Étiquette : info sécurité

Bloctel: la fin de la prospection sauvage ?

Nous y sommes, le service Bloctel est lancé et vous pouvez désormais vous inscrire pour ne plus subir les assauts parfois agressifs des pro du marketing téléphonique.

Le site de la plateforme Bloctel : www.bloctel.gouv.fr

Ce service né de la loi consommation de 2014  interdit le démarchage téléphonique des numéros inscrits sur cette liste (sauf exceptions… Dommage) et la vente ou location de listes contenant des inscrit (là aussi sauf exceptions).

Ce nouveau dispositif ressemble quand même à un aveu d’échec des dispositions précédentes: listes orange ou rouge ou le fameux « opt-in »

Au niveau des exceptions, la CNIL signale les points suivants:

  • les SMS et  spam vocaux (d’autres dispositifs existent)
  • Les démarchages lorsque l’on est déjà client de la société (faire un achat, même unique,  en laissant ses coordonnées n’est définitivement plus anodin)
  • La presse (journaux, magazines,…) reste autorisée  à vendre ou louer ses fichiers même si vous êtes inscrits (C’est assez incroyable et renseigne déjà sur l’efficacité de la plateforme à termes)
  • Les instituts de sondages et les associations ne sont pas concernés tant que cela n’est pas commercial (là je demande à voir…)

Heureusement la CNIL, dans son annonce, propose un tableau récapitulatif des dispositifs : Les listes d’opposition

Je vous rappelle, que n’en déplaisent aux mercenaires du marketing et autres desperados commerciaux, VOUS, MOI, NOUS ne sommes pas des produits mais des individus. A ce titre, nous avons des droits et c’est notre responsabilité de faire respecter une certaine éthique en ligne.

Je reste un peu interloqué d’entendre des professionnels de la relation client déclarer publiquement qu’ils se moquent de la loi en ce sujet, en rappelant que le gain est beaucoup plus important que le risque!

A la découverte d’un keylogger…

Suite à la lecture de l’un de mes blogs favoris Raymond.cc , je suis tombé sur un article sur l’utilisation d’un keylogger en freeware pour « monitorer » l’utilisation d’un PC…

Sans entrer dans le débat sur l’utilisation de ce type d’outils en entreprise, je considère que cela devrait être illégal (même si c’est parfois pratique).

Toujours est-il que j’avais en fin l’occasion de jouer avec  un keylogger et vérifier comment on peut espérer s’en protéger …

Avant de commencer, tout le monde ne sait pas forcement ce qu’est un keyloggger: c’est simplement un petit dispositif (à priori installé à votre insu par un pirate) qui enregistre ce que vous tapez au clavier.

A quoi ressemble le logiciel ?

En gros, on peut voir 3 types d’éléments  :

  • ce qui se trouve à l’écran (par défaut un snapshot à chaque changement de fenêtre)
  • ce qui se trouve dans le presse papier : ici le texte « A quoi ressemble le résultat« 
  • ce qui est saisi au clavier: ici le texte « a quoi ressembkle <BkSp> …« 

A priori, si ce type outil surveille votre PC, vous risquez de divulguer malgré vous tous vos secrets: identifiants, mots de passe,  informations confidentiels.

Dans la mesure où les mots de passe dans la fenêtre de connexion sont cachés par des points ou des étoiles, est ce que mon logiciel va les capturer?

Essayons de  nous connecter à Borbhal:

Effectivement le mot passe est masqué sur la capture:

Par contre, ce que j’ai tapé au clavier apparaît clairement (avec la correction de mes fautes de frappe):

On peut lire sans difficulté que le compte « user_naif » a pour mot de passe « mon mot de passe »

Pour information, si j’avais utilisé des copier/coller pour m’identifier sur le site, le pirate aura récupérer ces informations en capturant le contenu du presse papier.

Une idée pour se protéger est d’utiliser des claviers virtuels pour taper nos codes plus sensibles.

Le premier est celui que tout le monde possède (sans le savoir): OSK fournit avec Windows

Le résultat n’est pas meilleur…

Le nom du compte et le mot de passe sont fusionnés simplement parce que j’ai utilisé ma souris pour changer de champs…

Est ce que les claviers virtuelles fournis par les solutions de sécurité sont plus efficaces ?

Je fais le test avec l’outil fourni par mon Anti Virus:

 

Je constate que:

  • les captures sont blanches tant que le clavier de sécurité est actif (malgré plusieurs essais, j’ai toujours du mal à y croire)
  • Seuls les retours charriots et backspaces sont capturés…

Je n’ai pas essayé avec  du SSO pour voir ce qui était transmis mais pour l’instant il n’y a que le clavier de sécurité de ma solution antivirale qui empêche la capture de mes codes confidentielles.

Petites precisions:

  • par rapport à un « vrai » keylogger, ce freeware ne transmet rien par Internet
  • les captures d’écran prennent beaucoup de place sur le disque (près 15 MO le temps de réaliser les manipulations décrites)
  • Même si j’ai fait mes manipulations sur une petite machine virtuelle sous Windows XP cela fonctionne très bien sous Windows
  • Vérifier la légalité de ce type de logiciel avant de vous en servir en entreprise