À en croire l’éditeur de logiciels de sécurité Eset, la France est devenue le terrain de jeu des pirates informatiques spécialisés dans la diffusion de « FakeAlert ». Ainsi, sur la période du 5 septembre au 5 octobre 2016, ces malwares auraient représenté pas moins de 25 % de l’ensemble des logiciels malveillants détectés par l’éditeur. L’Hexagone serait ainsi le pays le plus affecté par ce type de malware.

Des « FakeAlert » ?

Derrière cette appellation se cache une famille de logiciels malveillants ou de pages web diffusant des messages destinés à inquiéter l’utilisateur et à l’inciter à contacter un support technique qui viendra l’aider ou à télécharger un logiciel censé rétablir la situation. Le plus souvent, ces messages signalent un dysfonctionnement technique (lenteur de la machine, encombrement du disque dur, instabilité du système d’exploitation pouvant conduire à la perte de données…) ou la présence de malwares mettant en danger la machine et les fichiers qu’elle contient. Généralement, ces messages prennent la forme d’une petite fenêtre qui s’invite à l’écran. Pour qu’ils soient pris en considération, les pirates qui les conçoivent n’hésitent pas à utiliser les logos de grands éditeurs de systèmes d’exploitation (Microsoft, Linux…) ou de solutions anti-virus.

Bien entendu, il s’agit d’une tentative d’escroquerie. La machine prétendument infectée ou défectueuse fonctionne très bien. Quant aux numéros de téléphone proposés sur le message d’alerte, ils sont surtaxés et ne débouchent pas sur un véritable service support. Enfin, les logiciels téléchargeables (et vendus, le plus souvent) censés réparer l’ordinateur, au mieux ne réparent rien et au pire sont porteurs d’un véritable virus. Bref, ne pas donner suite à ce type de message d’alerte est un principe absolu. En outre, pour éviter de voir sa machine contaminée par les « FakeAlerts », il convient, rappelons-le, de mettre à jour son système d’exploitation et d’utiliser une solution anti-malware, elle-même régulièrement mise à jour.

Les utilisateurs de Google Agenda, l’application de planification de taches et de rendez-vous de l’éditeur américain, pouvaient déjà, en cliquant sur la fonction « plan » présente sur la fiche descriptive d’un évènement, faire apparaître sur une carte de Google Maps, l’adresse du lieu où l’évènement en question devait se dérouler. En revanche, jusqu’à présent, il n’était pas possible d’accéder à cette information directement via Google Maps autrement qu’en effectuant un copier-coller de l’adresse du lieu de rendez-vous dans le moteur de recherche de l’application cartographique. Un manque que les ingénieurs de Google viennent de combler.

Un a sur la base de l’agenda

Désormais, Google Maps pour Android est connecté à Google Agenda. Concrètement, dès qu’un évènement est créé (et que lui est associée une adresse), ce dernier devient visible dans Google Maps dans la rubrique « Vos adresses/prochainement ». Il ne reste qu’à cliquer dessus pour que le lieu de déroulement de l’évènement apparaisse ou que soit calculé un itinéraire pour s’y rendre. En outre, il faut également noter que le système de commande vocale est dorénavant opérationnel sur Google Maps pour Android. Les automobilistes peuvent ainsi utiliser l’application cartographique en situation de conduite en toute sécurité.

À en croire le ministère de l’Intérieur, les escroqueries de type « fraude au président » ou « fraude au changement de RIB » auraient fait perdre aux entreprises françaises pas moins de 485 millions d’euros entre 2010 et 2015. Pour monter ces fraudes aux ordres de virement (fovi), les escrocs recueillent des informations sur les entreprises ciblées. Des données précieuses qui leur permettront non seulement d’usurper, de manière crédible, l’identité d’un dirigeant de l’entreprise ou d’un de ses fournisseurs, mais aussi d’identifier la personne avec qui entrer en contact (téléphone, courriel, réseau sociaux…) pour lancer l’arnaque.

Des pratiques encore peu sécurisées

Une récente étude réalisée par YouGov pour le compte de Blue Cost System permet de faire le point sur les pratiques des professionnels en matière de gestion des médias sociaux. Il en ressort que seuls 40 % des sondés affirment avoir paramétré leurs comptes sur les réseaux sociaux (LinkedIn, Facebook…) pour réserver à leurs contacts l’accès aux données de leur profil. L’étude montre également que la majorité des sondés accepte d’interagir avec des inconnus sans avoir pris le soin de vérifier leur identité. Enfin, tout aussi inquiétant, seuls 36 % des professionnels interrogés déclarent utiliser un mot de passe différent pour chaque application de médias sociaux ou de messagerie utilisée.

Quelques règles simples

Pour décourager les escrocs, la première chose à faire est de tarir la mine de données sur laquelle ils s’appuient pour bâtir la fraude. Les informations sensibles relatives à l’entreprise doivent sinon disparaître d’Internet, du moins être en accès sécurisé. Il s’agit notamment des organigrammes grâce auxquels les pirates vont reconstruire la chaîne de validation des ordres de paiement, mais aussi des cordonnées à l’aide desquelles les contacts directs seront pris. Ces recommandations doivent être suivies par tous les acteurs de l’entreprise (salariés, dirigeants) notamment dans l’usage qu’ils font, à titre privé comme professionnel des médias sociaux. Les enjeux sont importants. De nombreuses entreprises ont tout simplement disparu après avoir subi une fraude aux ordres de virement.

Au mois de juin dernier, Mark Zuckerberg, le célèbre cofondateur de Facebook, avait fait la une de la presse technique du monde entier. La raison : un morceau de ruban adhésif opaque était collé sur le capteur de la caméra de son ordinateur portable. Une pratique de protection regardée par nombre de commentateurs comme l’expression d’une certaine paranoïa mais pas par James Comey, adepte de la même solution. À l’occasion d’une conférence donnée la semaine dernière au Centre des études internationales et stratégiques de Washington, le patron du FBI a ainsi précisé que dans les bureaux de l’agence gouvernementale, les caméras situées sur les écrans étaient équipées d’un cache pour des raisons de sécurité. « Je pense que c’est une bonne solution », avait-il précisé avant d’ajouter « chacun doit faire ce qu’il faut pour assurer sa propre sécurité ».

De l’espionnage au chantage

Le risque de se faire espionner par son propre ordinateur n’est malheureusement pas que théorique. Il y a presque 3 ans déjà, Symantec publiait un article sur son blog sobrement intitulé « Creepware – Who’s Watching You ? ». L’éditeur de solutions antivirus y détaillait le fonctionnement desdits « creepware », un virus de la famille des chevaux de Troie destiné à permettre la prise de contrôle à distance d’un ordinateur, d’une tablette ou d’un smartphone. Le pirate pouvant, dès lors, activer sa caméra et/ou son micro à l’insu de son utilisateur. Dans un cadre privé, ces attaques pourront nourrir les sites de voyeurisme ou conduire à des chantages. Dans le cadre professionnel, les hackers à la manœuvre poursuivront, bien entendu, des objectifs d’espionnage pour gagner de l’argent ou nuire à l’entreprise (dénonciation de pratiques professionnelles non conformes, par exemple).

Quoi faire ?

Le ruban adhésif, pourquoi pas, mais ce n’est pas suffisant. Comme de nombreux virus, les creepwares s’attrapent souvent dans des endroits mal famés. Il convient donc, autant que possible, de se tenir à distance (site de peer-to-peer, site de téléchargement de jeux ou de programmes non officiels, sites porno…). En outre, s’il existe un débat sur l’efficacité des vaccins sur la santé humaine, il n’y en a pas en matière informatique : disposer sur ses machines d’un logiciel antimalwares actif et d’un système d’exploitation mis à jour restent les solutions les plus fiables pour éviter d’attraper un creepware ou n’importe quel autre logiciel malveillant.

Dans la plupart des entreprises, le mot de passe reste la principale clé d’accès aux systèmes informatiques (stations, serveurs, réseau…). Chacun des collaborateurs est ainsi invité à le créer, mais aussi à le changer régulièrement. Une politique de renouvellement justifiée par l’idée qu’un mot de passe peut être découvert sans que son utilisateur s’en rende compte. Et que par voie de conséquence, imposer d’en changer régulièrement limite ce type de risque. CQFD ! La logique est si implacable que cette obligation de renouvellement est mise en œuvre dans la plupart des entreprises ayant élaboré une politique de gestion des mots de passe. L’Agence nationale de la sécurité des systèmes d’information (Anssi), dans ses bonnes pratiques dédiées à la « sécurité des mots de passe », va également dans ce sens en invitant les entreprises à « renouveler les mots de passe avec une fréquence raisonnable » et en précisant que « tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ».

User les bonnes volontés

Créer et surtout retenir un mot de passe complexe, c’est-à-dire difficile à casser n’est pas chose simple. Ce dernier doit en effet être composé d’au moins une dizaine de signes différents (lettres, chiffres, caractères spéciaux, majuscules, minuscules…), n’avoir aucun sens et ne contenir aucune donnée en rapport avec son utilisateur (prénom des enfants, date de mariage, initiales…). Aussi, consentir un tel effort pour, deux ou trois mois plus tard, devoir recommencer est rarement bien accepté. Des stratégies d’évitement risquent alors d’être élaborées par les collaborateurs confrontés à ce qui pour eux n’est rien d’autre qu’un « irritant opérationnel » exaspérant. Des stratégies d’évitement qui, le plus souvent, entraîne une baisse du niveau de sécurité des systèmes informatiques de l’entreprise.

Un point de vue que Lorrie Cranor, responsable technique de la célèbre Federal Trade Commission américaine, n’hésite pas à défendre sur son blog. Et à l’appui de son discours, elle cite une étude réalisée en 2010 par des chercheurs de l’Université de Caroline du Nord. Cette dernière, portant sur les mots de passe créés par les étudiants et des enseignants contraints d’en changer tous les 3 mois, démontre que plutôt que de recréer un nouveau mot de passe, la plupart des utilisateurs se contentent de le modifier en changeant une lettre, un chiffre, un caractère spécial ou en le numérotant. Des stratégies d’évitement si bien partagées qu’un algorithme élaboré par ces chercheurs en modélisant ces pratiques a permis, assez facilement, de « déduire » les nouveaux mots de passe à partir des anciens. Et dans 17 % des cas, moins de 5 tentatives ont d’ailleurs été suffisantes au programme informatique pour y parvenir.

Quand changer ?

Pour Lorrie Cranor, la mise en place d’une politique de changement régulier de mot de passe est à proscrire. Un changement ne doit intervenir que dans certaines situations à risque. L’informaticienne rappelle ainsi qu’un tel changement s’impose lorsqu’un indice laisse penser que le mot de passe est ou risque d’être compromis (virus, phishing, espionnage, communication involontaire ou volontaire à un tiers…). Elle précise également que le changement doit être complet et non à la marge comme le montrait l’étude. Une contrainte plus facilement acceptée par les utilisateurs lorsque la demande de changement est exceptionnelle et clairement justifiée.

Derrière le terme « roaming », se cache une pratique de surfacturation que doit supporter l’abonné d’un opérateur téléphonique lorsqu’il utilise son téléphone mobile à l’étranger (appel, SMS, transfert de données). Dans le collimateur de la Commission européenne depuis plusieurs années, ces « frais d’itinérance » devaient purement et simplement disparaître à compter du 15 juin 2017, du moins au sein de l’Union européenne. Mais, à en croire un récent communiqué de la Commission, les choses pourraient être un peu plus compliquées.

Lutter contre les abus

Même si elle l’a longtemps réclamée, l’interdiction des frais d’itinérance semble désormais inquiéter la Commission. Ainsi, cette dernière redoute que certains abonnés profitent de la situation (par exemple, un consommateur contracte un abonnement dans un pays étranger où il est moins cher pour l’utiliser dans son pays ; ou à l’inverse un expatrié utilise dans le pays dans lequel il réside un abonnement contracté dans son pays d’origine). Des pratiques que la Commission souhaite ne pas voir se développer de peur qu’elles aient un « impact négatif sur les prix pratiqués par les opérateurs et au final sur l’ensemble des consommateurs ».

Vers une interdiction limitée

Pour lutter contre les abus, la Commission propose donc d’encadrer l’interdiction des frais d’itinérance. En dehors de ce cadre, l’opérateur retrouvera la possibilité de surfacturer son cat. Ce sera le cas notamment lorsque l’abonné séjournera plus de 90 jours par an dans un pays étranger ou lorsqu’il consommera, pendant ses déplacements à l’étranger, davantage de services que quand il séjournera dans son pays d’origine. La Commission précise toutefois que les travailleurs frontaliers seront exclus de ces limitations.

Une gestion attentive des entreprises

Tous les professionnels, salariés ou indépendants, qui effectuent régulièrement des voyages à l’étranger sont concernés par ces pratiques de surfacturation. Et même si la Commission envisage de plafonner ces augmentations tarifaires (4 centimes par minute d’appel, 1 centime par SMS et 0,85 centime par Mo de données transférées), les dépassements pourront finir par coûter très cher à l’entreprise d’autant plus que l’encadrement du « roaming » n’est applicable que pour les séjours dans les pays de l’Union européenne. Ainsi, outre la mise en concurrence des opérateurs, les entreprises ont tout intérêt à définir une charte d’usage des téléphones mobiles à l’étranger (limitation de la durée des appels, connexion à Internet limitée à un accès WiFi…). Grâce à elle, les collaborateurs de l’entreprise (habitués au forfait illimité, modèle dominant en France) auront une meilleure conscience des dépenses engendrées et adopteront un comportement de consommation plus modéré.

Offrir une bonne « expérience utilisateur » aux internautes en général et aux mobinautes en particulier est un objectif sans cesse réaffirmé par les dirigeants de Google. Une politique qui, en novembre 2014, s’est traduite par la création d’un label « site mobile » permettant aux mobinautes de distinguer, dans les résultats de recherche proposés par la version pour smartphone du moteur, les sites optimisés pour s’afficher sur des petits écrans de ceux qui ne l’étaient pas. Presque deux ans plus tard, Google, via son blog pour les webmasters, vient d’annoncer que cette mention informative n’était plus nécessaire et devrait donc disparaître car « 85 % des pages des résultats de recherche pour mobile remplissent désormais ce critère et sont donc considérées comme mobile-friendly ». Toutefois, rappelle Doantam Phan, Product Manager chez Google, « le critère mobile-friendly demeurera un indicateur de classement ».

La chasse aux publicités intrusives

S’il se félicite des efforts réalisés par les éditeurs pour rendre leurs sites « mobile friendly », Doantam Phan s’inquiète de la présence de publicités et autres messages intrusifs venant masquer le contenu de la page affichée et ainsi infliger aux mobinautes « une expérience utilisateur moins bonne ». Non content de s’en désoler, le Product Manager de Google annonce qu’à compter du 10 janvier 2017, « Les pages au contenu difficilement accessible depuis les résultats de recherche pour mobile pourront être moins bien classées ». Les pages qui seront pénalisées sont celles qui, par exemple, affichent « une pop-up qui recouvre le contenu principal, dès que l’utilisateur accède à une page » ou « un interstitiel autonome que l’utilisateur doit fermer avant d’accéder au contenu principal ». En revanche, précise Doantam Phan, les bannières qui occupent un espace raisonnable et les « interstitiels qui semblent répondre à une obligation légale (utilisation de cookies…) » n’auront aucune incidence négative sur le classement des pages qui les accueillent.

Déjà proposé en version bêta depuis plusieurs mois, Android 7.0 (également appelé Nougat) est désormais considéré comme suffisamment stable par les ingénieurs de Google pour être officiellement lancé. Dans un premier temps, seuls les smartphones et tablettes « maison » (Nexus 6, Nexus 9, Nexus 5X, Nexus 6P, Pixel C, Nexus Player et General Mobile 4G (Android One)) se verront proposer le nouvel OS via une mise à jour « automatique ». Pour les propriétaires de smartphones d’autres marques, l’attente sera plus longue. Ces derniers devront, en effet, patienter le temps (souvent plusieurs semaines) que les fabricants (puis, le cas échéant, les opérateurs) testent le nouvel OS et modifient leur surcouche logicielle pour l’adapter aux nouvelles fonctionnalités.

Quoi de neuf ?

Les utilisateurs de smartphones XL et de tablettes devraient se réjouir de l’arrivée du multifenêtrage sur Android 7.0. Grâce à ce système, ils pourront utiliser deux programmes simultanément tout en visualisant chacun d’eux sur une partie de l’écran. Une fonction que certains fabricants proposaient déjà dans leur surcouche logicielle, mais qui n’était pas présente dans l’OS Android. En outre, Google profite du lancement d’Android Nougat pour améliorer la gestion du multitâche. Il devient ainsi possible d’une simple pression sur un bouton dédié de fermer l’ensemble des applications ouvertes ou encore de passer d’une application à une autre en effectuant un double « tapotement » sur l’icône carrée du bas de l’écran. À noter également un changement de design et de fonctionnement du panneau de notification (regroupement par appli, possibilité de les traiter sans ouvrir l’appli) et du gestionnaire de fichiers (possibilité de déplacer, copier ou renommer plusieurs fichiers à la fois).

Une sécurité renforcée

Les entreprises n’ont pas été oubliées lors de la mise en place d’Android 7.0. En matière de sécurité, on peut ainsi signaler l’arrivée d’un système de chiffrement par fichier (et non plus par volume de fichiers) qui permet de ne protéger que les données sensibles. Par ailleurs, si l’intégration d’un mot de passe est toujours nécessaire pour accéder aux contenus de l’appareil, elle n’est plus requise pour utiliser les fonctions de base (répondre à un appel téléphonique, à un SMS…). Un gain de temps très attendu par nombre d’utilisateurs d’appareils protégés. Enfin, il faut également noter l’arrivée d’un système censé bloquer les attaques de rançongiciels ainsi que d’un outil destiné à empêcher l’appareil de démarrer s’il détecte que les fichiers de lancement du système d’exploitation ont été corrompus.

Présentée par Google en mai dernier lors de sa conférence annuelle pour les développeurs, l’application Duo a officiellement été lancée aux États-Unis et devrait être disponible en France dans les jours qui viennent. Ce petit programme permet à deux personnes (et seulement deux) de tenir une conversion vidéo. Il vient en concurrence avec d’autres outils déjà existants comme Skype ou encore Facetime.

Simple et fluide

Selon ses concepteurs, Duo a été pensé pour être simple. D’abord, contrairement aux autres produits de la marque, il ne nécessite pas la création d’un compte pour être utilisable. La communication d’un simple numéro de téléphone suffit. Ensuite, seul un « clic » sur la photo d’un contact est nécessaire pour lancer une conversation vidéo.

En outre, afin d’assurer la fluidité des échanges, l’application est censée, selon les ingénieurs de Google, être capable de basculer d’un réseau WiFi à un réseau téléphonique et inversement sans créer de rupture. Le géant américain précise également sur son blog que son application est programmée pour réduire automatiquement (et sans trop dégrader l’image) la résolution de la vidéo lorsque la bande passante est limitée.

Des échanges cryptés

Duo dispose d’un système de chiffrement de bout en bout des conversations. Toutefois, ce dernier n’est proposé qu’en option. Autrement dit, il doit être activé par l’utilisateur pour entrer en action. Une situation critiquée par de nombreux observateurs.

Duo est uniquement proposé sur Android et iOS.

Chacun le sait, se former tout au long de sa vie professionnelle est une nécessité. Malheureusement, pour des raisons économiques ou par faute de temps, déployer des actions de formation n’est pas toujours possible, notamment dans les petites entreprises. C’est pourquoi nombre d’entre elles se tournent désormais vers les Mooc.

Un Mooc ?

Le Mooc (Massive Open Online Course, ou cours en ligne ouvert à tous) est un outil de formation qui répond à certains principes de démocratisation du savoir. Il doit ainsi permettre d’accueillir un nombre illimité de participants (Massive), être ouvert à tous sans critère de distinction (Open), être proposé sur Internet (Online) et offrir à chaque étudiant un véritable parcours pédagogique (Course). Et même s’ils n’ont pas vocation à remplacer la formation professionnelle continue, les Mooc permettent aux collaborateurs de l’entreprise et aux entrepreneurs de faire le point sur des domaines souvent très techniques sans nécessiter une réorganisation de leur temps de travail (les modules en ligne sont « consommables » par les participants sur des périodes assez longues).

L’offre de FUN-MOOC

Créé en 2013, FUN-MOOC est un groupement d’intérêt public initié par le ministère de l’Enseignement Supérieur et de la Recherche. Sur sa plate-forme, il regroupe des dizaines de Mooc gratuits dont plusieurs intéressent directement les entreprises. On peut ainsi signaler le Mooc du Collège des hautes études de Lyon « Décision, complexité, risques » sur les problématiques de la prise de décision (4 octobre 2016) ; « Le management de la force de vente » (22 septembre 2016) proposé par l’IAE de Montpellier ; « Le droit européen du travail » (19 septembre 2016) animé par la Cnam ou encore « Programmer en C » (7 novembre 2016) proposé par l’Institut Mines-Télécom.