Cryptomonnaie : l’arrivée du Libra inquiète les États

Annoncé en juin dernier, le lancement du Libra, la monnaie électronique de Facebook, ne laisse personne indifférent, y compris dans les plus hautes sphères de l’État comme l’illustre une récente déclaration de Bruno Le Maire. Interrogé par les journalistes du quotidien le 5 septembre dernier, le ministre de l’Économie s’est dit opposé au fait « qu’une entreprise privée se dote des moyens de la souveraineté d’un État ». Il a, en outre, rappelé qu’au cours du G7 des ministres des Finances qui s’est tenu à Chantilly, « tous les États membres ont fait part de leur préoccupation et de leur vigilance sur ce sujet ». Une inquiétude déjà exprimée par Mark Carney, le gouverneur de la Banque d’Angleterre, en août dernier.

Un contre-projet

Lors des assemblées annuelles du FMI et de la Banque mondiale qui se tiendront cet automne, Bruno Le Maire a affirmé qu’il souhaitait que s’engage une « réflexion sur une monnaie numérique publique émise par les banques centrales qui garantirait la sécurité totale des transactions, leur rapidité, leur simplicité et leur gratuité ». L’objectif étant clairement de couper l’herbe sous le pied de Facebook en créant une monnaie électronique internationale permettant d’opérer rapidement et à moindre frais des paiements (y compris des micro paiements) à l’étranger tout en garantissant la sécurité totale des transactions. Une ambition que porte également le projet Libra de Facebook qui devrait voir le jour courant 2020.

Vous avez dit Libra ?

Basé sur la technologie blockchain, le Libra devrait, dans un premier temps, servir de monnaie d’échange virtuelle aux utilisateurs des outils de l’univers Facebook. À terme, compte tenu de sa simplicité d’utilisation, de la faiblesse des frais de transaction et de sa stabilité, il pourrait être adopté comme système de paiement bien au-delà du réseau. Un développement que redoutent les États et leurs banques centrales.

Pour garantir sa stabilité, le Libra sera adossé à un panier composé des devises les plus « solides » (dollar, euro, livre sterling et yen). Quant à sa gouvernance, elle devrait être assurée par une fondation de droit suisse basée à Genève.

Frédéric Dempuré

Usurpation d’identité : les cartes SIM dans le collimateur des escrocs

L’affaire n’est pas passée inaperçue. Jack Dorsey, le président de Twitter, s’est récemment fait pirater son compte Twitter sans que les systèmes d’alerte du puissant réseau social réagissent. Des messages racistes sont alors apparus sur son fil de tweets. Plusieurs dizaines de minutes ont été nécessaires pour comprendre l’origine du problème et corriger le tir. En cause, selon la presse : la mise en défaut du système d’authentification à double facteurs qu’utilise le réseau social. Pour rappel, ce système permet d’identifier un internaute en lui adressant, par SMS, un code unique que ce dernier doit, dans un laps de temps limité, entrer sur la page du site demandeur. Cet outil est souvent utilisé par des banques pour confirmer un paiement en ligne et par des réseaux sociaux pour accéder à un compte. Raison pour laquelle de plus en plus de pirates se lancent dans la « chasse » aux cartes SIM.

L’approche des pirates

Le défi que doivent relever les pirates est de parvenir à se faire passer pour la future victime auprès de son opérateur téléphonique. Pour cela, ils utilisent tous les identifiants qu’il est possible de trouver sur Internet et les réseaux sociaux (date de naissance, adresse personnelle, lieu de naissance…) et, le cas échéant, sur le Darknet. Ces derniers étant souvent demandés par les opérateurs pour identifier leurs clients, dans le cadre d’un appel téléphonique. Parvenus à leurs fins, ils se font attribuer une nouvelle carte SIM, prétextant, par exemple, l’avoir perdue ou détruite. Dès lors, le temps que la victime prenne conscience de la situation, le pirate aura largement eu le loisir de profiter de la situation.

Quoi faire ?

La seule chose à faire pour réduire le risque d’être victime d’un est de ne pas diffuser, sur internet et les réseaux sociaux, les données qu’utilisent les opérateurs pour identifier leurs clients (copie d’une facture de téléphone faisant apparaître un numéro client, adresse, date et lieu de naissance…). Et d’attendre 2022, date à laquelle, conformément à la Directive sur les services de paiement (DSP2), le système de double identification devra être remplacé par un dispositif plus efficace !

Frédéric Dempuré

Que faire de ses vieux ordinateurs ?

En panne ou frappés d’obsolescence, nombre de PC, d’écrans et autres téléphones portables encombrent inutilement les armoires des entreprises. Une bonne occasion de rappeler les règles encadrant la gestion des déchets électroniques.

Des déchets polluants

Les appareils électroniques sont constitués de matériaux contenant de redoutables polluants (plomb, cadmium, béryllium, mercure, ignifuges bromés, phtalates, bisphénol A, PCB, CFC…). Le traitement de ces appareils, en tant que déchets, fait l’objet d’une règlementation. Elle impose aux fabricants et aux distributeurs des appareils électroniques mis sur le marché après le 13 août 2005 d’assurer leur collecte et leur retraitement en fin de vie. Pour ce qui concerne les appareils plus anciens, il revient aux entreprises qui les détiennent de prendre en charge financièrement leur retraitement.

Les machines récentes

Pour les machines les plus récentes dont vous voulez vous débarrasser, vous pouvez vous rapprocher des fabricants ou des distributeurs à qui vous les avez achetées. Certains d’entre eux prendront directement en charge les appareils et leurs périphériques ; d’autres vous indiqueront les filières de retraitement avec lesquelles ils collaborent et qui devront assurer, en leur nom, la reprise des machines que vous souhaitez jeter. Vous pouvez également directement vous adresser à l’un des trois éco-organismes agréés (agrément valable jusqu’au 31 décembre 2021) chargés de la récolte et du traitement de ces déchets électroniques : , et .

À savoir :

si le producteur (fabricant ou distributeur) se doit d’assumer financièrement le coût du retraitement de vos vieux appareils, c’est à vous d’assumer les frais de transport des machines de votre entreprise jusqu’au site de retraitement.

Le très vieux matériel

Pour les machines les plus anciennes (mises sur le marché avant août 2005), vous devez directement vous adresser à l’un de ces trois éco-organismes. Il se chargera, à vos frais, de leur retraitement.

Le plus souvent, le coût de ce type de prestations dépend du poids des matériels et de leur nature (plus le matériel est polluant, comme, par exemple, un écran cathodique, plus le prix est élevé).

Sachez, en outre, que votre entreprise est responsable du retraitement de ces vieux appareils polluants. Vous devez donc prendre toutes les précautions pour que leur prise en charge soit effectuée par un prestataire agréé.

Frédéric Dempuré

Zoom sur les arnaques au faux support technique

Une fenêtre apparaît sur l’écran de l’ordinateur. Elle signale que Windows vient de détecter la présence d’un virus dangereux et invite l’utilisateur de la machine à appeler le service « support » de Microsoft sans attendre ou à télécharger un logiciel seul apte à régler le problème. Dans le feu de l’action, certains s’exécuteront et paieront quelques dizaines, voire centaines d’euros, un faux antivirus ou un service de dépannage bidon. Explications.

Cette escroquerie très répandue porte le nom « d’arnaque au faux support informatique ». Vous l’aurez compris, elle consiste à effrayer la victime (via une fenêtre web, un SMS, un courriel…) afin de l’inciter à contacter un pseudo service support qui, moyennant finance, via un faux dépannage en ligne ou la fourniture d’un logiciel inutile, règlera un problème qui, en fait, n’existe pas. Pour « rassurer » la victime, les escrocs n’hésitent pas à se faire passer pour des entreprises réputées disposant réellement d’un support technique (éditeur de système d’exploitation, de logiciels bureautiques, d’antivirus, fabricant de matériel informatique, éditeur de moteur de recherche ou de navigateur…).

Quelques règles à suivre

Compte tenu du nombre important d’arnaques au faux support technique, le site public www.cybersurveillance.gouv.fr a récemment mis en ligne .

Les auteurs de la fiche précisent ainsi qu’après apparition du message sur l’ordinateur :- il ne faut jamais répondre (et surtout ne jamais appeler le numéro indiqué ou cliquer sur le lien proposé) ;- il est conseillé de redémarrer la machine (cela est généralement suffisant pour faire disparaître le faux message d’alerte. Si ce n’est pas le cas, il faut purger le cache du navigateur, supprimer les cookies et réinitialiser les paramètres du navigateur par défaut, voire réinstaller le navigateur) ;- il faut lancer une analyse antivirus ;- il faut faire opposition pour bloquer l’éventuel paiement effectué (virement, carte bancaire…) ;- il faut signaler les faits sur la plate-forme et, le cas échéant, porter plainte.

Frédéric Dempuré

Export : les nouvelles formations de Fun Mooc

Créé en 2013, Fun Mooc est un groupement d’intérêt public initié par le ministère de l’Enseignement supérieur. Sur sa , il regroupe des dizaines de Mooc gratuits dont plusieurs intéressent les professionnels travaillant dans un environnement international. Parmi ces formations, trois démarreront dans les prochaines semaines.

Unlock Your English

Proposé par l’Institut Mines-Télécom, ce Mooc a pour ambition de permettre à des personnes ayant une bonne maîtrise académique de l’anglais (niveau B2 selon l’échelle de référence de l’Université de Cambridge) de surmonter les difficultés qu’elles rencontrent pour travailler oralement dans cette langue dans un environnement international. Selon les organisateurs, à l’issue de la formation, les apprenants « sauront utiliser un certain nombre de phrases clef pour le dialogue social et professionnel. Ils accepteront de simplifier leur manière de parler en anglais pour arriver à transmettre des messages. Ils sauront aussi trouver des formulations alternatives qui leur permettront de faire face à un manque de vocabulaire ou de tournure de phrase ».

Ce Mooc débutera le 2 septembre 2019 (date de fin d’inscription, le 20 octobre 2019). Il s’étale sur 5 semaines et nécessite un effort hebdomadaire de 3 h.

Droit comparé des contrats : Allemagne – France

L’Allemagne reste le principal partenaire économique de notre pays. Nombre d’entreprises françaises travaillent déjà avec ce pays et d’autres souhaitent le faire. Raison pour laquelle ce Mooc a été mis en place par l’Université Polytechnique des Hauts-de-France. Il a pour objet de permettre à ceux qui vont le suivre de « comparer les éléments les plus marquants du droit allemand des contrats avec ceux de la réforme 2016 du droit français des contrats. Il permet donc de découvrir les apports de la réforme 2016, mais surtout de s’initier au droit allemand des contrats. Il est notamment utile à ceux dont l’activité actuelle ou future concerne les échanges économiques entre la France et l’Allemagne ».

Ce Mooc débutera le 27 août 2019 (date de fin d’inscription, le 22 octobre 2019). Il s’étale sur 6 semaines et nécessite un effort hebdomadaire de 3 h. Il s’adresse à des juristes.

Kit de survie juridique des affaires internationales

« Lire et écrire un contrat international » : telle est l’ambition de ce Mooc ouvert à tous les praticiens des affaires internationales, juristes ou non, intervenant dans des start-up comme dans des grands groupes. Créé et animé par Karim Medjad, praticien et professeur de droit au Cnam, ce Mooc vise à mettre en lumière les règles du jeu universelles qu’il convient de connaître pour parvenir à analyser un contrat dans un environnement juridique international hétérogène.

Ce Mooc débutera le 21 octobre 2019 (date de fin d’inscription, le 1 décembre 2019). Il s’étale sur 6 semaines et nécessite un effort hebdomadaire de 2 h 30.

Les principes d’un Mooc

Le Mooc (Massive Open Online Course, ou cours en ligne ouvert à tous) est un outil de formation qui répond à certains principes de démocratisation du savoir. Il doit ainsi permettre d’accueillir un nombre illimité de participants (Massive), être ouvert à tous sans critère de distinction (Open), être proposé sur Internet (Online) et offrir à chaque étudiant un véritable parcours pédagogique (Course). Et même s’ils n’ont pas vocation à remplacer la formation professionnelle continue, les Mooc permettent aux collaborateurs de l’entreprise et aux entrepreneurs de faire le point sur des domaines souvent très techniques sans nécessiter une réorganisation de leur temps de travail (les modules en ligne sont « consommables » par les participants sur des périodes assez longues).

Frédéric Dempuré

Noms de domaine : le second marché reprend des couleurs

Spécialiste du second marché des noms de domaine, le magazine américain recense les records de ventes réalisés notamment dans le cadre des extensions nationales et des.com. Et alors que le record de l’année 2018, « ice.com », n’avait atteint « que » 3,5 M$, les premiers mois de 2019 ont été marqués par une vente exceptionnelle : celle du nom de domaine « voice.com » qui a trouvé preneur à 30 M$. Selon les analyses du DN Journal, il s’agit du nom de domaine le plus cher jamais vendu. Sachant que ce journal ne recense que les ventes de noms de domaine confirmées, non associées à d’autres actifs du vendeur et dont le prix est définitif. Le précédent record était détenu par « sex.com », vendu 13 M$ en 2010.

Facebook version blockchain

L’acheteur de « voice.com » est une start-up, baptisée Block.one, dont les bureaux sont basés à Hong Kong. Cet éditeur de solutions blockchain a lancé, le 1er juin dernier, Voice (pour le moment en version bêta), un réseau social basé sur une blockchain. L’objectif étant de créer un réseau non plus contrôlé par l’entreprise qui le possède, mais par ses utilisateurs. Lors de sa création en 2017, Block.one avait levé 4 Md$ à l’occasion d’une « initial coin offering » (ICO) adossée à sa propre cryptomonnaie, l’EOS.

Les autres records

Outre le fameux « voice.com », le 1 semestre 2019 a vu la vente de « california.com » pour 3 M$ et de « nursing.com » pour 950 K$. Côté extensions géographiques, les sommes, comme à l’accoutumée, sont plus modestes. Le record 2019 est ainsi, pour le moment, détenu par « 21.de » (90 K$), suivi de « swipe.io » (68 K$) et de « seereisen.de » (66 K$). La première extension française, « appiscreen.fr », avec ses 31 K$, occupe une modeste 14e place au classement.

Frédéric Dempuré

Attention à ne pas négliger les mises à jour !

Les failles de sécurité constituent des vecteurs avérés de cyberattaques. Les plus de 200 000 ordinateurs infectés en quelques jours dans le monde entier par le rançongiciel WannaCry, en mai 2017, sont là pour le rappeler. Et même si l’installation des mises à jour de sécurité peut occasionner des pertes de temps, et dans de rares cas des dysfonctionnements temporaires, elle constitue la seule parade à certaines cyberattaques dont les impacts pourraient être désastreux. Mettre en place une véritable politique de gestion des mises à jour au sein de l’entreprise est donc fortement conseillé.

Un petit inventaire

Tous les appareils électroniques que nous utilisons dans le cadre professionnel sont équipés de logiciels (ordinateurs, tablettes, smartphones, objets connectés…). Si un seul de ces logiciels abrite une faille non corrigée, l’ensemble de l’environnement informatique de l’entreprise est en risque. La première opération consiste donc à recenser les différents appareils utilisés dans l’entreprise et à vérifier que tous les logiciels qu’ils accueillent sont bien à jour. Lorsque ce n’est pas le cas, il est impératif de télécharger les mises à jour de sécurité manquantes et de les installer.

Automatiser la procédure lorsque cela est possible

Heureusement, de plus en plus de logiciels (systèmes d’exploitation, navigateurs, solutions bureautiques, applications de smartphones…) intègrent un système de téléchargement et d’installation automatique des mises à jour. Dans ce cas, il est recommandé de l’activer, tout du moins pour les mises à jour de sécurité ou critiques (corrigeant un bug pouvant être bloquant). Les mises à jour évolutives (apportant de nouvelles fonctionnalités) pouvant, quant à elles, être installées manuellement. Lorsqu’il n’existe pas de système de mises à jour automatique, une installation manuelle devra être opérée dès que le correctif sera proposé en téléchargement sur le site de l’éditeur.

Vérifier l’installation des mises à jour

Des problèmes peuvent quelquefois apparaître lors de l’installation d’une mise à jour. Si cette dernière est automatique, cela peut conduire à l’abandon de l’installation. C’est pourquoi il est important de régulièrement ouvrir le module d’installation automatique des mises à jour pour vérifier la situation et, le cas échéant, procéder à l’installation des correctifs abandonnés.

Gare aux fausses mises à jour

Les hackers ne manquant ni d’imagination ni de cynisme, ils n’hésitent pas à faire circuler sur internet, sous la forme de pop-up (page web s’ouvrant automatiquement) ou de courriels, des alertes, aux couleurs de grands éditeurs invitant les destinataires à télécharger une mise à jour de sécurité. Généralement, la prétendue mise à jour est en fait un logiciel malveillant. Par principe, il ne faut pas donner suite à ce type de demande.

Frédéric Dempuré

Sauvegarde des données : 5 règles à respecter

Indispensables pour assurer la continuité du fonctionnement d’une entreprise en cas de problème informatique, les opérations de sauvegarde des données doivent être réalisées régulièrement et avec méthode. Rappel des principales règles à suivre.

1) Identifier les données importantes

Sauvegarder toutes les données de l’entreprise n’est pas forcément utile. Seules celles qui sont importantes pour son fonctionnement ou qui doivent être conservées en vertu de contraintes légales (contrats de travail, factures…) seront sauvegardées. Par exemple, prendre la peine de sauvegarder des logiciels n’est, en général, pas nécessaire.

2) Localiser les informations

Avec la multiplication des outils (PC portables, tablettes, smartphones, clés USB, objets connectés…) et l’augmentation de leur puissance, les données de l’entreprise sont de plus en plus éparpillées. Il convient donc de bien recenser tous ces outils et d’identifier avec précision les données qu’ils abritent afin de déterminer si elles doivent, ou non, faire l’objet d’une sauvegarde.

3) Réaliser des sauvegardes régulières

Les opérations de sauvegarde doivent être réalisées régulièrement (idéalement chaque jour) afin que la copie soit la plus à jour possible au cas où elle devrait être restaurée en cas de perte, de destruction ou de corruption des données (virus, rançonciels, dégradation involontaire ou volontaire d’un ou de plusieurs fichiers).

Sur ce dernier point, il convient de rappeler l’importance de disposer de plusieurs copies de la base de données originale. Ainsi, si un fichier corrompu est sauvegardé sans avoir été détecté, il sera possible d’utiliser une copie de sauvegarde plus ancienne pour en retrouver une version saine. Par exemple, en réalisant une copie par jour (lundi, mardi, mercredi, jeudi) et une de plus par semaine (semaine 1, semaine 2…), il est possible de revenir un mois en arrière avec moins de dix copies différentes et ainsi d’augmenter ses chances de disposer d’une base de données au sein de laquelle il sera possible de retrouver une version « saine » des données que l’on souhaite restaurer.

4) Utiliser des supports différents

Les outils utilisés pour réaliser les sauvegardes doivent permettre un accès simple et rapide aux données. On privilégiera donc des supports sur lesquels les informations ne seront pas compressées et donc directement lisibles. Il est possible de réaliser des sauvegardes sur des disques durs externes, des clés USB, ou encore en ayant recours à des prestataires extérieurs offrant des espaces de stockage de données en ligne (cloud).

5) Protéger les sauvegardes

Parmi les autres règles de prudence à respecter, on peut également rappeler de ne pas laisser, dans les mêmes locaux, les données originales et leurs sauvegardes (en cas de vol, d’incendie…), mais aussi de régulièrement régénérer les fichiers sauvegardés pour vérifier qu’ils restent lisibles (erreur pendant la copie ou support défectueux), et enfin de veiller à remplacer régulièrement les supports utilisés (leur durée de vie dépassant rarement 5 ans).

Frédéric Dempuré

Le minage des Bitcoins consomme autant d’électricité que la Tchéquie ou l’Autriche

L’écologie est au cœur des préoccupations de plus en plus de monde. Les résultats réalisés par les partis défenseurs de la cause environnementale aux dernières élections européennes en sont une bonne illustration. Dans ce contexte, la mise en ligne, par l’Université de Cambridge, destiné à calculer la consommation électrique nécessaire à la seule production (minage) de la cryptomonnaie Bitcoin prend une saveur particulière.

Des millions d’ordinateurs mobilisés

Pour rappel, les cryptomonnaies, comme le célèbre Bitcoin, ne sont pas régulées par des banques centrales. Leur administration est assurée directement par certains utilisateurs. Concrètement, ces personnes mettent à disposition la puissance de calcul de leurs équipements informatiques. Cette puissance de calcul est alors utilisée pour réaliser les opérations de validation des transactions qui garantissent « l’inviolabilité » de la blockchain sur laquelle s’appuie la monnaie électronique. En contrepartie, ces « mineurs » (c’est ainsi qu’ils sont appelés) se voient attribuer des unités monétaires, créées pour l’occasion. Ces opérations de minage nécessitent que soit réalisée une masse de calcul considérable. Il faut ainsi mobiliser nombre d’ordinateurs qui consomment une certaine quantité d’électricité.

Un besoin électrique comparable à celui de l’Autriche

Le simulateur créé par Cambridge permet d’estimer, en temps réel, la consommation électrique de ce parc de machines dédiées au minage. Au moment où cet article a été rédigé elle correspondait à 63,67 TWh en consommation annualisée. À titre de comparaison, cela représente 0,29 % de la consommation annuelle mondiale d’électricité, 1/7 de la consommation électrique française, l’équivalent de celle d’un pays comme la Tchéquie (62,34 TWh par an) ou de l’Autriche (64,60 TWh par an) ou encore de quoi satisfaire les besoins électriques de l’Université de Cambridge pendant 362 ans.

Frédéric Dempuré

Hameçonnage : les points à vérifier pour ne pas se faire avoir

L’hameçonnage (phishing en anglais), technique qui consiste à usurper l’identité d’une personne ou d’une entreprise de confiance pour tromper un internaute, continue de faire de nombreuses victimes tant chez les particuliers que dans les entreprises. Un véritable fléau qui, comme le rapporte , a conduit Orange (entreprise dont l’identité est souvent usurpée par les fraudeurs) à lancer une campagne nationale de sensibilisation sur ce type de fraude. Une bonne raison de rappeler quelques principes de prudence à respecter.

Une usurpation d’identité

En général, les pirates usurpent l’identité d’une administration ou d’une grande entreprise pour parvenir à tromper plus facilement leurs victimes. Pour cela, ils utilisent leurs logos, reproduisent l’environnement graphique de leurs courriels, celui des pages de leurs sites et n’hésitent pas à utiliser des noms de domaine (adresse de site – URL) se rapprochant de ceux des sites copiés. En outre, afin de convaincre les personnes de leur livrer des informations précieuses (le plus souvent, des coordonnées bancaires, un mot de passe…) ou de cliquer sur une pièce jointe porteuse d’un virus, les pirates leur font miroiter un gain (remboursement d’un trop perçu, promotion à saisir…) ou tentent de les inquiéter (amende ou facture en retard à payer, par exemple). Les tentatives d’hameçonnage sont généralement adressées par courriel ou même par SMS.

Comment les identifier ?

Nous recevons des centaines de courriels par jour et presque autant de SMS. Identifier une tentative de phishing dans le lot n’est pas toujours aisé d’autant que les pirates sont de plus en plus ingénieux. Toutefois, certains éléments doivent toujours attirer notre attention. Le premier, le plus important, est le caractère inattendu du message. Un message qui, rappelons-le, émane d’une organisation connue (administration, banque, fournisseur…). Typiquement, une banque vous signale avoir perdu votre mot de passe et vous demande de le renseigner en ligne ou une administration souhaite vous rembourser un trop perçu et réclame vos coordonnées bancaires.

Dès lors qu’apparaît un doute, il convient, avant de donner suite à la demande, de vérifier l’authenticité du message et l’identité de son expéditeur. Généralement, le simple examen de l’adresse de l’expéditeur et de l’adresse du lien inclus dans le message suffit pour distinguer un hameçonnage d’une demande légitime. Pour s’entraîner à identifier plus facilement ces tentatives d’escroquerie, Google propose une page de test très instructive .

Comment réagir

Face à une tentative d’hameçonnage avérée ou supposée, les experts de la plate-forme publique conseillent de :- ne jamais communiquer d’informations sensibles en réponse à une demande par courriel ou par SMS ;- de contacter directement l’organisme concerné pour confirmer (sans passer par les liens proposés sur le courriel ou le message suspect) ;- de faire opposition immédiatement (en cas d’arnaque bancaire) ;- de changer ses mots de passe divulgués ou compromis ;- de porter plainte.

Frédéric Dempuré