Archives de catégorie : Vie privée

Cyber-attaque, DDoS, Espionnae, Vie privée, VPN

Google veut protéger les ONG et les droits de l’Homme des DDoS

Un commentaire

La filiale « idées » de Google, la Google Ideas, vient d’annoncer qu’une de ses nouvelles initiatives seraient à destination des ONG et autres associations de défense des Droits de l’Homme. Le géant américain annonce vouloir ainsi protéger des attaques DDoS, les sites web des défenseurs des Droits de l’Homme. L’annonce a été faite lors du « Conflict in a connected world« . Le projet, baptisé Shields, va profiter du Page Speed Service (PSS). Le PSS permet d’accélérer l’accès aux pages web. Un moyen technique qui va être utilisé, aussi, pour contrer les dénis de service distribués (DDoS) qui peuvent bloquer sites web et communication (emails, …) des serveurs visés par un afflux pirate de données. Plusieurs sites web ont été invités, ils sont basés en Iran, Syrie, Birmanie (Myanmar) et au Kenya. Arbor Network, proposera d’ici peu une carte baptisée « Digital Attack Map » qui montrera les attaques visant les sites protégés. Bilan, les DDoS seront interceptés par Google. Les DDoS et les informations transitant par PSS. A noter que d’ici quelques semaines, Google va proposer uProxy, une application pour Chrome et Firefox. Mission, créer un système de sécurisation des données.

Pendant ce temps, en Europe

Le Parlement européen a annoncé, lundi soir, un renforcement de la protection des données personnelles sur internet. La commission des libertés publiques a approuvé les propositions de sanctions et la directive destinées à renforcer la protection des données personnelles (sur Internet, dans les entreprises, …) au sein des états membres. La prochaine loi doit donner un plus grand contrôle sur leurs données personnelles. Les entreprises, mais aussi les géants du web, comme Google, auront obligation d’obtenir notre consentement préalable pour l’utilisation de nos données. Nous pourrons, mais en France cela est déjà normalement possible via la Loi Informatique et des Libertés, de demander aux entreprises de supprimer nos données. Des amendes sont annoncées. Elles pourront atteindre jusqu’à 5% du chiffre d’affaires. Le texte doit être approuvé lors d’une prochaine session du Parlement.

Après trois ans de travail parlementaire les eurodéputés de la Commission LIBE ont adopté à une forte majorité le règlement (49 +, 2- et 1 abst pour le règlement) et la directive (29+, 20, – 3 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All), et Dimitrios Droutsas (S&D, GR) un large mandat de négociation avec le Conseil et la Commission européenne. Les socialistes Sylvie Guillaume et Françoise Castex présentes lors du vote se félicitent de ce résultat.   « Nous aurions pu souhaiter un encadrement plus strict sur l’encadrement des données pseudonymes mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois », note Françoise Castex. « En Février la droite européenne majoritaire au Parlement était favorable à un allégement de la proposition de la commission européenne, allant même jusqu’à déposer des amendements proposés par les géants du Net américain. Nous ne pouvons que nous féliciter qu’ils aient fini par voter pour ce texte qui va vers une meilleure protection des consommateurs: le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Pour Sylvie Guillaume : « La protection des données est un droit fondamental pour les citoyens européens et les dernières révélations sur les écoutes de la NSA en France nous rappellent plus que tout que nous avons besoin de nous doter de règles claires. Malgré un lobbying intense, le compromis obtenu va véritablement dans le sens de règles renforcées au service des consommateurs, tout en n’accablant pas les PME de charges bureaucratiques excessives. Ainsi, grâce au vote de ce soir, un consentement explicite devra être donné librement avant tout traitement des données personnelles et toute personne pourra retirer son consentement dès qu’elle le souhaitera. Loin des contrats de confidentialité plus longs encore que le texte d’Hamlet (cf. ITunes), chacun pourra, au moyen de pictogrammes, connaître précisément et de façon claire à quelles fins ses données sont traitées, si elles sont transférées à des tiers…Enfin, des compagnies comme Google, Facebook et Skype ne pourront plus être autorisées à transférer des données à des pays tiers sans un accord européen légal sur des transferts de données. Soit autant de mesures qui doivent sonner comme un message fort à l’adresse du Conseil européen avec lequel les négociations vont s’ouvrir ».

Les députées européennes concluent: « L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs sur ce sujet montrent que la question de la protection des données personnelles est devenue un sujet très sensible. Après trois ans de travail parlementaire il serait bon de ne plus trop trainer et d’obtenir un texte fort avant la fin du mandat ! ».

Cybersécurité, Espionnae, Fuite de données, Vie privée

Backdoor D-Link

Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.

Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.

Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.

Justice, Propriété Industrielle, Vie privée

Les robots de la police privée du copyright attaquent « Robocopyright »

Un commentaire

Avec une mordante ironie, la vidéo « Robocopyright ACTA » [1] que La Quadrature du Net avait publiée en 2010 sur Youtube [2] pour dénoncer les excès de la répression conduite au nom du droit d’auteur a été retirée cette semaine [3] par la plateforme… pour violation du droit d’auteur ! Elle constituait pourtant incontestablement une parodie protégée par une exception au droit d’auteur en France et par le fair use (usage équitable) aux États-Unis. Cette atteinte caractérisée à la liberté d’expression ne fait qu’illustrer une fois de plus les risques de censure dont sont porteurs les systèmes d’application automatisée du droit d’auteur. Ce sont pourtant ces modèles qui sont montrés en exemple aujourd’hui en France, notamment à travers le concept « d’auto-régulation des plateformes », que l’on retrouve aussi bien dans le rapport Lescure, à la Hadopi ou au CSA. ***

La vidéo « Robocopyright ACTA » avait été réalisée par l’équipe de La Quadrature [4] à partir du détournement d’une scène du film RoboCop, dont les droits appartiennent à la société de production MGM. Ce sont ces contenus que le système automatique de filtrage Content ID [5], mis en place par Google sur Youtube, a repérés et retirés, peut-être à la demande des ayants droit.

Content ID fonctionne sur une base contractuelle par le biais d’accords de redistribution des revenus publicitaires entre Google et les ayants droit. Il se substitue aux mécanismes prévus par la loi, aussi bien en Amérique qu’en France, concernant la responsabilité des hébergeurs. En laissant aux titulaires de droit la possibilité de décider arbitrairement du retrait de leurs contenus, Content ID occasionne très fréquemment des dommages collatéraux, en provoquant le retrait de mashups, de remix ou de parodies reconnues par ailleurs par la loi.

Ce système aboutit à la mise en place d’une police privée du droit d’auteur, s’exerçant en dehors du contrôle de la justice et dérivant graduellement vers un système de censure aveugle. Une possibilité de contre-notification a bien été prévue [6] par le biais d’un appel, mais, outre la lourdeur de cette procédure pour les simples citoyens, l’impartialité de ce dispositif est douteuse, puisque certains ayants droit comme Universal [7] ont obtenu des privilèges leur permettant d’obtenir les retraits comme ils le souhaitent.

Il est très inquiétant de voir que ces systèmes automatiques de filtrage sont pris pour exemple par les pouvoirs publics français, comme des dispositifs dont l’application pourrait être généralisée pour « réguler » Internet au nom du droit d’auteur. Mireille Imbert Quaretta, présidente de la Commission de protection des droits de la Hadopi, s’est ainsi vue confier par le Ministère de la Culture une mission de lutte contre la contrefaçon commerciale [8]. Elle entend pousser les plateformes à « s’autoréguler » en mettant en place des dispositifs de filtrage, sous peine de voir leur responsabilité engagée. On retrouve la même idée dans les recommandations du rapport Lescure [9], qui vante les mérites de Content ID et envisage favorablement sa généralisation.

Face à ces dérives, qui pourraient amener un ACTA ou un SOPA contractuel en France [10], La Quadrature réaffirme que le retrait d’un contenu sur Internet ne devrait intervenir qu’après le contrôle d’un juge impartial dans le cadre d’une procédure contradictoire au sein d’un tribunal. Il n’appartient pas à des acteurs privés de définir à leur guise l’étendue de la liberté d’expression. Le mashup, le remix et la parodie doivent être consacrés comme des droits dans la loi, mais les abus de la censure ou de la sanction automatisée ne sont en rien limités à ces cas.

« Le retrait arbitraire de cette vidéo illustre le fait que l’application du droit d’auteur ne devrait jamais être confiée à des machines ou à des humains machinisés. C’est hélas une tendance lourde de la guerre au partage, inscrite dès l’origine dans le fonctionnement de la Hadopi. Le projet de confier au CSA la possibilité d’infliger automatiquement des amendes par voie d’ordonnances pénales participe de la même logique », déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

« Cette vidéo était l’un des symboles de la lutte contre l’accord ACTA et elle avait été vue par des centaines de milliers d’internautes. Le détournement parodique de contenus est devenu un mode d’expression à part entière sur Internet. Ce sont des pans entiers de notre culture qui sont menacés par cette application disproportionnée, injuste et dangereuse du droit d’auteur », déclare Jérémie Zimmermann, porte-parole de la Quadrature du Net.

* Références *

1. http://mediakit.laquadrature.net/view.php?full=1&id=555

2. https://www.youtube.com/watch?v=4-NmUklcbDc

3. https://www.laquadrature.net/fr/numerama-la-quadrature-du-net-censuree-par-le-robocop-youtube

4. Et l’aide précieuse de Magali « StarMag »

5. https://www.youtube.com/t/contentid

6. https://www.youtube.com/yt/copyright/fr/counter-notification.html

7. http://www.numerama.com/magazine/25601-universal-a-les-pleins-pouvoirs-de-censure-sur-youtube.html

8. http://www.pcinpact.com/news/80696-aurelie-filippetti-confie-mission-antipiratage-a-copresidente-dhadopi.htm

9. https://www.laquadrature.net/fr/rapport-lescure-le-catalogue-repressif-de-lindustrie

10. https://www.laquadrature.net/fr/hadopi-et-intermediaires-du-net-non-a-un-acta-a-la-francaise

Espionnae, Linkedin, Vie privée

Piratage de messagerie chez Linkedin ?

Un commentaire

Une plainte collective contre le portail professionnel Linkedin accusé d’accéder aux boites électroniques des abonnés. Eggers Erin, Paul Perkins, Pennie Sempell et Ann Brandwein ne sont pas content après le site Internet Linkedin. Pour ces quatre utilisateurs, le portail communautaire dédié aux rencontres professionnelles espionne ses utilisateurs. Fait que réfute Linkedin. Bilan, les quatre internautes ont déposé une plainte collective auprès du tribunal du district nord de Californie. D’après les plaignants, Linkedin exploite les boites emails de ses membres pour envoyer des publicités à la liste des contacts enregistrés par les internautes utilisateurs du portail. Bref, comme peuvent le faire plusieurs webmail comme Yahoo! ou encore gMail en « lisant » les mots des courriels afin de proposer des publicités « ciblées ».

Pour les quatre américains, Linkedin n’avertit pas « clairement l’utilisateur » et n’obtient en aucun cas son consentement par un bouton, un onglet à cocher, … Blake Lawit, le directeur juridique de Linkedin indique que « Linkedin n’accède pas aux comptes de messagerie des utilisateurs sans son autorisation. Les accusations de piratage et d’introduction dans les comptes sont fausses (…) nous n’envoyons jamais de messages ou d’invitations à rejoindre Linkedin en votre nom, sauf si vous nous avez donné la permission de le faire ».

La plainte explique que Linkedin demande une seconde adresse de messagerie lors de l’inscription ; qu’à la fermeture du compte Linkedin peut accéder aux informations et récupérer les adresses des contacts ; La plainte indique aussi qu’en cas de déconnexion de l’utilisateur, Linkedin communiquerait login et mot de passe, en clair, pour vérifier l’identité de l’utilisateur en question. Bref, la justice de l’Oncle Sam tranchera !

ios, Sauvegarde, Sécurité, Smartphone, Vie privée

Faille pour iOS 7 : vol de données possibles

3 commentaires

Une vulnérabilité découverte dans iOS 7. Piratage de vos photos, e-mails, comptes Twitter et Facebook en deux coups de doigt. Le nouveau iPhone, et les « anciennes » versions sous iOS 7 vont donner quelques petites frayeurs à leurs fiers propriétaires. Une faille permet de déverrouiller le téléphone et accéder aux petits secrets du « précieux » d’Apple. Les voleurs d’iPhone peuvent rendre le verrouillage totalement inutile en lançant une simple petite application. L’appli ‘timer’, qui se lance à partir du panneau de commande, est le fautif. La technique est simple, elle avait déjà fait un bel effet sur les « anciens » iPhone, mais aussi sur les Samsung 4. DatasecurityBreach.fr vous explique le « truc ». Pour faire sauter le mot de passe : « Timer », mettre l’iPhone hors tension et  appuyer deux fois sur le bouton « home ». Bilan, l’écran multitâche s’ouvre et l’accès à l’appareil photo s’ouvre, donnant par rebond accès à Facebook, Twitter, aux e-mails et SMS. Vous comprenez pourquoi il existe déjà une mise à jour d’iOS7 : iOS 7.0.1.

Mise à jour : Lookout a découvert que cette nouvelle menace va au-delà de l’application Horloge, l’application Calculatrice étant également concernée. Un accès complet à la liste des contacts est possible. Pour se sécuriser, en attendant le patch complet, direction les « Paramètres des Applications » ; sélectionnez les Réglages du « Centre de contrôle » et désactiver « Centre de contrôle », « Centre de notification» et «Siri» pour le verrouillage de l’écran.
Entreprise, Fuite de données, Leak, Vie privée

Vodafone piraté : 2 millions de clients en danger

3 commentaires

L’opérateur téléphonique Vodafone vient de confirmer le piratage d’une de ses bases de données. 2 millions de clients concernés. Un faille de type injection SQL, la plaie du web comme l’a baptisé DataSecurityBreach.fr, a touché, il y a quelques jours, l’opérateur de téléphonie Vodafone. Le géant des télécommunications britannique a confirmé le piratage informatique et le vol de plusieurs millions de données personnelles appartenant à, au moins, deux millions de clients allemands. Parmi les données consultées/volées/copiées : noms, adresses postales, emails, dates de naissance, téléphone et, plus grave, coordonnées bancaires. Vodafone indique avoir identifié le pirate. Espérons pour eux qu’il ne s’agisse pas d’une pauvre mémé dont le modem/box a été détourné.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Leak, Vie privée

Piratage informatique : plus de 60 millions de données personnelles divulguées en 2 ans

Un commentaire

Les actes de piratage informatique ont entraîné des fuites concernant plus de 63 millions de données personnelles en 2011 et 2012, a révélé le député du Parti démocrate (PD) Choi Jae-cheon après avoir analysé des données de la Commission coréenne des commissions (KCC) et de l’Agence de supervision financière (FSS). La plupart de ces fuites se sont produites dans le secteur non financier (61,48 mlns) et le reste dans le secteur financier (1,9 mln).

SK Communications Co., l’opérateur des sites populaires Nate et Cyworld qui ont fait l’objet d’un piratage massif l’année dernière, a affiché le plus grand nombre de fuites de données personnelles (35 mlns), devant Nexon Korea Corp., société de jeux en ligne (13 mlns), et KT Corp, le deuxième opérateur de téléphonie mobile (8,73). Dans le secteur financier, plus de 1,75 million d’informations personnelles ont été divulguées suite à un piratage informatique contre Hyundai Capital. Les attaques informatiques qui ont visé les sites Internet de ces sociétés ont été à l’origine de la majorité des fuites d’informations.

Les erreurs de programme ont été également l’une des causes principales de ces déperditions. «La discrétion excessive des entreprises face aux piratages informatiques augmente les dégâts», a noté Choi, appelant à une déclaration rapide auprès des autorités en cas d’accident pour réduire les dégâts causé par ces cyberattaques. Le député a de même exhorté les autorités de supervision à mener des enquêtes complètes pour éviter de nouveaux piratages et à renforcer les sanctions contre les fuites de données personnelles. Choi a récemment proposé une révision de la loi sur les réseaux d’information et de communication en vertu de laquelle tout piratage informatique doit être déclaré dans les 24 heures qui suivent l’incident sous peine d’amende. 63 millions connues. Zataz.com vous laisse imaginer le reste ! (Yonhap)

Chiffrement, Cyber-attaque, Cybersécurité, Justice, Leak, Vie privée

Perte ou vol de données sur internet : une meilleure protection des consommateurs

A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.

Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne. Pour en savoir plus, DataSecurityBreach.fr vous invite à vous lire le Règlement n° 611/2013 de la Commission européenne du 24 juin 2013 du journal officiel de l’Union européenne.

Espionnae, Particuliers, Vie privée

Espionnite au Royaume-Unis et en Nouvelle-Zélande

D’ici quelques mois, les britanniques seront obligés d’installer un logiciel afin de contrôler la visite d’un site pornographique. Une décision à la Big Brother pour un filtre anti-pornographie censé proteger les enfants. Si l’idée est bonne, qui ne souhaite pas protéger un enfant, l’excuse numérique laisse un léger mal de crâne aux défenseurs des droits de l’homme sur la toile.

Si un britannique adulte souhaite visiter un site coquin, il devra l’indiquer dans le logiciel espion. L’Open Rights Group, une ONG qui tente de protéger les droits en ligne des consommateurs, indique que le gouvernement britannique va étendre cette cyber-surveillance à la violence, à l’anorexie, aux troubles de l’alimentation, au suicide, au fait de fumer, à la consommation d’alcool.

D’après l’ORG, les forums peuvent aussi être « bloqués ». A l’internaute de tripatouiller dans la configuration de son logiciel. Bref, voilà aussi une excellente idée pour les « majors » du web qui, elles, ne seront pas filtrées et s’offriront de la page vue supplémentaire. Ca va être marrant de voir des émissions de télé réalité, comme celle proposée en 2012 par Channel 4, bloquer l’intégralité du site web de la chaîne en raison de l’accumulation de drogue, violence, … A noter que Google a prouvé, zataz.com vous l’a révélé en juillet, qu’il était tout à fait possible de bannir du web un site Internet.

En Nouvelle-Zélande, le parlement veut voter une loi qui donnerait plus de possibilité d’espionnage au Government Communications Security Bureau. La DGSE locale, est un service de renseignement extérieur. Sauf que les « élus » locaux veulent élargir la surveillance des communications à l’ensemble des Néo-Zélandais (soupçonnés de porter atteinte à la sécurité nationale ou non, ndlr datasecuritybreach.fr).

Bref, des 007 censés s’occuper hors des murs du pays veulent aussi s’occuper de leurs citoyens. Bilan, attaques DDoS et autres barbouillages de sites, comme le site du Premier Ministre John Key par Anonymous, chauffent le web local.

Espionnae, Fuite de données, ios, Sécurité, Smartphone, Social engineering, Vie privée

La prochaine mise à jour de l’iPhone va vous espionner

2 commentaires

Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.

Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.

Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !

Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.