RGPD – RSA Conference – Schneier « Don’t expect Uncle Sam to guard your web privacy »

« Don’t expect Uncle Sam to guard your web privacy – it’s Europe riding to the rescue »

« The EU is the regulatory superpower on the planet, » Schneier told The Register. « We won’t be regulating surveillance capitalism in the US, it’s too profitable. If you want that done, then look to the EU. »

« The infosec expert suggested there was a need for public-interest technologists: people who know a thing or six about technology who can work with policy makers, independently on behalf of netizens, to inform legislators’ decisions without big corporations sticking their oars and checkbooks in. »

« Everything we do has a moral dimension, and we need to accept and engage with it, » he said. « It’s hard in security because every tool we build has a dual use and can do bad things in the wrong hands. We aren’t responsible for every single use, but we are responsible for the world we create with our technologies. »

https://www.theregister.co.uk/AMP/2019/03/07/policy_technology_schneier/

DCP – Les données personnelles détenues par l’éducation nationale, un trésor convoité

« Les informations personnelles numérisées sur les élèves et les personnels de l’éducation représentent une manne pour de nombreux éditeurs de logiciels. Le ministère promet de rédiger un « code de conduite ». »

Par Soazig Le Nevé Publié le 11 mars 2019 à 14h42, mis à jour hier à 11h30

« « Il a vendu les données des élèves de CP ! » Devant ses collègues réunis dans la salle des maîtres, une enseignante brandit un tract syndical, rouge de colère. Est-il possible que les résultats des évaluations des élèves de CP se retrouvent hébergés en Irlande sur un serveur d’Amazon ? « Le ministre a vendu ces données pour se faire de l’argent. Tout cela sur le dos des écoliers : tel est l’état d’esprit qui règne dans la profession », résume une des enseignantes, témoin de la scène fin septembre 2018, qui reste perplexe. »

« Suspicion et paranoïa. Les données personnelles des élèves et des enseignants font l’objet de tous les fantasmes, à mesure que les Gafam (Google, Apple, Facebook, Amazon, Microsoft) ont passé sans frapper la porte de nos vies personnelles et professionnelles. « Nous avons reçu plus de 2 000 demandes au sujet des évaluations de CP, illustre Gilles Braun, délégué à la protection des données des ministères de l’éducation nationale et de l’enseignement supérieur. L’inquiétude des parents est légitime sur ce que cette grande administration peut faire des données relatives à leurs enfants. Lesquelles sont traitées ? Qu’en fait l’éducation nationale ? Est-ce bien utile ? Combien de temps les conserve-t-elle ? »  »

https://www.lemonde.fr/education/article/2019/03/11/donnees-personnelles-dans-l-education-nationale-un-secret-a-bien-garder_5434445_1473685.html

DCP – Google cible les mobilités en France

« Il existe très peu d’autres marchés aussi importants que la France et l’Allemagne en termes de mobilités et d’automobile »

« La France est le premier pays dans lequel Google a adapté son fonctionnement de la sorte. « Les mobilités sont un sujet crucial. C’est un marché plus mature qu’ailleurs, on y trouve des acteurs traditionnels et des start-up. » En effet, entre les constructeurs (Renault, PSA) et toute la filière automobile derrière eux, les opérateurs de transports de rang mondial (Transdev, Keolis, RATP) et des start-up de mobilité de plus en plus européennes (Blablacar, Drivy, Kapten…), le vivier de clients en France ne manque pas. »

« Une offensive qui a convaincu un client de taille en France : Renault, ainsi que ses alliés Nissan et Mitsubishi. L’alliance a signé en septembre 2018 un partenariat pluriannuel mondial avec Google, qui verra Android installé dans la plupart des nouveaux véhicules produits par les trois constructeurs. Des fonctionnalités numériques comme la cartographie, la commande vocale ou la recherche d’informations seront déléguées à Google, … »

« …les constructeurs « choisissent les données qu’ils partagent avec nous », mais confirme que dans le cas d’Android Auto, auquel les conducteurs sont connectés via un compte Google, les données sont uniquement récupérées par Google (comme sur Android pour smartphones). »

https://www.journaldunet.com/economie/transport/1422230-comment-google-s-est-reorganise-en-france-pour-cibler-les-mobilites/

SSI CI – Venezuelan vice president says power outage was caused by cyber attack

« CARACAS, March 9. /TASS/. Power outage across Venezuela occurred as a result of a cyber attack, Vice President for Communications Jorge Rodriguez said on Friday.

« A cyber attack targeted the automatic control system at the hydroelectric power station, » Rodriguez said. « In response to the attack, the power station’s operation was temporarily shut down, which led to interruptions in electricity supply, » he added.

Rodriguez said that the cyber attack may have been carried out from the United States. »

http://tass.com/world/1047983/amp

SSI ORG – Femmes et carrière en cybersécurité – Etude Kaspersky Lab

« Nous faisons partie d’un secteur dynamique et en plein essor mais où les femmes sont tout simplement sous-représentées. Malheureusement les jeunes femmes ne perçoivent pas la cybersécurité comme un métier viable ou attrayant à leurs yeux et qu’elles s’orientent donc vers d’autres voies dès leur adolescence, ce qui explique nos difficultés à les persuader de nous rejoindre, » commente Tanguy de Coatpont, DG France chez Kaspersky Lab.

https://www.undernews.fr/culture-web-emploi/emploi-carriere/femmes-et-carriere-en-cybersecurite-les-raisons-dun-desamour.html

SSI GOV – Baromètre des risques 2019 d’Allianz

« Les incidents cyber rejoignent pour la 1ère fois l’interruption d’activité en tête des risques d’entreprise dans le monde »

« En France les incidents cyber se classent en 1ère position (41% des sondés), suivis de très près par les interruptions d’activités (40% des sondés). Le risque incendie et explosion, reste en 3e position (29%). »

« Les entreprises doivent prévoir une grande diversité de scénarios et de facteurs de perturbation, car c’est à cela qu’elles sont principalement exposées dans notre monde en réseau, souligne Chris Fischer Hirs, CEO d’AGCS. Les risques de perturbation peuvent être matériels, comme les incendies ou les tempêtes, ou virtuels, comme les défaillances informatiques dues à des actes malveillants ou à des accidents. Ils peuvent provenir des activités des entreprises elles-mêmes, mais aussi de leurs fournisseurs, clients ou prestataires de services informatiques. Quel que soit le facteur, les pertes financières consécutives à une interruption d’activité peuvent être considérables. Les nouvelles solutions de gestion des risques, les derniers outils d’analyse et les partenariats innovants permettent de mieux comprendre et atténuer cette multitude de risques de pertes d’exploitation, et de prévenir les sinistres. »

https://www.agcs.allianz.com/global-offices/france/news-press-france/barometre-des-risques-2019-dallianz-les-incidents-cyber-rejoignent-pour-la-1ere-fois-linterruption-dactivite-en-tete-des-risques-dentreprise-dans-le-monde/

SSI Web Auth – W3C standardise WebAuthn

« Les normes FIDO U2F, puis FIDO2 et maintenant WebAuthn, constituent une évolution naturelle qui s’appuient sur chaque avancée pour rassembler de nouvelles fonctionnalités de sécurité importantes pour le Web moderne :

  • L’Authentification one-touch sans driver avec un seul facteur d’authentification, pouvant être utilisée sur n’importe quel nombre de services.
  • La cryptographie à clé publique pour se défendre à grande échelle contre le phishing et les attaques de type man-in-the-middle.
  • L’Authentification à facteur unique, à multi-facteurs et sans mot de passe pour les applications Web et mobiles. »

https://www.undernews.fr/authentification-biometrie/un-grand-jour-pour-internet-le-w3c-standardise-webauthn.html

« The W3C Web Authentication working group is pleased to announce that the Web Authentication specification (WebAuthn) has attained Candidate Recommendation (CR) maturity level. This is a major step towards enabling practical, strong, privacy–preserving authentication on the Web.

Web Authentication is a challenge-response protocol employing strongly secure public key cryptography, with per-website key pairs, rather than the simple presentation of phishable, possibly re-used, passwords.

This version is informed by several rounds of interoperability testing among multiple browser and authenticator vendors. Members of the working group have closely coordinated with the FIDO Alliance to ensure that FIDO2 Client To Authenticator Protocol (CTAP) implementations will work well with WebAuthn.

We have also closely coordinated with the W3C Credential Management API work. »

https://www.w3.org/blog/webauthn/2018/03/20/candidate-recommendation/