Un peu de biométrie, un peu de stockage et voilà nos photographies de profils devenus une denrée économique pour Facebook. Nous vous en parlions, l’année dernière dans zatazweb.tv. Facebook met en place des systèmes économiques avec nos données et nos photographies. Parmi les (très) nombreuses actions en préparations, une webcam, chez les commerçants qui, couplée avec Facebook et votre smartphone, vous communique des bons de réductions dans la boutique partenaire.
Depuis quelques jours, Big Brother a décidé de débuter une autre forme de commercialisation des vies privées proposées dans son portail communautaire. L’information a été diffusée de manière « douce », dans un courriel annonçant « de nouvelles conditions d’utilisation« . Dans ces nouveautés, l’utilisation des photos des profils des utilisateurs. Ces dernières peuvent être stockées (ce qui était déjà le cas, ndlr datasecuritybreach.fr) dans une base de données centrale (la nouveauté, ndlr zataz.com). Une BDD centralisée que peuvent consulter les annonceurs.
L’intérêt ? L’avenir va très rapidement nous le dire via les applications et outils (comme notre webcam citée plus haut, ndlr datasecuritybreach.fr). L’annonce de Facebook est aussi d’indiquer aux utilisateurs que leur visage pourra être scanné et exploitée à partir d’un système biométrique prévu à cet effet. Erin Egan, responsable de la confidentialité et de la vie privée chez Facebook, indique ces données offriront aux utilisateurs un meilleur contrôle sur leurs informations personnelles. En gros, si quelqu’un diffuse votre tête sur Facebook, Facebook vous préviendra. Un peu de vie privée par-ci et un gros coup de louche dans le tas car si vous n’acceptez pas les nouvelles conditions d’utilisations, dehors ! Bref, la BDD centrale ne gardera que votre photographie de profile, tout en étant capable de contrôler les autres.
Pour vous protéger de ce genre de débordement commercial, plusieurs choix. Ne pas s’inscrire à Facebook. Bien choisir ses options de confidentialités proposées par le portail. Chiffrer votre visage. Pour cela, troublez par exemple, vos yeux ; mettez un bonnet ; où faîtes comme votre serviteur, faîtes des sourires à vous arracher la mâchoire.
Le dossier Public de DropBox, un peu trop libre pour les personnes non autorisées à le consulter. Dropbox est une société bien connue spécialisée dans les solutions de cloud computing. La société annonce des centaines de millions d’utilisateurs, avec des pétaoctets de données stockées. Aujourd’hui, beaucoup utilisent Dropbox pour partager quoi que ce soit en famille ou entre amis. Cet usage semble parfaitement raisonnable si les données partagées ne sont pas sensibles, mais Dropbox est aujourd’hui aussi largement utilisé par les entreprises. DropBox remplace même parfois le service de Backup ou autres moyens de partager des fichiers entre collègues. Il parait que cela permet d’économiser de l’espace disque, du temps. Mais côté confidentialité, il faudra repasser, surtout si vous utilisez le dossier « Public ».
Notre ami Jean-Pierre Lesueur (DarkCoderSc) vient de nous montrer comment les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées, sont en fait parfaitement libres d’être consultés par des personnes extérieures. Pour cela, rien de plus simple. Il faut posséder un compte DropBox valide, une petite application python du nom de wfuzz et … c’est tout.
L’outil va égrener les noms de fichiers qui peuvent se trouver dans le dossier Public d’un compte DropBox ciblé. Bref, arrêtez de penser que le dossier « Public » n’est pas accessible aux personnes non autorisées. Démonstration en vidéo, ci-dessous.
Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.
« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois,à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.
Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !
Il est logique que la NSA utilise les ambassades américaines basées à l’étranger en tant qu’outil collecteur pour le système d’analyse d’information X-Keyscore, moissonneuse batteuse révélée par le nouveau russe (pour un an, ndlr datasecuritybreach.fr) Snowden. Les ambassades ont toujours été utilisées pour l’espionnage local, pour la « veille » militaire, politique, économique, sociale. Son option cyber était inévitable.
Les ambassades ont de multiples réseaux de communications. Il est intéressant de « suivre » certains « employés » sur LinkedIn et autres médias sociaux. De nombreux militaires et anciens espions cherchant désormais une plus grande rémunération, sont en « awares » pour toutes propositions sonnantes et trébuchantes. Une recherche rapide par Cryptome sur LinkedIn a de quoi faire sourire : AGILEVIEW, AGILITY, AIRGAP/COZEN, AIGHANDLER, ANCHORY/MAUI, ARCANAPUP, ARTEMIS, ASSOCIATION, AUTOSOURCE, BEAMER, BELLVIEW, BLACKPEARL, CADENCE/GAMUT, CHALKFUN, CINEPLEX, CLOUD, COASTLINE, COMMONVIEW, CONTRAOCTAVE, CONVERGENCE, COURIERSKILL, CREEK, CREST, CROSSBONES, CPE, CULTWEAVE, CYBERTRANS, DISHFIRE, DOUBLEARROW, DRAGONFLY, WEALTHYCLUSTER (EWC), ETHEREAL (logiciel open source network d’analyse, ndlr datasecuritybreach.fr), FASCIA, FASTSCOPE, FOREMAN, GAMUT/UTT, GISTQUEUE, GJALLER, GLAVE, GLOBALREACH, GOLDMINER, GOLDPOINT, GOSSAMER, GROWLER, HERCULES (CIA database, ndlr datasecuritybreach.fr) HIGHTIDE/SKYWRITER, HOMEBASE, INFOSHARE, JOLLYROGER, KINGFISH, LIQUIDFIRE, MAINWAY, MARINA, MASTERLINK, MASTERSHAKE, MAUI/ANCHORY, MESSIAH, METTLESOME, NEWHORIZONS, NIGHTSURF, NORMALRUN/CHEWSTICK/FALLENORACLE, NUCLEON, OCTAVE, PATHMASTER/MAILORDER, PINWALE, PANOPTICON, PRESENTER, PROTON, RAVENWING, RENOIR, ROADBED, SCORPIOFORE/CPE, SHARKFINN, SKOPE, SKYWRITER, SNAPE, SPOTBEAM, STINGRAY; SURREY, TAPERLAY, TAROTCARD, TEMPTRESS, TRACFIN, TRAILMAPPER, TREASUREMAP, TRICKLER, TUNINGFORK/SEEKER, TURMOIL, TUSKATTIRE, TWISTEDPATH, UIS/PINWALE, UTT, WEALTHYCLUSTER, WIRESHARK (logiciel open source network d’analyse, ndlr datasecuritybreach.fr) WITCHHUNT, XKEYSCORE, YELLOWSTONE/SPLITGLASS.
Selon un document que Cryptome a diffusé, 150 sites et plus de 700 serveurs seraient employés pour X-Keyscore. Etonnant, un serveur est basé à Moscou, un autre à Pékin. Les ambassades sont donc montrés du doigt. Etonnamment, la station NSA à Hawaï, où Edward Snowden a travaillé, n’apparaît pas sur la carte. 25 points sont affichés le long de la côte Antarctique. La France est affichée, pas la Belgique, ni la Suisse ou encore le Luxembourg. A noter que des offres d’emplois affichent très clairement les ambitions de XKeyscore… avant la « pseudo » révélation de Snowden.
Sur Saic.com par exemple, le 03 juillet, la recherche d’ingénieurs systèmes familier de « VMware ESXi 3.5, 4.1 et 5.0.« , sachant manipuler « des logiciels avec des langages de script Java, C et Bourne shell » et pythonner dans la joie et la bonne humeur. L’heureux gagnant, qui travaillera à Columbia, dans le Maryland, fournira un soutien technique pour les systèmes qui englobent les systèmes SKIDROWE. Mais qui est donc ce mystérieux Skidrowe qui va obliger notre demandeur d’emploi de passer sous l’égide du « Top Secret » et du « SCI with Polygraph » ?
Pendant ce temps, la NSA, qui a fait parler son boss lors du Black hat de Las Vegas (hué, comme l’explique zataz.com), affiche dans la foulée son commentaire au sujet de XKEYSCORE. « Dire que la NSA collecte arbitrairement des informations est fausse. Les activités de la NSA sont ciblées et spécifiquement déployées contre – et seulement contre – des cibles de renseignement étrangers légitimes en réponse aux exigences de nos dirigeants qui ont besoin d’information pour protéger notre nation et ses intérêts. La publication de ces informations classifiées sur les systèmes de collecte de la NSA ne fait que mettre en péril les sources et les méthodes« . La NSA, qui n’a jamais autant « causé » depuis ces dernières semaines explique ne pas pouvoir en dire beaucoup plus sur X-Keyscore. « Accédez à XKEYSCORE, explique la NSA, ainsi qu’à tous les outils d’analyse de la NSA, est limité aux seuls employés légitimes. Ces personnes doivent suivre une formation appropriée avant de se voir accorder un tel accès – la formation est renouvelée régulièrement. Cette formation couvre non seulement la mécanique de l’outil mais aussi des obligations éthiques et juridiques de chaque analyste. En outre, il existe plusieurs échelons de vérifications afin d’éviter les abus délibérés« . D’après la NSA, depuis 2008, plus de 300 terroristes ont été capturés à l’aide de renseignements provenant de XKEYSCORE. en attendant, la NSA annonce remplacer beaucoup de ses analystes par des machines. Ca évite les fuite !? Pendant ce temps, dans l’Utah, le Data Center de la NSA sort du sol. Du moins le Bing Map de Microsoft est plus prolixe en image que Google map sur le sujet !
Les « Amis du petits dejeuners », comme les nomme ZATAZ.COM, de la région de Nice se sont mis au houmous, moutabal, böreks et autres dolmas. La division économique et financière de la police judiciaire niçoise a arrêté dans un hôtel, fin juillet, deux Arméniens soupçonnés d’avoir mis en place des skimmeurs dans des distributeurs automatiques de billets de Nice, Aix-les-Bains, Marseille, Lyon. C’est d’ailleurs des policiers lyonnais qui avaient traqué et logé les deux présumés voleurs.
Les skimmeurs ? Des systèmes permettant d’intercepter les données de votre carte bancaire insérée dans un distributeur de billet officiel. Du « matos » qui pullule. Les deux pirates appréhendés, comme d’habitude, font parti d’une bande très organisée avec les « placeurs », les collecteurs et les revendeurs. Déférés au parquet, les deux amateurs du skimming ont été mis en examen pour escroqueries en bande organisée. (Nice matin)
Vous souhaitez sauvegarder vos images, vidéos, … et pouvoir y accéder partout, que se soit au bureau, à la maison, en week-end ou en déplacement professionnel ? Le service proposé gratuitement par Toutbox.fr devrait vous plaire. Toutbox.fr est un système moderne de disque dur virtuel, un site exclusivement français,
entièrement gratuit et illimité. Toutbox.fr vous permet d’envoyer et de partager des fichiers avec la communauté de Toutbox.fr. Les fichiers peuvent être publics ou privés. Dans ce dernier cas, les documents sont protégés par un mot de passe. Toutbox.fr se démarque de ses concurrents par son aspect illimité et gratuit mais aussi par les fonctionnalités offertes par le site (streaming, preview de fichiers …). Un logiciel, baptisé Box, permet de gérer son compte depuis son bureau d’ordinateur.
Toutbox.fr, le cloud social
Chaque utilisateur dispose de sa propre page ToutBox. Il peut modifier à volonté cette espace afin de mettre en avant les fichiers qu’il souhaite partager. Une page qui deviendra rapidement la vitrine pour son propre site ou tout simplement se présenter pour les autres utilisateurs. Le contenu est libre et les autres utilisateurs peuvent laisser des messages sur le « mur » de tous les utilisateurs pour communiquer et échanger entre eux. Un moteur de recherche permet de retrouver ses fichiers en cherchant parmi les noms, la description, la date d’ajout ou encore son poids. Il est aussi possible de rechercher parmi les fichiers des utilisateurs qui autorisent cette fonction.
Streaming, preview et vie privée
Toutbox.fr propose du streaming. Vous avez ainsi la possibilité d’écouter la musique présente sur votre compte ou celle d’autres utilisateurs, là aussi en illimité et sans avoir à télécharger le fichier sur votre ordinateur ! Vous voulez voir un extrait du document que vous voulez télécharger ? Faites une preview du fichier pour voir si le fichier est bien le bon ! La preview de fichiers marche pour la plupart des extensions connues, même pour les vidéos. Pour finir, la vie privée n’est pas un vain mot.
Toutbox.fr est un service gratuit et illimité qui voit le partage sous un autre angle : social et avec des fonctionnalités pratiques, que ce soit pour le simple utilisateur qui veut sauvegarder ses fichiers, l’utilisateur qui souhaite partager ses fichiers au plus grand nombre ou à l’éditeur qui recherche un moyen simple et sécurisé pour diffuser son contenu.
Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.
Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.
Apple indique que cette option permet « une meilleure approximation de la localisation géographique(…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !
Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.
Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.
Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.
Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».
Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.
Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.
Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !
Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.
La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.
D’autres conseils si vous utilisez les Wifi public:
· Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.
· Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.
· Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.
· Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.
· Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.
· Utilisez un mot de passe différent pour chaque compte.
· Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.
· Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.
· Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.
· A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.
· En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.
Le logiciel Sarbacane est proposé en téléchargement gratuit : l’occasion pour vous de tester la diffusion facile et rapide de vos newsletters. Fidéliser vos lecteurs, clients, visiteurs sur Internet ? Et si vous tentiez l’emailing. Ici, pas question de parler de spam, de pourriel, mais bien d’une gestion efficace et rapide de votre base de données. Sarbacane est la solution d’emailing de référence.
Ce logiciel, en téléchargement gratuit pour tester ses capacités, permet de gérer vos campagnes d’emailing et de newsletter. Importez vos contacts, créez vos mails personnalisés en HTML, et envoyez vos mails à vos lecteurs, clients, visiteurs en toute facilité. Nous vous proposons de tester gratuitement ce logiciel d’emailing pour que vous puissiez découvrir sa simplicité d’utilisation et son efficacité.
Créé par une société du Nord de la France, située à quelques kilomètres de zataz.com, Sarbacane a reçu le label qualité d’Ekomi avec une note loin d’être négligeable : 4.4 sur 5. La Poste, Toshiba, Universal Music ou encore le CIC utilisent Sarbacane : testez gratuitement Sarbacane et laissez-vous convaincre par son utilité et son efficacité.
Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.
Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point. Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.
Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web. En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.
Petites entreprises, grandes menaces : restez informés, restez protégés
