Archives par mot-clé : google

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering, Vie privée

Données d’utilisateurs UBER fuitent sur Google

Les fuites de données sont aussi l’affaire des propriétaires des données qui fuitent. Un exemple concret avec le cas UBER/Google.

Si la grande majorité des fuites sont dues à des piratages, des erreurs d’employés d’entreprises ou à un bug, des cas démontrent que certains internautes ne font pas attention à leur hygiène de vie numérique. Un exemple intéressant avec des informations appartenant à des utilisateurs d’UBER (portail qui permet de mettre en relation des piétons avec des automobilistes, du moins quand des taxis ne bloquent pas l’idée, NDR) qui se sont retrouvées sur Google. Parmi les données, adresses postales, noms du conducteur, informations sur la voiture. Le fautif de ce genre de fuite ? L’utilisateur lui même qui a partagé ses données sur Internet, Twitter.

Google a sauvegardé les informations via ses robots de recherche. Certains de ces voyages remontent à 2013, et incluent des voyages aux États-Unis, Royaume-Uni, Russie, Indonésie, Inde ou encore Philippines. Des données et informations qui restent en ligne, toujours accessibles aujourd’hui, via la cache de Google. Le responsable sécurité de chez UBER indique que son équipe a constaté que « tous ces liens sont volontairement partagée par les utilisateurs.« 

https://twitter.com/four/status/639163190757081088

 

Espionnae, ID, Identité numérique, Particuliers

La CNIL met Google en demeure d’élargir son Droit à l’oubli

Il y a un an, la Cour de Justice de l’Union européenne (CJUE) demandait aux moteurs de recherche de donner la possibilité à tout internaute de demander la désindexation d’informations le concernant, dans le cas où celles-ci seraient « inadéquates, pas ou plus pertinentes ou excessives ». Une procédure de droit à l’oubli jugée insuffisante par la CNIL.

La procédure de déréférencement a bien été lancée par Google, cependant les informations sont aujourd’hui désindexées uniquement sur les versions européennes du moteur de recherche. Elles restent donc accessibles à partir des autres versions de Google. La Commission nationale de l’informatique et des libertés (CNIL), considère que la mise en place du droit à l’oubli est donc aujourd’hui insuffisante. Elle a donc décidé de mettre en demeure Google afin qu’il procède à des déréférencements sur toutes les versions de son moteur.

Google dispose de quinze jours pour appliquer cette mise en demeure. Sans cela, la CNIL pourra amorcer une procédure de sanction, qui obligerait le moteur de recherche à payer une amende. Cette dernière ne pourra pas dépasser les 150 000 euros, soit 0.0000096% de son chiffre d’affaire publicitaire au premier trimestre 2015 (15,5 milliards de dollars). Autant dire que Google claque des dents !

Une mesure positive qui risque de ne pas aboutir selon Réputation VIP

Bertrand Girin, président de Réputation VIP, est tout à fait d’accord avec la CNIL : « Nous soutenons la CNIL dans sa démarche, en effet depuis nos débuts nous avions soulevé l’incohérence de la gestion de cette mesure par Google. Aujourd’hui, il suffit d’utiliser une version non européenne du moteur pour trouver les informations désindexées, la protection des internautes n’est donc absolument pas assurée comme le souhaitait le CJUE lorsqu’elle a pris sa décision. »

Cependant, on peut se demander quelle sera la réaction de Google face à cette mesure, selon Bertrand Girin « il faut s’inquiéter de la réaction de Google face à cette mise en demeure. Il n’est pas dans l’intérêt du moteur de se plier à la volonté de la CNIL« . Accepter le déréférencement sur les versions internationales du moteur pourrait conduire à de nombreuses questions d’autres pays. Si Google commence à désindexer des éléments sur la version américaine de son moteur, les résidents de ce pays seraient en droit de se demander pourquoi la mesure ne leur est pas applicable.

De plus, il faudrait que Google modifie son processus de réception des demandes, certaines personnes pourraient tenter de passer par le droit européen pour voir supprimer des informations dans leur pays de résidence, or Google ne demande aujourd’hui pas de justificatif de domicile mais seulement une pièce d’identité. Autant d’éléments qui pousseront Google, selon Bertrand Girin, à « se battre afin de préserver ses moteurs internationaux du droit à l’oubli européen ».

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Google accuse la MPAA de manipuler la justice

Un commentaire

L’affaire du piratage de Sony Picture n’a pas fini de faire les vagues. Il faut dire aussi que les donnés diffusées par les pirates ont de quoi faire sourire, rougir ou mettre très en colère certains acteurs médiatique, comme Google.

Dans les courriers et autres fichiers lâchés sur Internet par le/les pirates, on apprend que la Motion Picture Association of America a manipulé la justice américaine afin que Google supprime de son moteur de recherche les liens permettant de mettre la main sur des liens ou des sites renvoyant sur des contrefaçons. On comprend mieux pourquoi Sony a menacé la presse en indiquant qu’elle n’avait pas le droit de télécharger, lire et utiliser les informations mis en pâture par le/les pirate(s).

Bilan, le New York Times a lu et analysé les documents en question. Le journal a comparé avec les informations légales proposées lors du procès. Bilan, le procureur en charge du dossier, Jim Hood, a tout simplement reçu un courrier des avocats de la MPAA qui lui indiquaient quoi dire et faire.

Google a expliqué sur son blog qu’il n’était pas content et annonce que cette méthode n’était rien d’autre qu’une conspiration à son encontre. « La lettre a été signée par le procureur Wood, mais a été rédigée par un avocat du cabinet Jenner & Block qui travaille pour la MPAA ». souligne le New York Times.

Bref, le monde merveilleux du 7ème art révèle sa véritable facette. Nous sommes à deux doigts de dire merci à ce/ces pirates.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Fuite de données, Identité numérique, Vie privée

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Cybersécurité, Entreprise, Phishing

Les utilisateurs de services Google ciblés par une attaque de phishing difficile à détecter

Un commentaire

Les pirates récupèrent les mots de passe de comptes Google via une attaque de phishing particulièrement difficile à détecter par une analyse heuristique classique.

Selon les Laboratoires antivirus Bitdefender, des cybercriminels récupèrent les mots de passe d’utilisateurs de comptes Google grâce à une attaque de phishing difficile à détecter par une analyse heuristique, en raison du mode spécifique d’affichage des données utilisé par Google Chrome. En effet, les URI (identifiant uniforme de ressource) rendent les utilisateurs de Chrome plus vulnérables, même si ce phishing cible aussi les utilisateurs de Mozilla Firefox.

En récupérant les mots de passe de comptes Google, les pirates peuvent potentiellement acheter des applications sur le Google Play, pirater le compte Google+ ou encore accéder aux documents personnels stockés sur Google Drive. Cette arnaque commence par un e-mail prétendument envoyé par Google avec pour objet « Mail Notice » ou «  New Lockout Notice ». Ce message dit : « Pour rappel, votre compte e-mail sera bloqué dans 24h en raison de l’impossibilité d’augmenter votre espace de stockage. Cliquez sur « INSTANT INCREASE » pour augmenter automatiquement votre espace de stockage. »

Si l’utilisateur clique sur le lien “INSTANT INCREASE”, il est alors redirigé vers une fausse page de connexion Google, identique à l’originale, afin de renseigner son identifiant et son mot de passe. « La caractéristique de cette attaque de phishing est que la barre d’adresse de navigation n’affiche pas une URL habituelle mais une URI, en l’occurrence ici ‘data :’ » explique Catalin Cosoi, Responsable de la stratégie de sécurité chez Bitdefender.

Ce schéma de données URI permet aux pirates d’intégrer les données correspondantes aux pages Web comme si elles étaient des ressources extérieures. Le modèle utilise le codage Base64 pour représenter les contenus des fichiers. Dans ce cas présent, les pirates fournissent le contenu des fausses pages Web dans une chaîne codée dans les données URI. Et, dans la mesure où Google Chrome n’affiche pas toute cette chaîne, il est difficile pour l’utilisateur, même habitué, de comprendre qu’il est victime d’une attaque par phishing.

Il est habituel pour les cybercriminels de se faire passer pour des prestataires de services envoyant des messages ou notifications prétendument issus d’organismes tels que Google, Facebook, eBay, d’opérateurs téléphoniques ou de banques, qui figurent parmi les « déguisements » favoris des spécialistes du phishing pour envahir les boites mail du monde entier. Une attaque similaire avait récemment ciblé la page d’accueil Google Drive afin de récupérer les identifiants Gmail. Afin de se prémunir contre des arnaques en ligne, Bitdefender préconise également aux internautes de toujours utiliser une solution de sécurité à jour.

 

Entreprise, Justice

Discrète décision de justice sur Google France

Voilà une décision judiciaire qui n’aura pas fait grand bruit. Le Conseil d’Etat a imposé à Google la décision de justice lui indiquant l’obligation d’afficher sa condamnation à 150.000 euros d’amende après une délibération de la CNIL. Un affichage qui aura profité d’un discret week-end. Le texte a été installé sous la barre de recherche durant le week-end du 8/9 février.

Pour voir l’information judiciaire, il fallait taper Google.fr dans son navigateur. Un texte qui n’apparaissait plus si vous utilisiez une application pour navigateurs, ou lanciez une recherche sans passer au préalable via la page blanche Google.fr.

Le 7 février, une ordonnance de référé a imposé cet affichage à Google. Par chance pour le géant américain, le communiqué a été diffusé le week-end, sans que personne ne puisse véritablement sans rendre compte : « La formation restreinte de la Commission nationale de l’informatique et des libertés a condamné Google Inc. à 150 000 € pour manquement à la loi « Informatique et libertés »… ». Comme le rappel Legalis, le Conseil d’Etat a estimé que la société américaine n’avait apporté « aucun élément de nature à établir qu’un tel préjudice irréparable pourrait résulter de l’atteinte qui, selon elle, serait portée à sa réputation ».

Le 3 janvier dernier, la Cnil avait condamné Google Inc. à 150 000 € d’amende en reprochant au géant américain  d’avoir fusionné en une seule politique les différentes règles de confidentialité applicables à Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Pendant ce temps, Google fait la chasse aux images que ses robots considèrent comme « pornographiques ».

Plusieurs exemples viennent de nous être rapportés, comme ce blog d’un photographe Lillois dont un champignon avait, aux yeux de Google, une forme un peu trop phallique. Bilan, Google a coupé les annonces publicitaires.

A noter, que le site de la CNIL est tombé en carafe, le temps de cet affichage. Trop de visiteurs ! Un DoS judiciaire légal. Malin ce Google !

 

 

Android, Cybersécurité, Espionnae, Fuite de données, Vie privée

Un mouchard dans votre poche… la preuve

4 commentaires

Vous avez un smartphone dans votre poche ? Voici comment vous suivre à la trace… et avec votre consentement ! Google cache dans ses services une option aussi dingue qu’effrayante. Elle permet de suivre n’importe quel internaute, à la trace. Pour cela, rien de plus simple. Avoir un smartphone, si possible sous Android, et un compte gMail (ou Youtube, ou tout simplement chez Google). Le materiel dans votre poche fait le reste.

Comme le montre ma capture écran ci-dessous, on peut suivre les déplacements, jour par jour, heure par heure. Comme l’indique Google dans sa page dédiée : « L’accès aux données de localisation dans l’application Paramètres Google est disponible sur les appareils équipés de la version 4.1 à 4.3 d’Android. L’historique des positions et la mise à jour de la position sont disponibles dans l’application Paramètres Google sur les appareils équipés d’Android 4.0 ou version ultérieure sur lesquels l’application Google Maps pour mobile version 7.0 ou ultérieure est installée. » Le plus fou est que cette page existe depuis longtemps comme le confirme Telcrunch.

Comment se prémunir ?
Pour faire disparaitre ce mouchard, vous pouvez contrôler la manière dont les applications Google utilisent votre position à l’aide d’un simple paramètre, sans que cela ait un impact sur l’accès des applications tierces. Pour ce faire, procédez comme suit : D’abord dans le menu des applications de votre appareil, sélectionnez Paramètres Google ; puis dans un second temps vous appuyez sur la case à côté de l’option Données de localisation. Le paramètre est désactivé lorsque la coche disparaît. Attention, ce paramètre n’a d’incidence que sur les applications Google. Si vous le désactivez, les services Google proposés en dehors des applications et les applications autres que Google pourront déterminer votre position via votre appareil. Vous souhaitez regarder ce que possède Google sur vous, vos adresses, vos balades … (et la NSA aussi) ? direction Location History.

Effacer les traces ?
Data Security Breach a cherché comment effacer cet historique. Heureusement, il est possible de le supprimer. Direction l’application « Paramètres Google » accessible depuis le menu des applications de votre appareil, ou sur le site Web correspondant. Dans le menu des applications de votre appareil, ouvrez l’application Paramètres Google : Appareils équipés d’Android 4.3 ou version antérieure : appuyez sur Position > Historique des positions. Appareils équipés d’Android 4.4 : appuyez sur Position > Services de localisation > Mise à jour de la position Google > Historique des positions.Appuyez sur Supprimer l’historique des positions en bas de l’écran.

Sur le site web, sélectionnez une date pour laquelle vous disposez d’un historique. Ensuite, pour l’historique complet : sélectionnez Supprimer tout l’historique pour supprimer l’intégralité de l’historique enregistré. Par date : sélectionnez Supprimer l’historique de ce jour pour supprimer l’historique correspondant à la date sélectionnée. Sélectionnez une plage de dates, puis l’option Supprimer l’historique enregistré pour cette période, pour supprimer l’historique correspondant à l’ensemble des jours sélectionnés. Par position : sélectionnez un lieu dans la liste ou sur la carte. L’info-bulle vous permet de supprimer cette position de votre historique.

 

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Cyber-attaque, DDoS, Espionnae, Vie privée, VPN

Google veut protéger les ONG et les droits de l’Homme des DDoS

Un commentaire

La filiale « idées » de Google, la Google Ideas, vient d’annoncer qu’une de ses nouvelles initiatives seraient à destination des ONG et autres associations de défense des Droits de l’Homme. Le géant américain annonce vouloir ainsi protéger des attaques DDoS, les sites web des défenseurs des Droits de l’Homme. L’annonce a été faite lors du « Conflict in a connected world« . Le projet, baptisé Shields, va profiter du Page Speed Service (PSS). Le PSS permet d’accélérer l’accès aux pages web. Un moyen technique qui va être utilisé, aussi, pour contrer les dénis de service distribués (DDoS) qui peuvent bloquer sites web et communication (emails, …) des serveurs visés par un afflux pirate de données. Plusieurs sites web ont été invités, ils sont basés en Iran, Syrie, Birmanie (Myanmar) et au Kenya. Arbor Network, proposera d’ici peu une carte baptisée « Digital Attack Map » qui montrera les attaques visant les sites protégés. Bilan, les DDoS seront interceptés par Google. Les DDoS et les informations transitant par PSS. A noter que d’ici quelques semaines, Google va proposer uProxy, une application pour Chrome et Firefox. Mission, créer un système de sécurisation des données.

Pendant ce temps, en Europe

Le Parlement européen a annoncé, lundi soir, un renforcement de la protection des données personnelles sur internet. La commission des libertés publiques a approuvé les propositions de sanctions et la directive destinées à renforcer la protection des données personnelles (sur Internet, dans les entreprises, …) au sein des états membres. La prochaine loi doit donner un plus grand contrôle sur leurs données personnelles. Les entreprises, mais aussi les géants du web, comme Google, auront obligation d’obtenir notre consentement préalable pour l’utilisation de nos données. Nous pourrons, mais en France cela est déjà normalement possible via la Loi Informatique et des Libertés, de demander aux entreprises de supprimer nos données. Des amendes sont annoncées. Elles pourront atteindre jusqu’à 5% du chiffre d’affaires. Le texte doit être approuvé lors d’une prochaine session du Parlement.

Après trois ans de travail parlementaire les eurodéputés de la Commission LIBE ont adopté à une forte majorité le règlement (49 +, 2- et 1 abst pour le règlement) et la directive (29+, 20, – 3 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All), et Dimitrios Droutsas (S&D, GR) un large mandat de négociation avec le Conseil et la Commission européenne. Les socialistes Sylvie Guillaume et Françoise Castex présentes lors du vote se félicitent de ce résultat.   « Nous aurions pu souhaiter un encadrement plus strict sur l’encadrement des données pseudonymes mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois », note Françoise Castex. « En Février la droite européenne majoritaire au Parlement était favorable à un allégement de la proposition de la commission européenne, allant même jusqu’à déposer des amendements proposés par les géants du Net américain. Nous ne pouvons que nous féliciter qu’ils aient fini par voter pour ce texte qui va vers une meilleure protection des consommateurs: le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Pour Sylvie Guillaume : « La protection des données est un droit fondamental pour les citoyens européens et les dernières révélations sur les écoutes de la NSA en France nous rappellent plus que tout que nous avons besoin de nous doter de règles claires. Malgré un lobbying intense, le compromis obtenu va véritablement dans le sens de règles renforcées au service des consommateurs, tout en n’accablant pas les PME de charges bureaucratiques excessives. Ainsi, grâce au vote de ce soir, un consentement explicite devra être donné librement avant tout traitement des données personnelles et toute personne pourra retirer son consentement dès qu’elle le souhaitera. Loin des contrats de confidentialité plus longs encore que le texte d’Hamlet (cf. ITunes), chacun pourra, au moyen de pictogrammes, connaître précisément et de façon claire à quelles fins ses données sont traitées, si elles sont transférées à des tiers…Enfin, des compagnies comme Google, Facebook et Skype ne pourront plus être autorisées à transférer des données à des pays tiers sans un accord européen légal sur des transferts de données. Soit autant de mesures qui doivent sonner comme un message fort à l’adresse du Conseil européen avec lequel les négociations vont s’ouvrir ».

Les députées européennes concluent: « L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs sur ce sujet montrent que la question de la protection des données personnelles est devenue un sujet très sensible. Après trois ans de travail parlementaire il serait bon de ne plus trop trainer et d’obtenir un texte fort avant la fin du mandat ! ».