Archives par mot-clé : twitter

UFC Que Choisir contre Twitter: la victoire historique des consommateurs !

UFC Que Choisir vient de remporter une grande victoire contre le géant des réseaux sociaux, Twitter Inc. La Cour d’appel de Paris a confirmé une décision antérieure qui a établi que 24 clauses des conditions d’utilisation de Twitter étaient illicites.

24 clauses des conditions d’utilisation, 29 clauses de la politique de confidentialité et 7 clauses de son règlement sont illégales. Twitter vient de découvrir la décision de la Cour d’appel de Parus concernant une série de plainte à l’encontre du réseau sociaux au petit oiseau bleu. Bilan, cette décision a des implications importantes pour les droits des internautes sur les réseaux sociaux.

La Cour a d’abord considéré que les règles du droit de la consommation s’appliquent aux conditions d’utilisation de Twitter, malgré le caractère apparemment gratuit du service. La Cour a souligné que la fourniture de données de l’utilisateur est la contrepartie du service rendu et que, par conséquent, le contrat a un caractère onéreux. Cette décision renforce la célèbre formule « Si c’est gratuit, c’est toi le produit !« .

Consentement des utilisateurs

En outre, la Cour a rejeté deux clauses importantes relatives au consentement des utilisateurs, qui ont été jugées non écrites. Ces clauses ont été rejetées car elles n’étaient pas clairement exposées au moment de la souscription du contrat.

« Chacun saura désormais que les clauses qui ne figurent pas dans l’écrit que le consommateur accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence ne sont pas valables. » souligne Alexandre Lazarègue, Avocat spécialisé en droit du numérique.

La Cour a également sanctionné les clauses qui permettaient à Twitter de modifier les services et les conditions générales de manière unilatérale. Cela a des implications importantes pour les utilisateurs, car cela signifie que Twitter ne peut pas changer les termes du contrat sans l’accord explicite de l’utilisateur, quitte à en boquer son évolution.

Il paraissait pourtant légitime que, si une partie ne doit pas pouvoir modifier unilatéralement l’esprit général d’un contrat, elle puisse faire évoluer celui-ci sans qu’un consommateur puisse, à lui seul, bloquer toute évolution.

Utilisation du service et les contenus publiés

En outre, plusieurs clauses du contrat prévoyaient que l’utilisation du service et les contenus publiés se trouvaient sous la responsabilité de l’utilisateur. Le tribunal a considéré que ces clauses étaient illicites. « S’il est logique que Twitter assure la sécurité des données qu’elle collecte, et qu’elle endosse la responsabilité d’un éventuel piratage, il n’apparaissait pas abusif que l’auteur d’un contenu en soit responsable et que twitter en tant que simple hébergeur en soit déchargé. » explique Alexandre Lazarègue.

Enfin, la Cour a également souligné que la suppression d’un compte Twitter pour violation de de son règlement éthique doit faire l’objet d’un débat contradictoire et de mises en garde préalables. Les utilisateurs de Twitter, y compris tels que Donald Trump et les influenceurs sur le grill, devront désormais savoir précisément sur quel fondement leur compte est supprimé et avoir la possibilité de contester cette décision à l’amiable.

En somme, cette décision est une grande victoire pour les consommateurs et les internautes, car elle renforce leurs droits et leurs protections sur les réseaux sociaux. Elle rappelle également aux grandes entreprises que leurs pratiques commerciales doivent être transparentes et justes envers les utilisateurs.

Vivre et mourir à travers le regard des autres : Suicide en direct sur Périscope

Suicide en direct sur Périscope – Le grand public a découvert l’application Periscope après la médiatisation de la vidéo du footballeur de l’équipe de France Serge Aurier insultant Laurent Blanc en réponse à des questions posées par des internautes. Cette application permet en effet de retransmettre en direct ce qu’on filme et les autres utilisateurs peuvent commenter tout autant en direct ce qu’ils voient, et c’est un suicide ils ont pu assister ce mardi 10 mai.

Après avoir annoncé qu’elle allait faire quelque chose de choquant et demandé aux mineurs de ne pas regarder -ce qui a dû en attirer plus d’un- une jeune femme a annoncé avoir été violée et a désigné nommément de son agresseur. Afin de faire passer selon ses dires « un message », elle s’est ensuite jetée sous un RER C en direct sous les yeux d’une centaine d’utilisateurs. Elle avait moins de 20 ans.

Cela s’est produit vers 16h30 à la gare d’Egly en Essonne. La jeune femme avait quelques minutes auparavant annoncé son geste à l’un de ses proches par sms. Ce dernier comme les ‘’spectateurs’’ n’ont rien pu faire, si ce n’est appeler les pompiers qui ont ramassé le téléphone puis retiré sa batterie pour mettre fin à la vidéo. Le téléphone a été saisi par les enquêteurs d’une brigade de recherche et une enquête a été ouverte par le parquet d’Evry et de nombreuses personnes appellent à la fermeture de l’application via les réseaux sociaux.

Suicide en direct sur Périscope : l’illustration tragique des dérives de l’exposition de soi sur les réseaux
Comment a-t-on pu en arriver là ? Quel a pu être le raisonnement de cette jeune fille ? Elle a affirmé dans une de ses vidéos que « tant qu’on ne tape pas dans la provoc’ les gens de comprennent pas ». Elle a donc estimé que le seul moyen d’exprimer sa détresse due au viol dont elle aurait été victime était de partager son suicide avec des inconnus. Se jeter sous un RER est malheureusement devenu courant chez les jeunes, comme l’avais montré le suicide de deux élèves de Polytechnique en février et mars 2016.

Récemment les médias ont dénoncé une nouvelle mode consistant à tabasser un inconnu dans la rue de manière totalement gratuite et aléatoire, et ce en direct sur Periscope. Cette application tend à devenir le moyen de communication privilégié des comportements les plus noirs de notre société. Est-ce que le suicide de cette jeune femme va être une source d’inspiration pour d’autres personnes ? Nous ne l’espérons pas et plaidons en faveur d’une fermeture préventive de l’application devenue malgré elle malsaine.

L’éthique douteuse de Baidu mise en lumière après la mort d’un internaute
Baidu a été fondé en 2000 et est aujourd’hui le plus grand moteur de recherche Chinois, ce qui en fait le 5ème site le plus consulté au monde. A l’instar de Google avec son système AdWords, Baidu se finance grâce à la sponsorisation des liens internet. Or, les publicités médicales représentent environ 20% des revenus de son moteur de recherche. Début janvier, on a découvert que Baidu avait supprimé les messages négatifs de la part d’internautes de forums de santé sur des contenus sponsorisés de médicaments et hôpitaux. Ce n’était que les prémices d’une dénonciation des pratiques commerciales du groupe par l’autorité de régulation administrant l’internet chinois, la CAC.

Les dérives de l’utra-sponsorisation en matière médicale
Wei Zewi, un étudiant chinois de 21 ans diagnostiqué d’une forme rare de cancer a fait une recherche sur Baidu concernant sa maladie et les premiers résultats ont mis en évidence une immunothérapie expérimentale par un hôpital pekinois. Ce traitement très onéreux s’est révélé totalement inefficace et, avant de mourir, le jeune homme a écrit une lettre accusant Baidu de tromper ses usagers en classant les résultats selon les recettes publicitaires. L’émotion qu’il a suscité sur les réseaux sociaux a attiré l’attention des médias et autorités, jusqu’à faire dégringoler le cours du groupe chinois à la Bourse de New York.

L’enquête du régulateur de l’internet chinois révèle que « le mécanisme utilisé par Baidu pour classer les résultats dépend de façon excessive du prix payé et les contenus sponsorisés ne sont pas clairement signalés ». La CAC insiste sur le fait que ce système « influence l’impartialité et l’objectivité des résultats obtenus et contribue facilement à induire en erreur les internautes ». Ces remarques sont vraies dans tous les secteurs, mais les conséquences peuvent-être particulièrement désastreuses en matière médicale comme l’a montré le cas Wei Zewi. Ainsi, sans être des professionnels de la santé, on peut dire que les moteurs de recherche devraient respecter d’eux-mêmes une forme d’éthique médicale vis-à-vis de ses internautes malades.

Enfin une remise en cause du modèle économique biface des moteurs de recherche gratuits ?
Suite à cette affaire, Baidu a pris divers engagements. Il a assuré avoir supprimé les résultats sponsorisés de la part de plus de 2500 établissement médicaux ou entreprises de santé et a annoncé la mise en place d’un fonds d’indemnisation des usagers victimes de résultats publicitaires trompeurs de l’équivalent de 135 millions d’euros. De manière plus concrète, Baidu s’est engagé à signaler ostensiblement les contenus sponsorisés à l’aide de marqueurs et avertissements et les limitera à 30% de chaque page de résultat affiché.

Le modèle économique de Baidu est dit « biface » car on a d’un côté les internautes, qui ne payent pas et de l’autre coté les annonceurs, qui eux payent pour être mis en avant. Cette seconde face finance le moteur de recherche à concurrence de 84% du chiffre d’affaire. C’est donc de manière indirecte que les usagers de Baidu, Google, Ebay et de la multitude d’autres sites en apparence gratuits peuvent prendre le statut de consommateur. Ce statut permettrait aux internautes d’être protégés plus efficacement contre les abus des moteurs de recherche et de leurs partenaires annonceurs pour les inciter à se tourner vers tel ou tel produit ou service.

Mais le droit de la consommation ne s’est pas encore à proprement parler emparé de la question du modèle biface et de ses conséquences pour les internautes-consommateurs. Par exemple, le cheval de troie des attaquants du service AdWords de Google devant la Cour de justice de l’Union Européenne le 23 mars 2010 a été le droit des marques et la lutte contre la contrefaçon sur internet. Les mésaventures de Baidu catalyseront peut-être une prise de conscience collective des risques liés à l’influence des résultats de recherche sur les choix de consommation des internautes, particulièrement concernant leur santé.

Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM (http://www.acbm-avocats.com)

Piratage de comptes Twitter, une fuite que le petit oiseau prend au sérieux

Plusieurs centaines d’utilisateurs de Twitter alertés par le site de micro blogging suite à une attaque informatique qui aurait été fomentée par un gouvernement étranger.

Twitter a-t-il pris le chemin de la communication de Facebook ? Il faut dire aussi que le petit oiseau peine à prendre le pouvoir des réseaux de micro blogging dominé des pieds et de la tête par Facebook.

Comme pour Facebook en octobre, Twitter vient d’alerter plusieurs centaines de ses utilisateurs à la suite de la découverte d’une tentative de piratage de comptes. Comme pour Facebook, l’attaque aurait été signée par un gouvernement étranger. Une faille de sécurité informatique inconnue qui aurait été utilisée par des pirates « soutenus par un Etat » ? Twitter indique, dans les courriels envoyés lors du week-end du 12/13 décembre 2015, qu’il écrit à « titre de précaution« .

Bref, une base de données qui a dû être « tapée » par des pirates Russes, Chinois, Indiens… retrouvée dans le blackmarket par une société de sécurité informatique. Rien de nouveau sous le soleil tant les bases de données de ce type pullulent.

Pour le cas de Twitter, des adresses mail, des adresses IP et des numéros de téléphone ont été retrouvées. « Nous enquêtons activement sur cette question […] rien ne prouve à ce stade qu’ils aient obtenu des informations sur votre compte« . Twitter propose aux internautes d’utiliser TOR pour protéger leurs communications passant par Internet.

Avec 2,5 millions d’utilisateurs quotidiens, le réseau Tor est système le plus populaire au monde pour protéger l’anonymat des utilisateurs d’Internet.

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

Faille pour Twitter : effacer les données bancaires

Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.

Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden », s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.

Piratage d’une compte Twitter estimé à 50.000 euros

Un internaute, propriétaire du compte Twitter N piraté via un social engineering bien préparé. Nous vous en parlons très souvent, le social engineering est la base du piratage informatique. Connaitre sa cible, son environnement, avant de s’attaquer à son informatique. C’est ce que vient de vivre l’ancien propriétaire du compte Twitter @N, Naoki Hiroshima. Son espace de micro blogging a été, d’après ses dires, très souvent sollicités pour être racheté. Des marketeurs lui auraient même proposé 50.000 dollars. Bref, une cible pour les pirates. L’un d’eux a pris la main sur la vie numérique de cet ancien de chez Google. L’idée, lui voler son compte @N. La méthode d’attaque : compromettre le Paypal, Facebook et GoDaddy du créateur de l’application Cocoyon et développeur d’Echofon. Le pirate a expliqué s’être fait passer pour un employé de Paypal pour récupérer les données bancaires de Naoki et récupérer quatre chiffres qui auraient donné l’occasion, ensuite, de valider son identité chez GoDaddy. « C’est difficile de dire ce qui est le plus choquant, le fait que PayPal donne les quatre derniers chiffres du numéro de ma carte de crédit par téléphone au pirate ou que GoDaddy l’accepte comme moyen de vérification ». Naoki a du fournir son compte Twitter @N au pirate afin de récupérer son compte, et ses sites web, gérés par GoDaddy. Depuis, Naoki a ouvert un nouveau Twitter baptisé @N_is_stolen, qui se traduit par N a été volé. (The Verge)

Détecteur de mensonge pour média sociaux

Des chercheurs Autrichiens de l’université de MODUL (Vienne) annoncent, en collaboration avec d’autres étudiants la création d’un algorithme capable d’analyser la fiabilité des messages diffusés sur Twitter, Facebook et autres médias sociaux. Un chasseur de messages viraux, baptisé Pheme. Sa mission, retrouver la trace d’un message et d’en fiabiliser le contenu.

L’agence Belga donne un exemple que pourra contrer l’outil. Il y a quelques années, il se disait sur internet que Barack Obama n’était pas né aux États-Unis et ne pouvait donc être le président américain. Ce… déballage s’est propagé de manière virale en un minimum de temps, mais il s’avéra par la suite que cette « information », était une erreur.

Plusieurs pays collaborent à ce projet, dont des scientifiques britanniques, allemands, suisses, bulgares, espagnols et kényans. Un projet financé par l’Union européenne. Cette « recherche » va durer 3 ans. Elle s’est donnée comme mission de déloger les contres vérités diffusées sur la toile en additionnant nouvelles technologies et des spécialistes du langage. A suivre !

 

 

Twitter obligé de fournir les infos d’un utilisateur Français

La justice Française oblige Twitter à fournir les données d’identification d’un usurpateur. Il y a quelques jours, le Tribunal de Grande Instance de Paris, a fait une injonction à Twitter de fournir les données d’identification d’un usurpateur ayant utilisé le système de micro blogging. La société américaine est menacée de 500€ d’amende, par jour, en cas de non fourniture des informations réclamée par la justice. Des données qui doivent permettre de remonter à l’usurpateur. On se souvient que Twitter avait refusé de fournir des informations sur des diffuseurs de messages racistes. On doute que 500€ par jour face plier le géant américain. (Legalis)

Vague de piratage de comptes Twitter

Piratage des Twitters de la FIFA, Justin Bieber, Angelina Joli, Guy Birenbaum, … mais comment font les pirates ? Explication ! Depuis quelques semaines, les comptes Twitter de nombreux média, stars ou journalistes se font pirater, un par un. Des attaques qui donnent l’impression aux témoins de la cybercriminalité que nous sommes depuis plus de 20 ans que les pirates ont un « sésame ouvre toi » en main. Ce fameux petit bouton pressoir qui permet de prendre la main sur un Twitter en deux clics de souris.

L’une des possibilités de ces attaques, des cross-sites scripting cachés dans Twitter ou dans des outils tiers comme TwittDeck. Comme le montre les captures écrans si dessous, Twitter recèle quelques XSS, des Cross-Sites Scripting, qui permettent de mettre la main sur le cookies de connexion (bilan, un pirate pourrait prendre la main sur la session en cours) ; afficher une page phishing via l’url officiel (Bilan, l’internaute pense être chez Twitter et se retrouve à fournir login et mot de passe au pirate). Il se peut, aussi, que les malveillants ont réussi à mettre la main sur les données de connexion en piégeant leurs cibles via d’autres outils (Cheval de Troie), page d’hameçonnage ou tout simplement usant de social engineering. Dernière méthode plus hasardeuse, mais qui a déjà prouvé son efficacité. Le mot de passe utilisé n’est-il pas inscrit dans le blog, le Facebook de la personne piratée ? (date de naissance, ville, métier, famille, …)

  

Pour se protéger d’une attaque utilisant une XSS :

1- Ne cliquer sur aucun lien extérieur. Préférez, toujours, taper l’url dans votre navigateur.

2- Après chaque utilisation de Twitter ou tout autre outil, effacez vos cookies. Pour cela, un outil gratuit comme Ccleaner vous sera un précieux allier.

3- Vérifiez toujours que l’url indiqué dans votre barre de recherche est bien https://www.twitter.com

4- Utilisez des applications tiers pour vérifier l’origine du serveur que vous allez utiliser. Netcraft vous prouvera, par exemple, que vous êtes bien sur Twitter (voir notre capture écran) ; Sous FireFox, l’addon NoScript vous indiquera aussi l’utilisation d’une XSS au moment de votre promenade numérique.

5- Un mot de passe fort (chiffres, lettres, ponctuation, …) permet de freiner les assauts d’un malveillant.

6- datasecueritybreach.fr vous conseille aussi d’utiliser un programme qui vous décortique les urls raccourcis. Le site urlex.org, par exemple, vous transforme une adresse http://is.gd/G41r6x, qui ne veut rien dire, en son véritable url, ici Intel.com. Cela permet de s’assurer que derrière le lien recueilli n’est pas un piège. Je vous conseille, cependant, de suivre ma règle n’1. Une extension pour Chrome permet, en passant sa souris sur un lien réduit, de découvrir l’adresse d’origine cachée derrière un tinyurl, bit.ly, is.gd …

Cette hygiène de vie numérique n’est pas infaillible, mais comme pour la grippe, se laver les mains est déjà une premiére protection. Il en va de même sur la toile.