Le RGPD n’empêche donc pas de collecter des données personnelles mais il faut dire pourquoi.

Le site pribot confirme le large éventail des données récupérées et leur destination. Vous pouvez désormais choisir le moins gourmand des acteurs du numérique. Par exemple entre You Tube et Daily Motion, si on veut protéger son patrimoine de données, le choix n’est pas difficile.

Encore mieux, entre Google et Qwant, la différence est saisissante mais il est vrai que le modèle de Qwant est basé sur la non-collecte des données.

Le Wall Street Journal a publié une étude fort intéressante sur ce sujet. La palme de la récupération revient sans conteste au selfie posté sur Facebook. Ainsi lorsque vous pensez publier une simple photo, Facebook collecte dans le même moment pas moins de 20 types de données additionnelles* telles que :

Il faut convenir que conserver la capacité de stockage de votre téléphone, le niveau de sa batterie  ou encore la force du signal sont des données capitales ;).  En revanche, la liste des applications et des fichiers disponibles ou encore les activités auxquelles je m’adonne laissent perplexe. D’après cet article du WSJ, Apple serait la société qui toucherait le moins à nos données personnelles mais son modèle économique n’est pas basé sur la thésaurisation de ces informations.

En conclusion, si le RGPD ne changera en fait sans doute pas grand-chose à ces pratiques, les utilisateurs sont en fait plus informés de ce qui est collecté, pourquoi faire et pour quelle durée. Mais rien n’interdira de récupérer de plus en plus d’information lors d’un selfie, d’un appel ou d’une recherche GPS. Et la croissance de Facebook depuis le scandale de Cambridge Analytica semble montrer que ces pratiques sont acceptées ou considérées comme inévitables…

*Source Wall Street Journal (accès payant)

L’ANSSI est donc parfaitement dans son rôle en lançant un MOOC (gratuit) destiné à former les citoyens aux bases de la sécurité. Ce cours en 4 modules est ouvert depuis quelques jours et est destiné à être enrichi progressivement.

La formation comprend, dans chacun des modules, des vidéos, des documents à lire et, bien entendu, des tests pour valider ses connaissances. Par exemple :

La SecNumAcademie est disponible sur simple inscription (un mail suffit).

(image Pixabay)

Depuis quelques semaines, c’est fait et tous les sites OVH sont accessibles aussi bien en HTTP qu’en HTTPS.

Il n’y a, en principe, aucune manipulation à faire, votre site est disponible avec les 2 protocoles.

Mais vous pouvez décider de rediriger automatiquement tous les visiteurs qui sont restés sur l’adresse http://votredomaine.fr vers https://votredomaine.fr en modifiant le .htaccess de votre hébergement. Pas d’inquiétude, OVH vous explique comment faire dans sa note technique.

Et si votre site est sous Wordpress, vous pouvez utiliser le plugin Easyhttps redirect faire le travail à votre place (il modifie le htaccess pour vous).

Le rapport revient sur les recommandations faites par la CNIL dans le cadre de la loi ayant autorisé « boîtes noires » ou « traitements algorithmiques» visant ainsi à détecter des signaux de préparation d’un acte de terrorisme (IMSIcatchers). Il rappelle la position de la Commission sur les vidéos embarquées par les forces de l’ordre lors de leurs interventions. Enfin, il dresse un bilan de la loi sur le déréférencement et fait le point sur son rôle et le traitement des demandes reçues au cours de l’année.

Au titre des infractions, on notera que « des ministères » ne respectent pas les règles de la CNIL : « Données collectées inexactes ; non respect de la durée de conservation des données ; défaut de sécurité des données ».

Pour 2016, le rapport indique les pistes sur lesquelles la CNIL va se pencher. Sans surprise, les objets connectés seront au coeur des réflexions. Il y a du boulot car, dans de nombreux cas, les objets connectés sont des passoires en matière de sécurité et accèdent (ou donne accès) à des données personnelles.

Le rapport est ici : cnil-36e_rapport_annuel_2015_0

C’est à présent Telsa qui apparaît comme vulnérable aux attaques. Son Model S a été décortiqué par des chercheurs en sécurité. Les hackers ont montré qu’en utilisant un accès direct au système, la voiture comportait une faiblesse exploitable ensuite à distance. Cependant, les hackers ont reconnu qu’il leur avait fallu plusieurs mois de travail pour trouver la faille. De plus, l’architecture technique de Tesla permet de faire une mise à jour sans rappeler les voitures, la faille ayant ainsi être pu comblée à distance… La Tesla conserve donc une longueur d’avance dans ce domaine, semble-t-il. Vous pouvez l’acheter sans hésiter

Selon l’institut Hold Security, plus de 1 milliard de mots de passe aurait été dérobé par un groupe de pirates russes.

Tout type de site pourrait avoir été touché par cette attaque massive et non uniquement des sites majeurs. Il est évidemment difficile de savoir si cette information est réelle, si ce chiffre est exact et quels sont les sites réellement mis à mal.

L’information a fait le tour d’internet en quelques heures ce mercredi 6 août (voir l’afp par exemple). Hold Security propose opportunément ses services pour vérifier la fiabilité des réseaux professionnels et l’intégrité des adresses mails. Il faut pour cela s’inscrire sur leur site…

Comme il est possible que ce soit vrai, dans le doute, il est prudent de changer vos mots de passe et évaluer leur résistance aux attaques à l’aide du site (sans risque puisque vous ne saisissez pas le mot de passe) pwdtest…

Néanmoins, il est surprenant que seul Hold Security ait découvert cette faille et l’entreprise refuse d’en dire plus pour des raisons de confidentialité et de sécurité…