Pour pouvoir continuer la navigation sur certains sites internet, l’acceptation des cookies est devenue une obligation. Mais qu’est-ce que cela signifie ? Qu’est-ce qu’un cookie ? Un cookie est un petit fichier texte au format alphanumérique, contenant des informations concernant l’internaute. Il est généré par le serveur du site Web consulté (ou par un serveur tiers) puis, il est envoyé au navigateur internet qui va se charger de le déposer sur le disque dur de l’internaute (le serveur n’a pas accès directement à l’ordinateur de l’internaute, ce qui explique ce long cheminement). A quoi servent les cookies ? Les Cookies ont pour objectif de faciliter la navigation sur le site Web. Ils permettent de personnaliser le contenu affiché, d’enregistrer les identifiants des utilisateurs et de récupérer leurs données et paramètres. Pour mieux comprendre comment les cookies fonctionnent, prenons l’exemple d’une connexion sur un site internet de e-commerce, où vous choisissez vos articles et que finalement, vous ne poursuivez plus votre commande. Quand vous vous reconnectez sur ce site, vous constatez que votre panier contient toujours les articles que vous avez choisis, alors que vous ne l’aviez pas enregistré. Le principe derrière est simple. En effet, Quand vous avez choisi vos articles, le serveur a envoyé un fichier texte sur votre ordinateur contenant votre commande ou un code permettant de la retrouver ; Votre navigateur a enregistré ce fichier sur votre disque dur ; Lors de votre reconnexion, le navigateur a envoyé le fichier, depuis votre ordinateur, au serveur du site web ; Le serveur web a lu le fichier et a ajouté les articles sélectionnés auparavant à votre panier ; C’est quoi le problème avec les cookies ? Les cookies sont créés pour faciliter votre navigation sur le site internet. Néanmoins, ils peuvent donner un bon aperçu sur votre activité et vos préférences. Par conséquent, des parties tierces peuvent les utiliser afin de vous identifier et vous cibler sans votre consentement explicite. Ils représentent également un autre problème lié aux informations collectées et aux traitements qui y seront appliqués. Selon le journal français « Le monde », la Commission Nationale de l’Information et des Libertés (CNIL) a enregistré entre 1 200 et 1 300 notifications de violations de données personnelles depuis le 25 mai 2018. En effet, le Règlement Général sur la Protection des Données à caractère personnel (RGPD) est entré en application le 25 mai 2018. Ce règlement a pour objectif de mieux protéger les individus en ce qui concerne le traitement de leurs données personnelles. En cas de non-conformité au RGPD, des sanctions peuvent être appliquées allant jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires. Quelles obligations les cookies doivent respecter pour être conformes au RGPD ? Pour un propriétaire de site web, il est important de prendre les mesures nécessaires pour se conformer au RGPD, notamment en ce qui concerne le traitement des données personnelles. Les cookies peuvent être classés en plusieurs catégories : Les cookies strictement nécessaires au fonctionnement Les cookies à caractère légal : Ces cookies ont pour objectif d’identifier l’utilisateur à des fins légales. Par exemple, un site de déclaration d’impôts doit obligatoirement vérifier l’identité de l’utilisateur et garder une trace de ses actions sur le site. Les cookies anonymisés : Ces cookies contiennent des données qui ne peuvent pas être identifiées de nouveau après traitement. Les cookies de ciblage : Ces cookies permettent de rassembler des informations sur les habitudes de navigation d’un utilisateur, afin de le cibler à des fins publicitaires. Pour tous les types de cookies, les éditeurs de sites ou d’applications doivent Informer les internautes de la finalité des cookies : quoi, comment et où les données personnelles seront utilisées. Pour les cookies de ciblage, les éditeurs de sites internet doivent en plus : Obtenir le consentement des utilisateurs : le site internet doit demander explicitement le consentement de l’utilisateur, un consentement qui doit durer en maximum 13 mois. Fournir aux internautes un moyen de les refuser : l’utilisateur doit avoir accès au site et à toutes ses fonctionnalités même s’il refuse les cookies. De plus, le consentement doit être : Modifiable : l’utilisateur doit avoir la possibilité de changer d’avis et de retirer son consentement. Archivé : tous les consentements donnés doivent être archivés comme preuve que le consentement a été obtenu. Les exigences apportées par le RGPD rendent la plupart des notifications de cookies utilisées auparavant non conformes, comme par exemple le consentement implicite, le consentement donné par défaut en visitant un site ou même le bouton « ok » pour accepter l’utilisation des cookies. Comment se protéger face aux cookies ? Bien que la CNIL oblige maintenant les sites à se conformer au RGPD en ce qui concerne la politique des cookies, ceci n’est pas suffisamment clair : certains sites considèrent que lorsque vous ne refusez pas, il y a consentement et ils peuvent avoir vos informations. En outre, le règlement vie privée et communications électroniques ePrivacy peut être un renforcement pour le RGPD en mettant le point sur l’aspect informatique des communications. Pour se protéger contre les cookies vous pouvez : Supprimer les cookies directement de votre poste de travail à travers les fichiers enregistrés sur le disque dur. Bloquer l’implémentation des cookies sur votre ordinateur au niveau du navigateur. Ajouter des extensions à votre navigateur pour augmenter votre sécurité. Les cookies permettent de personnaliser le contenu sur les sites internet en fonction des préférences des utilisateurs et ainsi leur offrir une expérience de navigation unique adaptée à leurs besoins. Mais, il faut prendre en considération les risques liés à l’exploitation des données personnelles. Oumayma

Des indemnisations allant de 1 à 2 millions d’euros en cas de cyberattaque pour une prime annuelle de l’ordre de 1000 € ! Comment cela ne serait-il pas tentant pour une PME ? Si l’on considère que : 98 % des entreprises sont attaquées * 53 % de ces attaques aboutissent * Le coût d’une attaque est d’environ 250 000€ pour une PME * Il semble intéressant de souscrire une cyber assurance au plus vite ! * Etudes Accenture – CISCO – Symantec D’ailleurs, le marché de la cyber assurance est un marché à forte croissance, estimé à 15% d’évolution annuelle pour les 5 à 10 prochaines années (Source : Rapport Sigma 2017 de Swiss RE). Aujourd’hui, entre 10% (en 2016 d’après la FFA) et 17% (d’après l’enquête du CPME), des PME sont assurées contre les attaques informatiques. Mais contre quoi sont-elles réellement assurées ? Une cyber assurance : pourquoi faire ? Les polices d’assurance diffèrent d’un assureur à l’autre, dans un marché qui cherche encore sa maturité, mais nous pouvons distinguer pour les principales garanties : La responsabilité civile est similaire à la RC Pro qui s’applique principalement en cas de plaintes ou de fuite de données Les dommages subis par l’entreprise à la suite de l’arrêt de l’activité L’assistance à la gestion de la crise et les actes de récupération de données et d’investigation De manière optionnelle, nous pouvons trouver d’autres garanties telles que l’atteinte à l’image ou le remboursement de cyber extorsions Les prix et les garanties couvertes restent aujourd’hui très variables, dans un marché peu mature et où les assureurs sont à la recherche de données historiques pour mieux adapter leurs offres. Pour prendre un parallèle d’assureur, nous sommes encore loin de l’assurance auto, où le garagiste vous retape votre voiture et vous la rend comme neuve. Et pour cause ! Un système d’information n’est pas une voiture : il est spécifique à chaque entreprise et, plus important encore, il est évolutif. Une bonne cyber assurance n’est donc pas seulement une assurance qui couvre les frais d’une cyberattaque, mais bien une assurance qui vous accompagne pour vous en protéger et pour vous redresser en cas d’attaque. Ainsi, certaines cyber assurances vous proposent l’accès à un expert en sécurité, qui vous aidera à gérer la crise, à mener vos investigations et à remettre vos systèmes d’équerre. Certains assureurs peuvent même vous mettre à disposition cet expert lors de la souscription de la police d’assurance pour réaliser un audit rapide de votre situation et vous préconiser les mesures les plus importantes à mettre en place. En effet, en sécurité comme dans la vie de tous les jours, la sagesse populaire reste de mise : mieux vaut prévenir que guérir ! Mais cet accompagnement est-il vraiment suffisant ? Se concentrer sur l’essentiel Pour se prémunir des cyberattaques, la panoplie est large et c’est bien là le problème. En effet, les entreprises se trouvent souvent confrontées à des questions comme : Quelles solutions de sécurité choisir ? Et pour une solution donnée, quel fournisseur/logiciel me convient le mieux ? Pour quel budget et coût d’implémentation ? Les PME peuvent avoir une à plusieurs personnes qui s’occupent de « l’informatique », mais dont les connaissances et le temps peuvent s’avérer limités pour un spectre de cybersécurité de plus en plus étendu. Il peut être alors intéressant pour ces entreprises de se faire accompagner par des experts du domaine, mais encore faut-il : Les trouver Pouvoir s’offrir leurs services Car oui, les compétences en cybersécurité sont très recherchées, inégales et relativement coûteuses. Un Responsable de la Sécurité des SI (RSSI partagé – CISO as a Service en anglais) peut être une solution idéale pour ces entreprises, qui n’ont pas besoin d’un expert à plein temps et qu’elles peuvent déclencher à la demande. Un tel expert pourra alors analyser les risques de l’entreprise et très probablement préconiser, entre autres mesures, de se concentrer sur l’essentiel, c’est-à-dire : Mettre en place une protection contre la propagation des attaques (Antivirus, Firewall, anti-spam) Mettre en place des sauvegardes de données (partages de fichiers et poste de travail) Sensibiliser les utilisateurs à changer leurs mots de passe régulièrement, à choisir des mots de passe robustes, et surtout, à adopter des réflexes de navigation sécurisés. Notre conseil : sortez couverts Que ce soit par le biais d’une cyber assurance ou par un accès direct à un expert en sécurité, nous ne pouvons que vous conseiller de réaliser un bilan rapide de votre niveau de sécurité. P.S. : Notre livre blanc sur la cyber assurance sort dans quelques semaines, alors restez connectés ! Nidhal

Nous sommes souvent négligents envers l’information dans notre espace de travail, que ce soit des présentations papiers, des contrats, des clés USB ou des sessions ouvertes. L‘information sur nos bureaux est toujours disponible et nous profitons pleinement de son accès en tout temps. Mais il est important de contrôler cet accès, surtout pour les personnes non autorisées. Des statistiques montrent que 55 % des vols sur le lieu de travail se produisent au bureau des employés. Un taux énorme suscitant la mise en place d’une politique de « Clean Desk » qui devient essentielle pour se protéger contre le vol d’informations. Cette politique stipule que tous les documents, y compris les présentations PowerPoint imprimées, les reçus, les CVs, les billets de train/d’avion et tout ce qui contient des renseignements sensibles ou personnels, doivent être bien conservés dans des classeurs et des armoires verrouillées à clé lorsque les employés ne sont pas présents dans leur bureau. Vers des bureaux « Paperless » et « Dataless », nous vous proposons des points de contrôle à vérifier: Vos documents et clés (USB, Token, carte d’authentification, etc.) doivent être dans une armoire ou dans un tiroir verrouillé à clé ; Vos identifiants et vos mots de passe de connexion ne doivent pas être inscrits sur des « post-it » accrochés à vos postes de travail, ou à proximité ; Vos bureaux doivent être vides de tous papiers à la fin de la journée de travail ; Les informations sensibles ne doivent pas être discutées dans des endroits partagés avec les autres employés ou dans des lieux publics ; Les informations sensibles sur vos écrans ne doivent pas être vues facilement par des personnes externes ou non autorisées. Vous pouvez utiliser des filtres de confidentialité sur vos écrans ; Vos documents papiers doivent être libellés selon leur niveau de confidentialité et de sensibilité pour pouvoir les identifier et les protéger rapidement ; Votre poste de travail doit être en veille lorsque vous vous en éloignez, même si ce n’est que pour une courte période ; Votre poste de travail mobile (« Laptop ») doit être attaché à un câble de sécurité. Le vol d’informations comprend également le scénario de vol d’équipements contenant de l’information ; Les salles de réunions doivent également être vidées après la tenue de la réunion. Notamment, les documents papiers laissés sur les tables de réunion ou les notes sur les « paperboard » qui ont pu faire le sujet de prise de décisions de management. Loin de la sécurité et de la protection des données, avoir un bureau propre et ordonné réduit le stress au sein d’une organisation. On a aussi révélé que l’encombrement des bureaux peut en fait diminuer la productivité et la motivation des employés. « Tidy* desk tidy mind » ou « Messy* desk messy mind »…c’est à vous de choisir ! *Tidy = rangé *Messy = en désordre Loubna

Avant de parler de Red Teaming, nous parlerons des tests d’intrusion. Lors d’un test d’intrusion, l’objectif est de rechercher des vulnérabilités sur un périmètre restreint et une période définie pour fournir des recommandations afin de les éliminer. Pour faire face aux nouveaux enjeux de sécurité, les équipes doivent s’adapter et s’entraîner à la détection et à la réaction des incidents, sur un périmètre et une durée bien plus étendue que ceux des tests d’intrusion. De là est née la notion de RedTeam. Les tests d’intrusion RedTeam ont pour objectif d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection. Ces moyens peuvent être de forme physique (intrusion dans les locaux de l’entreprise), humaine (tentative de vol d’identifiants via du social engineering) ou informatique (compromission de serveurs / postes de travail / réseau). Cet exercice peut s’étendre de plusieurs semaines, voire de plusieurs mois, en fonction de la taille de l’entreprise. La RedTeam est donc une équipe de pentesteurs qui réalisent des attaques réalistes et discrètes contre l’entreprise. L’entreprise doit définir, en amont, les ressources critiques et les objectifs à atteindre (une sorte de Capture The Flag grandeur nature !). La RedTeam devra alors employer tous les moyens nécessaires à la réalisation de ces objectifs. Cela peut aller de la compromission d’un serveur afin d’atteindre les fichiers RH de l’entreprise, d’attaque de type phishing pour compromettre un compte VIP ou de cloner un badge collaborateur pour s’introduire dans les locaux de la société et installer un équipement malveillant (sniffer, keylogger, Rubber Ducky etc.). Tous les coups sont permis … ou presque. En effet les modalités des tests seront, comme les objectifs, définis avec le commanditaire de l’exercice (interdire les attaques DDOS, interdire les attaques de certaines ressources jugées trop sensibles, etc.). La notion de discrétion est aussi très importante. En effet réaliser plusieurs attaques en quelques heures, ou espacées de plusieurs semaines, permettra d’éviter de passer sous le radar des différentes sondes type IDS/IPS. La BlueTeam On parlera rarement de RedTeam sans parler de BlueTeam. La BlueTeam est l’équipe de défense de l’entreprise (généralement les équipes Sécurité et le SOC s’il existe 😊). Leur objectif est d’œuvrer en harmonie afin d’intervenir et de gérer les incidents liés aux cyberattaques. Dans un exercice RedTeam la période du test d’intrusion étant très grande et sachant que les équipes BlueTeam ne savent pas quand l’attaque sera réalisée, ni sous quelle forme, complique grandement la tâche des défenseurs et rend l’exercice encore plus réaliste (et stressant ). Quel est l’intérêt pour mon entreprise ? L’intérêt des exercices BlueTeam/RedTeam n’est pas de lister l’ensemble des vulnérabilités présentes sur un périmètre restreint mais plutôt d’évaluer la capacité de détection et de réponse aux incidents de la BlueTeam. Ils permettent également d’entraîner les équipes de défense à réagir face à des cyberattaques réfléchies, concrètes, réparties dans le temps et mixant attaques physiques (intrusions physiques des locaux), sociales (social engineering, phishing) et distantes (pentest). Suite à un exercice BlueTeam/RedTeam les équipes sécurité/SOC pourront se poser les bonnes questions afin d’améliorer le niveau de sécurité de l’entreprise : Quels journaux d’évènements (log) manquant m’auraient permis d’anticiper cette attaque ? Quelles règles de corrélation de logs auraient pu améliorer la détection de l’attaque ? Est-ce que nous collectons suffisamment de log ? Est-ce les plus importants ? Quel mécanisme de sécurité supplémentaire aurait permis de détecter cette attaque ? Est-ce qu’il ne serait pas judicieux de changer nos badges d’accès pour une technologie plus sécurisée ? Etc. Vivre une expérience de cyberattaque protéiforme, tenter de la contrer et d’y remédier, est le meilleur entraînement que les équipes de défense de l’entreprise puissent bénéficier. Et la PurpleTeam dans tout ça ? Oubliez vos idées farfelues comme des attaques par jet d’aubergines ou autres. La PurpleTeam est en fait un mix de la RedTeam et de la BlueTeam. Il s’agit d’une collaboration étroite entre attaquants et défenseurs où la RedTeam pose des « défis » d’attaques que la BlueTeam se doit de résoudre. A la fin de chaque défis les deux équipes échangent sur l’attaque et les différentes manières de la bloquer. La PurpleTeam permet d’améliorer le niveau de sécurité de l’entreprise, mais aussi et surtout de perfectionner les aptitudes « Cyberattaque » de la BlueTeam et de l’autre côté d’améliorer la connaissance de la RedTeam vis-à-vis des mécanismes de défense de l’entreprise. Yoann

Le commerce a beaucoup évolué ces dernières années grâce à la digitalisation, quelle pourrait être sa future évolution ? En effet, nous avons connu le e-commerce, qui est le fait d’acheter des produits ou services en ligne. Depuis, est apparu le m-commerce, qui regroupe l’ensemble des transactions commerciales réalisées sur terminaux mobiles (smartphones ou tablettes), notamment par le biais d’applications mobiles. Et, dans un futur plus ou moins proche, nous connaitrons surement le v-commerce. Mais, de quoi s’agit-il ?? Le v-commerce (Virtual Commerce) désigne les achats réalisés au travers des technologies de la réalité virtuelle ou de la réalité augmentée. Il peut s’agir de ventes faites dans les boutiques physiques, ou directement de ventes réalisées chez soi, avec des outils virtuels (casques par exemple). Quelle est la différence entre la réalité virtuelle et la réalité augmentée ? La réalité virtuelle est une technologie permettant à l’utilisateur de se plonger dans un monde totalement fictif (se rapprochant le plus de la réalité), dans lequel il peut se déplacer au travers d’un casque de réalité virtuelle. La réalité augmentée, elle, utilise le monde réel pour y afficher des éléments virtuels. La réalité perçue est alors « augmentée » d’informations digitales. Cette technologie est utilisée au travers d’appareils tels que des casques, smartphones, tablettes ou ordinateurs. Comment peut-on appliquer ces technologies au commerce ? Aujourd’hui, le e-commerce et le m-commerce ont pris une très grande ampleur avec près de 85% d’internautes ayant effectué des achats en ligne en 2017, et ce chiffre ne cesse d’augmenter. Mais, les consommateurs ressentent encore le besoin de se rendre dans des magasins pour certains produits afin de les voir, les toucher, les sentir ou les goûter. Le v-commerce pourrait permettre de remédier aux lacunes du commerce en ligne. En effet, il permettrait de visualiser les produits en grandeur nature, de les toucher et de détecter leur matière grâce à des capteurs, et même de les sentir par le biais de capsules odorantes. La combinaison de ces 3 technologies n’est pas encore opérationnelle, mais à terme, l’expérience du commerce virtuel permettra de faire ses choix d’achat beaucoup plus facilement. Le v-Commerce transforme déjà le shopping Certaines entreprises ont compris que le v-commerce a un potentiel business fort. Voici un exemple d’entreprises utilisant déjà le « Virtual commerce » Ikea : Grâce à l’application mobile de réalité augmentée « Ikea Place » disponible depuis mai 2018, l’utilisateur scanne la pièce dans laquelle il se trouve et choisis un meuble pour l’ajouter à son environnement. Ainsi, il peut vérifier si le meuble s’accorde bien à son appartement, en termes de couleur et de taille. S’il est satisfait du rendu, il peut directement l’acheter depuis l’application. Ray-Ban propose de tester virtuellement, grâce à de la réalité augmentée, ses modèles de lunettes. Une caméra est utilisée pour détecter un visage et l’application propose différents modèles qu’elle juge adaptés à ce visage pour les essayer. Décathlon, depuis mai 2017, a mis en place un dispositif de réalité virtuelle dans une quinzaine de magasins en France afin de promouvoir les tentes Quechua. L’outil permet aux clients de découvrir les différentes tentes dans trois mondes totalement virtuels, très proches de la réalité (montagne, forêt et désert) grâce à des casques. Les utilisateurs découvrent les caractéristiques des tentes à taille réelle. Et la sécurité dans tout ça ? Des chercheurs américains ont démontré qu’il est possible de prendre le contrôle d’un casque de réalité virtuelle à l’aide d’un malware et de modifier les contenus que voit l’utilisateur. Cela peut le mettre en danger dans la vie réelle, en le faisant se cogner dans un mur, par exemple. Les failles de sécurité concernant cette technologie ne sont pas encore exploitées à grande échelle. En effet, comme dans le cycle de vie sécurité de toute nouvelle technologie, les attaques cyber massives n’apparaissent que quelques années après la démocratisation du produit. Concernant le paiement en ligne, la problématique est identique à celle rencontrée actuellement. Alors ça vous tente le v-Commerce ? Manon

Selon le Baromètre mondial des risques d’Allianz de 2018, le risque cyber est devenu le deuxième risque le plus redouté, après le risque d’interruption d’activité et juste devant le risque lié aux catastrophes naturelles. Et pour cause, le risque cyber n’est plus pris à la légère aujourd’hui, de plus en plus d’entreprises prennent conscience de l’enjeu que représente la cybersécurité. Il faut dire qu’avec l’avènement du numérique et l’explosion des solutions Cloud, il est nécessaire de sécuriser le tout. Dans cet article, nous allons nous intéresser à la protection des serveurs, et plus particulièrement les WAF, ou Web Application Firewall. De plus en plus populaire, le WAF est devenu un élément important de la sécurité des serveurs. Focus sur cette solution. Définition : Un Web Application Firewall (WAF) est, comme son nom l’indique, un type de pare-feu dont le but est de protéger la couche applicative du réseau, en particulier les applications, sans pour autant les modifier. Dans le schéma d’architecture globale d’un système, le WAF sera placé à avant de l’application à protéger, de sorte que toute requête adressée à notre application sera analysée par le WAF. Ainsi, les paquets seront analysés un à un. Si la demande est conforme avec l’ensemble de règles prédéfinies, alors ces paquets seront autorisés à atteindre l’application. Dans le cas contraire, ceux-ci seront rejetés. Le mode de fonctionnement est explicité dans le schéma ci-dessous : Ce mode de fonctionnement va permettre au WAF de protéger la couche applicative du réseau contre un bon nombre d’attaques les plus courantes. Chaque attaque a une signature qui lui est spécifique, c’est ce qui va permettre au WAF de les bloquer, puisque l’analyse du trafic permettra de détecter toute activité anormale. Parmi les attaques bloquées par les WAF, on peut citer : Les vols de session: Lorsqu’une session web est initiée sur un site, un cookie sera créé de sorte qu’on n’ait pas besoin de nous authentifier toutes les 10 minutes. Un cookie mal-sécurisé peut être répliqué et hop ! on nous usurpe notre session, plutôt embêtant quand on est sur le site de sa banque, par exemple. Le WAF permet de se prémunir contre ces attaques en proposant une sécurisation de notre connexion à l’aide d’un chiffrement SSL. Les Injections SQL : les injections sont souvent véhiculées par des requêtes http ou embarquées dans une URL. Dans un très grand nombre d’attaques de ce type, on remarque que des caractères comme les « = » ou « ‘’ » reviennent souvent. Grâce au WAF, on peut implémenter une règle de blocage de caractère dans les formulaires de saisie. Les attaques DDoS : les attaques DDoS (Distributed Denial of Service) sont des attaques visant à rendre une application ou un serveur indisponible, en saturant sa bande passante. Ainsi, lorsque cette attaque est en cours sur un serveur, le nombre de requêtes par seconde va drastiquement augmenter, et le temps de réponse du serveur avec. Le WAF détecte, dans ce cas, un comportement anormal et va réagir en conséquence. Par exemple, il peut limiter le nombre de requêtes par seconde vers le serveur et rejeter le surplus, ou tout simplement blacklister les adresses IP suspectes et les requêtes qui y proviennent. Ceci n’est qu’un exemple d’attaques contre lesquelles protège le WAF. On peut aussi citer le Cross-Site Scripting (XSS) ou le forced browsing. Quand dois-je mettre un WAF ? Au vu de ses capabilités, le WAF est certainement un « nice-to-have », offrant un niveau supplémentaire de sécurité, en plus des protections déjà mises en place. Mais avant de l’implémenter, il faut se poser la question de sa nécessité. Le besoin va dépendre d’un nombre de critères : L’importance de l’application à protéger : si l’on prend le site vitrine d’une grande marque de parfums, à audience mondiale, cet asset sera certainement d’une importance stratégique pour l’entreprise et là, le WAF sera plus que conseillé. Mais si on est en présence d’un petit site personnel, le besoin est beaucoup moins évident. Les données hébergées sur le serveur : Les données bancaires des clients doivent faire l’objet d’un haut niveau de sécurité, et le firewall applicatif ne sera pas de trop. Avec sa capacité à stocker les logs sur le serveur, une fuite de données peut être détectée rapidement. Le cadre réglementaire et légal : En sachant, par exemple, que le RGPD impose la notification de la CNIL à chaque fuite de données, au plus tard 72h après la constatation des faits, la capacité du WAF à détecter les data breach serait plus que bienvenue. Le coût et la maintenance : Comme vous pouvez vous en douter, un WAF a un coût. Il s’agit, là encore, de voir si l’investissement en vaut la peine. Il faut savoir aussi qu’un WAF a besoin d’être entrainé à détecter les comportements inhabituels, cela nécessite de mobiliser des compétences spécifiques pour des opérations de maintenance et mises à jour régulières. D’autres critères peuvent rentrer en jeu et il faut garder en tête que le fonctionnement d’un pare-feu applicatif n’est pas sans faille (détection de faux-positifs par exemple provoquant le blocage à tort d’un ensemble de requêtes) et ne peut rien contre les attaques exploitant des failles spécifiques. Même s’il limite grandement le risque lié à certaines attaques, la sécurité commence avant tout par la sensibilisation des parties prenantes quant à l’exploitation sécurisée d’un service web, car on ne le dira jamais assez, la sécurité est l’affaire de tous ! Mehdi

Oui ! C’est bientôt la fin de l’ère des passwords. La tendance actuelle est de se lancer sur des nouvelles méthodologies d’authentification qui remplaceront les mots de passe. En effet, La majorité des utilisateurs Internet ne prennent pas le temps nécessaire pour la création d’un mot de passe qui respecte les normes de sécurité basiques. De plus, 2018 était l’année des fuites de données par excellence. On estime que plus de 6 milliards d’identifiants (email, username, password) ont été volés. Prenons l’exemple du « data breach » de Facebook en Septembre 2018, où 50 millions de comptes ont été piratés. Ou plus récemment, lorsque Quora, la plateforme d’échange de questions/réponses, a annoncé que plus de 100 millions de comptes utilisateurs ont été corrompus. Par ailleurs, les « dumps », qui sont des bases de données piratées, peuvent être facilement accessibles sur le darknet, et puisque la plupart des utilisateurs disposent d’un seul mot de passe générique pour tous les sites web et applications mobiles, un hacker peut automatiser le processus de « Credential Stuffing » permettant de tester le password obtenu depuis un dump sur d’autres sites, chose qui aggrave sérieusement l’authentification par un mot de passe simple. Pour répondre à toutes ces limitations, plusieurs recherches visaient à ajouter une couche supplémentaire de sécurité en instaurant l’authentification à deux facteurs (2FA). C’est-à-dire que l’utilisateur est d’abord amené à taper son mot de passe sur le site qui génère ensuite un token valide pour quelques minutes pour s’authentifier. Ensuite l’utilisateur doit saisir le token reçu par SMS. Toutefois, cette méthode peut être exploitée par une personne malveillante : On a récemment découvert des failles dans le protocole SS7 des réseaux mobiles qui permettent de détourner l’acheminement des SMS. Ceci nous amène au cœur de notre article : Nous allons citer quelques protocoles qui, petit à petit, gagnent du territoire dans le monde de la sécurité : WebAuthn C’est une API qui permet au site web d’échanger avec un périphérique de sécurité (Smartphone, clé USB, carte RFID, etc.). Pour utiliser WebAuthn, un utilisateur doit d’abord générer une paire de clés (privée et publique) qui éviteront toute attaque de type « phishing » ou « Man In The Middle ». Son principe de fonctionnement est détaillé dans la figure suivante : Schéma : principe de fonctionnement de WebAuthn Le protocole WebAuthn a été approuvé par W3C et il est désormais considéré comme le standard officiel de l’authentification sans mot de passe. A ce stade, certains navigateurs web ont déjà implémenté le protocole dans leurs récentes versions, c’est maintenant le tour aux utilisateurs d’adopter cette méthode ! OTP Le mot de passe à usage unique ou le one time password en anglais est un protocole mis en place dans le but d’éliminer les failles que présentent un mot de passe classique. En résumé, OTP est une chaîne de caractères alphanumériquse générée automatiquement afin d’authentifier un utilisateur pour une seule session. On distingue trois type d’OTP : Time-based OTP : Génère un nouveau OTP à partir de l’ancien en prenant en compte le « timestep ». Algorithm-based OTP : Calcule l’OTP en se basant sur des algorithmes mathématiques bien définis. HMAC-based OTP : Utilise l’algorithme HMAC pour le calcul des mots de passe. Principe de fonctionnement de OTP Notons que d’après le schéma ci-dessus le point fort d’OTP est son intégration avec les serveurs d’annuaire (Active Directory, SAMBA, OpenLDAP…) Pour bénéficier des avantages de l’authentification à mot de passe unique, l’utilisateur a le choix d’employer des solutions web, des applications mobiles ou d’acheter un périphérique de gestion de token OTP dédié. Auth0 C’est la solution Open Source la plus utilisée aujourd’hui. Auth0 fournit un service AAaaS (Authentication and Authorization as a Service). L’avantage de cette méthode est qu’elle est parfaitement compatible avec les processus de Single Sign On, OAuth 2.0, SAML, 2FA SMS … Partant du principe « Security By Design » Auth0 offre une API facilement intégrable par le développeur : On présente ci-dessous un schéma explicatif : Authentification d’un utilisateur par Auth0 Lorsqu’un utilisateur veut s’authentifier auprès d’une application, Auth0 prend la main en lui demandant de fournir un token reçu soit par email, soit par application mobile. Le token peut être valide sur une durée, ou peut expirer à la fin de chaque session de connexion. Pour finir, je vous propose un site qui vous permet de vérifier si votre adresse email figure sur les bases de données volées. Vous pouvez même créer une alerte pour être notifié dès lors que vos identifiants seront corrompus. Liens vers le site : https://haveibeenpwned.com/ Sources : https://auth0.com/blog/how-passwordless-authentication-works/ https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API https://sebsauvage.net/wiki/doku.php?id=totp Ayoub

Aujourd’hui, nous vivons dans l’ère de l’internet des objets : on ne parle plus des objets en tant que produits, mais plutôt en tant que services : on parle de montres intelligentes, qui surveillent notre rythme cardiaque et respiratoire, de frigos intelligents qui font les courses à notre place, etc. Avec la croissance des objets connectés, nous avons une explosion des données : imaginez la quantité de données produite par 23,14 milliards d’objets connectés (en 2018) ! ENORME ! Comment l’IoT permet-il de gérer cette masse de données ? Traditionnellement, un objet collecte des données à partir de son environnement et les envoie vers le cloud, qui sert d’espace de stockage et de traitement intelligent des données. La solution du Cloud computing permet un accès facile aux ressources virtualisées et est capable de gérer un flux important d’informations. Cette architecture a tout de même ses limites. On pense notamment au temps de réponse de la solution. Imaginez une voiture autonome, « self drive car » qui circule en ville. Les capteurs détectent des piétons en train de traverser la route. Les données de détection doivent voyager vers le cloud afin d’être traitées, ensuite la voiture reçoit une réponse sur la manière de réagir : Cette attente peut être trop longue et les piétons peuvent être en danger. Comment assurer un temps de réponse acceptable ? Les technologies Fog/Edge computing proposent de rapprocher la partie « traitement intelligent » de l’environnement physique de la source des données (l’objet connecté) et évitent ainsi le temps de voyage des informations. Figure 1 : Fog Computing : L’intelligence placée au niveau du LAN ( au niveau d’un routeur par exemple) Figure 2 : Edge Computing : L’intelligence est placée au niveau des équipements. Petit comparatif : Edge computingFog ComputingCloud Computing Temps de réponseMillisecondesSecondes à minutesMinutes, jours, semainesCouverture géographiqueLocalLANGlobaleExemples d’utilisationTransport intelligent, gestion du TrafficVilles intelligentes, bâtiments intelligents Et la sécurité dans tout ça ? Le cloud est une technologie globalement maitrisée d’un point de vue sécurité. Entendons-nous bien, tous les clouds n’ont pas mis en place les mesures de sécurité adaptées (loin de là), mais ses mesures existent et garantissent une maitrise des risques cyber. L’architecture des IOT avec le cloud computing a plusieurs surfaces d’attaque : Les objets connectés. Les connexions réseaux au niveau du LAN et du réseau public Les passerelles réseaux. Une bonne sécurité du cloud permet de limiter les conséquences d’une intrusion. Les données en transition vers le cloud peuvent être compromises ; l’intelligence de traitement reste intègre. La technologie du fog/Edge computing diminue les surfaces d’attaque en se limitant au réseau local de l’équipement : Elle permet en effet de réduire l’exposition des données sensibles au public. Cependant, si l’un des nœuds contenant le traitement intelligent (équipement ou routeur) est mal sécurisé, sa compromission entraine automatiquement la compromission de l’ensemble du réseau local, puisqu’il contient toute la partie stockage et traitement intelligent. Pour s’en préserver : Le Fog computing assure le chiffrement de toutes les données qui circulent sur le réseau. Le Fog computing garantit que tous les logiciels des objets connectés soient mis à jour. En effet, la restriction à un réseau local permet de faciliter le téléchargement des mises à jour et de veiller à ce que tous les objets soient up-to-date. Rania Sources : https://wire19.com/comparing-fog-computing-with-edge-computing/ https://www.cisco.com/c/dam/en_us/solutions/trends/iot/docs/computing-overview.pdf

Dans la continuité des efforts fournis pour une meilleure protection de la vie privée des utilisateurs et de leurs données personnelles, l’Union Européenne compte remettre une couche avec la Réglementation ePrivacy, quelques temps seulement après l’entrée en vigueur du RGPD, le 25 Mai 2018. Se voulant être un complément du RGPD, ePrivacy se concentre sur les données personnelles embarquées dans les communications électroniques. Son entrée en vigueur, prévue pour cette année, fait d’ores et déjà couler beaucoup d’encre. ePrivacy en bref ePrivacy, également appelé « Règlement vie privée et communications électroniques » est un règlement européen qui vise à renforcer la protection des données personnelles des consommateurs de services en ligne et de simplifier les règles relatives à la gestion des cookies, de manière à rendre transparent le marketing des entreprises. Ce règlement remplacera la directive, portant le même nom, en place depuis 2002. ePrivacy a pour objectif d’harmoniser les législations nationales de sorte qu’elles soient conformes au RGPD. Le règlement permettra de garantir la confidentialité de toutes les communications électroniques, notamment les nouvelles méthodes de communications, telles que Skype, WhatsApp, Messenger, etc. Il permettra aussi de réguler et simplifier l’utilisation des cookies. En outre, ePrivacy portera également sur la protection des métadonnées inhérentes aux communications. En effet, elles renferment des données pouvant révéler la géolocalisation, date et heure d’un appel ou le type de téléphone utilisé. Que prévoit le règlement ? Au-delà des sanctions déjà prévues par le RGPD, pouvant être de 4% du chiffre d’affaires mondial de l’entreprise ou de 20 millions d’euros, d’autres mesures sont provisionnées dans ePrivacy : Le consentement préalable pour l’activation des cookies : Les cookies utilisés pour tracer les activités des consommateurs seront désormais sujets à un consentement préalable. Ce consentement sera configuré une seule fois et sera valable sur tous les sites. L’utilisateur devra explicitement accepter d’activer les cookies sur son navigateur, et son choix s’appliquera par défaut à tous les sites qu’il visite, contrairement à ce que préconise la loi en vigueur qui impose de cliquer sur une bannière de consentement, site par site, tout en sachant que la notion de consentement actuellement employée est opaque dans la mesure où un utilisateur qui ne clique pas sur la bannière est considéré comme ayant accepté les cookies. La suppression des « Tracking-Walls » : Cette méthode largement utilisée aujourd’hui par les sites consiste à conditionner l’accès audit site selon l’acceptation ou non des cookies. Le règlement (article 18) considère cette pratique comme étant contraire au principe de liberté du consentement et entend l’interdire. Une protection contre les spams : Sans consentement, les messages publicitaires non-sollicités seront proscrits. Cela concerne les SMS, les e-mails et les appels automatiques. De plus, les appels commerciaux ne pourront plus se faire en numéro masqué et devront être explicitement annoncés (par un indicatif réservé par exemple). La Protection des métadonnées : Le règlement prévoit aussi la protection des métadonnées. Comme indiqué précédemment, les métadonnées renferment des données sur le type de téléphone, la localisation et les durées d’appels. Celles-ci devront être anonymisées ou supprimées sans consentement de l’utilisateur. Seules les métadonnées utilisées à des fins de facturation pourront être utilisées sans accord préalable de l’utilisateur. La polémique ePrivacy L’application prochaine d’ePrivacy n’est pas du goût de tout le monde, en particulier les sites se reposant en partie sur les cookies. Aujourd’hui, 93% des entreprises ont recours aux cookies pour cibler et atteindre les consommateurs. En offrant la possibilité d’un consentement plus explicite aux utilisateurs, les cookies peuvent être bloqués par défaut sur tous les sites, engendrant ainsi une perte de trafic sur lesdits sites, et inexorablement un déficit de données pour ces entreprises. Celles-ci dénoncent les mesures « anti-cookies » d’ePrivacy puisque l’expérience utilisateur n’en sera que moins personnalisée. De même, ils estiment que ce règlement fait la part belle aux GAFA dont le principe de ciblage repose non sur des cookies mais sur l’identifiant unique, et qu’il en résultera l’accroissement de l’emprise des géants du web sur Internet. Ces tractations ont retardé l’adoption d’ePrivacy, qui devait entrer en vigueur en même temps que le RGPD. Cette réglementation est toujours en cours de discussion et devrait être adoptée dans le courant de l’année. Les entreprises auront alors un an pour se mettre en conformité avec ePrivacy, sous peine de subir les mêmes sanctions que le RGPD. Mehdi

Depuis des années on entend parler de SSL, TLS, HSTS, certificat, BEAST, etc. sans prendre le temps de les comprendre. Cet article présentera de manière « simplifiée » le protocole HTTPS et ses composantes. Qu’est-ce que le HTTPS ? Le HTTPS est la version sécurisée du protocole HTTP. Il permet de se connecter à des sites Internet sans que le contenu des données échangées, ni même les URL complètes des sites visités, ne soit récupérables par un pirate informatique (ou une entreprise …). Les différentes versions de SSL/TLS Le protocole SSL (Secure Socket Layer) est apparu dans les années 90 avec deux versions disponibles : le SSLv2 et le SSLv3, puis il a été remplacé dans les années 2000 par le protocole TLS (Transport Layer Security). Trois versions du protocole TLS existent actuellement : TLS v1.0, TLS v1.1 et TLSv1.2 ; nous reviendrons sur le TLSv1.3 plus loin dans cet article. Les protocoles SSL et le TLSv1.0 sont aujourd’hui considérés comme non conformes suite à de nombreuses attaques : DROWN (SSLv2), POODLE (SSLv3) et BEAST(TLSv1.0). Il est recommandé de n’utiliser que les versions les plus récentes du protocole TLS : TLSv1.1, TLSv1.2 ou TLSv1.3. De quoi est « composé » le protocole HTTPS Les certificats Le certificat permet de valider l’identité du visiteur. Il permet de s’assurer que l’on communique avec le bon serveur. Depuis 2015 la solution Let’s Encrypt permet simplement et gratuitement d’obtenir des certificats. Les suites cryptographiques Une suite cryptographique est un groupement d’algorithmes dont chacun va assurer la sécurité d’une partie de la communication entre un client et le serveur. La sécurité de ces suites cryptographiques dépend fortement de l’algorithme de chiffrement utilisé. La clé de chiffrement Dans un échange HTTPS et pour chiffrer les communications, le serveur va envoyer son certificat au navigateur de l’utilisateur au moyen d’une clé publique. Cette clé publique se définit par sa taille en bits. Plus la taille de la clé sera petite, plus elle sera facile à déchiffrer (et non pas DECRYPTER, je vous renvoie sur ce très bon site au passage : https://chiffrer.info/). Il est aujourd’hui recommandé d’utiliser des clés d’une taille minimale de 2048 bits. La renégociation Dans un échange HTTPS le client et le serveur vont négocier la « meilleure » version du protocole disponible. « Je vois que tu acceptes le protocole TLSv1.2, moi aussi. Echangeons ensemble via ce protocole ». Le souci avec la renégociation TLS est qu’en rendant possible cette négociation, un client pourrait demander au serveur d’utiliser le protocole TLSv1.0 sujet à la vulnérabilité BEAST. HSTS (HTTP Strict Transport Security) Le HSTS est une fonctionnalité implémentée sur un serveur Web à destination du navigateur des utilisateurs. Cette fonctionnalité va forcer les connexions HTTPS avec chiffrement. Par exemple si mon site example.com peut être consulté via l’url http://example.com ET https://example.com. Le protocole HSTS va forcer le navigateur à se connecter au site https://example.com. Nouveautés avec le TLSv1.3 10 ans après le TLSv1.2, le TLSv1.3 montre le bout de son nez. Il est disponible en version finale depuis août 2018. Globalement, le protocole est plus rapide et plus fiable en termes de sécurité. Plus rapide dans le sens où il y aura moins d’interactions client/serveur comme le montre ce petit schéma explicatif : Source : https://kinsta.com/blog/tls-1-3/ En termes de sécurité, le TLSv1.3 n’autorise pas les suites de chiffrements obsolètes, telles que DES, 3DES, RC4, SHA1, etc. Conclusion Voilà, vous savez maintenant tout sur le protocole HTTPS. Il est performant, sécurisé, met en confiance les utilisateurs et il permet d’être conforme à tout un tas de réglementations. Faites-nous des retours si vous avez commencé l’implémentation du TLSv1.3 !

Avec l’utilisation du cloud, de nombreuses entreprises peuvent se développer sans avoir à investir dans de nouvelles infrastructures, des licences de logiciels ou dans la construction de grands Datacenter. Mais il y a un revers à la médaille, tous ces progrès se font au détriment de la sécurité des données. Les entreprises perdent en effet la gouvernance sur leurs propres données et traitements. Nous ne pouvons que supposer que les fournisseurs de cloud utilisent des mécanismes de sécurité de base pour protéger les données dans le stockage, le traitement et la communication, puisque le cloud propose des ressources que beaucoup d’entreprises ne pourraient se permettre. Lorsqu’on envisage de passer au cloud computing, les clients doivent avoir une compréhension claire des avantages potentiels et des risques liés au cloud computing. Il faut alors qu’ils établissent des attentes réalistes avec leur fournisseur de cloud. Le cloud présente des défis de sécurité bien différents de ceux que nous avons connus jusqu’à présent. Il ne s’agit plus simplement de sécuriser le périmètre, de créer une zone démilitarisée (DMZ) ou d’utiliser les dernières solutions antivirus. Dans un rapport élaboré par l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), les menaces susceptibles d’atteindre la sécurité du Cloud Computing peuvent être catégorisées comme suit: Quels sont donc les défis du Cloud Computing ? – Les violations des données Les violations des données, c’est quand des informations sensibles, protégées ou confidentielles sont diffusées, vues, volées ou utilisées par une personne qui n’est pas autorisée à le faire, via une attaque ciblée, une erreur humaine, une vulnérabilité dans l’application ou tout simplement de mauvaises pratiques de sécurité. Bien évidemment, cela implique une violation des paramètres de sécurité, d’intégrité et de confidentialité. Dans ce contexte les entreprises peuvent se voir infliger d’importantes amendes selon les pays où les données ont été hébergées. Elles peuvent également être soumises à des poursuites civiles et, dans certains cas, à des accusations criminelles. La meilleure protection contre la violation des données est d’adopter un programme de sécurité efficace. Il faut noter qu’il existe deux mesures de sécurité importantes qui peuvent aider les entreprises à rester sécurisées sur le cloud, le cryptage multifactoriel et l’authentification, ce qui nous ramène au second défi du Cloud Computing. – Fragilité dans la gestion des accès et des identités Les organisations qui prévoient de fédérer leur identité avec un fournisseur de cloud doivent comprendre le niveau de sécurité à atteindre autour de la solution apportée sinon, et en cas de manque de systèmes évolutifs de gestion de l’accès à l’identité, elles risquent de : • Lire, exfiltrer, modifier et supprimer des données; • « Snooper » sur les données en transit ; • Accéder sans autorisation aux données sensibles de l’entreprise. Ainsi, des dommages catastrophiques peuvent atteindre les organisations ou les utilisateurs finaux en matière de confidentialité et d’intégrité, ce qui peut impacter l’image de marque des entreprises ainsi que leurs finances. Parmi les contremesures de ce problème de sécurité, il faut mettre en place une infrastructure à clé publique bien sécurisée et des systèmes d’Authentification multifactorielle (carte à puce),OTP et authentification par téléphone. Les Systèmes d’identité doivent être adaptés pour gérer le cycle de vie pour des millions d’utilisateurs. A noter que tous les mécanismes cryptographiques utilisés doivent être changés périodiquement pour renforcer la sécurité. – Exploit de vulnérabilités des systèmes et des applications Les vulnérabilités du système sont des bugs exploitables dans les programmes que les attaquants peuvent utiliser pour infiltrer un système informatique pour voler des données, prendre le contrôle du système ou interrompre les opérations du service. De telles attaques peuvent être atténuées par des processus informatiques de base: L’analyse régulière de la vulnérabilité, le suivi des menaces système signalées et l’installation de correctifs ou de mises à jour régulières de sécurité en fournissant les meilleurs exemples. – Déni de services (DoS) DoS est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources. L’idée, pour le pirate, est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services. Ce qui résulte des coupures de services, ainsi que l’attaquant qui consomme des cycles de calcul. Et pourtant, ce sont les utilisateurs paient la facture ! Il faut mettre en place des plans de continuité et reprises de services afin d’être mieux équipé pour pouvoir atténuer les attaques DoS. Le phénomène du Cloud Computing est inéluctable. Beaucoup de responsables informatiques se méfient de la gestion de la sécurité nécessaire pour le Cloud Computing. Toutefois, ces risques sont éttouffés par les avantages apportés par cette infrastructure. Les économies de coûts est l’argument favorisée par les PDG et directeurs financiers. Le responsable sécurité n’a plus qu’à résoudre les différents risques de sécurité du Cloud Computing ! Le Cloud n’est pas une technologie nouvelle, mais une nouvelle façon de faire les choses en matière de technologie de l’information. Résister au changement est toujours difficile. Des spécialistes de la sécurité de l’information doivent accompagner le développement du Cloud en matière de sécurité, afin de permettre à ses usagers de bénéficier des avantages qu’offre ce dernier, et pour éviter que les gains potentiels de la migration vers un service cloud ne soient ternis par une menace de sécurité. Loubna

Après tout ce que vous avez entendu sur Google, son espionnage quant à votre vie privée et la vente de vos données personnelles auprès des agences publicitaires ou du Gouvernement, il est nécessaire de rester vigilant voire méfiant. Petit exemple concret : Avez-vous connaissance de la page suivante : https://myactivity.google.com A partir du moment où vous utilisez une solution Google, tout peut être retracé sur cette page, soit : • L’historique de vos positions (GoogleMaps) ; • L’historique de l’ouverture de vos applications Android (si votre compte Google est lié) ; • L’historique de votre navigation internet ; • L’historique des vidéos YouTube regardées ; • L’historique de vos “voix” pour soi-disant améliorer la reconnaissance vocale du célèbre « Ok Google » … • L’historique de vos recherches Google. Autre exemple concret pour les utilisateurs de Gmail. Lorsque vous achetez des billets d’avion en ayant renseigné votre adresse gmail, vos dates de vol seront automatiquement affichées dans le Google Calendar. Magie ! N’oublions pas non plus le produit phare de Google, le Google Home (Le top du top en matière d’espionnage). Ce petit appareil écoute tout ce qu’il se passe dans votre maison et l’envoie sur les serveurs Google pour traitements. Magie ! Bref vous l’aurez compris, votre vie peut être entièrement retracée. Le respect, c’est maintenant ! Je vais maintenant vous présenter quelques alternatives aux solutions Google (et autres) ayant comme priorité le respect de la vie privée de l’utilisateur et non pas un modèle économique basé sur la publicité ciblée. Moteur de recherche 1 : DuckDuckGo DuckDuckGo est un moteur de recherche qui permet de bloquer les trackers, de garder votre historique de recherches privé et de garder le contrôle de vos données personnelles. Il faut savoir que DuckDuckGo ne peut pas affiner les recherches de ses utilisateurs en fonction de leurs requêtes précédentes, ni en fonction des centres d’intérêt connus, comme le fait Google. Les résultats peuvent donc s’avérer moins précis. C’est comme de passer de Paint à Photoshop, il faut un petit temps d’adaptation. 😊 Site officiel : https://duckduckgo.com/ Moteur de recherche 2 : Qwant Qwant est un moteur de recherche français ! Tout comme son homologue DuckDuckGO, Qwant mise tout sur le respect de la vie privée des utilisateurs. Qwant essaye depuis quelques années de se diversifier en lançant de nouveaux services (Qwant Junior pour les enfants, Qwant mail, Qwant maps et j’en passe !). Site officiel : https://www.qwant.com/ Navigateur internet : Brave Brave est un navigateur web basé sur Chromium (à ne pas confondre avec Chrome) qui respecte la vie privée des utilisateurs en intégrant des fonctions telles que le blocage des pubs, le blocage des trackers et le plugin « HTTPS Everywhere ». Le moteur de recherche installé par défaut est Qwant. Un des nombreux avantages de Brave est sa fluidité, en bloquant les scripts et les trackers permettant ainsi un chargement de page plus rapide. Site officiel : https://brave.com/ Email : ProtonMail Protonmail est un service de messagerie gratuit qui chiffre les données de bout en bout. C’est-à-dire que tous les mails sont chiffrés depuis le poste de l’émetteur jusqu’au destinataire. L’accès se fait évidemment via une authentification login/pass. Il est possible d’ajouter une authentification forte (2FA) et de chiffrer sa boite email avec un second mot de passe. Bref, niveau sécurité on ne rigole pas et c’est pour ça qu’on l’aime ! Site officiel : https://protonmail.com/ VPN : ProtonVPN Tout comme Protonmail, ProtonVPN met l’accent sur la sécurité et le respect de la vie privée des utilisateurs. ProtonVPN, est une création suisse, un pays en dehors de la juridiction de l’Union Européenne et dont les lois sur la confidentialité sont plus strictes qu’aux États-Unis. Le service n’enregistre aucune activité internet de l’utilisateur lors de sa navigation. Ainsi, aucune donnée ne peut être partagée avec des tiers. Site officiel : https://protonvpn.com/ Pour toutes les autres applications que vous utilisez au quotidien, je vous propose de vous rendre sur le site https://framasoft.org qui référencie de nombreuses alternatives gratuites. Le slogan du site parle de lui-même : « Dégooglisons Internet ! ». Yoann