Les entreprises ont toujours eu la possibilité de publier sur leur page Facebook des offres d’emploi, mais jusqu’à présent aucun outil d’accompagnement spécifique n’était présent sur le premier réseau social mondial. La situation pourrait bientôt changer. Ainsi, récemment repérée par les journalistes de TechCrunch, une expérimentation est, en ce moment, menée par Facebook. Cette dernière a pour objet de mesurer l’efficacité d’une nouvelle fonctionnalité de publication d’offres d’emploi. Concrètement, pour poster une telle offre, l’entreprise pourra utiliser un message type comportant des champs dédiés (type de poste, nature de l’emploi, temps partiel ou complet, salaire…). Une fois complétée, l’annonce apparaîtra sur la page de l’entreprise dans un format spécifique afin qu’elle se distingue, au premier coup d’œil, des autres posts mis en ligne. Les internautes pourront également retrouver l’annonce dans un nouvel onglet « emplois » présent sur la page de l’entreprise.

Une réponse simplifiée

Les candidats intéressés n’auront qu’à cliquer sur un bouton pour répondre à l’annonce. Apparaîtra alors un formulaire qu’il leur reviendra de compléter, sachant que toutes les données qu’ils ont déjà intégrées dans leur profil Facebook seront déjà renseignées (noms, adresse…). Le message de réponse sera reçu par l’entreprise comme un message Facebook classique ou sur une adresse mail dédiée. Bien entendu, Facebook offrira aux entreprises, moyennant finance, la possibilité d’adresser leur annonce à des utilisateurs du réseau non abonnés à leur page qui entreront dans le profil recherché. Pour le moment, cette fonctionnalité est en phase de test. Aucune confirmation de mise en œuvre, ni date de déploiement n’ont encore été annoncées par les responsables du réseau américain.

Selon StatCounter, en octobre dernier, 51,3 % des accès à Internet ont été effectués en utilisant un smartphone ou une tablette et 48,7 % via un terminal classique de type PC ou Mac. Depuis 8 ans que ce cabinet spécialisé dans l’analyse des données du Web propose ce type de statistiques, c’est la première fois que l’usage des appareils mobiles devance celui des ordinateurs. Sans surprise, ce sont les smartphones qui portent la tendance (46,6 % des consultations, contre seulement 4,7 % pour les tablettes).

Une situation contrastée

Si la navigation web sur mobile s’impose dans le monde, c’est en partie en raison du faible taux d’équipement en PC que connaissent les pays dits émergents. En Inde, par exemple, pas moins de 78 % des consultations Internet ont été réalisées, en octobre dernier, via un smartphone. Dans toute l’Asie, ce taux d’utilisation a atteint 62 % et en Afrique, près de 61 %. Dans les pays dits développés, en revanche, la donne est différente et, le plus souvent, l’usage du PC pour naviguer sur Internet reste encore la norme. Il en va ainsi de l’Amérique du Nord (58,25 % des consultations sur PC, contre 23,5 % sur smartphone et 8,25 % sur tablette) mais aussi de l’Europe (64,5 % sur PC, 29 % sur smartphone et 6,4 % sur tablette). Quant à la France, elle reste en retrait avec seulement 23 % de consultations réalisées à partir d’un smartphone et 6,5 % via une tablette.

Un site « mobile friendly »

Même si l’usage des smartphones et autres tablettes reste encore minoritaire dans notre pays, son taux d’adoption croît à grande vitesse. En à peine deux ans, ce dernier est ainsi passé de 10 % à près de 30 %. Les entreprises qui disposent d’un site Internet, qu’il s’agisse d’une simple vitrine ou d’un commerce en ligne, ont donc tout intérêt à bien s’assurer qu’il offre un maximum de confort aux mobinautes (visualisation des pages et de leur contenu sans devoir « scroller » ou zoomer, accès aux menus et aux boutons action, as cliquables…). Un outil de test est, à ce propos, gratuitement proposé par Google. Et si le site ne passe pas l’épreuve, il est peut-être temps de le rendre « responsive », c’est-à-dire de revoir sa conception pour que les éléments qui le composent (images, textes, menus…) s’adaptent automatiquement à la taille de l’écran via lequel il est consulté. Un investissement qui, vu le changement des usages, s’impose chaque jour davantage aux entreprises qui souhaitent maintenir ou muscler leur présence en ligne.

Rares sont les consommateurs qui achètent un produit en ligne sans avoir consulté les avis laissés par les autres cats. Une des dernières études publiées sur le sujet (baromètre 2014 du C2C) montrait ainsi que 41 % des acheteurs effectuaient régulièrement des achats spontanés après avoir lu des commentaires positifs. À l’inverse, 74 % des personnes interrogées avouaient même renoncer régulièrement à un achat en raison des commentaires négatifs. Les enjeux pour les commerçants sont donc très importants et la tentation peut être forte de publier des faux avis. Une tromperie qui a conduit cette année les enquêteurs de la DGCCRF à donner, sur 241 établissements visités, 21 avertissements et à dresser 11 procès-verbaux.

Une obligation de transparence

Promulguée il y a quelques jours, la Loi pour une République numérique s’est emparée du sujet avec pour objectif de garantir une plus grande transparence dans le processus de traitement et de publication des avis. Désormais, les éditeurs de sites Internet (commerce en ligne, site de réservation de voyage, d’hôtels, de restaurants…) ou d’applications sur lesquels des avis de consommateurs sont publiés doivent respecter un certain nombre d’obligations. D’abord, ces derniers sont tenus de préciser si les avis mis en ligne font l’objet d’un contrôle et, si oui, d’exposer les modalités de sa mise en œuvre. Ensuite, l’éditeur doit faire apparaître la date de l’avis et ses éventuelles mises à jour. En outre, lorsqu’il refuse de publier un avis, il doit en indiquer la raison à son auteur. Enfin, il a pour obligation de mettre en place une fonctionnalité gratuite qui permet aux responsables des produits ou des services faisant l’objet d’un avis en ligne de lui signaler un doute sur l’authenticité de cet avis, à condition, précise la loi, que ce signalement soit motivé.

Attention : de fortes amendes viendront sanctionner tout manquement à ces obligations.

Un prochain décret devrait définir les modalités d’application de ces nouvelles obligations.

Art. 52, Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO du 8

Sans verser dans « l’anti Union européenne » très en vogue en cette période électorale, il faut bien avouer qu’il n’est pas toujours simple de comprendre la démarche empruntée par les services de la Commission de Bruxelles. C’est le cas, notamment, sur le dossier dit du « roaming », c’est-à-dire des surfacturations appliquées par les opérateurs téléphoniques lors des appels passés de l’étranger par leurs cats.

Petit rappel

Ces surfacturations, également appelées frais d’itinérance, qui frappent les appels, l’envoi de SMS et le téléchargement de données ont, par le passé, conduit certains abonnés, particuliers comme entreprises, à devoir faire face à des factures téléphoniques de plusieurs dizaines de milliers d’euros. Et encore aujourd’hui, malgré les plafonnements imposés par la Commission européenne (qui, bien sûr, ne s’appliquent que pour les déplacements dans les pays de l’Union), il est encore possible de faire fortement grimper la note sans même en avoir conscience. Ainsi, télécharger 50 Go de données lors d’un déplacement à l’étranger entraîne, par exemple, compte tenu du plafond de surfacturation applicable (5 cts d’euros par Mo téléchargé), un surcoût de 2 500 € !

Après le 17 juin 2017

En principe, les opérateurs téléphoniques n’auront plus le droit d’appliquer des frais d’itinérance à leurs cats qui utiliseront leur téléphone mobile ou leur smartphone dans un pays étranger de l’Union européenne. Un principe que la Commission, il y a tout juste un mois, a néanmoins souhaité assortir de conditions destinées à éviter que les cats abusent de la situation (application des frais d’itinérance lorsqu’un cat passe plus de 90 jours par an à l’étranger ou lorsqu’il consomme, pendant ses déplacements à l’étranger, davantage de services que quand il séjourne dans son pays d’origine). Un nouvel encadrement des pratiques de surfacturation qui, sans surprise, a provoqué une vague de protestations, conduisant Jean-Claude Juncker, le président de la Commission, à exiger son retrait.

Un nouveau cadre

Invitée à revoir sa copie, la Commission a publié un nouveau projet. Dans ce dernier, les règles de bonne conduite contestées sont remplacées par des indicateurs qualifiés d’objectifs et sur lesquels les opérateurs pourront se fonder pour caractériser un usage abusif de leur service et appliquer à leurs cats des frais d’itinérance. Le projet en cite trois :– un usage dans le pays d’origine jugé insignifiant par rapport à celui enregistré à l’étranger ;– une carte SIM presque uniquement utilisée à l’étranger ;– l’utilisation par un même cat de plusieurs cartes SIM à l’étranger.

Des critères bien plus flous que la règle rejetée des 90 jours qui, s’ils venaient à être adoptés sans plus de précision, pourraient occasionner de nouveaux dérapages. À suivre.

À en croire l’éditeur de logiciels de sécurité Eset, la France est devenue le terrain de jeu des pirates informatiques spécialisés dans la diffusion de « FakeAlert ». Ainsi, sur la période du 5 septembre au 5 octobre 2016, ces malwares auraient représenté pas moins de 25 % de l’ensemble des logiciels malveillants détectés par l’éditeur. L’Hexagone serait ainsi le pays le plus affecté par ce type de malware.

Des « FakeAlert » ?

Derrière cette appellation se cache une famille de logiciels malveillants ou de pages web diffusant des messages destinés à inquiéter l’utilisateur et à l’inciter à contacter un support technique qui viendra l’aider ou à télécharger un logiciel censé rétablir la situation. Le plus souvent, ces messages signalent un dysfonctionnement technique (lenteur de la machine, encombrement du disque dur, instabilité du système d’exploitation pouvant conduire à la perte de données…) ou la présence de malwares mettant en danger la machine et les fichiers qu’elle contient. Généralement, ces messages prennent la forme d’une petite fenêtre qui s’invite à l’écran. Pour qu’ils soient pris en considération, les pirates qui les conçoivent n’hésitent pas à utiliser les logos de grands éditeurs de systèmes d’exploitation (Microsoft, Linux…) ou de solutions anti-virus.

Bien entendu, il s’agit d’une tentative d’escroquerie. La machine prétendument infectée ou défectueuse fonctionne très bien. Quant aux numéros de téléphone proposés sur le message d’alerte, ils sont surtaxés et ne débouchent pas sur un véritable service support. Enfin, les logiciels téléchargeables (et vendus, le plus souvent) censés réparer l’ordinateur, au mieux ne réparent rien et au pire sont porteurs d’un véritable virus. Bref, ne pas donner suite à ce type de message d’alerte est un principe absolu. En outre, pour éviter de voir sa machine contaminée par les « FakeAlerts », il convient, rappelons-le, de mettre à jour son système d’exploitation et d’utiliser une solution anti-malware, elle-même régulièrement mise à jour.

Les utilisateurs de Google Agenda, l’application de planification de taches et de rendez-vous de l’éditeur américain, pouvaient déjà, en cliquant sur la fonction « plan » présente sur la fiche descriptive d’un évènement, faire apparaître sur une carte de Google Maps, l’adresse du lieu où l’évènement en question devait se dérouler. En revanche, jusqu’à présent, il n’était pas possible d’accéder à cette information directement via Google Maps autrement qu’en effectuant un copier-coller de l’adresse du lieu de rendez-vous dans le moteur de recherche de l’application cartographique. Un manque que les ingénieurs de Google viennent de combler.

Un a sur la base de l’agenda

Désormais, Google Maps pour Android est connecté à Google Agenda. Concrètement, dès qu’un évènement est créé (et que lui est associée une adresse), ce dernier devient visible dans Google Maps dans la rubrique « Vos adresses/prochainement ». Il ne reste qu’à cliquer dessus pour que le lieu de déroulement de l’évènement apparaisse ou que soit calculé un itinéraire pour s’y rendre. En outre, il faut également noter que le système de commande vocale est dorénavant opérationnel sur Google Maps pour Android. Les automobilistes peuvent ainsi utiliser l’application cartographique en situation de conduite en toute sécurité.

À en croire le ministère de l’Intérieur, les escroqueries de type « fraude au président » ou « fraude au changement de RIB » auraient fait perdre aux entreprises françaises pas moins de 485 millions d’euros entre 2010 et 2015. Pour monter ces fraudes aux ordres de virement (fovi), les escrocs recueillent des informations sur les entreprises ciblées. Des données précieuses qui leur permettront non seulement d’usurper, de manière crédible, l’identité d’un dirigeant de l’entreprise ou d’un de ses fournisseurs, mais aussi d’identifier la personne avec qui entrer en contact (téléphone, courriel, réseau sociaux…) pour lancer l’arnaque.

Des pratiques encore peu sécurisées

Une récente étude réalisée par YouGov pour le compte de Blue Cost System permet de faire le point sur les pratiques des professionnels en matière de gestion des médias sociaux. Il en ressort que seuls 40 % des sondés affirment avoir paramétré leurs comptes sur les réseaux sociaux (LinkedIn, Facebook…) pour réserver à leurs contacts l’accès aux données de leur profil. L’étude montre également que la majorité des sondés accepte d’interagir avec des inconnus sans avoir pris le soin de vérifier leur identité. Enfin, tout aussi inquiétant, seuls 36 % des professionnels interrogés déclarent utiliser un mot de passe différent pour chaque application de médias sociaux ou de messagerie utilisée.

Quelques règles simples

Pour décourager les escrocs, la première chose à faire est de tarir la mine de données sur laquelle ils s’appuient pour bâtir la fraude. Les informations sensibles relatives à l’entreprise doivent sinon disparaître d’Internet, du moins être en accès sécurisé. Il s’agit notamment des organigrammes grâce auxquels les pirates vont reconstruire la chaîne de validation des ordres de paiement, mais aussi des cordonnées à l’aide desquelles les contacts directs seront pris. Ces recommandations doivent être suivies par tous les acteurs de l’entreprise (salariés, dirigeants) notamment dans l’usage qu’ils font, à titre privé comme professionnel des médias sociaux. Les enjeux sont importants. De nombreuses entreprises ont tout simplement disparu après avoir subi une fraude aux ordres de virement.

Au mois de juin dernier, Mark Zuckerberg, le célèbre cofondateur de Facebook, avait fait la une de la presse technique du monde entier. La raison : un morceau de ruban adhésif opaque était collé sur le capteur de la caméra de son ordinateur portable. Une pratique de protection regardée par nombre de commentateurs comme l’expression d’une certaine paranoïa mais pas par James Comey, adepte de la même solution. À l’occasion d’une conférence donnée la semaine dernière au Centre des études internationales et stratégiques de Washington, le patron du FBI a ainsi précisé que dans les bureaux de l’agence gouvernementale, les caméras situées sur les écrans étaient équipées d’un cache pour des raisons de sécurité. « Je pense que c’est une bonne solution », avait-il précisé avant d’ajouter « chacun doit faire ce qu’il faut pour assurer sa propre sécurité ».

De l’espionnage au chantage

Le risque de se faire espionner par son propre ordinateur n’est malheureusement pas que théorique. Il y a presque 3 ans déjà, Symantec publiait un article sur son blog sobrement intitulé « Creepware – Who’s Watching You ? ». L’éditeur de solutions antivirus y détaillait le fonctionnement desdits « creepware », un virus de la famille des chevaux de Troie destiné à permettre la prise de contrôle à distance d’un ordinateur, d’une tablette ou d’un smartphone. Le pirate pouvant, dès lors, activer sa caméra et/ou son micro à l’insu de son utilisateur. Dans un cadre privé, ces attaques pourront nourrir les sites de voyeurisme ou conduire à des chantages. Dans le cadre professionnel, les hackers à la manœuvre poursuivront, bien entendu, des objectifs d’espionnage pour gagner de l’argent ou nuire à l’entreprise (dénonciation de pratiques professionnelles non conformes, par exemple).

Quoi faire ?

Le ruban adhésif, pourquoi pas, mais ce n’est pas suffisant. Comme de nombreux virus, les creepwares s’attrapent souvent dans des endroits mal famés. Il convient donc, autant que possible, de se tenir à distance (site de peer-to-peer, site de téléchargement de jeux ou de programmes non officiels, sites porno…). En outre, s’il existe un débat sur l’efficacité des vaccins sur la santé humaine, il n’y en a pas en matière informatique : disposer sur ses machines d’un logiciel antimalwares actif et d’un système d’exploitation mis à jour restent les solutions les plus fiables pour éviter d’attraper un creepware ou n’importe quel autre logiciel malveillant.

Dans la plupart des entreprises, le mot de passe reste la principale clé d’accès aux systèmes informatiques (stations, serveurs, réseau…). Chacun des collaborateurs est ainsi invité à le créer, mais aussi à le changer régulièrement. Une politique de renouvellement justifiée par l’idée qu’un mot de passe peut être découvert sans que son utilisateur s’en rende compte. Et que par voie de conséquence, imposer d’en changer régulièrement limite ce type de risque. CQFD ! La logique est si implacable que cette obligation de renouvellement est mise en œuvre dans la plupart des entreprises ayant élaboré une politique de gestion des mots de passe. L’Agence nationale de la sécurité des systèmes d’information (Anssi), dans ses bonnes pratiques dédiées à la « sécurité des mots de passe », va également dans ce sens en invitant les entreprises à « renouveler les mots de passe avec une fréquence raisonnable » et en précisant que « tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ».

User les bonnes volontés

Créer et surtout retenir un mot de passe complexe, c’est-à-dire difficile à casser n’est pas chose simple. Ce dernier doit en effet être composé d’au moins une dizaine de signes différents (lettres, chiffres, caractères spéciaux, majuscules, minuscules…), n’avoir aucun sens et ne contenir aucune donnée en rapport avec son utilisateur (prénom des enfants, date de mariage, initiales…). Aussi, consentir un tel effort pour, deux ou trois mois plus tard, devoir recommencer est rarement bien accepté. Des stratégies d’évitement risquent alors d’être élaborées par les collaborateurs confrontés à ce qui pour eux n’est rien d’autre qu’un « irritant opérationnel » exaspérant. Des stratégies d’évitement qui, le plus souvent, entraîne une baisse du niveau de sécurité des systèmes informatiques de l’entreprise.

Un point de vue que Lorrie Cranor, responsable technique de la célèbre Federal Trade Commission américaine, n’hésite pas à défendre sur son blog. Et à l’appui de son discours, elle cite une étude réalisée en 2010 par des chercheurs de l’Université de Caroline du Nord. Cette dernière, portant sur les mots de passe créés par les étudiants et des enseignants contraints d’en changer tous les 3 mois, démontre que plutôt que de recréer un nouveau mot de passe, la plupart des utilisateurs se contentent de le modifier en changeant une lettre, un chiffre, un caractère spécial ou en le numérotant. Des stratégies d’évitement si bien partagées qu’un algorithme élaboré par ces chercheurs en modélisant ces pratiques a permis, assez facilement, de « déduire » les nouveaux mots de passe à partir des anciens. Et dans 17 % des cas, moins de 5 tentatives ont d’ailleurs été suffisantes au programme informatique pour y parvenir.

Quand changer ?

Pour Lorrie Cranor, la mise en place d’une politique de changement régulier de mot de passe est à proscrire. Un changement ne doit intervenir que dans certaines situations à risque. L’informaticienne rappelle ainsi qu’un tel changement s’impose lorsqu’un indice laisse penser que le mot de passe est ou risque d’être compromis (virus, phishing, espionnage, communication involontaire ou volontaire à un tiers…). Elle précise également que le changement doit être complet et non à la marge comme le montrait l’étude. Une contrainte plus facilement acceptée par les utilisateurs lorsque la demande de changement est exceptionnelle et clairement justifiée.