tout simplement pas la lui fournir du fait que je paye systématiquement avec des CB virtuelles (sans parler du fait qu’il faut vraiment être inconscient pour envoyer son numéro de CB physique sur Internet). Quant au justificatif de domicile, demander un tel document (très facile à falsifier du reste) pour acheter des godasses, euhhh, je suis le seul à en être étonné ?

Sur un autre des motifs par contre :
« Enfin, la délégation a constaté que lors de la création d’un compte par un utilisateur, sur le site Internet de la société, les mots de passe composés de six chiffres, contenant un seul type de caractère, étaient acceptés. La société a également indiqué que les mots de passe des comptes étaient conservés en base de production sous forme hachée au moyen de la fonction de hachage MD5, à l’aide d’un sel présent directement dans le champ de la base de données relatif aux mots de passe correspondants. »
Si ce n’est la longueur du mot de passe (faiblard), je ne suis pas certain que tout le monde soit propre sur lui dans le monde de la santé. Mais passons.

Côté cyber, c’est la fête : je n’ai même pas assez de place dans cet article pour lister toutes les actualités. On commence par l’attaque contre Doctolib (fuite des données d’environ 6 000 rendez-vous pris en ligne, manifestement Doctolib a été ciblé), celles contre MMA et GMF[2] (peu d’informations ont fuité, apparemment les responsables ont préféré couper une partie du SI, sage décision), une fuite de données personnelles d’automobilistes français[3], les habituelles affaires russo-américano-coréano-chinoises, etc.

Une première plutôt intéressante : on commence à voir des plateformes d’échanges de cryptomonnaies démantelées, dont certaines servent de super-blanchisseuses pour les rackets au cryptomalware : ici [4], ici [5] et ici [6]. Eh oui, les pouvoirs publics semblent redécouvrir la base de la lutte contre la criminalité : taper au porte-monnaie. Force est de constater que ceux qui prédisaient la fin des réseaux bancaires « traditionnels » (comprendre : affilés au système capitaliste tout vilain) se sont très largement fourré le doigt dans l’œil. Aujourd’hui, le principal usage des cryptomonnaies n’est pas d’aller acheter sa baguette de pain, mais de collecter et de blanchir des fonds acquis de manière plus que douteuse.

La grande question de la rentrée restera tout de même la suivante : va-t-on devoir aller physiquement tous au bureau tous les jours, ou les entreprises vont-elles comprendre que ceux qui peuvent travailler à distance n’ont pas à y mettre les pieds sauf réunion cruciale, sauf impératif de service, et ce tant que l’on n’a pas définitivement réglé la question du Covid ? Non, parce que télétravailler encore cinq ou six mois a un léger impact sur les SI et la cyber.

Ah, j’allais oublier : je vous suggère l’écoute d’un des derniers numéros de No Limit Secu [7] : un des contributeurs refait le film de Stuxnet et Flame, absolument passionnant.

Bonne rentrée.

[1] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1 

[2] https://www.lefigaro.fr/secteur/high-tech/attaques-informatiques-sur-plusieurs-entreprises-francaises-dont-mma-20200720 

[3] https://www.zataz.com/fuite-de-donnees-plus-de-250-000-francais-vendus-10e/ 

[4] https://journalducoin.com/actualites/fbi-fait-main-basse-sur-plein-de-bitcoins-site-pirate-demantele-30-millions-bitcoin/ 

[5] https://www.numerama.com/magazine/29933-bitcoins-une-plateforme-d-echanges-demantelee-en-france.html 

[6] https://www.01net.com/actualites/demantelement-d-une-enorme-lessiveuse-de-cryptomonnaies-en-ukraine-grace-a-l-ia-1965676.html 

[7] https://www.nolimitsecu.fr/attaques-sur-les-systemes-dinformation-industriels/