Feedback émission M6 Zone interdite – Vie privée en danger

Bastien Arnaque, Banque, Facebook, Mots de passe, Particuliers, Piratage, Vie privée 1 Comment

Dimanche 28 Septembre 2014, M6 a diffusé lors de son émission “Zone Interdite” un reportage traitant du sujet de la vie privée sur Internet.
Au sommaire, pirates sanguinaires, abus de faiblesses, boulettes médicales et ados 2.0. Décryptage.

Introduction

Nous pouvons y voir un pirate, dans son vaisseau fantôme noir Mercedes, brandissant ses armes : un portable Dell et un carte wifi Alfa Network. Brrr un froid glacial nous parcours le dos. A l’attaque !

L’origine de la faille :

Ici, dans ce cas de piratage ‘consenti’ puisque la famille a “donné son accord” afin d’être “piratée” on est en droit de se demander quant bien même le réseau wifi de la famille était protégé. Il est vrai que certains points d’accès wifi sont toujours configurés avec une protection WEP (Wired Equivalent Privacy), qui est très connue pour sa vulnérabilité, mais désormais par défaut tous les fournisseurs d’accès configurent au minimum un protection WPA-PSK TKIP. Nous ne rentrerons pas dans les détails ici sur ces mécanismes de sécurité, mais sachez qu’il est également vulnérable aux attaques dites “par dictionnaire“.

Dans un cas ou dans l’autre, constatez la facilité avec laquelle il s’introduit dans le réseau local de cette famille. Ensuite, c’est open-bar ma chère Lucette. Caméras IP, ordinateurs, smartphones, tout y passe.

Face à ce type d’attaques, la meilleure solution est de s’assurer que le mécanisme de sécurité de votre point d’accès est bien en WPA,et même mieux en WPA2, et que le mot de passe est suffisamment complexe pour résister à une attaque par dictionnaire. Nous vous conseillons d’utiliser une phrase facile à retenir, (marrante, absurde, …) d’au moins 10 mots. Suivie, entremêlée et débutant par des caractères spéciaux et des chiffres aléatoires. Changez les mots de passe par défaut des box opérateurs car leur format est connu de tout le monde. Exemple : Orange (Livebox) : Suite de 26 caractères hexadécimaux.

Le médecin maladroit

Fichiers patient, censés être protégés par le secret médical, alors indexés sur Google. Le résultat : vous tapiez le nom d’une personne sur Google et son dossier médical peut ressortir dans le résultat de la recherche. “La grosse boulette” comme il le dit si bien.

L’origine de la faille :
Les fichiers patient ont été déposés sur un serveur FTP, autorisant visiblement les connexions anonymes.
Bon, cela va sans dire, il ne faut JAMAIS laisser des documents sensibles se balader au grès des vents sur le net car vous avez eu l’indélicatesse ou la maladresse de ne pas mettre de mot de passe, qui soit dit en passant doit être SOLIDE. “stéthoscope” n’est pas un bon mot de passe, messieurs les médecins.

Les réseaux sociaux et les ados

Ici, il y aurait beaucoup à dire sur la façon dont communique désormais votre jeune progéniture. A coups de “like”,”pokes”, et même de dédicaces intelligentes en tout genre, type dédiboobs ou neknomination. Le nouveau machin à la mode, c’est Ask.fm (encore une entreprise utile, qui va régler tous les problèmes de notre planète, et qui sera probablement rachetée bientôt pour quelques milliards) qui permet à des personnes de vous poser des questions de façon anonyme. Tenez, le bâton… Oui, frappez-moi avec. J’aime ça ! “Like” ! “Poke moi avec ton bâton !” s’trop génial cette appli !

La question des réseaux sociaux chez les ados est un problème de fond. Autoriseriez-vous vos enfants à aller sur Facebook et consœurs pour donner leur vie et leurs informations personnelles à une entreprise irrespectueuse des concepts de vie privée et les laisser s’exposer aux paroles et dérives malsaines qu’entraînent inévitablement ce genre de réseau social ?

On assiste d’ailleurs (à partir de 18:35 dans le reportage), à une situation épique où la maman de l’ado s’offusque de la façon dont sa fille se ‘lâche’ sur Facebook.

Cyber-harcèlement

Nous assistons ensuite au témoignage de “Laetitia” qui est victime d’un jeune homme très courageux, apprenti cyber-harceleur, ayant réussi avec succès à démonter la vie de la jeune fille en tenant des allégations fausses sur internet.

Une chose est certaine, ce n’est pas grâce à Facebook que les enfants et adolescents apprendront la franchise et honnêteté. Aux parents de tenir les rennes. La distance et le confort que procurent ces nouveaux outils de “communication” peuvent être dévastateurs. Bien assis derrière leurs écrans, il est parfois difficile de se rendre compte du mal que les ados peuvent se faire entre eux.

Le papa-espion

Paranoïa ? Très probablement. Ce papa aurait très bien pu fournir à sa fille un smartphone sans connexion de données ou un téléphone “basique” qui ne permet qu’effectuer des appels et envoyer des SMS. Avec une bonne application de contrôle parental, elle n’aurait pas non plus pu établir de connexion WiFi. Cela lui aurait évité de regarder à longueur de journée ce que fait sa fille sur les réseaux et de dormir tranquille.

Arnaques à l’amour : Arnacœur et Firmin l’africain

On parle ici d’abus de faiblesse et d’arnaque à l’amour. Détecter ce genre d’arnaques n’est qu’une question de bon sens : N’envoyez pas d’argent à des personnes que vous ne connaissez pas PHYSIQUEMENT… Cela semble pourtant évident.

On pourrait ici encore en remettre une tartine sur la nécessité de sécuriser son compte Facebook et de n’être en contact qu’avec des personnes qui vous connaissez vraiment. Physiquement. Pas virtuellement.

Espionnage conjugal

Le reportage parle ici des logiciels espions permettant de suivre à la trace un téléphone (et donc une personne) et d’espionner tout ses échanges, sms, mails, appels, etc…

De nos jours il faut considérer les smartphones comme de vrais petits ordinateurs. Il est possible de tout y faire, y compris espionner quelqu’un en installant à son insu un logiciel espion. Des sociétés peu scrupuleuses se sont même spécialisées dans ce type de produits.

Les failles des sites internet

Nos modes de consommation actuels font que nous sommes inscrits à d’innombrables sites, et notamment des sites marchands. Cependant, il est impossible pour une personne non initiée d’être sûre à 100%  que ses données personnelles seront sécurisées de façon correcte.
Afin de réduire le risque et ne pas trop perdre en confort, nous vous conseillons d’utiliser un mot de passe unique pour chaque ‘type’ de site que vous visitez.

Exemple :

– Un mot de passe fort, unique, pour chacun de vos comptes bancaires
– Un mot de passe fort, unique, pour votre messagerie principale
– Différents mots de passe plus simples à retenir, pour tous les autres sites sur lesquels vous êtes inscrits et dont l’importance est considérée comme inférieure. (forums, sites marchands, messageries secondaires, etc …)

Précision : Sauvegarder vos données bancaires sur un site marchand, bien que simplifiant les nouvelles commandes a venir, est un risque qu’il ne vaux mieux pas prendre. Ainsi, il est préférable de ne pas les sauvegarder sur le site marchand et de les retaper à chaque nouvelle commande ou générer un code de carte bleue unique pour chaque commande si votre banque vous le permet.

Si la base de donnée d’un site web venait ainsi à être piratée, vos coordonnées bancaires ne seront pas dérobées.

N’hésitez pas à inscrire de fausses cordonnées (nom, prénom, adresse,…) pour les sites web un peu trop curieux et de faible importance, et n’impliquant pas un besoin de livraison.

Enfin, plus vous avez de mots de passes uniques, mieux c’est. Nous conseillons l’excellent KeePass, logiciel vous permettant de stocker tout vos mots de passe de façon protégée (génère un fichier .kdbx chiffré)

Phishing

Ici la règle est simple. Jamais une société privée, et encore moins une banque, ne vous enverra d’e-mails :

– Avec des fautes d’orthographes flagrantes
– Vous demandant de réinitialiser votre mot de passe (sauf à votre initiative)
– Vous demandera, pour une raison X ou Y, de vous connecter à votre interface avec un lien contenu dans l’email.
– Vous demandera de transmettre des documents ou informations privées.

Il faut toujours vérifier vers quelle adresse pointent les liens contenu dans les emails, et ce en les survolant avec la souris, ainsi que l’expéditeur de l’email.
Il faut toujours vérifier sur quelle site web vous vous trouvez (voir l’URL dans la barre d’adresse de votre navigateur) et le comparer avec l’adresse officielle de votre organisme bancaire/site marchand, etc AVANT d’entrer un quelconque identifiant/mot de passe.

Soyez donc doublement prudent lorsque vous recevez un email d’un organisme (impôts, CAF, etc…), d’un opérateur (téléphonie, internet…), de votre banque ou assurance.

Vol des numéros de cartes bancaires grâce à la puce NFC

NFC (Near Field Communication) est une technologie sans fil permettant la communication entre deux périphériques jusqu’à une distance de 10 cm. Elle utilise la technologie RFID (Radio Frequency Identification)

Ici le reportage fait un peu dans le sensationnel. Pour lire les données d’une carte bancaire NFC avec un smartphone, la carte doit être collée au smartphone, pendant quelques secondes. Il est donc impossible pour quelqu’un doté d’un simple smartphone/tablette se déplaçant dans le métro de récupérer vos informations bancaires. Dans le reportage, il est fort à parier que le journaliste possède un récepteur RFID de puissance beaucoup plus importante, tel les dispositifs d’ouverture de portails à distance. Reprogrammé à bon escient ou en utilisant le bon logiciel, les données des cartes bancaires peuvent être récupérées. Le vol de données bancaires reste donc possible, mais est loin d’être à la portée de tous.

Comments 1

  1. Bonsoir , moi aussi ai subit une arnaque avec la fausse identité de Stéphane il s’appelait André Martin ! je suis du sud aveyron donc pas loin de Stéphane et cela me ferait plaisir de partager cette aventure avec lui , lui raconter comment je me suis faites avoir ! ils ont reussis a me prendre tout mon argent et plus ! Je suis allée porter plainte et comme Stephane ça va rester en suspend !
    mon adresse : MME Tauriac Isabelle
    la caze
    12480 BROQUIES
    Merci de transmettre a Stephane et il peut m envoyer un mail ou s il passe vers Millau et ses alentours venir me rendre visite avec ses enfants en tout bien tout honneur .

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *