Archives de Catégorie: Securite

La protection de la vie privée : la menace réglementaire pour les géants du numérique

Apple était s’il on peut dire, précurseur dans ce domaine et pour cause, leur Business Model ne dépend pas de la collecte d’informations personnelles, même s’ils se montrent parfois assez laxistes dans le contrôle des applications réalisant cette tache sur leur store…

Depuis quelques semaines, c’est au tour de Facebook, Google et maintenant Amazon de se faire les champions de la protection de la vie privée. Autant le dire tout de suite, il y a pas mal de travail encore pour que cela soit crédible ! Car en dehors de ces déclarations , ils n’ont toujours pas réalisé même le plus petit des changements dans leur Business Model dépendant en très grande partie de la collecte d’informations…

Mais alors pourquoi de telles déclarations et pourquoi maintenant ? Pas plus tard que la semaine dernière c’est Amazon qui assurait que maintenant Alexa, son assistant vocal, ne conserverai plus les phrases énoncées par les utilisateurs sur simple demande… vocale. Ce qui est globalement plus pratique que d’aller sur l’application pour modifier ceci en se perdant dans les menus… Et globalement c’est une bonne nouvelle pour les personnes qui craignent qu’Alexa puisse partager par inadvertance leurs enregistrements vocaux avec d’autres personnes – comme cela s’est passé par le passé à plusieurs reprises.

La réponse à cette question se trouve, ce n’est pas une surprise, aux États Unis, ou pour être plus précis en Californie, la patrie de la technologie. En effet, l’état est en train de se doter d’une loi reprenant les grandes lignes du RGPD. Les géants de la technologie font donc face à des menaces de réglementation sur de nombreux fronts. Pour en revenir aux assistant vocaux, l’Assemblée de l’État de Californie a adopté la loi dite « anti-écoute ». Le projet de loi va maintenant être examiné par le Sénat de l’État de Californie. Les fabricants d’appareils d’écoute ambiante, tels que les enceintes intelligentes, devront systématiquement obtenir l’accord de leurs utilisateurs avant d’enregistrer leur voix et pourront demander l’effacement aussi simplement.

Lire la suite

Facebook à toujours autant de difficultés avec les « fake news »…

Une étude intitulée « Fakewatch » publiée par le mouvement Avaaz, qui surveille la liberté électorale et la désinformation, a révélé qu’ils avaient identifié 500 pages de groupes liées à des organisations d’extrême droite et anti-UE propageant une désinformation massive. Ils ont immédiatement partagés ces résultats avec Facebook et ceci a entraîné une fermeture des pages juste avant que les électeurs ne se rendent aux urnes.

Capture d’écran 2019-05-28 à 11.16.37Le problème c’est le temps pendant lequel ces pages sont restées visibles : ces 500 pages et groupes ont été suivis par 32 millions de personnes et ont eu plus de 67 millions d’«interactions» (commentaires, likes, partages) durant le trois derniers mois. Facebook dit qu’il s’attaque à de tels contenus, mais c’est souvent Avaaz qui rapporte les faits et les  incitent à l’action. En France, Avaaz a découvert dans un autre rapport que Facebook avait généré plus de 105 millions de vues sur de fausses informations sur le mouvement des Gillets jaunes.

A la décharge de Facebook, ces groupes ne sont pas si facile à identifier car souvent ils ont été conçus il y a plusieurs années sous de faux sujets et sont ensuite réactivés soudainement pour aider les contenus extrémistes à se diffuser. Mais Avaaz pense que la Facebook pourrait et devrait faire plus. Ils pointent du doigt que le changement de nom de page (interdit par les règles de Facebook) devrait être détecté automatiquement et que plutôt que de simplement forcer ces groupes à supprimer leurs faux contenus, Facebook devrait montrer les informations corrigées ou vérifiées à tous ceux qui ont vu le contenu malveillant d’origine.

Mais, la statistique la plus surprenante vient de Facebook elle-même. Dans son dernier rapport sur les normes communautaires, la société a révélé avoir supprimé 2,19 milliards de faux comptes au cours des trois premiers mois de 2019. Cela représente une le double par rapport au trois derniers mois de 2018 ! Au total c’est près de 3,4 milliards de faux comptes sur six mois à comparer aux 2,37 milliards d’utilisateurs actifs par mois…

Du nouveau sur Teams

IMG_4982Microsoft introduit en preview une capacité dénommée « Information Barrier » qui doit permettre d’empêcher certains utilisateurs au sein d’une organisation de partager des informations ou d’utiliser des fonctions de collaboration/communication de Teams. Cette nouvelle capacité va à l’encontre du principe qui sous-tend Teams depuis son lancement (le partage pour tous), mais elle répond à un besoin de certaines organisations pour pouvoir établir des murs éthiques entre les utilisateurs de certaines de leurs entités, et limiter les conflits d’intérêt.

Un administrateur peut créer une Information Barrier à partir d’un script PowerShell. Ensuite ce mur permettra de par exemple d’empêcher des chats, des appels audios, d’inviter des personnes à des réunions, ou de partager son écran.

Nous aborderons les dernières évolutions de Teams lors du prochain Briefing Calipia.

DuckDuckGo veut renforcer la protection de la vie privée

Capture d’écran 2019-05-03 à 16.04.34DuckDuckGo a annoncé travailler sur une proposition de loi baptisée «Do-Not-Track Act of 2019». Ce projet, qui obligerait les sites Web à respecter Do Not Track, devrait servir de point de départ aux législateurs américains et étrangers pour construire des lois respectant la vie privée.

Ceci fait suite à une étude menée par DuckDuckGo qui a constaté qu’un quart des personnes ont activé « Do Not Track » dans leur navigateur, soit environ 75 millions d’Américains et 115 millions de citoyens de l’UE. Mais ils ignoraient que de nombreux sites, y compris les plus populaires, ne respectaient pas leur préférence ! Ce qui montre bien la limite des accords conclus entre les fournisseurs eux-mêmes (cette fonction étant apparue il y a dix ans d’un commun accord entre les fournisseurs de navigateurs)…

Dans ce projet, DuckDuckGo propose que si un utilisateur a activé le paramètre « Ne pas suivre », aucune société ne devrait suivre vos mouvements sur le Web sans votre permission. DuckDuckGo donne l’exemple  suivant : si vous accédez à WhatsApp, Facebook (l’entreprise propriétaire de WhatsApp), ne doit pas utiliser ces échanges pour vous faire de la publicité.

Capture d’écran 2019-05-03 à 16.03.28.png

Dans une certaine mesure, il existe un certain chevauchement chez nous entre la GDPR et « Do Not Track ». Il existe également des plug-ins de navigateur interessant tels que « Privacy Badger » de l’EFF qui permettent de bloquer visiblement assez efficacement  le pistage des utilisateurs. Nous aborderons également ceci lors du prochain Briefing Calipia.

Microsoft promet plus de transparence dans la collecte d’infos avec Office 365 ProPlus

Capture d’écran 2019-05-03 à 07.48.19.pngAprès s’être fait taper sur les doigts par le gouvernement néerlandais en novembre dernier pour un manque de transparence dans les données collectées (à but de télémétrie pour améliorer les services) auprès des utilisateurs d’abonnement Office 365 ProPlus (et de tous les plans intégrant Office 365 ProPlus, comme E3, E5, Microsoft 365 …), Microsoft a annoncé le 30 avril dernier un effort pour accroitre la transparence de cette collecte d’une part et d’autre part le contrôle des utilisateurs sur les infos remontées. Microsoft est certainement loin d’être le plus mauvais élève en terme de collecte des données utilisateurs et avait déjà diffusé des outils(ex : Tableau de bord Télémétrie) pour permettre aux entreprises de disposer d’un certain niveau de contrôle sur les données remontées. Avec les annonces du 30 avril, l’éditeur souhaite d’abord donner plus de visibilité à ce qui est déjà disponible et aller encore plus loin, pour se dégager des accusations de non conformité RGPD émises par les autorités néerlandaises.

Si vous êtes intéressés, vous trouverez sur cette page une synthèse de ce qui est maintenant à disposition des IT pros en entreprises pour contrôler le niveau des collectes.

Les mésaventures de Tchap, la messagerie instantanée cryptée de l’état français

Capture d’écran 2019-04-19 à 17.05.53Tchap (c’est son nom) est l’application de messagerie instantanée cryptée de bout en bout, développée par la DINSIC (la Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’État). Elle est disponible sur les stores d’Apple et de Google depuis jeudi 18 avril, et vise bien entendu à remplacer les WhatsApp, Télégram et autre Signal dans les échanges entre les agents de l’état, auxquels elle est réservée.

Tchap a été développée sur la plateforme Open Source Riot, créée par la société franco-britannique New Vector (comme quoi même à l’heure du Brexit, il est toujours possible de travailler avec des anglais :)), autour du protocole de communication Matrix (lui aussi Open Source) et la DINSIC a mis à disposition le code source de Tchap sur GitHub pour permettre à d’autres organisations de construire leur propre solution sur ces bases.

Mais l’enfer est pavé de bonnes intentions, puisqu’à peine ouvert, un spécialiste de sécurité, Baptiste Robert, a identifié une faille permettant à n’importe qui de se créer un compte Tchap et de s’immiscer dans des espaces normalement sécurisés. Pour cela il suffisait de modifier son email en ajoutant en fin de celui-ci le nom d’un domaine de l’administration, tel que par ex patrick.barriere@calipia.com@presidence@elysee.fr.

La faille a été comblée dans la journée, mais bon çà fait quand même mauvaise effet, surtout quand on a pour maman la DINSIC et pour marraine l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)….

 

 

Comptes mails hackés : Microsoft aussi!

Capture d’écran 2019-04-16 à 17.27.15.png
Microsoft a informé directement un certain nombre d’utilisateurs de ses services mails gratuits (MNS, hotmail, Outlook.com) qu’entre le 1er janvier et le 31 mars de cette année leurs comptes avaient subi des attaques. Des pirates auraient compromis les cr »dentials d’une personne chargé du support de ces solutions pour obtenir l’accès aux données d’utilisateurs.

Le nombre exact de comptes concernés ainsi que les informations auxquelles les pirates ont eu accès restent encore pour le moment inconnu. Microsoft aurait confirmé que ses utilisateurs entreprises n’avaient pas été touché, et que les contenus des messages concernés n’avaient pas été exposés aux pirates, seuls les adresses des destinataires, les objets des messages ou les noms des dossiers auraient été visibles. Pour autant, dans les différents échanges auxquels la révélation de cette opération a donné lieu, Microsoft n’a pas été aussi tranché quant à la limitation du périmètre de la faille.

Microsoft recommande aux utilisateurs contactés de modifier leurs mots de passe, ce que d’ailleurs tout utilisateur d’une des plateformes mails concernées devrait également faire.

« Entrées précédentes Derniers articles »