Recommended Posts

Amazon via sa filiale de sonnette connecté au FBI ... s'est encore fait chopé à avoir vendu des donnée personnelle ...

Quote

Ring (Amazon) épinglé pour avoir revendu des données personnelles

Ring enchaîne les bévues. Cette fois-ci, une enquête de l'Electronic Frontier Foundation dénonce le fait que l'application Android du fabricant de caméras de surveillance enverrait les données des utilisateurs à quatre sociétés, dont Facebook.

Décidément, Ring ne cesse de se faire remarquer pour de très mauvaises raisons. Le fabricant de caméras de surveillance racheté par Amazon est une fois de plus pointé du doigt pour avoir partagé des données de ses utilisateurs. Selon une enquête de l'Electronic Frontier Foundation (EFF), l'application Ring Doorbell sur Android avec la version 3.21.1 contiendrait des traqueurs qui enverraient des informations privées (adresses IP, noms des clients, données des capteurs…) à quatre sociétés d'analyse et de marketing qui sont Facebook, Branch, AppsFlyer et MixPanel.

Facebook reçoit par exemple des alertes systématiques dès que l'application de l'utilisateur est ouverte et quand il la désactive, et ce, même si le propriétaire de l'appareil Ring ne possède pas de compte sur le réseau social. La firme de Zukerberg reçoit les informations sur le modèle de l'appareil, les préférences linguistiques ou encore un identifiant unique, quand bien même l'utilisateur réinitialise son appareil Ring.

Les données de Ring transmises à Facebook

Si les quatre sociétés profitent de nombreuses informations, c'est toutefois l'entreprise MixPanel qui reçoit le plus de renseignements sur le propriétaire de l'appareil puisque Ring lui permet d'obtenir le nom complet de l'utilisateur, mais aussi son adresse mail et l'endroit ou les objets Ring sont installés.

Dans une mise à jour sur l'avis de confidentialité datant de mai 2018, Ring avait indiqué que la société utilisait des plateformes d'analyse de données de tiers "pour évaluer l'utilisation de son site web et de ses applications mobiles". Petit hic, MixPanel est la seule entreprise à être mentionnée dans la liste des services tiers de Ring et les trois autres sociétés n'ont en aucun cas été nommées. "MixPanel est brièvement mentionné dans la liste des tierces parties avec lesquelles travaille Ring", affirme EFF.

Ring, une sécurité de plus en plus contestée

Ce n'est pas la première fois que Ring est visé pour ce type de problèmes et, depuis plusieurs mois, le fabricant est soupçonné d'être beaucoup trop laxiste sur la sécurité des données et de dévoiler certaines informations personnelles des utilisateurs.

En décembre dernier, un journaliste du site tech Motherboard s'était insurgé du dispositif de sécurité employé sur les caméras Ring découvrant qu'en utilisant "simplement" son adresse mail et son mot de passe, ses collègues ont été en mesure de l'espionner en direct et d'accéder à l'ensemble des clips vidéo enregistrés sur son compte utilisateur Ring. Plus récemment, l'entreprise rachetée par Amazon avait été mise en cause pour son alliance avec les forces de police aux États-Unis.

https://www.lesnumeriques.com/camera-surveillance/ring-amazon-epingle-pour-avoir-revendu-des-donnees-personnelles-n146537.html

Share this post


Link to post
Share on other sites

https://www.lesnumeriques.com/vie-du-net/la-police-de-chicago-abandonne-son-systeme-de-precrime-n146571.html

Quote

La police de Chicago abandonne son système de précrime

Après 8 ans de mauvais mais loyaux services, le système TRAP utilisé par la police de Chicago va prendre sa retraite. Il cherchait à réduire la criminalité en identifiant à l’avance les personnes les plus susceptibles de commettre des infractions.

En 2002 sortait un film qui allait faire beaucoup parler de lui : Minority Report. Adaptation du roman du célèbre auteur de science-fiction Philip K. Dick, le film de Spielberg allait populariser auprès de toute une génération la notion de "précrime." Une méthode de maintien de l'ordre bien particulière qui consiste à arrêter un criminel avant que le crime ne soit commis.

10 ans plus tard en 2012, la police de Chicago adoptait un système qui se rapprochait dangereusement du futur dystopique imaginé par Philip K. Dick avant de l'abandonner il y a quelques jours comme l'explique BoingBoing. Le système appelé "TRAP" (pour Targeted Repeat-Offender Apprehension Program ou "programme ciblé d'appréhension des récidivistes" en bon français) assignait un "score de dangerosité" à tous les Chicagolais ou Chicagolaises qui avaient déjà eu des problèmes avec la police. L'idée était d'essayer de ficher les personnes les plus à même de commettre d'autres crimes après une première interpellation.

Petit problème, comme l'a souligné un rapport cinglant de l'inspecteur général de Chicago, ce système était truffé d'erreurs et ne réduisait en rien le nombre de crimes dans la ville. Le système encourageait le profilage racial puisqu'il se reposait sur des algorithmes biaisés comme la plupart des programmes de ce type. Même Google et IBM l'ont reconnu, les algorithmes reproduisent et amplifient les discriminations ayant lieu dans le monde réel.

Un cercle vicieux

Pire encore, même lorsque les tribunaux classaient l'affaire sans suite, le score TRAP augmentait quand même. Les biais policiers venaient donc nourrir un système qui ensuite s'acharnait sur les individus concernés puisqu’une interpellation avait plus de chance de se finir en arrestation lorsque le score de "dangerosité" était haut. Et comme une arrestation faisait augmenter le score, le cercle vicieux était lancé.

"Plusieurs des critères utilisés pour déterminer le score TRAP étaient liés aux arrestations et partait du principe que la personne interpellée avait commis le crime pour lequel elle était arrêtée", explique le rapport, en jetant allègrement la présomption d'innocence à la poubelle. Pour ne rien améliorer, les données n'étaient pas particulièrement bien protégées et souvent partagées avec des personnes étrangères à la police.

Rarement un système de surveillance algorithmique n'aura été tant cloué au pilori par les structures mêmes qui l'utilisaient. Pendant ce temps, le débat sur l'utilisation de la reconnaissance faciale continue en France.

 

Share this post


Link to post
Share on other sites

Des infos sur le piratage du téléphone de Jeff Bezos ... et l'implication probable de NSO Group ... boite connecté aussi au cas Kashoggi.

Le logiciel coupable de la faille ... whatsapp ...

https://www.lesnumeriques.com/vie-du-net/le-fbi-enquete-sur-l-affaire-jeff-bezos-et-craint-l-implication-de-nso-group-n146749.html

Quote

Le FBI enquête sur l'affaire Jeff Bezos et craint l'implication de NSO Group

Le récent piratage du téléphone de Jeff Bezos pourrait-il être un cas parmi tant d’autres ? C’est ce que subodore le FBI qui enquête depuis bientôt deux ans sur une vaste opération d’espionnage numérique.

Il y a quelques jours, une affaire rocambolesque faisait les gros titres de la presse : le téléphone de Jeff Bezos aurait été victime d'un piratage commandité par Mohammed bin Salman, prince héritier du royaume d'Arabie saoudite. Avares en détails, les premières révélations sur l'affaire sont aujourd'hui complétées par une histoire encore plus notable : une enquête du FBI sur l'implication d'une entreprise israélienne dans un vaste réseau d'espionnage numérique.

Depuis 2017, les services secrets nord-américains s'intéressent de très près à NSO Group, un marchand d'armes numériques qui édite notamment un logiciel espion baptisé Pegasus. Ce petit bout de code, qui a probablement joué un rôle dans le meurtre du journaliste Jamal Khashoggi, pourrait également avoir été utilisé dans l'affaire Bezos. Les soupçons du FBI sont renforcés par les conclusions de l'ONU qui estiment que le hack “a probablement été réalisé par l'utilisation d'un logiciel espion […] identifié dans d'autres cas de surveillance saoudienne, comme le logiciel malveillant Pegasus-3”.

Un logiciel touche à tout

D'après Reuters, Bezos et Khashoggi n'auraient pas été les seuls visés. 1 400 comptes WhatsApp auraient été infectés, et nombre d'entre eux appartiendraient à des industriels ou des membres de gouvernements divers. Une fois déployé sur le téléphone (grâce à une faille WhatsApp ou autres), le logiciel israélien est capable d'extraire des données, de lire des messages chiffrés ou non, d'enregistrer des appels et même de se désinstaller tout seul, si besoin est. Autant dire que rien n'est vraiment à l'abri.

Interrogé, NSO Group nie catégoriquement avoir été impliqué dans l'affaire Bezos et explique n'avoir jamais été en contact avec les services de renseignement étasuniens dans cette affaire. Mieux encore, l'entreprise assure que son logiciel est incapable de prendre des numéros de téléphone d'outre-Atlantique pour cible. La firme assure que son logiciel est fait pour s'attaquer aux crimes et actes terroristes, alors que selon plusieurs spécialistes en cybersécurité, des journalistes, politiques et membres d'ONG ont été visés.

L'affaire a fait suffisamment de bruit outre-Atlantique pour que de nombreux élus exigent aussi des comptes à la NSA. Jeff Bezos fait face de son côté à un procès en diffamation. Le patron d'Amazon avait en effet accusé le frère de son actuelle compagne, Lauren Sanchez, d'être celui qui avait fait fuiter des conversations intimes entre les deux tourtereaux.

 

Share this post


Link to post
Share on other sites

classique, ils ont du modifier dans le binaire la valeur max du compteur d'essai à 65536  au lieu de 10 pour éviter l'effacement des données,  le tour est joué, reste plus qu'a tester toutes les combinaisons de 0001 à 9999 sans craindre la perte des données.

si il n y a pas d'obfuscation du code et de mémoire chiffrer et d'anti debug , ca devient facile.

https://www.lepoint.fr/monde/san-bernardino-des-hackers-ont-aide-le-fbi-pour-debloquer-un-iphone-13-04-2016-2031910_24.php

Edited by zx

Share this post


Link to post
Share on other sites

Le monde / Les renseignements américains et allemands ont espionné une centaine de pays grâce à une société de chiffrement

En 1970, les deux agences de contre-espionnage ont acheté en secret Crypto AG, une entreprise vendant des services de chiffrement de conversations à des puissances étatiques.

https://www.lemonde.fr/pixels/article/2020/02/11/les-renseignements-americains-et-allemands-ont-espionne-une-centaine-de-pays-grace-a-une-societe-de-chiffrement_6029228_4408996.html

"La société Crypto AG est devenue après la seconde guerre mondiale le leader sur le marché des équipements de chiffrement, vendant pour des « millions de dollars » son matériel à plus de 120 pays, rapportent les trois médias. Parmi ses clients, on trouve « l’Iran, les juntes militaires d’Amérique latine, l’Inde et le Pakistan, et même le Vatican », explique le quotidien américain. Au total, une centaine de pays, dont des pays européens (Portugal, Italie, Irlande, Espagne) et des membres de l’OTAN, ont utilisé la technologie de l’entreprise suisse."

"L’expertise reconnue de l’entreprise en chiffrement ne manque pas d’attirer les convoitises d’autres Etats. En 1967, les services de renseignement français et allemands font part à Hagelin de leur volonté de racheter Crypto. Le fondateur refuse, et fait remonter l’offre à la CIA… qui rachètera finalement l’entreprise trois ans plus tard, en binôme avec son homologue allemand, le BND, pour 5,75 millions de dollars."

Edited by Phacochère
Correction chapeau tronqué
  • Like 1
  • Thanks 2

Share this post


Link to post
Share on other sites

50 ans de renseignement sur un plateau ... un putain de bon placement pour la CIA :bloblaugh:

  • Upvote 1

Share this post


Link to post
Share on other sites

-"John,  avez-vous mis nos meilleurs éléments sur le coup?" 

- "Nan, on a racheté la boîte Mr le directeur... " 

- ah...

 

 

Edited by Phacochère
  • Haha 1

Share this post


Link to post
Share on other sites

J'ai jamais compris ces pays ou ces grosses boites qui achetaient des systèmes de sécurisation/cryptage clé en main plutôt que de développer leur propre système.

Share this post


Link to post
Share on other sites

Forcément des compétences et une filière à developper sur le long terme, compliqué pour beaucoup de pays. Si c'est pour être certain de n'a pas être au niveau de l'adversaire...Mais c'est vrai qu'acheter ce genre de solutions sur étagère, c'est prendre à un moment ou un autre une carotte. Pour le moins ça permet déjà de se préserver des moins  compétents mais pas de tout le monde. 

Share this post


Link to post
Share on other sites
il y a 40 minutes, Phacochère a dit :

Forcément des compétences et une filière à developper sur le long terme, compliqué pour beaucoup de pays. Si c'est pour être certain de n'a pas être au niveau de l'adversaire...Mais c'est vrai qu'acheter ce genre de solutions sur étagère, c'est prendre à un moment ou un autre une carotte. Pour le moins ça permet déjà de se préserver des moins  compétents mais pas de tout le monde. 

Bon, cette histoire concerne une époque où se genre de connaissances étaient moins banalisées, mais aujourd’hui il n'y a plus d'excuses avec des outils open source accessibles qui sont aussi bon, voir meilleur, que ceux des grosses organisations/états.

Share this post


Link to post
Share on other sites

Certainement, je maîtrise pas le sujet. Cela dit, on en revient au point de départ, on te mets un outil dans les mains... Le reste appartient aux nations structurtées qui forment (maths, chiffrement, programmation, etc...) des individus pour les dépasser ou les créer. 

 

 

Edited by Phacochère
Ortho, syntaxe
  • Like 1

Share this post


Link to post
Share on other sites
Il y a 2 heures, Shorr kan a dit :

J'ai jamais compris ces pays ou ces grosses boites qui achetaient des systèmes de sécurisation/cryptage clé en main plutôt que de développer leur propre système.

ca coute plus cher, on utilise toujours les même algorithmes de chiffrement à clé symétrique ou asymétrique,  des,aes,rsa, sha, hmac, il faut des équipes dev et support, des experts, et il faut bien les payer, éviter le turn over, etc...  il y a de bons produits sur le marché, de toute façon, un état finira toujours par avoir le dernier mot.

Edited by zx
  • Thanks 1

Share this post


Link to post
Share on other sites
il y a 2 minutes, zx a dit :

ca coute plus cher, on utilise toujours les même algorithmes de chiffrement à clé symétrique ou asymétrique,  des,aes,rsa, sha, hmac, il faut des équipes et il faut bien les payer, éviter le turn over, etc...

Tout ça est bon marché maintenant au point que même des particuliers sous la forme de groupes de hackers tiennent la dragée haute aux grandes agences ; alors pour un Etat ou une multinationale c'est une goutte d'eau pécuniairement parlant.

C'est vrai qu'il faut développer une vraie expertise à la longue, accepter de former et être capable de garder du personnel sur la durée, faire de la veille techno et tout ça , mais comme le disait le Laboureur à ses enfants :  "Travaillez, prenez de la peine : C'est le fonds qui manque le moins".

  • Like 1
  • Thanks 1

Share this post


Link to post
Share on other sites
il y a 11 minutes, zx a dit :

ca coute plus cher, on utilise toujours les même algorithmes de chiffrement à clé symétrique ou asymétrique,  des,aes,rsa, sha, hmac, il faut des équipes dev et support, des experts, et il faut bien les payer, éviter le turn over, etc...  il y a de bons produits sur le marché, de toute façon, un état finira toujours par avoir le dernier mot.

@Shorr kan, quand je te disais que je maîtrise pas le sujet :biggrin:

  • Haha 1

Share this post


Link to post
Share on other sites
il y a 1 minute, Phacochère a dit :

@Shorr kan, quand je te disais que je maîtrise pas le sujet :biggrin:

Ben moi non plus :biggrin:

Share this post


Link to post
Share on other sites

Share this post


Link to post
Share on other sites
Il y a 15 heures, Shorr kan a dit :

J'ai jamais compris ces pays ou ces grosses boites qui achetaient des systèmes de sécurisation/cryptage clé en main plutôt que de développer leur propre système.

J'ai lu voici plusieurs années que cette tentation de re-développement était souvent trompeuse. On se dit qu'en fait ce n'est pas si compliqué, et puis on pond du code moisi, avec des faiblesses, et de la crypto cassable.

Share this post


Link to post
Share on other sites
Il y a 20 heures, Patrick a dit :

Rien sur la France?

Nope. Pas sûr qu'elle ait utilisé le matos de Crypto AG.

D'ailleurs, maintenant que j'y pense, j'ai rarement entendu parler d'interceptions spécifiques, comme détaillées plus haut, visant la France... Pourtant le fait que c'était un objectif est évident (cf. comme son programme nucléaire était une cible d'intérêt).

  • Thanks 1

Share this post


Link to post
Share on other sites

normalement, a ce niveau, ce sont des LS  (lignes spécialisées) qui sont tirées de point  à point,  comme pour les centres de traitement monétiques ou des banques, certaines administrations. les méfiances sur les 5G de wei wei ou US ou autres, ne sont pas fantaisistes.

Pour pirater ca faut s'accrocher,  ils sont surveiller de très près, toute micro coupure, ou latence sont sujet à lever une alerte, il semble qu'en russie, ils avaient essayés de hacker en voulant s'y connecter en man in the middle, ca pas raté, les alertes se sont déclenchées et ont arrêter tous les traitements ou utilisés la ligne de secours, le temps d'inspecter le point d'interruption.

c'est plus facile de s'attaquer aux pc avec des rootkit, virus troyens ou s'en prendre au maillon faible, l'humain.

Edited by zx

Share this post


Link to post
Share on other sites

https://www.lesnumeriques.com/voiture/tesla-veut-imposer-ses-mises-a-jour-a-distance-aux-proprietaires-recalcitrants-n147217.html

Quote

Tesla veut imposer ses mises à jour à distance aux propriétaires récalcitrants

Marque de fabrique de Tesla, les mises à jour over the air(OTA) sont fréquentes chez le constructeur et ne sont pas du goût de certains propriétaires qui les refusent. Tesla menace de leur supprimer certaines fonctionnalités.

Courantes dans le monde de la high-tech, les mises à jour over the air (OTA, ou "à distance" en français) permettent d’améliorer certaines fonctionnalités. C’est d'ailleurs l'un des supports préférés de Tesla qui a ainsi popularisé l’over the air dans l’automobile, désormais suivi par d'autres constructeurs.

Si les mises à jour de Tesla apportent généralement des améliorations (autonomie, Autopilot), de nouveaux contenus, une interface revue et corrigée, les propriétaires des modèles de la marque ne sont pas pour autant tenus de les accepter. Surtout quand certaines nouvelles fonctionnalités ne sont pas du goût des conducteurs.

À commencer par l’obligation de laisser les mains sur le volant lorsque l’Autopilot est actionné, sous peine d’alertes intempestives. Évoquons aussi la limitation de l’autonomie sur les Model S afin de préserver les batteries, l’ajout de limitations de vitesse ou une nouvelle interface. Résultat, les propriétaires de Tesla refusent de mettre à jour leurs véhicules.

Le californien a récemment envoyé un message sous forme d’ultimatum demandant à ce que les véhicules incriminés effectuent une mise à jour vers la version 2019.40.2.3 avant le 1er mai 2020, prétextant une amélioration du réseau Tesla pour une sécurité accrue ainsi que "maintenir la compatibilité et l'accès aux fonctionnalités des véhicules connectés".

Passée cette date butoir, les Tesla n’ayant pas obtempéré ne seront plus en mesure de recevoir de nouvelles mises à jour logicielles, d’accéder à l’application mobile, d’utiliser les commandes vocales ou de recevoir du contenu multimédia en continu.

Reste à savoir si les propriétaires de voitures Tesla vont capituler ou si, dans le cas contraire, Tesla va imposer ses mises à jour.

Selon le cabinet d’études ABI Research, d’ici 2022, quelque 203 millions de véhicules devraient être concernés par les mises à jour à distance des logiciels (SOTA - Software-Over-the-Air) et des firmwares (FOTA - Firmware Over-the-Air) (source ZDNet).

 

  • Confused 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Member Statistics

    5,445
    Total Members
    1,550
    Most Online
    RAFMAN
    Newest Member
    RAFMAN
    Joined
  • Forum Statistics

    20,781
    Total Topics
    1,273,668
    Total Posts
  • Blog Statistics

    3
    Total Blogs
    2
    Total Entries