Rares sont les consommateurs qui achètent un produit en ligne sans avoir consulté les avis laissés par les autres cats. Une des dernières études publiées sur le sujet (baromètre 2014 du C2C) montrait ainsi que 41 % des acheteurs effectuaient régulièrement des achats spontanés après avoir lu des commentaires positifs. À l’inverse, 74 % des personnes interrogées avouaient même renoncer régulièrement à un achat en raison des commentaires négatifs. Les enjeux pour les commerçants sont donc très importants et la tentation peut être forte de publier des faux avis. Une tromperie qui a conduit cette année les enquêteurs de la DGCCRF à donner, sur 241 établissements visités, 21 avertissements et à dresser 11 procès-verbaux.

Une obligation de transparence

Promulguée il y a quelques jours, la Loi pour une République numérique s’est emparée du sujet avec pour objectif de garantir une plus grande transparence dans le processus de traitement et de publication des avis. Désormais, les éditeurs de sites Internet (commerce en ligne, site de réservation de voyage, d’hôtels, de restaurants…) ou d’applications sur lesquels des avis de consommateurs sont publiés doivent respecter un certain nombre d’obligations. D’abord, ces derniers sont tenus de préciser si les avis mis en ligne font l’objet d’un contrôle et, si oui, d’exposer les modalités de sa mise en œuvre. Ensuite, l’éditeur doit faire apparaître la date de l’avis et ses éventuelles mises à jour. En outre, lorsqu’il refuse de publier un avis, il doit en indiquer la raison à son auteur. Enfin, il a pour obligation de mettre en place une fonctionnalité gratuite qui permet aux responsables des produits ou des services faisant l’objet d’un avis en ligne de lui signaler un doute sur l’authenticité de cet avis, à condition, précise la loi, que ce signalement soit motivé.

Attention : de fortes amendes viendront sanctionner tout manquement à ces obligations.

Un prochain décret devrait définir les modalités d’application de ces nouvelles obligations.

Art. 52, Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO du 8

Sans verser dans « l’anti Union européenne » très en vogue en cette période électorale, il faut bien avouer qu’il n’est pas toujours simple de comprendre la démarche empruntée par les services de la Commission de Bruxelles. C’est le cas, notamment, sur le dossier dit du « roaming », c’est-à-dire des surfacturations appliquées par les opérateurs téléphoniques lors des appels passés de l’étranger par leurs cats.

Petit rappel

Ces surfacturations, également appelées frais d’itinérance, qui frappent les appels, l’envoi de SMS et le téléchargement de données ont, par le passé, conduit certains abonnés, particuliers comme entreprises, à devoir faire face à des factures téléphoniques de plusieurs dizaines de milliers d’euros. Et encore aujourd’hui, malgré les plafonnements imposés par la Commission européenne (qui, bien sûr, ne s’appliquent que pour les déplacements dans les pays de l’Union), il est encore possible de faire fortement grimper la note sans même en avoir conscience. Ainsi, télécharger 50 Go de données lors d’un déplacement à l’étranger entraîne, par exemple, compte tenu du plafond de surfacturation applicable (5 cts d’euros par Mo téléchargé), un surcoût de 2 500 € !

Après le 17 juin 2017

En principe, les opérateurs téléphoniques n’auront plus le droit d’appliquer des frais d’itinérance à leurs cats qui utiliseront leur téléphone mobile ou leur smartphone dans un pays étranger de l’Union européenne. Un principe que la Commission, il y a tout juste un mois, a néanmoins souhaité assortir de conditions destinées à éviter que les cats abusent de la situation (application des frais d’itinérance lorsqu’un cat passe plus de 90 jours par an à l’étranger ou lorsqu’il consomme, pendant ses déplacements à l’étranger, davantage de services que quand il séjourne dans son pays d’origine). Un nouvel encadrement des pratiques de surfacturation qui, sans surprise, a provoqué une vague de protestations, conduisant Jean-Claude Juncker, le président de la Commission, à exiger son retrait.

Un nouveau cadre

Invitée à revoir sa copie, la Commission a publié un nouveau projet. Dans ce dernier, les règles de bonne conduite contestées sont remplacées par des indicateurs qualifiés d’objectifs et sur lesquels les opérateurs pourront se fonder pour caractériser un usage abusif de leur service et appliquer à leurs cats des frais d’itinérance. Le projet en cite trois :– un usage dans le pays d’origine jugé insignifiant par rapport à celui enregistré à l’étranger ;– une carte SIM presque uniquement utilisée à l’étranger ;– l’utilisation par un même cat de plusieurs cartes SIM à l’étranger.

Des critères bien plus flous que la règle rejetée des 90 jours qui, s’ils venaient à être adoptés sans plus de précision, pourraient occasionner de nouveaux dérapages. À suivre.

À en croire l’éditeur de logiciels de sécurité Eset, la France est devenue le terrain de jeu des pirates informatiques spécialisés dans la diffusion de « FakeAlert ». Ainsi, sur la période du 5 septembre au 5 octobre 2016, ces malwares auraient représenté pas moins de 25 % de l’ensemble des logiciels malveillants détectés par l’éditeur. L’Hexagone serait ainsi le pays le plus affecté par ce type de malware.

Des « FakeAlert » ?

Derrière cette appellation se cache une famille de logiciels malveillants ou de pages web diffusant des messages destinés à inquiéter l’utilisateur et à l’inciter à contacter un support technique qui viendra l’aider ou à télécharger un logiciel censé rétablir la situation. Le plus souvent, ces messages signalent un dysfonctionnement technique (lenteur de la machine, encombrement du disque dur, instabilité du système d’exploitation pouvant conduire à la perte de données…) ou la présence de malwares mettant en danger la machine et les fichiers qu’elle contient. Généralement, ces messages prennent la forme d’une petite fenêtre qui s’invite à l’écran. Pour qu’ils soient pris en considération, les pirates qui les conçoivent n’hésitent pas à utiliser les logos de grands éditeurs de systèmes d’exploitation (Microsoft, Linux…) ou de solutions anti-virus.

Bien entendu, il s’agit d’une tentative d’escroquerie. La machine prétendument infectée ou défectueuse fonctionne très bien. Quant aux numéros de téléphone proposés sur le message d’alerte, ils sont surtaxés et ne débouchent pas sur un véritable service support. Enfin, les logiciels téléchargeables (et vendus, le plus souvent) censés réparer l’ordinateur, au mieux ne réparent rien et au pire sont porteurs d’un véritable virus. Bref, ne pas donner suite à ce type de message d’alerte est un principe absolu. En outre, pour éviter de voir sa machine contaminée par les « FakeAlerts », il convient, rappelons-le, de mettre à jour son système d’exploitation et d’utiliser une solution anti-malware, elle-même régulièrement mise à jour.

Les utilisateurs de Google Agenda, l’application de planification de taches et de rendez-vous de l’éditeur américain, pouvaient déjà, en cliquant sur la fonction « plan » présente sur la fiche descriptive d’un évènement, faire apparaître sur une carte de Google Maps, l’adresse du lieu où l’évènement en question devait se dérouler. En revanche, jusqu’à présent, il n’était pas possible d’accéder à cette information directement via Google Maps autrement qu’en effectuant un copier-coller de l’adresse du lieu de rendez-vous dans le moteur de recherche de l’application cartographique. Un manque que les ingénieurs de Google viennent de combler.

Un a sur la base de l’agenda

Désormais, Google Maps pour Android est connecté à Google Agenda. Concrètement, dès qu’un évènement est créé (et que lui est associée une adresse), ce dernier devient visible dans Google Maps dans la rubrique « Vos adresses/prochainement ». Il ne reste qu’à cliquer dessus pour que le lieu de déroulement de l’évènement apparaisse ou que soit calculé un itinéraire pour s’y rendre. En outre, il faut également noter que le système de commande vocale est dorénavant opérationnel sur Google Maps pour Android. Les automobilistes peuvent ainsi utiliser l’application cartographique en situation de conduite en toute sécurité.

À en croire le ministère de l’Intérieur, les escroqueries de type « fraude au président » ou « fraude au changement de RIB » auraient fait perdre aux entreprises françaises pas moins de 485 millions d’euros entre 2010 et 2015. Pour monter ces fraudes aux ordres de virement (fovi), les escrocs recueillent des informations sur les entreprises ciblées. Des données précieuses qui leur permettront non seulement d’usurper, de manière crédible, l’identité d’un dirigeant de l’entreprise ou d’un de ses fournisseurs, mais aussi d’identifier la personne avec qui entrer en contact (téléphone, courriel, réseau sociaux…) pour lancer l’arnaque.

Des pratiques encore peu sécurisées

Une récente étude réalisée par YouGov pour le compte de Blue Cost System permet de faire le point sur les pratiques des professionnels en matière de gestion des médias sociaux. Il en ressort que seuls 40 % des sondés affirment avoir paramétré leurs comptes sur les réseaux sociaux (LinkedIn, Facebook…) pour réserver à leurs contacts l’accès aux données de leur profil. L’étude montre également que la majorité des sondés accepte d’interagir avec des inconnus sans avoir pris le soin de vérifier leur identité. Enfin, tout aussi inquiétant, seuls 36 % des professionnels interrogés déclarent utiliser un mot de passe différent pour chaque application de médias sociaux ou de messagerie utilisée.

Quelques règles simples

Pour décourager les escrocs, la première chose à faire est de tarir la mine de données sur laquelle ils s’appuient pour bâtir la fraude. Les informations sensibles relatives à l’entreprise doivent sinon disparaître d’Internet, du moins être en accès sécurisé. Il s’agit notamment des organigrammes grâce auxquels les pirates vont reconstruire la chaîne de validation des ordres de paiement, mais aussi des cordonnées à l’aide desquelles les contacts directs seront pris. Ces recommandations doivent être suivies par tous les acteurs de l’entreprise (salariés, dirigeants) notamment dans l’usage qu’ils font, à titre privé comme professionnel des médias sociaux. Les enjeux sont importants. De nombreuses entreprises ont tout simplement disparu après avoir subi une fraude aux ordres de virement.

Au mois de juin dernier, Mark Zuckerberg, le célèbre cofondateur de Facebook, avait fait la une de la presse technique du monde entier. La raison : un morceau de ruban adhésif opaque était collé sur le capteur de la caméra de son ordinateur portable. Une pratique de protection regardée par nombre de commentateurs comme l’expression d’une certaine paranoïa mais pas par James Comey, adepte de la même solution. À l’occasion d’une conférence donnée la semaine dernière au Centre des études internationales et stratégiques de Washington, le patron du FBI a ainsi précisé que dans les bureaux de l’agence gouvernementale, les caméras situées sur les écrans étaient équipées d’un cache pour des raisons de sécurité. « Je pense que c’est une bonne solution », avait-il précisé avant d’ajouter « chacun doit faire ce qu’il faut pour assurer sa propre sécurité ».

De l’espionnage au chantage

Le risque de se faire espionner par son propre ordinateur n’est malheureusement pas que théorique. Il y a presque 3 ans déjà, Symantec publiait un article sur son blog sobrement intitulé « Creepware – Who’s Watching You ? ». L’éditeur de solutions antivirus y détaillait le fonctionnement desdits « creepware », un virus de la famille des chevaux de Troie destiné à permettre la prise de contrôle à distance d’un ordinateur, d’une tablette ou d’un smartphone. Le pirate pouvant, dès lors, activer sa caméra et/ou son micro à l’insu de son utilisateur. Dans un cadre privé, ces attaques pourront nourrir les sites de voyeurisme ou conduire à des chantages. Dans le cadre professionnel, les hackers à la manœuvre poursuivront, bien entendu, des objectifs d’espionnage pour gagner de l’argent ou nuire à l’entreprise (dénonciation de pratiques professionnelles non conformes, par exemple).

Quoi faire ?

Le ruban adhésif, pourquoi pas, mais ce n’est pas suffisant. Comme de nombreux virus, les creepwares s’attrapent souvent dans des endroits mal famés. Il convient donc, autant que possible, de se tenir à distance (site de peer-to-peer, site de téléchargement de jeux ou de programmes non officiels, sites porno…). En outre, s’il existe un débat sur l’efficacité des vaccins sur la santé humaine, il n’y en a pas en matière informatique : disposer sur ses machines d’un logiciel antimalwares actif et d’un système d’exploitation mis à jour restent les solutions les plus fiables pour éviter d’attraper un creepware ou n’importe quel autre logiciel malveillant.

Dans la plupart des entreprises, le mot de passe reste la principale clé d’accès aux systèmes informatiques (stations, serveurs, réseau…). Chacun des collaborateurs est ainsi invité à le créer, mais aussi à le changer régulièrement. Une politique de renouvellement justifiée par l’idée qu’un mot de passe peut être découvert sans que son utilisateur s’en rende compte. Et que par voie de conséquence, imposer d’en changer régulièrement limite ce type de risque. CQFD ! La logique est si implacable que cette obligation de renouvellement est mise en œuvre dans la plupart des entreprises ayant élaboré une politique de gestion des mots de passe. L’Agence nationale de la sécurité des systèmes d’information (Anssi), dans ses bonnes pratiques dédiées à la « sécurité des mots de passe », va également dans ce sens en invitant les entreprises à « renouveler les mots de passe avec une fréquence raisonnable » et en précisant que « tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ».

User les bonnes volontés

Créer et surtout retenir un mot de passe complexe, c’est-à-dire difficile à casser n’est pas chose simple. Ce dernier doit en effet être composé d’au moins une dizaine de signes différents (lettres, chiffres, caractères spéciaux, majuscules, minuscules…), n’avoir aucun sens et ne contenir aucune donnée en rapport avec son utilisateur (prénom des enfants, date de mariage, initiales…). Aussi, consentir un tel effort pour, deux ou trois mois plus tard, devoir recommencer est rarement bien accepté. Des stratégies d’évitement risquent alors d’être élaborées par les collaborateurs confrontés à ce qui pour eux n’est rien d’autre qu’un « irritant opérationnel » exaspérant. Des stratégies d’évitement qui, le plus souvent, entraîne une baisse du niveau de sécurité des systèmes informatiques de l’entreprise.

Un point de vue que Lorrie Cranor, responsable technique de la célèbre Federal Trade Commission américaine, n’hésite pas à défendre sur son blog. Et à l’appui de son discours, elle cite une étude réalisée en 2010 par des chercheurs de l’Université de Caroline du Nord. Cette dernière, portant sur les mots de passe créés par les étudiants et des enseignants contraints d’en changer tous les 3 mois, démontre que plutôt que de recréer un nouveau mot de passe, la plupart des utilisateurs se contentent de le modifier en changeant une lettre, un chiffre, un caractère spécial ou en le numérotant. Des stratégies d’évitement si bien partagées qu’un algorithme élaboré par ces chercheurs en modélisant ces pratiques a permis, assez facilement, de « déduire » les nouveaux mots de passe à partir des anciens. Et dans 17 % des cas, moins de 5 tentatives ont d’ailleurs été suffisantes au programme informatique pour y parvenir.

Quand changer ?

Pour Lorrie Cranor, la mise en place d’une politique de changement régulier de mot de passe est à proscrire. Un changement ne doit intervenir que dans certaines situations à risque. L’informaticienne rappelle ainsi qu’un tel changement s’impose lorsqu’un indice laisse penser que le mot de passe est ou risque d’être compromis (virus, phishing, espionnage, communication involontaire ou volontaire à un tiers…). Elle précise également que le changement doit être complet et non à la marge comme le montrait l’étude. Une contrainte plus facilement acceptée par les utilisateurs lorsque la demande de changement est exceptionnelle et clairement justifiée.

Derrière le terme « roaming », se cache une pratique de surfacturation que doit supporter l’abonné d’un opérateur téléphonique lorsqu’il utilise son téléphone mobile à l’étranger (appel, SMS, transfert de données). Dans le collimateur de la Commission européenne depuis plusieurs années, ces « frais d’itinérance » devaient purement et simplement disparaître à compter du 15 juin 2017, du moins au sein de l’Union européenne. Mais, à en croire un récent communiqué de la Commission, les choses pourraient être un peu plus compliquées.

Lutter contre les abus

Même si elle l’a longtemps réclamée, l’interdiction des frais d’itinérance semble désormais inquiéter la Commission. Ainsi, cette dernière redoute que certains abonnés profitent de la situation (par exemple, un consommateur contracte un abonnement dans un pays étranger où il est moins cher pour l’utiliser dans son pays ; ou à l’inverse un expatrié utilise dans le pays dans lequel il réside un abonnement contracté dans son pays d’origine). Des pratiques que la Commission souhaite ne pas voir se développer de peur qu’elles aient un « impact négatif sur les prix pratiqués par les opérateurs et au final sur l’ensemble des consommateurs ».

Vers une interdiction limitée

Pour lutter contre les abus, la Commission propose donc d’encadrer l’interdiction des frais d’itinérance. En dehors de ce cadre, l’opérateur retrouvera la possibilité de surfacturer son cat. Ce sera le cas notamment lorsque l’abonné séjournera plus de 90 jours par an dans un pays étranger ou lorsqu’il consommera, pendant ses déplacements à l’étranger, davantage de services que quand il séjournera dans son pays d’origine. La Commission précise toutefois que les travailleurs frontaliers seront exclus de ces limitations.

Une gestion attentive des entreprises

Tous les professionnels, salariés ou indépendants, qui effectuent régulièrement des voyages à l’étranger sont concernés par ces pratiques de surfacturation. Et même si la Commission envisage de plafonner ces augmentations tarifaires (4 centimes par minute d’appel, 1 centime par SMS et 0,85 centime par Mo de données transférées), les dépassements pourront finir par coûter très cher à l’entreprise d’autant plus que l’encadrement du « roaming » n’est applicable que pour les séjours dans les pays de l’Union européenne. Ainsi, outre la mise en concurrence des opérateurs, les entreprises ont tout intérêt à définir une charte d’usage des téléphones mobiles à l’étranger (limitation de la durée des appels, connexion à Internet limitée à un accès WiFi…). Grâce à elle, les collaborateurs de l’entreprise (habitués au forfait illimité, modèle dominant en France) auront une meilleure conscience des dépenses engendrées et adopteront un comportement de consommation plus modéré.