Phishing (filoutage) : comment détecter un message malveillant ?

Des personnes malintentionnées tentent régulièrement de vous subtiliser vos données personnelles en utilisant des techniques d’hameçonnage (phishing), ce qui consiste à vous faire croire que vous êtes en relation avec un tiers de confiance — banque, administration, etc. -, afin de vous soutirer des renseignements personnels. Le phishing évolue constamment, de sorte qu’il convient d’être extrêmement attentif lors de la réception d’un courriel. Voici quelques conseils qui devraient vous permettre de déterminer si un message est légitime ou non.

Est-ce que le courriel vous est réellement destiné ? D’ordinaire, les messages malveillants sont envoyés à un grand nombre de cibles, ils ne sont pas ou peu personnalisés. Si le message évoque, de surcroît, un dossier ou une facture qui vous sont inconnus, il s’agit certainement d’un message malveillant. Soyez particulièrement vigilants relativement aux courriels qui proviennent d’une adresse électronique qui vous est inconnue, respectivement qui ne fait pas partie de votre liste de contacts. Le niveau de langage du courriel est également un élément à prendre en considération. La multiplication des fautes d’orthographe, des fautes de frappe, ou des expressions inappropriées est un bon indicateur, même si les aigrefins améliorent constamment leur contenu. L’étrangeté d’une requête doit également susciter votre méfiance : pourquoi ma banque me contacterait-elle par courriel pour changer mon mot de passer ? Vous pouvez également vérifier les liens figurant dans le courriel. Avant de cliquer, glissez votre curseur ce qui révèlera le lien complet et vous permettra de vérifier sa cohérence et le fait qu’il point vers un site légitime.

En cas de doute, n’ouvrez pas les pièces jointes, supprimez le message puis videz la corbeille.

Dernier petit truc : en cas de doute, copiez-collez le contenu du courriel dans Google et voyez si d’autres personnes font état de difficultés ou d’une arnaque éventuelle.

Une banque d’images me réclame des sommes importantes, pour une photographie que je n’aurai pas payée et qui figure sur mon site web, que faire ?

A l’aune de l’expérience, il arrive très souvent que les récipiendaires de la missive par laquelle le versement de plusieurs centaines de francs est réclamé aient confié le mandat à une entité ou une personne tierce de réaliser un site internet. Dans ce cas et même si le site a été réalisé gracieusement, il convient d’informer immédiatement l’intéressé et de lui demander d’assumer la responsabilité qui est la sienne pour avoir utilisé une image sans en payer les droits. En clair donc, de prendre à sa charge la somme réclamée !

Car c’est toute la difficulté de cette situation insolite où votre défense s’avèrerait inefficiente : les frais d’avocats dépasseraient en effet allègrement le montant sollicité et le simple fait de faire appel à un homme de loi annihilera toute tentative d’obtenir une diminution notable de la somme, votre adverse partie interprétant alors ce recours à un conseil comme la démonstration de vos moyens de payer…

Quant à l’argument de défense selon lequel vous n’êtes pas responsable pour autrui, il ne sera pas considéré comme recevable les banques d’images ayant sollicité différents avis de droit également dans notre pays et s’opposant ainsi à toute tentative de soustraction au paiement. De surcroît, si nous ne vous exécutez pas, c’est devant un Tribunal zurichois que vous devrez comparaître et vous défendre.

Vous l’aurez compris, en toute hypothèse, le plus simple est de négocier en direct. Plaidez votre cause auprès du représentant de la banque d’images en invoquant l’erreur d’un tiers, votre situation personnelle, respectivement tout autre argument susceptible de convaincre.

En définitive, il existe tellement de banques d’images gratuites (SuperFamous- www.superfamous.com, Flickr – www.flickr.com, etc.) que vous devriez trouver votre bonheur, sans les encombres et les désagréments liés à une violation des droits d’auteur.

Des entreprises valaisannes feront-elles faillite pour avoir violé des normes en matière de protection des données ? s

Vous trouvez la question saugrenue ? Le nouveau Règlement européen en matière de protection des données (RGPD) pourrait toutefois vous inciter à revoir votre copie. Ce texte est susceptible trouver application non seulement pour les entreprises helvétiques (donc valaisannes), mais également pour toutes les collectivités publiques. Il concerne les organisations privées ou publiques étrangères qui offrent des produits et des services aux citoyens de l’UE, ou qui analysent leur comportement en récoltant leurs données personnelles. La Suisse est donc largement touchée et 90% des entités impactées ne semblent pas prêtes à faire face à ces nouvelles exigences beaucoup plus sévères que celles que comporte le droit suisse. Ce texte introduit de nouvelles obligations, dont le droit à la portabilité des données, soit celui de pouvoir les obtenir dans un format couramment utilisé. Imaginez un client d’une banque qui se présente au guichet et remet une clé USB en exigeant ses données. Vous pourriez lui rétorquer que ses données sont accessibles online, mais si cela n’est pas précisé dans un contrat une violation pourrait être constatée. Et là c’est le porte-monnaie qui va trinquer. Le RGPD prévoit en effet, en fonction des articles en infraction, des amendes administratives d’un montant oscillant entre 10 et 20 millions d’euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Si vous détenez des avoirs dans l’UE, ils pourront être saisis. Et si vous n’y possédez aucun actif ? Les experts sont divisés, mais il existe un risque que l’autorité étrangère ne tente d’encaisser l’amende en Suisse. Imaginez donc les conséquences pour des PME, des Communes, des Hôpitaux. Mieux vaut donc rapidement vous enquérir du fait de savoir si vous y êtes soumis, car le RGPD entre en vigueur le 25 mai 2018 !

Mon ado est victime d’une cabale numérique, que faire ?

La première chose à entreprendre consiste à sauvegarder les preuves. Faites des captures d’écran, de sites internet, sauvegardez les fils de discussion, enregistrez les noms d’utilisateur, montrez les différentes publications à des tiers. Au besoin, faites appel un notaire qui dressera un constat authentique. Il est très important de préserver le matériel probatoire, car dès que les auteurs seront nantis de vos intentions d’agir pour défendre votre ado, leur premier réflexe consistera à effacer toutes les traces de leurs méfaits numériques.

Informez les personnes qui pourraient intervenir favorablement et opportunément, par exemple si la cabale numérique émane d’enfants qui fréquentent le même établissement scolaire, les enseignants, les médiateurs et en toute hypothèse les centres d’aide aux victimes d’infraction. Ces derniers sont susceptibles d’apporter un soutien psychologique et un premier regard juridique. Une cabale numérique peut en effet s’avérer constitutive de nombreuses infractions pénales, en sus de constituer une atteinte aux droits de la personnalité (article 28 et suivants du Code civil), soit notamment

  • Art. 143bis du Code pénal Accès indu à un système informatique
  • Art. 144bis chiffre 1 Détérioration de données
  • Art. 156 Extorsion et chantage
  • Art. 173 Diffamation
  • Art. 174 Calomnie
  • Art. 177 Injure
  • Art. 179quater Violation du domaine secret ou du domaine privé au moyen d’un appareil de prises de vues
  • Art. 179novies Soustraction de données personnelles
  • Art. 180 Menaces
  • Art. 181 Contrainte

Le recours à la justice pénale ne devrait toutefois être entrepris qu’en dernière extrémité, lorsque les outils de résolution de tels litiges n’ont pas porté leurs fruits (la médiation notamment). Si vous décidez d’agir sur le plan pénal, il faut le faire dans le délai de 3 mois, car nombre d’infractions sont poursuivies sur plainte.

Le meilleur outil de prévention demeure le dialogue et, à cet égard, n’hésitez pas à interroger votre enfant sur cette thématique lorsque vous constatez un changement de comportement.

Pour de plus amples informations, vous pouvez consulter la revue consacrée au cyberharcèlement publiée par la police et la prévention suisse de la criminalité : https://www.skppsc.ch/fr/wp-content/uploads/sites/5/2016/12/droitcyberharcelement.pdf

Publication d’une photo dénudée, que faire ?

Ma fille de 15 ans a publié une photo d’elle dénudée et elle le regrette, que puis-je faire pour l’aider ?

Liminairement sollicitez de votre fille qu’elle vous remette la photographique publiée, au format numérique. Vous en aurez peut-être besoin dans la deuxième phase de notre plan d’action. Ensuite, la première démarche à accomplir consiste à intervenir auprès de la plate-forme de publication pour obtenir le retrait de la photographie, respectivement son effacement définitif. Dès lors que votre enfant est mineur, vous devrez peut-être vous légitimer en communiquant une copie d’une pièce d’identité. Le hic réside dans le fait que de très nombreux sites érotiques ou pornographiques référencent chaque jour tous les contenus disponibles sur le web. Il se pourrait ainsi que cette photographie, nonobstant son effacement du support originel, se retrouve dupliquée, ce qui va compliquer votre tâche. Activez tout d’abord une alerte Google personnalisée (https://www.google.ch/alerts?hl=fr) en insérant le nom et le prénom de votre fille. Ainsi, vous serez informée dès qu’une photo comportant son nom sera publiée sur Internet et vous pourrez agir en vue de sa résorption. Il conviendra ensuite d’effectuer régulièrement des recherches par comparaison avec la photographie originale. Pour ce faire, vous pouvez utiliser Google images (https://images.google.fr/#cns=0) ou encore TinEye (https://tineye.com). Répétez l’opération tous les mois, puis tous les six mois.

L’impact psychologique d’un événement aussi traumatisant est difficile à appréhender pour des néophytes qui sont de surcroît également atteints. Ne le sous-estimez pas. Le recours à un professionnel peut donc s’imposer, pour atténuer les conséquences de cet acte aux conséquences intimes dévastatrices. En définitive, le meilleur conseil que je puisse vous donner est de lire cet article avec vos enfants, pour qu’ils prennent conscience de la difficulté de gommer leurs excès de juvénilité.

Mon Voisin a une webcam qui pointe sur ma chambre à coucher, que puis-je faire ?

L’exploitation d’une webcam implique le traitement permanent de données personnelles et il est donc soumis à la loi fédérale sur la protection des données (LPD), que les images soient conservées ou non. Il s’agit d’une forme de surveillance qui peut, en fonction de la situation, porter sensiblement atteinte à la sphère privée des personnes filmées, lorsqu’elles sont identifiées ou identifiables.

Dans un tel contexte, il convient d’accorder une attention particulière aux règles de la protection de la personnalité lors de la planification, de l’installation et de l’exploitation. Selon le Préposé fédéral à la protection des données, une surveillance vidéo effectuée à des fins privées n’est possible que dans l’espace dont on est propriétaire ou possesseur. Ainsi, le terrain du voisin ne pourra être filmé qu’à la condition expresse et préalable que celui-ci ait donné son accord. À défaut de consentement préalable éclairé de votre part, votre voisin s’expose donc à différentes procédures. Vous pourriez si cette webcam permettait de s’immiscer virtuellement dans votre chambre à coucher (en raison de ses spécificités techniques par exemple), alors qu’un quidam déambulant dans la rue ne le pourrait pas, déposer une plainte pénale dans le délai impératif de 3 mois pour violation de l’article 179quater du Code pénal qui punit une telle observation d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. À cela s’ajoute la possibilité de saisir un Juge civil pour violation des articles 28 et suivants du Code civil réprimant les atteintes à la personnalité et d’obtenir notamment la cessation de la surveillance opérée. Il serait également possible de demander accès en vertu l’article 8 LPD aux images réalisées vous concernant. Vous l’aurez compris, l’arsenal législatif est conséquent. Mieux vaut toutefois privilégier le dialogue dans un premier temps et tenter la conciliation. Souvent, cela suffit à apaiser les craintes et à réfréner les velléités sécuritaires !

RGPD : un avis clair du préposé genevois !

Application du Règlement général de protection des données de l’Union européenne (RGPD) aux institutions publiques : le Préposé genevois à la protection des données et à la transparence émet un avis clair !

Dans le Bulletin d’information n° 47 de septembre 2017, Monsieur Stéphane Werly, Préposé genevois à la protection des données et à la transparence s’exprime en ces termes, en réponse à la question de savoir si les institutions publiques genevoises peuvent être soumises à l’application du RGPD (https://www.ge.ch/ppdt/doc/bulletin-info/Bulletin-information-47-septembre-2017.pdf) :

« Oui. Le nouveau RGPD a prévu un principe d’extra-territorialité qui vise à faire appliquer les règles de l’UE lorsque des données à caractère personnel sont traitées hors de l’Europe. Ceci signifie que tout citoyen considérant que la protection de ses données personnelles n’a pas été respectée dans le contexte d’une offre de biens ou de services ou un suivi par une entité publique genevoise pourra s’adresser à son autorité nationale de protection des données, même quand leurs données sont traitées par une entreprise établie en dehors de l’UE. Toute institution publique genevoise doit être informée que le nouveau règlement de protection des données qui entrera en vigueur le 1er juin 2018, sera aussi applicable aux traitements de données de personnes qui se trouvent sur le territoire de l’Union européenne quand bien même l’entité ou le sous-traitant de celle-ci se trouve hors de l’Union européenne – en Suisse par exemple. Si vous êtes une entité publique genevoise, demandez-vous si vos activités vous amènent à offrir des prestations – offre de biens ou de services (rémunérées ou non) ou le suivi d’un comportement de personnes qui se trouvent sur le territoire de l’Union européenne. ».

Avec cet avis autorisé, qui conforte ceux émis auparavant par la doctrine, le mythe d’une non-application du RGPD aux institutions publiques s’effondre définitivement. Les collectivités publiques doivent être conscientes qu’elles peuvent être sanctionnées par des amendes considérables, dont le montant dépendra notamment des mesures qu’elles auront prises pour se mettre en conformité.

Les capteurs fitness dans le collimateur du Préposé fédéral !

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a annoncé le 12 octobre 2017 procéder à un examen du programme de bonus « Helsana+ », visant à encourager les assurés à mener une vie plus saine. Pour ce faire, l’assureur a développé une application qui récompense financièrement les efforts consentis par ses clients.

Il s’agira, dans un premier temps, d’établir les faits soit de déterminer si des données émanant de l’assurance de base sont traitées. En fonction du résultat, une recommandation pourrait être émise. En effet, Helsana (contrairement à d’autres caisses) s’adresse aussi à ses assurés de base, alors qu’elle devrait observer une séparation stricte entre l’assurance de base et la complémentaire. Le PFPDT examine si cette séparation a été respectée.

Le PFPDT a saisi cette occasion pour émettre une fiche d’information relative aux capteurs de fitness (https://www.edoeb.admin.ch/datenschutz/00768/00774/00777/01428/index.html?lang=fr)

Cette fiche comporte également de précieux conseils que voici :

  • Avant d’acheter et d’utiliser un capteur fitness, demandez-vous quelles sont les fonctionnalités que vous en attendez et quelles sont les données personnelles réellement nécessaires pour que l’appareil ou l’application puissent exécuter les fonctions désirées.
  • Renseignez-vous sur la nature des données personnelles qui seront enregistrées et sur la forme sous laquelle elles seront traitées. Lisez à cet égard les CGV et les dispositions relatives à la protection des données.
  • Si vous ne voulez pas que vos données servent à des fins publicitaires, vous avez la possibilité de faire valoir (même après la conclusion du contrat) votre droit d’opposition.
  • Une fois que vous vous êtes décidés d’utiliser un capteur fitness, veillez à en configurer les réglages relatifs à la sphère privée de manière aussi favorable que possible à la protection des données : déconnectez à l’avance les fonctions inutiles et les traitements de données excessifs, de sorte que les seules données personnelles saisies soient celles qui sont nécessaires à l’exécution des fonctions désirées.
  • Informez-vous du lieu où vos données sont stockées. Est-il possible de les stocker localement sur votre ordinateur personnel ? Le fournisseur de l’appareil les transmet-il au contraire, peut-être automatiquement, à un nuage informatique (cloud) et les stocke-t-il à l’étranger (dans un pays où le niveau de protection des données est insuffisant, par ex.) ?

Le PFPDT recommande donc à chacun de bien réfléchir à l’utilisation de ses propres données, notamment de ses données fitness et de santé. Il faut toujours comparer les avantages (financiers) à court terme aux inconvénients possibles à long terme (risques potentiels). Le risque d’accès par un tiers ou de manipulation des données ne peut, en outre, jamais être totalement écarté.

Pour de plus amples informations à ce sujet :

Sébastien Fanti, Les applications de santé sont un marché de dupe, in : Le Temps, 18 octobre 2017 : https://www.letemps.ch/suisse/2017/10/17/sebastien-fanti-applications-sportives-un-marche-dupes

Outils de campagne politique à l’aune de la protection des données.

Nouvelle publication du Préposé fédéral relative aux outils de campagne politique à l’aune de la protection des données.

Après avoir été interpellé et sollicité à retirées reprises, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié un document topique à la fin du mois d’octobre 2017, document accessible ici : https://www.edoeb.admin.ch/datenschutz/00628/00653/01471/index.html?lang=fr

Il convient, liminairement, de rappeler que les opinions politiques sont des données sensibles (art. 3 let. c chiffre 1 LPD). Cette qualification impose des cautèles supplémentaires que le PFPDT rappelle. En appariant les données que les personnes laissent sur des sites Internet et des plateformes de réseaux sociaux, il est également possible aux partis politiques de dresser des profils de la personnalité (art. 3 let. d LPD).

Dans ces deux hypothèses, le consentement doit être éclairé et explicite (art. 4 al. 5 LPD), ce qui signifie concrètement que l’information donnée doit être exhaustive, conforme à la réalité et qu’une action du citoyen doit confirmer son accord (par exemple en cochant une case). Il n’est donc pas possible de considérer que le fait qu’une personne se manifeste par son adhésion à un réseau social soit suffisant. Il convient également de rappeler au citoyen que son consentement peut être révoqué en tout temps.

Les buts poursuivis doivent également faire l’objet d’une mention explicite.

Ces précisions sont les bienvenues, car durant les dernières campagnes électorales, différents excès ont été mis en exergue, dont l’astroturfing (Cf. Rapport du Conseil fédéral sur le postulat Amherd 11.3912 “Cadre juridique pour les médias sociaux p. 53 ; https://www.admin.ch/gov/fr/start/dokumentation/medienmitteilungen.msg-id-50504.html) prohibé par l’article 34 alinéa 2 de la Constitution fédérale.