Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.
Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.
Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).
La société Proofpoint, spécialiste dans la cybersécurité nouvelle génération, a annoncé ce mercredi 06 janvier 2015 le lancement de la première solution qui identifie automatiquement les menaces de sécurité, violations de conformité et publications inappropriées sur Instagram.
Baptisée Proofpoint SocialPatrol, l’outil permet d’exécuter une analyse avancée des images et du texte, lui-même incorporé ou non dans une image. Les marques et les organisations soucieuses des questions de conformité peuvent ainsi surveiller et supprimer les publications et commentaires inappropriés.
« La solution Proofpoint SocialPatrol nous a permis de lutter contre une grande quantité de spams et de commentaires inappropriés sur nos comptes Instagram », a déclaré Jeff Hagen à DataSecurityBreach.fr, directeur du service de relation clientèle internationale chez General Mills. « Sans cette technologie, nous aurions dû procéder à un renforcement coûteux de nos processus de modération manuelle, ou prendre le risque de perdre des abonnés. »
SocialPatrol analyse l’ensemble des images, légendes et commentaires publiés sur les comptes Instagram des marques ou entreprises. L’objectif est de détecter le contenu à caractère pornographique, malveillant ou inapproprié et d’en informer les propriétaires du compte. Ces derniers peuvent alors supprimer ces éléments indésirables, généralement publiés par des cybercriminels, spammeurs ou employés malhonnêtes.
Quatre-vingt-cinq pour cent des grandes marques communiquent avec leurs clients via Instagram. Ce réseau comptant plus de 400 millions d’utilisateurs actifs chaque mois, les entreprises doivent se prémunir des risques inhérents à son usage.
Les solutions de conformité basées exclusivement sur le texte et les mots clés ne prennent pas en compte le contenu des images, et entraînent de trop nombreuses fausses détections. Proofpoint SocialPatrol analyse le texte et les images, puis les compare à plus d’une centaine de classificateurs. Les entreprises sont ainsi en mesure de protéger leurs marques, en identifiant rapidement les publications et commentaires malveillants, inappropriés ou non conformes. La solution Proofpoint SocialPatrol peut être complétée par Proofpoint SocialDiscover™, qui permet de détecter, de suivre et de vérifier le compte Instagram des marques.
La suite de solutions Proofpoint dédiée aux réseaux sociaux permet également aux entreprises de protéger leurs comptes Facebook, Twitter, LinkedIn, Google+ et YouTube, notamment. Les plus grandes marques utilisent cette technologie en attente de brevet pour signaler les comptes frauduleux, empêcher tout discrédit dû aux cybercriminels, supprimer le contenu malveillant ou inapproprié, stopper les flux de publication non autorisés et veiller au respect des règles de conformité.
Les soldes d’hiver démarrent demain, avec leur cortège de bonnes affaires. Les achats sur Internet sont dans ce domaine de plus en plus en vogue. Mais si les soldes offrent de belles opportunités, elles peuvent aussi mettre les utilisateurs à la merci des pirates si la sécurité des sites marchands n’est pas assez forte. Afin d’y voir plus clair et de guider les internautes sur les sites les mieux sécurisés, Dashlane publie son 3ème Baromètre de Sécurité.
Le spécialiste de la gestion des mots de passe et de l’identité en ligne, ont analysé la manière dont les sites d’e-commerce gèrent la sécurité des mots de passe. Les sites sont évalués via une liste de critères (longueur minimale du mot de passe, obligation d’utiliser un mot de passe alphanumérique, nombre de tentatives de connexion successives possibles…). Une note est alors associée à chaque critère et le total permet d’attribuer au site un score de sécurité compris entre -100 et 100.
On ne le répétera jamais assez. Pour les consommateurs, il est indispensable d’utiliser des mots de passe forts, composés d’au moins 8 caractères, générés aléatoirement et incluant des chiffres et des lettres. Les mots de passe doivent être différents pour chaque site. Ce sont les conditions pour dissuader les pirates. Les sites d’e-commerce ont pour responsabilité d’encourager leurs clients à suivre ces bonnes pratiques.
Un constat alarmant
Sur les 25 sites analysés, 52% ont encore un score négatif et n’imposent pas à leurs visiteurs l’usage d’un mot de passe alphanumérique (mélangeant chiffres et lettres), 52% autorisent au moins 10 tentatives de connexion successives, et 36% acceptent des mots de passe faibles comme « motdepasse », « azerty », « 123456 », qui sont aujourd’hui les plus utilisés et donc les plus facile à pirater.
On est toujours surpris de retrouver des leaders de l’e-commerce français tels que Amazon France, Rueducommerce ou Aramis Auto parmi les plus mauvais élèves. Il est aussi assez stupéfiant de constater qu’une grande marque comme Castorama envoie encore à l’utilisateur son mot de passe en clair par email lors de la création de son compte. Un pirate qui accèderait à sa boîte email pourrait ainsi se connecter à son compte en quelques secondes.
Néanmoins, tous les sites n’ont pas les mêmes pratiques. Les premiers de la classe sont des grandes marques de référence, comme Apple (qui conserve le score maximum de 100!), Auchan, Alloresto, Carrefour ou Price Minister.
Si pour certains, la protection des données des consommateurs est une priorité qui ne se discute pas, certains sites semblent privilégier la facilité, l’assurance que les contraintes de sécurité imposées ne nuiront pas à la « transformation » du prospect en client…
La prise de conscience est en cours
Même si la liste des sites analysés et la méthode ont légèrement évolués depuis le précédent Baromètre de Sécurité Dashlane, la comparaison entre les baromètres 2014 et 2015 est toutefois riche d’enseignements. On remarque ainsi que certains sites ont pris conscience de la nécessité de renforcer la protection des données de leurs utilisateurs. Alloresto, Vente Privée, Cdiscount et Show Room Privé exigent maintenant des mots de passe de 8 caractères minimum, avec lettres et chiffres obligatoires, alors qu’ils acceptaient auparavant des mots de passe faibles. Brandalley ou Oscaro ont aussi cessé d’adresser aux utilisateurs leur mot de passe en clair par email et c’est une très bonne nouvelle !
De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.
L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.
Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.
La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)
Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.
Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].
Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.
Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]
Noël mouvementé pour les millions de clients de la boutique Steam. Un bug permettait d’afficher les données appartenant à d’autres clients du géant du jeu vidéo.
Joli bug que celui qui a touché la boutique de l’éditeur de jeux vidéo Valve. Vendredi 25 décembre, le magasin online Steam a diffusé les informations des clients. Une coquille numérique qui, une fois connecté à son propre compte, proposait les données personnelles et sensibles appartenant à d’autres clients. Une pression sur la touche F5 et d’autres contenus apparaissaient.
Apologies for the inconvenience. We're working hard to resolve log in and connection issues which are currently affecting many game titles.
Bref, le cache du serveur avait ses vapeurs ! Steam a indiqué qu’il ne s’agissait pas d’un piratage, mais d’un problème technique. Valve a assuré à la presse américaine que les informations bancaires n’ont pas été impactées. Pendant ce temps, plusieurs autres éditeurs de jeux vidéo, dont Electronic Arts et UbiSoft ont subit quelques assauts de type DDoS durant les fêtes. Des « piratins » souhaitant refaire le coup des Lizards Squad, en décembre 2014 et espérer vendre des comptes dans des boutiques proposant des Dénis Distribués de Services.
Via la prise USB d’une Toyota Corolla, un chercheur en informatique, bloque la voiture à coup de DDoS.
Le monde du « sans connexion » envahi nos vies. La marche de l’IoT est lancée et rien ne l’arrêtera vue les enjeux économiques. L’important, que le client achète, on verra ensuite pour sa sécurité. Du moins si le client est encore vivant.
Inoue Hiroyuki, professeur en informatique à la Graduate School of Information Sciences de l’université d’Hiroshima a expliqué comment il avait « planté » une Toyota Corolla avec 90€. Une clé USB trafiquée et un DDoS via le port USB de la voiture « Le pilote était incapable de bouger la voiture en appuyant sur l’accélérateur » explique-t-il dans le Japan Times. L’agrégé en informatique a indiqué avoir aussi été capable d’ouvrir et fermer les fenêtres de la voiture, afficher une lecture de compteur de vitesse incorrecte et geler l’accélérateur. Toyota a annonçait qu’il allait continuer « à faire des efforts » pour améliorer la sécurité de ses véhicules.
Il serait peut-être temps d’arrêter de nous prendre pour des idiots ? En juillet 2015, une Jeep Cherokee, et un mois plus tard, une Corvette étaient elles aussi malmenées. Le piratage des voitures ne fait que débuter ! Pour le moment, il ne se déroule officiellement que dans des laboratoires.
Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.
Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !
Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.
Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.
Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.
Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.
Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.
Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.
Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.
En Europe
Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).
Cette procédure comprend 3 obligations à la charge du professionnel :
La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.
Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.
Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.
La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)
Petites entreprises, grandes menaces : restez informés, restez protégés
