Collecte de données et déclin de la vie privée
"Seul est libre qui use de sa liberté."1)
Cette page est une veille technologique, modeste, non exhaustive, et pas forcément à jour, pour sensibiliser au déclin de la vie privée, lié aux mauvais usages des technologies numériques qui conduisent à la collecte massive de données personnelles (data mining). Comme le remarquait Guillaume Champeau, en 2017, dans sa conférence "Quelle éthique pour les développeurs ?"2), la vie privée est nécessaire à la liberté d'expression, et la liberté d'expression est nécessaire à la démocratie. Or la vie privée n'existe pratiquement plus. Donc la "démocratie" est une imposture. En effet, l'ancienne vitalité démocratique des classes populaires a fait place à la résignation, au repli individualiste, et à l'apathie de toutes les couches sociales dans une sorte d'oblomovisme contemporain qui conduit à tolérer l’inacceptable.
Pour Nikolaï Dobrolioubov, intellectuel russe des années 1860, le syndrome Oblomov, l’oblomovchtchina, est la marque caractéristique des époques durant lesquelles le désir de vivre est écrasé. Nous sommes revenus, sur le plan social, au milieu du XIXe siècle en Russie. Les Oblomov du XIXe siècle, comme ceux d’aujourd’hui, sont des contestataires qui s’ignorent.
Hélène L'Heuillet : Éloge du retard, où le temps est-il passé ? (Éditions Albin Michel, 2020)
Dernière mise à jour : 26/11/2024 03:31
Épinglé :
- 25/07/2023: IA > laquadrature.net > L'Assemblée adopte l'activation à distance des appareils électroniques
- 05/06/2023: IA > laquadrature.net > Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste
- 23/06/2021: ewatchers.org > Peut-on envoyer des données à caractère personnel par e-mail ? Par Morgan Schmiedt : Non, les données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées. En l'absence de chiffrement, la confidentialité des e-mails n'est pas garantie, car le contenu des e-mails transite sur Internet, en clair, jusqu'au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications. …
- cnil.fr > Sécurité : Sécuriser les échanges avec d'autres organismes : […] chiffrer les pièces sensibles à transmettre, si cette transmission utilise la messagerie électronique…
- 11/09/2017: 10 mythes sur la vie privée sur le web, par François Charlet, juriste suisse
Sommaire :
Introduction
Centres de traitement des données :
Les centres de données (data centers) interconnectés constituant une informatique en nuage (Cloud computing) hébergent actuellement la datamasse (Big data) de l'humanité. Parmi cette accumulation sans fin de données au bilan carbone désastreux3), se trouvent aujourd'hui 10/12/2024 à 13h50, vos données administratives, comportementales et psychologiques, calculées avec une précision toujours croissante par des algorithmes d'intelligence artificielle.
Cet état de fait est vrai même si vous êtes très méfiants voire hostiles au stockage en ligne, parce que les administrations publiques et leurs sous-traitant privés le font pour vous, quand elles n'abandonnent pas complètement leurs missions dans le cadre de partenariats public-privé (PPP) en croissance mondiale exponentielle. Le cas emblématique des compteurs Linky est bien connu mais n'est que la partie émergée d'un grand iceberg.
— Pistes de résistance4)
Navigation web et systèmes d'exploitation privateurs :
Aujourd'hui, la grande majorité des pages web sous-traitent auprès de programmes JavaScript espions qui observent de près la navigation de l'internaute, les formulaires qu'il remplit, voire les mouvements de sa souris. Le plus connu et répandu de ces programmes espions est Google Analytics qui correspond à 80% du marché mondial, mais les autres appartiennent aussi à des entreprises qui s'appliquent à concentrer le web contre le projet originel et la nature d'Internet (cf. la page Vidéos sur... Qu'est-ce qu'Internet ?). De surcroît, de nombreux serveurs web commerciaux calculent et mémorisent l'empreinte des navigateurs web afin de mieux pister les internautes qui désactivent JavaScript et utilisent le mode de navigation privée. L'offre globale supposée gratuite de services web sert donc surtout à récolter des historiques de navigation associés à des identifiants uniques de consommateurs et à leurs données administratives et comportementales.
À lire sur ce sujet : 10 mythes sur la vie privée sur le web, par François Charlet, juriste suisse (11/09/2017)
Sous le prétexte fallacieux "d'amélioration de l'expérience utilisateur", Windows 10 pour Microsoft, Android pour Google, et IOS/Mac OS pour Apple espionnent toutes les interactions homme-machine incluant les frappes au clavier, les données en provenance du micro, voire celles de la webcam.
— Pistes de résistance5)
Smartphones et autres "objets connectés" :
Depuis plusieurs années au niveau mondial, on assiste à la tendance consistant pour chaque être humain à s'associer à un smartphone personnalisé. La première fonction de ces appareils – à leur mise en route – est l'envoi au sous-réseau téléphonique de leurs identifiants uniques respectifs et via le calcul distribué par les différents relais GSM contactés (triangulation), la déduction de leurs positions géographiques plus ou moins précise. La première fonction des smartphone est donc celle du transpondeur qui a été inventé pendant la deuxième guerre mondiale pour reconnaître l'écho radar des avions britanniques amis. Ainsi, de par leur fonction la plus basique, les smartphones sont des mouchards qui renseignent à tout moment sur la position et les mouvements de leurs porteurs respectifs. Les possesseurs de smartphones dont la source de courant n'est pas débranchée, communiquent où, quand et combien de temps, ils se rencontrent, y compris quand ils dorment. Du point de vue des opérateurs téléphoniques, les liens sociaux, familiaux, professionnels, amicaux et sexuels entre porteurs de smartphones se déduisent aisément de ces quelques données. Mais même sans être opérateur, il est facile de géolocaliser n'importe quel numéro 06 via les services d'un prestataire envoyant des SMS invisibles appelés SMS furtifs, Flash SMS ou encore SMS type 06). Comme le dit Richard Stallman, "Le téléphone portable, c’est le rêve de Staline devenu réalité". Si elle existait encore de nos jours, la Stasi serait en faillite.
Les nano-ordinateurs que sont les smartphones représentent l'archétype des "objets connectés", avec la différence vis-à-vis de ces derniers, d'une part qu'ils sont conçus pour être facilement mis à jour à l'instar des micro-ordinateurs (ce qui ne signifie pas que les smartphones sont systématiquement mis à jour), d'autre part, qu'ils hébergent des mouchards logiciels tiers présentés comme gratuits. L'évolution des usages de ces technologies implique incontestablement que les smartphones sont appelés à disparaître, passant de statut d'implants symboliques à celui d'implants physiques, aptes à soulager l'utilisateur en lui évitant une variante de l'angoisse d'abandon appelée nomophobie7). L'usage contemporain de la technologie smartphone par lequel s'intriquent la sphère intime – même non consciente – et la sphère publique démontre que ce sont moins les objets qui sont connectés que les êtres humains. "L'Homme augmenté" par l'inter-connexion numérique des corps est un des projets transhumanistes des ingénieurs qui conçoivent ces appareils numériques. En d'autres termes, sous l'influence du discours commercial, les consommateurs adaptent progressivement leurs comportements aux projets théoriques des concepteurs de ces marchandises technologiques. Sous cet angle, les smartphones et les objets connectés apparaissent comme des anthropotechnies, c'est-à-dire des techniques destinées à améliorer l'humain, ou selon le philosophe Jérôme Goffette "l'art ou la technique de transformation extra-médicale de l'être humain par intervention sur son corps". Malheureusement, les utilisateurs oublient ou minorent souvent l'autre aspect de servitude volontaire que représente l'adhésion sans critique à ces usages des objets numériques : la quasi-totalité des applications smartphones, des plus simples affichant la météo jusqu'aux plus sophistiquées en passant par celles du Quantified self (soi quantifié), récoltent des données personnelles dont le degré d'intimité est comparable à celui des puces RFID sous-cutanée.
Depuis le début de la commercialisation des "objets connectés", les données de leurs capteurs ou une synthèse de celles-ci sont transférées aux sociétés exploitantes qui les revendent à d'autre sociétés. De surcroît, comme la plupart des objets connectés ne sont pas suffisamment sécurisés (lacune de mise à jour), et grâce aux moteurs de recherche Shodan et censys.io, les objets directement connectés à internet tels que webcam et babyphones sont également visités par des intrus non invités – humains ou programmes malveillants – qui peuvent chercher à en tirer un parti financier (chantage, etc.). Vous pensez pouvoir conserver la liberté de ne pas connecter votre nouveau réfrigérateur à votre réseau Wi-fi. Malheureusement, les "objets connectés" échangeront bientôt des informations sur vous sans avoir besoin de votre connexion internet grâce aux nouveaux réseaux sans fil "Machine to machine LPWAN" en développement8).
— Pistes de résistance9)
Espace public et commercial :
Sous des prétextes sécuritaires, les webcams à reconnaissance biométrique envahissent les rues des villes, les halls de gare et d'aéroport, et les espaces touristiques, en sorte que l'anonymat devient impossible dans l'espace public. D'une part grâce à des webcams implantées dans les panneaux publicitaires, dans les yeux des mannequins en vitrines10) et à l'intérieur des magasins, d'autre part, grâce à l'étude des ondes Wi-Fi émises par les smartphones à la recherche de points d'accès à internet (cf. cette photo d'affiche sur twitter, les zones de chalandise espionnent de plus en plus les clients potentiels ou avérés. Avec le recoupement des informations agrégées par les données biométriques et comportementales, les cartes de fidélités, et les listings de prospects achetés auprès des data-brokers (voir ci-dessous "Le courtage de données : vol, recèle et revente légalisés"), les publicités reçues par email et SMS sont de plus en plus personnalisées.
Voir pour plus d'info : laquadrature.net > surveillance
— Pistes de résistance11)
Assurances et mutuelles luttent contre le hasard et la vie privée pour le déterminisme individuel :
Bientôt – c'est à dire depuis quelques années aux USA et actuellement en développement en Europe –, les compagnies d'assurances et les mutuelles de santé pénétreront votre intimité et vous feront payer un tarif individualisé, calculé au plus juste du risque estimé par votre naissance, votre hérédité et le comportement de votre profil d'assuré prédit par les algorithmes. Elles vous inciteront à porter de nouveaux mouchards pour mesurer votre conduite sur les routes comme le font actuellement des "volontaires" via des applications sur smartphone. Et grâce aux progrès des biotechnologies et à leurs campagnes marketing, elles finiront par connaître votre apport journalier en glucides, lipides, votre taux d'exercice physique et de sommeil. Devenus minoritaires, les assurés réfractaires à cet asservissement volontaire paieront beaucoup plus chers que les autres.
— Pistes de résistance12)
L'ADN, dernier rempart de l'intimité physique :
Suite à la révolution biotechnologique que nous traversons, les séquenceurs d'ADN par réactions en chaîne par polymérases (PCR) sont de moins en moins chers et sont sur le point d'inonder la vie courante, comme en témoigne la nouvelle tendance des "tests ADN récréatifs" (cf. reportage France 2). Dès 2020 les rapports médecin/patient seront modifiés par les nouvelles données personnelles constituées du génome de chaque individu (et qui tient sur un CD-ROM de 700 Mo). Ces données intimes seront banalisées et probablement incorporées aux puces des carte de SECU ou des nouvelles cartes d'identités biométriques qu'imposent les états pour mieux contrôler les populations et leurs mouvements (cf. ce reportage sur l'Estonie, leader mondial en la matière.)
— Pistes de résistance13)
Considérations générales sur la vie privée
- personaldata.io - PersonalData.IO est une association d'intérêt public pour la défense des droits de protection des données personnelles permettant d'avoir le contrôle sur notre vie numérique et physique
- 15/02/2024: IA > droit.developpez.com > "Les portes dérobées qui permettent aux forces de l'ordre de déchiffrer les messages privés violent les droits de l'homme" selon la Cour européenne des droits de l'homme :
La Cour européenne des droits de l'homme (CEDH) a déclaré que l'introduction de portes dérobées dans les applications de messagerie chiffrées pour déchiffrer les communications privées viole les droits de l'homme. Elle s'oppose à un affaiblissement du chiffrement de bout en bout, car cela risque de porter atteinte aux droits de l'homme de manière disproportionnée. La décision de la Cour pourrait potentiellement perturber les projets de la Commission européenne, qui vise à exiger des fournisseurs de services de messagerie chiffrés qu'ils créent des portes dérobées qui permettraient aux forces de l'ordre d'espionner les contenus des communications des utilisateurs - 26/01/2024: IA > franceinter.fr > Données personnelles : l'UFC-Que Choisir dénonce "un véritable pistage" des consommateurs en ligne :
[…] Grâce à des algorithmes très poussés, ces entreprises analysent le comportement des consommateurs et sont capables de créer un profil publicitaire très précis de chacun d'entre eux. "Par exemple, la filiale de Microsoft spécialisée dans la publicité classe les consommateurs en fonction de plus de 650.000 traits de personnalité et situations personnelles", écrit l'UFC-Que Choisir. "Nombre de ces traits sont très personnels, voire intimes, tels que 'réceptif aux messages émotionnels', 'problèmes d'argent', 'dépendance au jeu de hasard', 'dysfonction érectile', 'dépression', 'gros acheteur de test de grossesse', 'sympathisant de syndicats', ou encore 'dépendance aux opioïdes'." De quoi ensuite proposer des publicités extrêmement ciblées : "Ces entreprises sont ensuite capables d'exploiter votre personnalité, votre état d'esprit afin de vous afficher des publicités qui vous incitent à succomber à des achats impulsifs", souligne Frithjof Michaelsen. Par ailleurs, ce stockage généralisé de données personnelles et leur circulation massive multiplie le risque de piratage "et d'actes cybercriminels au détriment de la vie privée des consommateurs". … - 24/10/2023: franceculture.fr > Le Biais d'Aurélie Jean > Les messageries privées, une liberté fondamentale
- 08/08/2023: IA > francetvinfo.fr > Vous postez des photos de vos enfants sur internet ? On vous explique ce qu'est le "sharenting" et pourquoi cette pratique inquiète
- 2017: youtube.com > Deepdocs Films > Nothing to hide (Rien à cacher), un film documentaire sur la surveillance et vous (1h26) de Marc Meillassoux et Mihaela Gladovic :
Ce documentaire est recommandé et soutenu par la Ligue des Droits de L'Homme. Il est visible dans son intégralité dans sa version sous-titrée en français sur le site web vimeo.com et peut être téléchargé à des fins pédagogiques selon la licence Creative Commons Attribution – Non Commercial – No Derivatives (CC-BY-NC-ND). - 18/08/2016: "On veut vous faire croire que vous n'avez rien à cacher" par François Charlet, juriste.
Plusieurs événements survenus en 2015 et 2016 ont fait resurgir, pour la énième fois, et de manière tristement dramatique, les défaillances de la (vidéo)surveillance (de masse). Ou plutôt, son inutilité, son incapacité à protéger, à remplir sa mission. Pourtant, on en veut toujours plus et on ne compte plus le nombre de fois où tant les autorités que les individus et sociétés privées déclarent que si on n'a rien à cacher, on n'a rien à craindre. Ou l'on peut être surveillé et traqué, car on n'a rien à cacher.
Cet aphorisme est faux, pernicieux et dangereux (il serait même attribué à Joseph Goebbels ; depuis quand cite-t-on les nazis pour justifier des mesures incisives aux droits et libertés individuels ?). Voici pourquoi… - 09/2014: Vidéo "Why privacy matters" (Pourquoi l'intimité est importante) sous-titrée en français :
Le journaliste Glenn Greenwald démontre pourquoi croire qu'on a "rien à cacher" est absurde et revient à renoncer à sa propre liberté individuelle en consentant à un conformisme servile promu par des idéologues qui ont pourtant des choses à cacher.
Durée : Exposé de 15'15" + interview de 5'26" – Date : Octobre 2014 – Réalisation : Conférence TED
Lien vers la page web – Lien direct vers le fichier vidéo sous-titrée – Lien direct vers le texte de son exposé en français
Licence : Vidéo en licence libre Creative Commons BY-NC-ND 3.0
Le courtage de données : vol, recèle et revente légalisés
Petite histoire du courtage de données
- 1977: Kelly Warnken publie la première base de données payantes sous le nom "The directory of fee-based information services (Le répertoire des services d'information payante)
- 1981: Kelly Warnken publie "The Information Brokers - How to Start and Operate Your Own Fee-Based Service" ("Les courtiers en information – Comment démarrer et exploiter votre propre service de base de données rémunérées")
- 1982: Kelly Warnken publie "So you want to be an information broker?" (Vous voulez donc être un courtier d'information ?)
- 1987: Marilyn Levine - professeure en sciences de l'information et des bibliothèques à l'université du Wisconsin et propriétaire de la société Information Express - crée la première association professionnelle à Milwaukee (Wisconsin) sous le nom de "The Association of Independent Information Professionals (AIIP)". D'après la page facebook de l'association, Marilyn Levine est rejointe par 26 confrères courtiers d'information, tous pionniers dans la fourniture d'informations liées, tels que la recherche manuelle en ligne, la livraison de documents, la conception de bases de données, l'assistance bibliothécaire, la consultation, l'écriture et la publication
Typologie des courtiers de données
Typologie constituée grâce à Kevin Mellet, chercheur en sociologie économique au département de sciences sociales d’Orange Lab qui s'exprimait le 07/07/2018 sur France Inter
- Quelques courtiers de données qui pré-existaient à Internet :
- Equifax (wikipedia) dont les bases de données ont été massivement piratées (voir plus bas dans la page)
- Quelques courtiers de données créés après l'avènement d'Internet :
En savoir plus sur le courtage de données
- 06/08/2021: wedig.fr > Qui sont les Data brokers, ces nouveaux courtiers de données ?
- 25/10/2017: framablog.org > Comment les entreprises surveillent notre quotidien :
[…] Bien sûr, vous connaissez les GAFAM omniprésents aux avant-postes pour nous engluer au point que s'en déprendre complètement est difficile… Mais connaissez-vous Acxiom et LiveRamp, Equifax, Oracle, Experian et TransUnion ? Non ? Pourtant il y a des chances qu'ils nous connaissent bien… - 07/07/2018: franceinter.fr > Tout est numérique > Data brokers, les courtiers de nos données avec Kevin Mellet, chercheur en sociologie économique au département de sciences sociales d’Orange Lab
- 22/03/2017: definitions-marketing.com > Data broker
- privacyrights.org > Liste de data-brokers (en)
- Wikipedia > Information broker (en)
- Wikipedia > Intelligence économique
- Voir aussi "Collecte de données et manipulation" plus bas dans cette page
Actualité du déclin de la vie privée
Marché financier des données personnelles
- 02/05/2023: La Chine annonce la création du premier marché financier de données personnelles numériques…
02/05/2023: IA > courrierinternational.com > Économie. En Chine, première vente de données personnelles sur une Bourse spécialisée : […] "Une Bourse chinoise de données a pour la première fois bouclé une transaction impliquant des données personnelles, qui pourrait permettre à des demandeurs d'emploi de recevoir une part des bénéfices issus de la vente de données tirées de leur CV", rapporte le journal hongkongais South China Morning Post, ce 2 mai. "Avec le consentement d'utilisateurs individuels, la société technologique locale Hao Huo collecte leurs CV et transforme l'information en un ‘produit de données', ce qui la rend exploitable et assure la protection de la vie privée", précise le quotidien sur la base des explications données par les autorités du Guizhou, la province du sud-ouest de la Chine où se situe cette Bourse d'échange. Les données sont ensuite offertes sur la Bourse "où des employeurs peuvent les acheter". Selon les autorités locales, ce système "permet à des demandeurs d'emploi de gagner de l'argent alors qu'ils cherchent un travail". Un commerce vu comme stratégique par Pékin. Cette Bourse d'échange de données est la première du genre à avoir été créée en Chine, en 2015. Elle a généré jusqu'ici un chiffre d'affaires modeste : environ 80 millions de dollars cumulés. Comme le souligne le South China Morning Post, "les autorités chinoises voient dans les données un facteur de production au même titre que la propriété foncière ou le travail et tentent de développer un ‘marché'." Pékin a produit "des plans stratégiques" pour développer le commerce de données, "tout en renforçant nettement les pénalités pour violation de la sécurité des données et de la vie privée". Données sensibles. En novembre dernier, il y avait en Chine 48 Bourses d'échange locales de données et huit autres en cours de développement, selon un livre blanc cité par le South China Morning Post. Toutefois, jusqu'ici, les échanges sur ces Bourses "étaient limités à des données de marché n'impliquant pas d'informations personnelles. Sur la Bourse de Shenzhen, par exemple, l'entreprise publique China Southern Power Grid offre des données d'entreprises pour l'évaluation du risque de crédit sur la base de la consommation d'électricité, achetées notamment par des banques." Le journal souligne que "les données personnelles sont particulièrement sensibles car elles tombent sous la coupe de la stricte loi chinoise de protection des informations personnelles".
Sur l'espionnage de masse en général
- 11/07/2023: IA > laquadrature.net > En visite aux "nuits de l'AN2V", le lobby de la vidéosurveillance
- 25/05/2021: laquadrature.net > Les GAFAM échappent au RGPD, la CNIL complice (archive.org) :
[…] Conclusion : Sur nos cinq plaintes, deux n'ont jamais été examinées (Google, Amazon), deux autres semblent faire l'objet de manœuvres dilatoires absurdes (Apple, Facebook) et la cinquième n'a pas davantage abouti sur quoi que ce soit de tangible en trois années (Linkedin). On l'a souligné plusieurs fois : si les GAFAM échappent aussi facilement au RGPD, ce n'est pas en raison de la complexité de nos affaires ou d'un manque de moyens matériels. Le budget annuel de la CNIL est de 18 millions d'euros et elle emploie 215 personnes. Au fil des ans et sur d'autres sujets, nous avons souvent échangé avec les personnes employées par la CNIL : leur maîtrise du droit des données personnelles est sincère. Elles partagent certainement nos frustrations dans une bonne mesure et n'auraient aucune difficulté à redresser la situation si on le leur demandait. Le RGPD leur donne toutes les cartes et, s'il en était besoin, nous leur avons explicitement pointé quelles cartes jouer. Si les causes de cet échec ne sont pas matérielles, elles ne peuvent être que politiques. La défaillance du RGPD vis à vis des GAFAM est si totale et flagrante qu'il est difficile d'imaginer qu'elle ne soit pas volontaire ou, tout le moins, sciemment permise. Les motivations d'une telle complicité sont hélas déjà bien identifiées : les GAFAM sont les fidèles partenaires des états pour maintenir l'ordre sur Internet. Plus que jamais, l'État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse. À leur échelle, en permettant aux GAFAM d'échapper au droit qui devait protéger nos libertés fondamentales, les 18 membres du collège de la CNIL participent de l'effondrement démocratique en cours. À notre sujet, voici la conclusion : nous avons fait tout ce qui était dans nos capacités pour que le RGPD nous protège collectivement contre les GAFAM, nous avons pleinement joué le jeu du droit et nous avons échoué. N'attendons plus un improbable sursaut démocratique de la CNIL : il faudra nous protéger sans elle. - 17/04/2019: franceculture.fr > Entendez-vous l'éco ? > Le prix du gratuit : Gratuité, données, publicité
(Avec Benjamin Bayart et Fabrice Rochelandet) - 14/11/2018: framablog.org > Ce que récolte Google : revue de détail : Traduction française du résumé liminaire de l'étude scientifique "Google Data Collection (PDF)" (archive.org) dirrigé par le professeur Douglas C. Schmidt, enseignant chercheur spécialiste des systèmes logiciels à l'Université Vanderbilt de Nashville Tennesse
- 06/02/2018: L'austérité est un algorithme (Synthèse d'Hubert Guillaud sur l'espionnage de masse, pour internetactu.net)
- 25/10/2017: framablog.org > Comment les entreprises surveillent notre quotidien :
[…] Bien sûr, vous connaissez les GAFAM omniprésents aux avant-postes pour nous engluer au point que s'en déprendre complètement est difficile… Mais connaissez-vous Acxiom et LiveRamp, Equifax, Oracle, Experian et TransUnion ? Non ? Pourtant il y a des chances qu'ils nous connaissent bien… - 20/04/2017: Texte et vidéo de la conférence "Quelle éthique pour les développeurs ?" par Guillaume Champeau sur le site de l'association APRIL :
Juriste de formation et ex-directeur de la rédaction de Numerama.com qu'il a fondé, Guillaume Champeau est actuellement directeur de l'éthique et des relations publiques du moteur de recherche éthique Qwant. La première partie de la conférence porte sur l'éthique du développeur logiciel. La deuxième partie porte sur la vie privée - 13/06/2015: Quand le marketing est partout, sa régulation devient primordiale
À l'heure d'internet, le marketing n'a plus grand-chose à voir avec son pendant analogique. Dopé aux données personnelles et à leurs croisements par les Big data, ces grands volumes de données, la segmentation des clients est devenue éminemment fine et précise. Et surtout, elle permet de toucher directement les cibles, de les mener bien souvent jusqu'à l'acte d'achat ou à la prise de contact. […] Ce "scoring" a été profondément transformé par la démultiplication et le croisement de données provenant de courtiers de données, de régies d'annonces en ligne et de celles revendues par tous ceux qui en accumulent, comme Facebook ou Google. Autant de réservoirs de données croisées qui ont fait disparaître les frontières de l'évaluation du risque client… Certes, ces techniques utilisées pour maximiser la publicité ne déterminent pas directement votre capacité d'emprunt, mais vous confrontent à des offres d'emprunt sous forme publicitaire bien différente selon l'évaluation marketing qui est faite de vous. Comme elles ne sont pas reliées à des demandes d'offre de crédit, les recours traditionnels auprès des autorités sont impossibles. […] Le problème est que la discrimination du profilage publicitaire est difficile à prouver. Comment savoir si les publicités qui vous prennent pour cible proposent des produits financiers qui ne sont pas les mêmes que d'autres, simplement parce que votre manière de consommer de l'information ou des produits en ligne vous a fait passer d'une catégorie de consommateur à une autre, entre les milliers de catégories que ses systèmes génèrent ? Pour Aaron Rieke de Upturn, et fondateur de Equal Future, la meilleure indication de pratiques potentiellement discriminatoires est à chercher dans les techniques de marketing elles-mêmes. Dans son libre blanc sur les droits civils et le big data, Rieke a ainsi souligné que Deloitte était capable d'utiliser des milliers de sources provenant de tiers de données, d'antécédents d'achats… permettant de prédire l'état de santé d'un demandeur d'assurance vie avec une précision comparable à un examen médical. - 17/10/2014: liberation.fr > Données c'est donner... : Fondateurs de réseaux sociaux ou de sites de rencontre, tous tentent d'exploiter les data des internautes. Des manipulations s'opèrent, à l'insu des utilisateurs… Les questions d'éthique et de droit restent posées…
Espionnage et biométrie de masse et police prédictive
"La vidéosurveillance n'est pas installée pour prévenir le crime, mais pour le punir si l'auteur d'une infraction a été filmé et peut être identifié (vive le hoodie). Personne ne regarde en direct les (éventuels) écrans de contrôle, ou alors ne cible que certaines catégories d'individus en fonction des consignes données par le politique. De plus, la vidéosurveillance n'empêchera jamais un individu de se faire exploser dans un stade de football ou dans un aéroport. Elle risque même de détourner l'attention des gens chargés de notre sécurité, et de leur faire perdre du temps."
Extrait de l'article IA > francoischarlet.ch > On veut vous faire croire que vous n'avez rien à cacher par François Charlet (juriste).
Voir aussi :
laquadrature.net > Surveillance ; technopolice.fr ; santenathon.org
Sur wikipedia.org : Prévision policière, Predictive policing (en), Carding (police policy) (en), Pre-crime (en) ; Vidéosurveillance
- 28/10/2024: securite.developpez.com > Au cœur de l'outil du gouvernement américain qui permet de localiser les téléphones dans le monde entier, dans les cliniques d'avortement, les lieux de culte, et vous pouvez tous être surveillés sans mandat : Une enquête révèle que le gouvernement américain s'appuie sur un puissant outil appelé "Locate X" pour localiser les téléphones n'importe où dans le monde. Locate X utilise l'identifiant publicitaire mobile des téléphones pour créer "un vaste réseau de localisation des appareils". Les annonceurs peuvent alors établir "un profil évolutif d'informations" autour de cet identifiant en fonction de l'endroit où il accède aux services qui diffusent des publicités. Des courtiers en données utilisent ce réseau d'emplacements afin de créer des outils de suivi qui permettent de suivre une personne à la trace, dans les cliniques d'avortement, dans les lieux de culte, etc. Locate X : un logiciel de suivi prisé par la police et le gouvernement américains. […] Le programme Locate X a été développé par le courtier en données Babel Street. […] Locate X exacerbe les préoccupations en matière de protection de la vie privée. […] Des programmes de surveillance massive mis en place sans aucun mandat. […] ; Sources : 08/11/2024: eff.org > Creators of This Police Location Tracking Tool Aren't Vetting Buyers. Here's How To Protect Yourself ; 24/10/2024: gigazine.net > The existence of 'Locate X,' a service that tracks smartphone locations around the world by exploiting Google and Apple's advertising identifiers, has been revealed ; 24/10/2024: arstechnica.com > Location tracking of phones is out of control. Here's how to fight back : Unique IDs assigned to Android and iOS devices threaten your privacy. Who knew? : […] Not surprisingly, Android users who want to block intrusive location gathering have more settings to change than iOS users. The first thing to do is access Settings > Security & Privacy > Ads and choose "Delete advertising ID." Then, promptly ignore the long, scary warning Google provides and hit the button confirming the decision at the bottom. If you don't see that setting, good for you. It means you already deleted it. Google provides documentation here. […] ; 23/10/2024: theverge.com > An investigation exposes data brokers using ads to help track almost any phone ; 18/10/2024: IA > krebsonsecurity.com > Action en justice d'Atlas Data Privacy contre Babel Street, créateur de Locate X (PDF)
- 08/11/2024: next.ink > 24 millions et moi, et moi... : un tiers de la population est "défavorablement connue" de la police (article privé) : […] En France, le nombre de personnes fichées comme ayant été "mises en cause" par la Police ou la Gendarmerie depuis les années 90 est passé de 9 millions (en 2012) à pas moins de 24 millions, dont 16 millions le sont encore nominativement, et donc "défavorablement connues", pour reprendre l'expression médiatique consacrée (sans que jamais, cela dit, les journalistes ne précisent que le tiers de la population française serait donc concerné). …
- 30/10/2024: linforme.com > Matignon surveillera désormais aussi nos recherches dans Google, TikTok ou Instagram (article privé) : Voilà qui risque de déplaire à beaucoup. Le Service d'information du gouvernement (SIG), placé sous la direction du Premier ministre, cherche à élargir sa surveillance des activités des Français sur Internet en s'appuyant sur l'intelligence artificielle (IA) a appris l'Informé. Objectif : mieux prendre le pouls de la société et comprendre sa perception de l'action publique. Dirigé par Michaël Nathan, le service a lancé un nouvel appel d'offres afin de renouveler un contrat d'écoute des réseaux sociaux (social listening) et, grande nouveauté, l'a élargi désormais aux recherches en ligne sur les moteurs (search listening) et aux signaux faibles dont les appels à rassemblement initiés sur le web. Au total, cinq lots sont proposés, et non plus trois comme en 2021, pour un montant maximal de 1,26 million d'euros hors taxes par an, soit 5,05 millions d'euros sur quatre ans, comme l'a constaté CB News
- 28/10/2024: franceculture.fr > La Science, CQFD > Technosurveillance : halte l'IA ? : Depuis la loi relative aux JO 2024, l'expérimentation de caméras dotées de systèmes d'intelligence artificielle a été autorisée en ville pour huit cas d'usage. Le gouvernement envisage désormais de pérenniser et généraliser ce nouvel outil. Est-on en passe de légaliser la reconnaissance faciale ? Félix Tréguer, Sociologue, associé au centre Internet et société (CIS) du CNRS, membre de la Quadrature du Net. Olivier Tesquet Journaliste à la cellule enquête de Télérama
- 28/10/2024: streetpress.com > Sans demander, la mairie de Saint-Denis a imposé la vidéosurveillance algorithmique dans la ville : Un projet de vidéosurveillance algorithmique est en train d'être installé à Saint-Denis par le maire Mathieu Hanotin. Imposé en toute discrétion, le logiciel analyse le comportement des citoyens et citoyennes à l'aide de leurs données biométriques.
- 28/06/2024: 20minutes.fr > Micros, téléphone piégé, ordinateur surveillé... Toujours plus de personnes surveillées en France par les renseignements : Dans le dernier rapport de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR), on apprend notamment que le nombre de personnes surveillées a bondi de 30 % en un an. […] Mais au-delà des chiffres, "plus significatif […] est le recours toujours croissant aux techniques les plus intrusives", constate le rapport. "Pose de micros dans des lieux privés, recueil de l'ensemble des données informatiques de la personne, piégeage des téléphones et des ordinateurs : on s'efforce ainsi de compenser le désormais faible apport des écoutes téléphoniques", ajoute-t-il. L'IA au service du renseignement. A la différence des écoutes téléphoniques, centralisées sous l'autorité du Premier ministre, "ces techniques spécialement intrusives sont directement mises en œuvre par les services demandeurs. Leur produit est conservé et exploité dans les systèmes de ces mêmes services", écrit Serge Lasvignes, président de la CNCTR. Le rapport pointe aussi le développement de l'intelligence artificielle qui touche profondément le renseignement comme le domaine militaire. L'IA est ainsi simultanément "un outil dont le renseignement ne saurait se passer. Et un défi pour le régulateur qui se demande déjà si la surveillance d'une personne en viendra à être décidée selon des critères dont aucun humain ne connaîtra ni la teneur ni la pondération de façon certaine…", pointe le rapport de la CNCTR.
- 04/08/2023: tails.net > Help us shape the future of Tails! (archive.ph) : "[…] Encryption under attack worldwide. […] Amidst repression in France, using Tails is not a crime. …"
- 25/07/2023: IA > laquadrature.net > L'Assemblée adopte l'activation à distance des appareils électroniques
- 15/06/2023: IA > laquadrature.net > Tribune : "Attachés aux libertés fondamentales dans l'espace numérique, nous défendons le droit au chiffrement de nos communications"
- 05/06/2023: IA > laquadrature.net > Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste
- 10/06/2022: franceculture.fr > Le Meilleur des mondes > Safe cities, Les enjeux d'une politique de surveillance
- 30/11/2021: technopolice.fr > Actualités > Les amendes sans contact : une stratégie de harcèlement policier : […] Le terme "amendes sans contact" signifie que les policiers et gendarmes rédigent et adressent des contraventions sans jamais contrôler physiquement la personne visée. On pourrait aussi parler d'amende à distance ou d'amende sans contrôle. Et cela va plus loin que ça : il s'agit dans un certain nombre de cas d'amendes sans aucune infraction. …
- 28/05/2021: siecledigital.fr > Clearview AI : une ONG dépose des plaintes dans cinq pays d'Europe. Privacy international estime que la start-up de reconnaissance faciale ne respecte pas le RGPD :
[..] Clearview AI est restée sous les radars du grand public jusqu'à la publication d'une vaste enquête du New York Times en janvier 2020. La start-up s'est spécialisée dans la vente de solution de reconnaissance faciale, principalement aux forces de l'ordre américaines. Ses systèmes fonctionnent grâce à une immense base de données récupérée sur internet, les réseaux sociaux… - 27/05/2021: laquadrature.net > Loi renseignement : le retour en pire (archive.org)
- 08/10/2020: video.ploud.fr > Attaque du secret médical : le Health Data Hub centralise les données de santé chez Microsoft (6'06")
- 23/07/2020: technopolice.fr > La police prédictive progresse en France. Exigeons son interdiction ! :
Pendant que les dispositifs de police prédictive (comme PredPol) commencent à être interdits ou abandonnés aux États-Unis, la police française et plusieurs collectivités continuent à acheter et utiliser des équivalents français, à l’image de « Map Révélation » proposé par l’entreprise angevine « Sûreté Globale ». Cela au détriment des risques de discriminations qu’impliquent ces logiciels de surveillance, et en l’absence même de toute preuve de leur intérêt… - 26/12/2019: Le gouvernement veut tester la reconnaissance faciale sur la vidéosurveillance :
Alors que le Parlement réfléchit sur le sujet et que la société civile se mobilise contre sa généralisation, la reconnaissance faciale pourrait être testée sur les images de vidéosurveillance pendant une période de 6 mois…. - 25/10/2019: Pour imposer la reconnaissance faciale, l'État et les industriels main dans la main :
[…] Alors, face aux oppositions portées sur le terrain et jusque devant les tribunaux par les collectifs mobilisés contre ces déploiements, les représentants de l'Etat et les industriels font front commun. Leur but n'est pas tant d'expérimenter que de tenter de "rassurer" l'opinion publique, le temps d'œuvrer à la banalisation de ces technologies et de mettre la population devant le fait accompli… - 10/10/2019: Un logiciel de reconnaissance faciale déployé par le gouvernement va arriver en France :
Alicem, un logiciel de reconnaissance faciale pour les démarches administratives, va être déployé dès novembre en France. Libre de toute législation, l'utilisation de ce logiciel fait débat, et en ferait presque oublier l'invasion des systèmes de vidéosurveillance dans tout l'espace public. La reconnaissance faciale pour accéder à des services publics. […] Un article de Bloomberg, daté du 3 octobre 2019, a lancé l'alerte parmi les titres de presse : la France deviendrait ainsi le premier pays européen à lancer cette démarche d'identification via reconnaissance faciale "que ses citoyens le veulent ou non". Le problème, c'est que le lancement de cet outil de reconnaissance faciale se fait via un décret, sans aucun cadre législatif ayant permis un débat public sur le sujet. - 31/08/2019: Assistants vocaux : l'analyse de vos émotions, une nouvelle menace pour votre vie privée ? :
Les géants high-tech développent des techniques de reconnaissance émotionnelle basées sur la voix. Une nouvelle manière de sonder l'utilisateur et, peut-être, de lui vendre des produits […] Vous pensez que c'est de la science-fiction ? Erreur, c'est exactement ce qui est en train de se passer. "La reconnaissance émotionnelle est un sujet de recherche de plus en plus populaire dans le domaine de l'intelligence artificielle dédiée à la conversation", estime Viktor Rogzik, chercheur au sein de la division Alexa Speech Group d'Amazon. […] selon The Telegraph, le géant du commerce en ligne a déposé en 2017 une demande de brevet pour un appareil capable d'analyser des émotions telles que "la joie, la colère, la tristesse, la peur, le dégoût, l'ennui, le stress", dans le but d'améliorer ses recommandations. […] Plus récemment, on a appris qu'Amazon planchait sur un bracelet connecté au nom de code "Dylan", destiné à "la santé et le bien-être". Doté de microphones intégrés, il serait capable de reconnaître les émotions de l'utilisateur à partir du son de sa voix. […] En 2018, Huawei a dit qu'il souhaitait prochainement doter son assistant vocal, qui n'est pour l'instant que disponible en Chine, d'une capacité de détection émotionnelle. - 29/08/2019: Les caméras Ring d'Amazon discrètement transformées en un énorme réseau de vidéosurveillance :
Aux États-Unis, la filiale d'Amazon a noué des partenariats avec plus de 400 services de police qui peuvent accéder aux flux vidéo enregistrés des utilisateurs consentants. Avec ses caméras de vidéosurveillance Ring, Amazon est désormais très bien placé pour gagner aux prochains Big Brother Awards. Depuis mars 2018, les cadres de Ring font la tournée des services de police aux États-Unis, pour les inciter à devenir partenaires de "Neighbors", un réseau social dédié à la surveillance locale, entre voisins. Cette application permet aux membres de partager des informations et, surtout, des vidéos enregistrées par les caméras Ring. L'objectif étant de signaler les évènements louches ou d'aider la résolution de délits : vols de colis, cambriolages de maisons, effractions de voitures, violences, etc. […] L'accès aux caméras Ring est d'autant plus intéressant que les sonnettes vidéo – le produit phare de Ring — fournissent des images de haute résolution, et cela non seulement de l'entrée d'une maison, mais aussi de la rue adjacente et des maisons d'en face. […] Interrogé par The Washington Post, le professeur de droit Andrew Guthrie Ferguson estime que ce programme de partenariat permet la création en douce d'un réseau de vidéosurveillance nationale entièrement nouveau. Et comme cela se fait sous la houlette d'une entreprise privée, cela évite "le genre d'examen qui se produirait si cela venait de la police ou du gouvernement", souligne-t-il. Pour sa part, Evan Greer, directeur adjoint de l'association Fight for the Future, estime que le modèle économique de Ring s'appuie sur la paranoïa et qu'il va à l'encontre du processus démocratique. En France, l'application Neighbors n'est pas disponible. […] Comme le rappelle la CNIL sur son site, "seules les autorités publiques (les mairies notamment) peuvent filmer la voie publique" - 17/07/2019: laquadrature.net > La Quadrature du Net attaque l’application ALICEM, contre la généralisation de la reconnaissance faciale
- 02/07/2019: 01net.com > Quand le renseignement français collecte des informations... en toute illégalité (archive.com)
- 21/06/2019: laquadrature.net > Le vrai visage de la reconnaissance faciale :
[…] Les philosophes Michel Foucault et Gilles Deleuze ont défini de façon très précise plusieurs types de coercitions exercées par les sociétés sur leurs membres : ils distinguent en particulier la "société disciplinaire" (telles que la société en trois ordres d'Ancien Régime ou la caserne-hôpital-usine du XIXe siècle) de la "société de contrôle" qui est la nôtre aujourd'hui. Dans une "société de contrôle", les mécanismes de coercition ne sont pas mis en œuvre par des autorités constituées qui les appliquent au corps social par contact local (autorité familiale, pression hiérarchique dans l'usine, surveillant de prison, etc.), mais sont incorporés par chacun (métaphoriquement et littéralement, jusqu'à l'intérieur du corps et de l'esprit), qui se surveille lui-même et se soumet à la surveillance opérée par d'autres points distants du corps social, grâce à une circulation rapide et fluide de l'information d'un bord à l'autre de la société.
[…] Sous prétexte que "prévenir vaut mieux que guérir", on organise en réalité, dans des usages quotidiens bien réels et valables dès aujourd'hui, une inversion générale de la charge de la preuve. En temps normal, la police judiciaire doit rassembler par l'enquête des preuves à charge pour inculper quelqu'un. C'est à l'accusation de faire la preuve de la culpabilité du suspect. Ce travail est collectif, encadré par une procédure et un tribunal. En revanche, sous l'œil de la caméra et face aux algorithmes de reconnaissance faciale, c'est à chacun que revient, à tout instant et en tout lieu, la charge de prouver son innocence. Comment ? En offrant son visage à l'identification et en adoptant un comportement qui ne déclenchera aucune alarme au fond d'un ordinateur de la police.
[…] Les personnes les mieux averties des applications de la reconnaissance faciale sont tellement inquiètes qu'elles demandent un encadrement juridique de cette technique. C'est la leçon qu'on peut tirer de la lecture des articles écrits par Brad Smith, juriste de Microsoft. En juillet 2018, il appelait le gouvernement américain à légiférer sans délai pour encadrer les usages de la reconnaissance faciale. Bien placé pour constater les progrès de la technique, il redoute avec gravité qu'elle puisse être utilisée contre les libertés des personnes, aussi bien par des entreprises privées que par des États. […] on peut entendre son inquiétude, parce qu'elle n'est pas celle d'un militant habitué à crier au loup : au plus haut niveau de décision, là où une vision panoramique peut embrasser à la fois la connaissance du droit et la connaissance des projets techniques réels, on n'en mène pas large, et ce n'est pas bon signe.
[…] La reconnaissance faciale change le visage du monde. Il n'est pas nécessaire de renvoyer aux pires dystopies et à 1984 pour voir tout ce que les pratiques actuelles ont de dangereux. On peut même percevoir un changement anthropologique possible dans le rapport avec le visage. La reconnaissance faciale attribue au visage, non plus une valeur de personnalité, l'expression même de la singularité d'une personne humaine, mais une fonction de dénonciation : le visage ne vaut plus pour lui-même, comme singularité prise avec son épaisseur et son secret, mais comme simple signe en lien avec des bases de données de toutes sortes qui permettent de prendre des décisions concernant la personne visée, à son insu. Dans ce contexte, le visage devient l'identifiant unique par excellence, plus encore que la carte d'identité. Lors de l'expérience du carnaval de Nice, la ville se vantait même d'avoir pu identifier un cobaye dont la photo de référence datait de trente ans. Le visage comme mouchard, le visage qui trahit, merveilleux progrès.
[…] Même en n'ayant jamais eu de compte Facebook, vous figurez peut-être dans cette immense base de données, et Facebook sait mettre votre nom sur votre visage, et vous reconnaître parmi toutes les nouvelles photos postées par vos amis… Malgré vous, votre visage a un sens pour les caméras qui vous filment. Les pseudo-sciences du 19e siècle prétendaient lire des traits psychologiques dans les traits du visage. Aujourd'hui, chaque visage dans la rue porte un casier judiciaire, un nom, des relations, des opinions exprimées sur les réseaux sociaux, des habitudes de consommation, des engagements divers, et qui sait quoi d'autre encore.
[…] Une anthropologue britannique, Sally A. Applin, a récemment publié un article très intéressant (à lire ici en anglais) sur les dégâts sociaux causés, et surtout révélés, par la reconnaissance faciale […]. Elle évoque bien sûr les intérêts industriels, et la facilité politique consistant à remplacer le personnel humain par des machines. Mais elle va plus loin : derrière le succès politique et médiatique de la technique à visée sécuritaire, elle voit la peur de l'autre. Le regard remplace la parole, et la distance remplace la rencontre. Même les agents de surveillance ne regardent plus les gens, mais des écrans. Ce qui devrait être un média est devenu une vitre isolante. C'est une logique de traitement des symptômes qui ne s'adresse jamais aux causes. Elle remarque aussi que la "démocratisation" des caméras, maintenant que chacun porte sur soi un smartphone, a sans doute aussi contribué à leur banalisation, en faisant de chacun le surveillant potentiel de l'autre. - 31/05/2019: Messageries : mobilisation contre le "protocole fantôme" au Royaume Uni :
Les éditeurs s'opposent à une proposition du GCHQ au Royaume Uni d'ajouter un participant "fantôme" à chaque conversation de groupe sur leur messagerie chiffrée. 47 signataires – des entreprises dont Apple, Google, Microsoft et WhatsApp ainsi que des ONG et des experts en sécurité – ont adressé une lettre ouverte au GCHQ pour défendre l'usage de leurs messageries chiffrées. Elles reprochent au service de renseignements électroniques du gouvernement du Royaume-Uni. leur projet appelé "protocole fantôme"… - 27/05/2019: L'Allemagne veut pouvoir écouter les messageries instantanées (archive.org) :
Un projet de loi prévoit la fourniture d'un accès au contenu déchiffré sur demande des forces de l'ordre et après décision d'un juge. Une nouvelle bataille démarre dans la guerre du chiffrement ("Crypto War"), cette fois-ci en Allemagne. D'après le magazine Der Spiegel, le ministre de l'Intérieur, Horst Seehofer, souhaite contraindre légalement toutes les messageries instantanées à fournir sur demande le contenu des flux échangés, même s'ils sont chiffrés de bout en bout. Son projet de loi, qui circule actuellement dans les ministères, veut que WhatsApp, Telegram, Signal, Wire et consorts soient soumis aux mêmes obligations que les opérateurs télécoms. Un tel accès aux données ne serait fourni qu'après la décision d'un juge. Les services en ligne des entreprises qui ne coopèrent pas seraient interdits d'opérer outre-Rhin. L'Allemagne copie les Anglo-saxons. Avec un tel projet de loi, l'Allemagne emboîte le pas d'autres pays qui ont déjà voté des textes similaires, comme l'Assistance and Access Act en Australie (2018), l'Investigatory Powers Act au Royaume-Uni (2016) ou la loi anti-terroriste en Russie (2016). Le projet de loi allemand ne précise pas comment un tel accès peut être mis en œuvre, surtout dans le cas d'une messagerie chiffrée de bout en bout. Il est probable que le gouvernement fédéral va s'inspirer des idées des gouvernements anglo-saxons. Ces derniers ne veulent pas casser le chiffrement de bout en bout, mais contraindre les éditeurs à instaurer un accès parallèle invisible, par le biais d'une synchronisation des données sur un appareil contrôlé par les forces de l'ordre ou d'un membre fantôme dans les conversations… - 21/05/2019: L'Europe veut diminuer la sécurité de la 5G pour faciliter votre surveillance :
Décentralisés et dotés de puissants mécanismes d'authentification, les futurs réseaux 5G donnent du fil à retordre aux forces de l'ordre. Un rapport du Conseil de l'Union européenne préconise d'imposer aux opérateurs une série de contraintes techniques et juridiques. […] Un réseau décentralisé est plus dur à surveiller […] Les IMSI Catcher perdent en efficacité […] Il faudrait modifier le standard 5G […] Le souci, c'est que ces obligations légales pourraient contrevenir aux normes 5G. Ce qui n'est jamais une bonne chose. C'est pourquoi – pas bête – Gilles de Kerchove aimerait que ces contraintes soient implémentées directement dans le futur standard télécom. D'une certaine manière, il s'agit donc de diminuer le niveau de sécurité de la 5G et d'y intégrer des portes dérobées. Une idée somme toute assez classique venant de ce haut fonctionnaire qui, en 2015, avait déjà pesté contre le chiffrement de bout en bout et proposé l'obligation pour les fournisseurs de service de "partager" leurs clés de chiffrement avec les forces de l'ordre. - 07/05/2019: Chine : une faille de sécurité donne un aperçu d'un système de surveillance digne de Big Brother :
Reconnaissance faciale, classification ethnique, identification de personnes fichées… La réalité effrayante de la ville intelligente à la sauce chinoise transparaît dans des données en ligne que quelqu'un a oublié de protéger… - 23/04/2019: franceculture.fr > La Grande table idées > Vidéosurveillance : une réalité pire que le mythe ?
- 19/12/2018: Reconnaissance faciale au lycée : l'expérimentation avant la généralisation : […] Soulignons d'abord que, depuis l'entrée en vigueur du RGPD en mai 2018, les responsables de traitement de données personnelles n'ont en principe plus à réaliser de formalités auprès de la CNIL avant la mise en œuvre du traitement, tel qu'obtenir son autorisation dans certains cas. Le contrôle de l'autorité ne se fait qu'a posteriori, conformément au principe de responsabilisation des acteurs prévu dans le règlement. Tout au plus certains traitements, et c'est le cas pour la reconnaissance faciale, doivent-ils faire l'objet d'une analyse d'impact. Le consentement des utilisateurs est désormais censé fournir une base légale suffisante pour le déploiement de ces systèmes qui font pourtant entrer la surveillance dans une nouvelle ère. En supprimant le pouvoir d'autorisation de la CNIL s'agissant de ce type de dispositifs, le RGPD marque donc un recul pour les libertés. […]
- 07/12/2018: L'Australie vote une loi pour glisser un fantôme espion dans les conversations chiffrées (archive.org) :
Les forces de l'ordre ont gagné une nouvelle manche dans la "guerre du chiffrement" (Crypto War). Le parlement australien vient de voter une loi qui renforce de manière considérable le pouvoir gouvernemental en matière de surveillance et d'investigation. Baptisée "Assistance and Access Act" (AAA), cette loi permettra notamment aux services secrets et de police de forcer les opérateurs et les éditeurs de messageries électroniques à donner accès aux communications chiffrées de leurs services. Les géants informatiques tels que Facebook, Google ou Apple ont essayé de s'opposer à cette loi, sans succès. L'alliance Five Eyes mène la danse. Comme le souligne l'association Electronic Frontier Foundation, cette loi s'inspire d'une loi similaire adoptée en 2016 au Royaume-Uni et baptisée "Investigory Powers Act". Dans les deux cas, les entreprises n'ont aucune possibilité de s'opposer aux demandes gouvernementales. Elles ne peuvent pas non plus alerter l'utilisateur mis sous surveillance. Les informaticiens qui refuseraient de coopérer risquent même des amendes et des peines de prison. "En Australie, rien que le fait de conseiller à un technicien de s'opposer à de telles demandes est un crime", souligne l'EFF. Cette nouvelle loi n'est pas une surprise. En septembre dernier, les agences gouvernementales du groupement "Five Eyes" avaient annoncé la couleur lors d'une réunion. Elles réclamaient des accès ciblés aux données chiffrées dans les systèmes et les communications. La nouvelle loi australienne découle directement de cette stratégie, estime Lizzie O'Shea, une militante des droits de l'Homme, dans une tribune publiée par The New York Times. Comment, concrètement, cet accès peut-il être réalisé ? Selon l'EFF, les gouvernements anglo-saxons ne cherchent plus à détériorer les algorithmes de chiffrement, même ceux qui chiffrent de bout en bout. L'idée est plutôt de modifier de manière ciblée le fonctionnement des applications telles que WhatsApp ou iMessage. Un fantôme aux trousses. Ainsi, on peut imaginer qu'elles puissent ajouter de manière cachée un espion dans les conversations sans que les membres ne s'en rendent compte. Une autre piste retorse pourrait être de voir ajouter, de manière cachée une synchronisation des données avec un appareil contrôlé par le gouvernement. "Les services de renseignement appellent cela la stratégie du fantôme. Un fantôme espion qui oblige les produits high tech les plus sécurisés du marché à mentir à leurs utilisateurs, au travers d'injonctions secrètes que les développeurs ne pourront pas refuser sous peine de poursuites", explique l'EFF. Si ces nouvelles techniques feront leurs preuves, il est probable que d'autres pays vont adopter des lois similaires. Au grand dam des éditeurs qui devront peut-être créer des versions espions de leurs logiciels à tire larigot. - 05/12/2018: franceculture.fr > La Méthode scientifique > 22 v'là la police prédictive ! (archive.org)
- 14/10/2018: Souriez, vous êtes identifiés !, vidéo reportage de Franck Bertaud (12'40") pour Arte Vox Pop
- 06/07/2018: laquadrature.net > La Smart City policière se répand comme traînée de poudre :
En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la "Smart City™" marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. […] La vidéosurveillance devient "smart". C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. […] On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin. […] Vers un "Waze de la sécurité". À Nice, dans le cadre de ce nouveau "Projet d'expérimentation Safe City" voté par la Ville en juin (et que La Quadrature s'est procuré), Thales et le consortium qu'il dirige veulent aller plus loin, en créant le "Waze de la sécurité" à la sauce Big Data. Pour aider les "décideurs", il s'agit de "collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles" (p. 23), de "développer les nouveaux algorithmes d'analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives" (p. 24). […] Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des "cas d'usage" en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe ou de la Banque publique d'investissement, leur recherche et développement, et de disposer de "démonstrateurs" grandeur nature pour alimenter leurs campagnes de marketing sécuritaire. Smart City policière, realpolitik industrielle ? Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade. - 27/02/2018: La police chinoise utilise le big data pour des arrestations préventives dans la région du Xinjiang d'après l'association Human Rights Watch (archive.org ; archive.fo)
[…] D'après l'association internationale de défense des droits de l'Homme, le gouvernement local s'est ainsi doté d'un système informatique qui permet d'analyser de vastes quantités de données individuelles. Ces données ont été en partie obtenues en puisant dans les images tournées par les caméras de vidéosurveillance, dont certaines sont équipées de logiciels de reconnaissance faciale. Les autres proviennent des vérifications de cartes d'identité ou de plaques d'immatriculation effectuées aux postes de sécurité (très nombreux au Xinjiang), des mouvements bancaires, des données de santé, des connexions WiFi de téléphones ou d'ordinateurs ou encore les dossiers juridiques. […] "Pour la première fois, nous sommes en mesure de démontrer que l'utilisation par le gouvernement chinois du big data et de méthodes de police prédictives sont non seulement une violation flagrante du droit à la vie privée, mais qu'elle permet aussi des détentions arbitraires", a déclaré Maya Wang, chercheuse de HRW basée à Hong Kong. "Les habitants du Xinjiang ne peuvent pas résister ou remettre en cause cette surveillance de plus en plus intrusive de leur vie quotidienne parce que la plupart d'entre eux ne connaissent même pas l'existence de ce programme de 'boîte noire' ni la façon dont il fonctionne." - 24/10/2016: franceculture.fr > La Vie numérique > Un truc fou : les algorithmes ne suffisent pas à prévenir les crimes (archive.org)
- 25/06/2015: Reconnaissance faciale : aurons-nous droit à la "confidentialité biométrique" ?
Pour le Washington Post, Ben Sobel (@ben_sobel), chercheur au Centre sur la vie privée et la technologie de l'école de droit de Georgetown, l'anonymat en public pourrait devenir un concept du passé.
[…] "Au minimum, les gens devraient être en mesure de marcher dans une rue sans avoir peur que des entreprises dont ils n'ont jamais entendu parler puissent suivre chacun de leurs mouvements – et les identifier par leur nom – en utilisant les technologies de reconnaissance faciale", estiment les défenseurs de la vie privée dans une déclaration commune.
[…] Allons-nous vers un usage permissif et généralisé de la reconnaissance faciale sous prétexte que nos visages sont publics du moment qu'ils sont dans l'espace public ? Doit-on permettre de les associer aussi facilement à un nom ?
[…] La généralisation des technologies de reconnaissance faciales pourrait briser complètement notre contrat social. L'industrie confond deux choses différentes : nos visages et leurs empreintes. Et celle-ci devient alors une ressource que d'autres contrôlent.
[…] Le marketing est-il une raison suffisante pour justifier la destruction de la vie privée ?
Fuites de données d'équipements de réseaux
Fuites de données de serveurs informatiques (data leaks)
- 19/11/2024: lemondeinformatique.fr > Après une cyberattaque, Auchan alerte sur une violation de données : […] La série noire continue dans le domaine de la distribution. Après Boulanger, Picard, c'est au tour d'Auchan de subir une cyberattaque. Le grand distributeur l'a annoncé dans un mail envoyé aux clients disposant d'un compte fidélité. Ce qui représente selon nos confrères de BFM, "des centaines de milliers de clients".
20/11/2024: zataz.com > Fuite de données chez Auchan : les cagnottes de fidélité, un juteux business pirate : […] Comment réagir face à cet incident ? Auchan invite ses clients à faire preuve de vigilance et recommande les mesures suivantes pour limiter les risques. … - 13/11/2024: francetvinfo.fr > Dix millions d'adresses mails volées lors d'un piratage de la plateforme de streaming Molotov : La fuite de données, survenue en octobre, concerne les adresses mails mais également les noms, prénoms et dates de naissance des utilisateurs qui avaient renseigné ces informations
- 26/10/2024: next.ink > Free confirme une fuite de données personnelles de ses clients : […] Cette attaque a entraîné un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n'est concerné. …
28/10/2024: mag.co > Rappel : les fuites d'IBAN sont dangereuses
28/10/2024: next.ink > Free confirme la fuite des "IBAN de certains abonnés" : Ce week-end a été assez agité chez Free. L'opérateur a prévenu ses clients d'une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L'opérateur nous confirme aujourd'hui que certains IBAN des clients Freebox sont bien dans la nature. …
28/10/2024: numerama.com > Free victime d'une cyberattaque : pourquoi la fuite des IBAN menace la sécurité de vos comptes bancaires
30/10/2024: numerama.com > Fuite de données Free : voici un exemple concret d'arnaque bancaire avec votre IBAN
31/10/2024: Actu Réfractaire > [Vidéo] ILS nous font PAYER leur INCOMPÉTENCE ! (Free, Crédit agricole, IBAN…) (Invidious ; Youtube)
31/10/2024: numerama.com > Cyberattaque Free : contester un prélèvement frauduleux sur son compte en banque : […] Faire opposition en cas de prélèvement indus. En cas de prélèvement problématique, vous pouvez avertir votre banque et faire opposition. Vous avez 13 mois à compter du débit pour agir, pointe le ministère de l'Économie. Dans ce cas, si vous êtes victime, la banque est tenue de vous rembourser non seulement du montant exact, mais aussi des frais éventuels découlant de l'incident. [BÉMOL: Cela dépend de la banque, de l'ancienneté du prélèvement, etc.] […] Faire une liste blanche des prélèvements bancaires. C'est une protection méconnue, mais qui peut être utile. Il est possible de mettre en place un système de "liste blanche" des prélèvements SEPA. "Vous pouvez, via le service client, mettre en place une liste blanche afin d'autoriser uniquement un ou plusieurs créanciers à initier des prélèvements sur votre compte", rappelle BoursoBank, par exemple. […]
boursobank.com > Comment gérer ou refuser un prélèvement bancaire ? : […] Vous pouvez, via le Service Client, mettre en place une liste blanche afin d'autoriser uniquement un ou plusieurs créanciers à initier des prélèvements sur votre compte.
31/10/2024: cybermalveillance.gouv.fr > Violation de données personnelles de l'opérateur Free : situation, risques et recommandations
25/11/2024: numerama.com > Piratage de Free : voici une arnaque concrète utilisée par les escrocs pour vous tromper grâce aux données volées - 19/09/2024: bfmtv.com > IBAN, numéro de carte SIM, adresse... SFR victime d'une cyberattaque : […] Des données (très) sensibles dans la nature. L'incident s'est produit le 3 septembre dernier et a permis à des pirates d'accéder à plusieurs dizaines de milliers de dossiers de clients de l'opérateur ayant passé commande d'un smartphone et d'un forfait RED by SFR, qui ont pu récupérer également un certain nombre de données sensibles : nom et prénom ; coordonnées renseignées au moment d'une commande ; données contractuelles (offre, contenu de la commande), l'IBAN, le numéro d'identification du smartphone, le numéro de la carte SIM. L'opérateur précise néanmoins que le mot de passe, détails des appels et contenu des SMS ne sont pas concernés, et que toutes les mesures ont été prises pour "clore définitivement l'incident rencontré." […] Se faire voler un IBAN (ou un RIB), surtout quand il est associé à d'autres coordonnées, peut avoir des conséquences importantes. Il est ainsi possible d'usurper votre identité et réaliser une fausse autorisation de prélèvement, par exemple pour la souscription à des abonnements qui seront prélevés directement sur votre compte bancaire. Il est vivement conseillé de garder un oeil sur son compte afin de déceler d'éventuels prélèvement anormaux, et avertir votre banque en conséquence. Cet incident de sécurité tombe en tout cas au plus mauvais moment pour SFR qui fait face à une fuite de ses abonnés mobiles depuis plusieurs mois, et est dans une situation financière précaire. Sa filiale low-cost, RED, multiplie les opérations promotionnelles ces dernières semaines dans l'objectif de remonter la pente. …
- 04/02/2024: zataz.com > Une cyberattaque majeure touche 20 millions d'assurés de complémentaires santé en France : […] Depuis le début du mois de février, le secteur de l'assurance santé française est en émoi suite à une cyberattaque d'envergure. Un individu malintentionné est parvenu à s'approprier des données sensibles concernant le tiers payant de 84 mutuelles et assurances santé en France, affectant potentiellement 20 millions d'assurés. […] Les données exposées incluent des informations sensibles telles que l'état civil, la date de naissance, le numéro de sécurité sociale, l'identité de l'assureur et les détails des garanties santé. Heureusement, aucune donnée bancaire, médicale, ou coordonnée de contact directe (adresse postale, téléphone, email) ne résidait sur la plateforme affectée, réduisant ainsi le risque d'une exploitation directe de ces informations par des tiers. […] Inquiétant ? Oui, car la société de tiers payant Almerys a été touchée par cette importante cyberattaque seulement quelques jours après celle contre Viamedis. Mon petit doigt me fait dire que deux autres entreprises ont été impactées !
- 09/12/2023: francetvinfo.fr > Nouveau Monde > Piratage de 23andMe : 14.000 tests ADN dans la nature et presque 7 millions de clients concernés...
- 04/09/2023: zataz.com > Des milliers de comptes clients Orange diffusés : […] Bilan, Ragnar Locker aurait mis la main sur 46 Go d'informations. Cela inclurait : Nom, adresse, numéro de téléphone, e-mail, numéro de carte SIM, adresse IP d'origine, date de naissance, numéro de rue, code postal, nom de l'opérateur, statut d'identification, et des données techniques sur les téléphones mobiles. …
- 24/08/2023: IA > lemondeinformatique.fr > Un prestataire de Pôle Emploi laisse filer les données de 10 millions de personnes : Majorel, un prestataire de Pôle Emploi, s'est fait dérobé les données personnelles de demandeurs d'emploi. Suivant les estimations cela pourrait toucher jusqu'à 10 millions de Français, avec dans le lot des données volées les nom et prénom, le statut actuel ou ancien de demandeur d'emploi ainsi que le numéro de sécurité sociale de demandeurs d'emploi.
- 24/08/2023: zataz.com > 11,4 millions d'utilisateurs de Pôle Emploi dans les mains de plusieurs pirates ? : […] Les détails tels que les noms, prénoms et numéros de sécurité sociale sont les informations touchées par cet acte malveillant. Cependant, les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont pas concernés par cette intrusion, selon les affirmations de Pôle emploi dans son communiqué. La direction a également informé les administrateurs que "sur le darkweb, un fichier est en vente, contenant les données de 10 millions d'usagers qui étaient inscrits à la fin de février 2022 et radiés depuis moins de 12 mois." S'agit-il d'information extraite lors d'un ransomware ou une fuite de données comme il en existe beaucoup en raison d'une API défectueuse comme cela semble avoir été le cas pour ENGIE (révélation ZATAZ) ? …
- 16/08/2023: VM > lemondeinformatique.fr > Grande-Bretagne : des données personnelles de victimes fuitent de systèmes de Police : Des informations personnelles et identifiables de victimes d'actes criminels issues de systèmes de deux services de la Police britannique ont été exposées suite à un incident technique. 1 230 personnes sont concernées par cette exposition de données.
- 15/08/2023: securite.developpez.com > Discord.io reconnait avoir été victime d'une brèche de sécurité informatique : 760 000 comptes d'utilisateurs en vente sur le darknet : Un pirate informatique a mis en vente sur le Dark Web les données personnelles de 760 000 utilisateurs du service Discord.io. Le site a fermé ses portes pour une durée indéterminée et assure qu'au pire, seuls des éléments potentiellement sensibles ont été dérobés…
- 16/02/2023: Tech & Co > Métadonnées > Nos données de santé sont-elles en danger ? (Invidious ; Youtube) : Piratage de numéros de sécurité sociale, carte Vitale dématérialisée, Health Data Hub: notre santé se numérise, et forcément, nos données de santé également. Avec, au passage, de nombreuses craintes, parfois justifiées. Nos données de santé sont-elles vraiment en danger ? Baptiste Robert, patron de Predicta Lab et hacker éthique
- 19/03/2022: IA > undernews.fr > Assurance maladie : les données de plus de 500 000 Français dérobées
- 04/04/2022: IA > numerama.com > La fuite d'une app de livraison a révélé des infos sensibles sur des espions russes : Les données de 58 000 utilisateurs de Yandex Eats, une application russe de livraison, ont été partagées sur le web. Ce leak offre des informations précieuses sur des membres du renseignement russe…
- 18/03/2022: IA > lemondeinformatique.fr > Assurance Maladie : vol de données de 510 000 assurés : En septembre dernier, l'AP-HP avait vu les données de 1,4 million de patient être subtilisées. Un jeune homme avait été par la suite arrêté. C'est au tour de l'Assurance Maladie d'annoncer un vol de données touchant pas moins de 510 000 assurés. L'organisme a publié un communiqué hier pour expliquer cette affaire et tenter de rassurer. […] MAJ : L'Assurance Maladie a répondu à nos questions en indiquant que les professionnels de santé touchés appartenaient à des structures différentes. Sur la façon dont les emails ont été compromis, l'organisme souligne qu'ils l'ont été "à partir d'information se trouvant dans le darkweb, où se trouvent des listes d'adresses mail + mots de passe, préalablement hackés. Si le propriétaire du compte mail n'a pas changé son mot de passe depuis, alors l'attaquant a pu accéder à la messagerie en question". Sur la problématique de l'identifiant , "soit le professionnel de santé a utilisé pour amelipro le même mot de passe que celui de la messagerie personnelle hackée et l'attaquant a pu accéder au compte directement. Soit le mot de passe a été modifié par l'attaquant par réinitialisation du mot de passe avec l'aide de la messagerie", déclare l'Assurance Maladie.
- 18/03/2022: IA > numerama.com > Piratage de l'Assurance Maladie : comment les données de 510 000 personnes ont fuité
- 17/03/2022: IA > assurance-maladie.ameli.fr > Connexion de personnes non autorisées à des comptes amelipro
- 16/09/2021: IA > lemondeinformatique.fr > Les données de 1,4 million de patients subtilisées à l'AP-HP : Quand ils ne sont pas frappés par des ransomwares, les hôpitaux doivent aussi faire face à la menace du vol de données. C'est ce qu'il vient d'arriver à l'AP-HP qui a annoncé hier avoir été victime d'une cyberattaque pendant l'été. Les pirates ont réussi à voler les données de 1,4 millions de personnes. Ces informations portent sur des dépistages Covid réalisés à la mi-2020 et comprennent : l'identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l'identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Comme l'indique Gérôme Billois de Wavestone dans un tweet, il s'agit "des données récentes, de qualité, qui attirent les cybercriminels pour faire de la revente ou des fraudes". Dans sa communication, l'AP-HP donne quelques pistes sur la cyberattaque. "Le vol pourrait être lié à une récente faille de sécurité de l'outil numérique de partage de fichiers acquis par l'AP-HP et hébergé sur ses propres infrastructures techniques". Le nom de la solution n'a pas été communiqué. Nous avons sollicité l'AP-HP sur ce sujet, qui ne souhaite pas communiquer plus. Ce service servait pour la transmission des données des tests réalisés par des laboratoires médicaux à l'Assurance maladie et aux agences régionales de santé (ARS). Il a été utilisé "de manière très ponctuelle" en septembre 2020 en complément du système d'information national de dépistage (SI-DEP). …
- 20/05/2021: lemondeinformatique.f > Les données personnelles de 8 000 employés de Decathlon exposées
- 27/02/2021: franceculture.fr > La Fabrique médiatique > Santé : fuite des données de 500 000 patients : Une trentaine de laboratoires français ont subi le piratage d'informations personnelles de leurs patients. Initialement diffusées sur le dark web, elles circulent désormais sur les réseaux sociaux. Près d'un demi million de personnes sont concernées, selon l'enquête de Libération…
- 26/01/2021: 01net.com > Un bot Telegram vend les numéros de téléphone de plus de 530 millions d'utilisateurs Facebook :
Si vous êtes un utilisateur Facebook et que vous avez indiqué votre numéro de téléphone, celui-ci est peut-être en vente pour 20 dollars sur Telegram. Selon Vice, un pirate vient en effet de créer un bot payant qui permet d’obtenir le numéro de téléphone d’un utilisateur à partir de son identifiant Facebook, et inversement.. - 17/02/2020: Facebook aurait été averti à plusieurs reprises sur la faille de sécurité qui a conduit à la plus grande violation de données de son histoire. Des employés ont des remords et se sentent coupables :
En 2018, Facebook a enregistré la plus grosse fuite de données de son histoire. Environ 90 millions de comptes ont été piratés en exploitant trois bogues liés à la fonctionnalité "Aperçu en tant que" […] Toutefois, les documents juridiques fournis lors du procès montrent que l'entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d'une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d'accès soient "faciles" à exploiter par les criminels. C'est pourquoi lorsque l'incident est survenu, certains employés ont commencé à parler de leur sentiment de "culpabilité" et de leur "souffrance", car ils savaient que l'attaque "aurait pu être évitée". - 11/02/2020: Cloud : des données de plus en plus hors de contrôle ? :
[…] Les entreprises font-elles trop confiance aux fournisseurs de services cloud pour assurer la sécurité de leurs données ? De rapport en rapport, McAfee renouvelle – plus ou moins explicitement – ce constat. […] Une proportion croissante des fichiers qui transitent dans le cloud contiennent des données "sensibles" : 26 % en 2019, contre 21 % en 2017 comme en 2018 (et 16 % en 2016). Une dynamique impulsée en particulier par la messagerie électronique, avec Microsoft 365 (ex Microsoft Office 365) en tête de liste. 9 % de ces fichiers finissent par être partagés avec un lien public, c'est-à-dire accessible à quiconque en dispose (le taux était de 4 % en 2017 comme en 2018). - 11/02/2020: Les données personnelles de tous les 6,5 millions d'électeurs israéliens exposées dans une application électorale non sécurisée utilisée par un parti politique, d'après un rapport :
[…] Le programmeur indépendant, auteur de l'article publié sur le site Web du journal, aurait repéré cette brèche au cours du week-end dernier qui aurait potentiellement exposé des informations, y compris les noms complets, les numéros de carte d'identité, les adresses et le sexe de chaque électeur éligible en Israël, ainsi que les numéros de téléphone et autres détails personnels de certains d'entre eux, selon Haaretz. En effet, les partis politiques israéliens reçoivent les données personnelles des électeurs avant les élections et s'engagent à les protéger, ainsi qu'à ne pas reproduire le registre, à ne pas le fournir à un tiers et à effacer définitivement toutes les informations une fois l'élection terminée. […] Selon le journal, jusqu'à ce que la vulnérabilité soit réparée, elle permettait, à toute personne sans compétences techniques avancées, de visualiser et de télécharger l'ensemble du registre des électeurs du gouvernement. Selon le journal, on ignore combien de personnes ont eu accès à ces données et les ont téléchargées. Cependant, l'application a des utilisateurs dans divers pays à l'étranger, dont les États-Unis, la Chine, la Russie et la Moldavie. […] Selon le développeur, le code de la page accessible comprenait les noms d'utilisateur et les mots de passe des administrateurs du site ayant accès au registre des électeurs, et l'utilisation de ces identifiants aurait permis à quiconque de visualiser et de télécharger les informations. - 30/12/2019: 2019 a été une "année record" en termes de violations de données :
Cette année a été marquée par des violations de données. Pratiquement tous les mois, une entreprise demandait à ses clients de changer les mots de passe. Et aucun secteur n'a été épargné ; cela concernait aussi bien l'industrie des soins de santé que l'armée en passant par des entreprises technologiques… […] Voici quelques-unes des violations de données qui ont eu lieu au courant de l'année… - 19/12/2019: Une faille triviale permettait de lire les courriers de l'Assurance Maladie :
Il suffisait de modifier le numéro d'identifiant des fichiers PDF stockés sur Ameli.fr pour accéder aux courriers adressés à d'autres assurés. Autre souci : le portail de ce service public ne limitait pas l'indexation des pages par les moteurs de recherche. Y a-t-il un responsable de la sécurité des systèmes d'information à la Caisse nationale d'Assurance Maladie (CNAM) ? On peut en douter, au vu de ce que vient de révéler NextInpact… Bref, avec Ameli.fr, on est certes assuré, mais pas rassuré. - 20/11/2019: Identifiants, coordonnées bancaires, mails... Une vaste fuite de données touche une filiale d'AccorHotels :
Gekko Group, plateforme professionnelle de réservation d'hôtels appartenant au géant hôtelier Accor, a été victime d'une vaste fuite de données, dont des identifiants et coordonnées bancaires, ont indiqué mercredi 20 novembre l'entreprise et une agence de cybersécurité, et la Cnil a été saisie de l'incident. […] Du fait de ces interactions, la base de données compromise contenait "des volumes importants d'informations venant de sources extérieures", dont la plateforme en ligne Booking.com, a signalé vpnMentor… - 27/08/2019: Pourquoi les pirates chinois cherchent à dérober des données médicales
Les hôpitaux et les centres de recherche médicale font actuellement partie des cibles préférées des auteurs de ransomware. Fortement médiatisées, ces attaques cachent malheureusement une réalité non moins brutale, celle du pillage de données de santé. D'après un rapport récent de la société FireEye, les principaux experts dans ce domaine sont les groupes chinois qui, apparemment, pilonnent le secteur de la santé avec assiduité et méthode, et cela depuis au moins 2013. […] Selon FireEye, le but de ces opérations serait double : espionner les laboratoires et fabricants étrangers pour mieux les concurrencer sur le marché international, mais aussi renforcer le système de santé chinois. Au regard des données et des systèmes ciblés, la lutte contre le cancer semble être l'une des priorités de ce vaste vol de données. Toutefois, les cyberespions chinois ne sont pas les seuls à s'intéresser à ces informations. Par le passé, FireEye a également identifié des attaques provenant de groupes d'origine russe ou vietnamienne. Par ailleurs, les pirates purement criminels sont également assez actifs… - 23/04/2019: Les mots de passe de 2 millions de réseaux Wi-Fi ont fuité sur Internet :
L'application mobile "WiFi Finder" a stocké les mots de passe Wi-Fi de ses utilisateurs dans une base de données qui était librement accessible sur la Toile… - 05/11/2018: Facebook : les messages privés de 81 000 utilisateurs fuitent sur le Web
[…] Selon la BBC, un groupe de pirates a récemment publié sur la Toile les messages privés de 81.000 utilisateurs. On y trouve un peu de tout : des conversations intimes entre amoureux, des photos de vacances, des discussions familiales, etc. […] Ces messages issus de 81.000 comptes étaient accompagnés d'informations personnelles provenant de 176.000 autres comptes, telles que des adresses e-mail ou des numéros de téléphone. Toutes ces données ne constitueraient en réalité qu'un échantillon "commercial" d'une base de données beaucoup plus grande. Sur un forum de pirates, le groupe dit détenir les données de 120 millions de comptes Facebook, téléchargeables pour la modique somme de… 10 cents par compte - 06/04/2018: Vos données font-elles partie du 1,5 milliard de fichiers en accès libre par Internet ?
D'après Digital Shadows, une entreprise de cybersécurité, il existe une quantité incroyable de données en accès libre par Internet en raison de serveurs mal configurés. Après avoir scanné la Toile pendant trois mois, les experts de cette société américaine ont pu détecter plus de 1,5 milliard de documents dans des espaces de stockage ouverts à tous : des bouquets Amazon S3, des serveurs NAS, des sites Web, des accès FTP, SMB ou rsync, etc. Au total, cela fait plus 12 petaoctets. "C'est 4000 fois plus large que la fuite des Panama Papers (2,6 teraoctets)", soulignent les chercheurs de Digital Shadows. Les Etats-Unis figurent en tête du palmarès, avec 239 millions de documents disponibles, contre 122 millions pour l'Allemagne et 115 millions pour la France. Mais si on ramène ça au nombre d'habitants, le pays de Donald Trump s'en sort plutôt bien. On obtient alors un "taux de fuite" de 0,73 document par habitant outre-Atlantique contre 1,4 en Allemagne et 1,7 pour la France. Il n'y a qu'aux Pays-Bas où la situation est encore pire, avec 2,7 documents fuités par habitant. - 04/04/2018: Une chaîne de boulangeries lambine en réaction à la réception d'un rapport de faille affectant son site web et expose des millions d'utilisateurs
Le site web de la chaîne américaine de boulangeries Panera Bread a laissé les données des utilisateurs sans la moindre protection pendant des mois. Résultat ? Le chercheur en sécurité Dylan Houlilan a découvert le pot aux roses, ce qui laisse penser que des tiers malveillants pourraient également être en possession desdites informations. - 02/03/2018: Cyberattaque Equifax : le niveau de perte massive de données persos revu à la hausse
Après la découverte en septembre 2017 du vol massif de données persos de consommateurs au sein d'Equifax, le bilan s'alourdit du côté de l'agence américaine de crédit. Plus de six mois après les révélations, on n'a pas encore atteint l'abîme de l'affaire Equifax relative à une perte massive de données personnelles après une attaque informatique visant l'agence américaine d'évaluation de crédit. Le compteur s'était arrêté à 145,5 millions d'Américains dépossédés de leurs numéros de sécurité sociale. Il faut désormais en ajouter 2,4 millions. Même si la proportion de données personnelles subtilisées par personne est moindre, selon AP. Equifax admet une dissémination des noms des personnes et une partie de leur numéro de permis de conduire. […] A priori, cette affaire fait partie des trois plus gros vols de données personnelles recensées dans le monde depuis 2016. Yahoo détenant ce triste record avec trois milliards d'accès piratés à des comptes de messagerie. - 22/01/2018: Des pirates pourraient avoir volé les données médicales de la moitié de la population norvégienne. Les autorités essayent de rassurer
[…] La fuite est encore loin de ce qu'il s'est passé en Suède, où un entrepreneur du gouvernement a divulgué les données personnelles de tous les citoyens du pays. La personne responsable a été condamnée en juillet dernier à une amende équivalente à la moitié de son salaire mensuel (la moitié de 70 000 couronnes suédoises, c'est-à-dire la moitié de 7 114 euros). Pour rappel, la fuite s'est produite en septembre 2015, lorsque l'Agence suédoise des transports (AST) a décidé d'externaliser la gestion de sa base de données et d'autres services informatiques à des entreprises telles qu'IBM en République tchèque et NCR en Serbie. La totalité de la base de données de AST a été téléchargée sur des serveurs cloud appartenant à ces deux sociétés, et certains employés ont eu un accès total à la base de données, la Suède ayant renvoyé ses techniciens informatiques… - 13/12/2017: Plus de 1,4 milliard d'identifiants et mot de passe en clair sur le dark web
Une compilation de 252 vols d'identifiants est disponible en clair sur le dark Web. La plus grosse base de données de comptes Web de tous les temps, selon 4iQ. […] Qui plus est, le fichier n'est pas une simple liste mais une véritable base de données dotée des outils de requêtes permettant d'effectuer des recherches rapides et efficaces. […] "Les données sont organisées par ordre alphabétique, offrant des exemples de tendances dans la façon dont les gens définissent les mots de passe, les réutilisent et créent des schémas répétitifs au fil du temps, insiste Julio Casal. La brèche permet d'avoir un aperçu concret des tendances en matière de mot de passe." - 07/12/2017: Ce clavier pour Android et iOS a laissé fuiter les données de 31 millions d'utilisateurs sur le web
Ce que le descriptif du produit ne dit pas, c'est que cette application collecte une grande quantité de données personnelles sur les utilisateurs et les stockent dans des bases de données ouvertes à tous. Les chercheurs en de Kromtech Security ont ainsi pu mettre la main sur une base de données de type MongoDB qui appartient manifestement à AI.Type et qui était librement accessible depuis Internet. 6 millions de carnets d'adresses. Cette base contenait 577 Go de données de 31 millions d'utilisateurs, probablement sur plateforme Android. On y trouvait une quantité de données personnelles : nom, prénom, numéros de téléphone, emails, pays de résidence, langues activées, version d'Android, numéro IMSI, numéro IMEI, données issues des profils sociaux, données de géolocalisation. Mais ce n'est pas tout. Cette base d'AI.Type a également stocké les carnets d'adresses de 6 millions d'utilisateurs, avec noms et numéro de téléphone. Ce qui représentaient plus de 373 millions d'entrées. - 23/11/2017: Sécurité IT : le vol massif de données chez Uber suscite la stupeur parmi les experts (archive.fo)
Hier, la société californienne, qui exploite la fameuse app de mise en relation entre chauffeur et passager dans le segment VTC, a reconnu publiquement un vol massif de données personnelles portant sur 57 millions de clients dans le monde et de 600 000 chauffeurs aux Etats-Unis dans une affaire survenue…en 2016. […] Uber a tenté d'étouffer l'affaire en acceptant de verser une rançon de 100 000 dollars à condition que les données massivement évaporées dans la nature soient détruites. On ignore si les pirates se sont pliés à cette exigence. […] De multiples réactions issues des fournisseurs de solutions de sécurité IT sont tombées par mail à la rédaction hier : "Combien d'autres entreprises ont payé une rançon pour couvrir une cyber-attaque sans que nous le sachions ?" - 20/11/2017: Des données du Pentagone stockées sur AWS accessibles publiquement (archive.fo)
À travers Amazon Web Services, le Pentagone a laissé pendant des mois, voire des années, l’accès public à des milliards de données collectées en ligne. […] Le 6 septembre dernier, la société de sécurité découvrait que les services de stockage S3 (Simple Storage Service) d’AWS hébergeant les trois dépôts de données étaient configurés de manière à être accessible à n’importe quel utilisateur des services Web d’Amazon dans le monde. Qui plus est avec un compte gratuit. […] Si cette collecte issue des quatre coins de la planète dans de nombreuses langues a, selon toute évidence, été menée à des fins de sécurité, elle "soulève de graves questions sur la vie privée et les libertés civiles", souligne UpGrade.- 28/11/2017: Des informations classées Top Secret de l'armée américaine et de la NSA ont été exposées en ligne sur des serveurs Amazon (archive.fo)
"Cette fuite en ligne est une illustration frappante de la façon dont le recours à des fournisseurs tiers peut être dommageable, capable même d'affecter les plus hauts échelons du Pentagone" soulignait alors la société [Upguard]
- 16/11/2017: Fuite de données pour la société Otis
"Depuis plusieurs jours je tente de joindre la société Otis. Le professionnel des ascenseurs fait fuiter les mails de ses clients. Il serait bon de corriger la faille qui pourrait permettre la mise en place d’une escroquerie facile. […] Je ne diffuse jamais d’information sur une fuite non corrigée. Mais dans ce cas, la mission est de faire boucher un trou qui donne accès à plus de 160 000 adresses mails de clients Otis" Damien Bancal - 25/10/2017: Des photos intimes d’opérations chirurgicales dérobées par des pirates
D’après le site The Daily Beast, un groupe baptisé The Dark Overlord est derrière l’opération. Parmi les documents dérobés, on retrouve des photos des patients prises pendant l’acte chirurgical. D’après le média américain, les images montrent en détails le déroulé d’opérations génitales et mammaires pratiquées sur des hommes et des femmes. The Dark Overlord menace de tout diffuser sur le Web… - 04/10/2017: Les données des 3 milliards de comptes Yahoo ont en fait été volées
En décembre 2016, Yahoo informait près d'un milliard d'utilisateurs que les données de leurs comptes avaient été volées à la suite d'une intrusion en août 2013 sur ses systèmes. En réalité, ce sont 3 milliards de comptes qui ont été touchés, révèle maintenant l'enquête menée par le fournisseur… - 22/09/2017: Piratage : la cybersécurité du gendarme boursier américain (SEC) vacille
La SEC (Securities and Exchange Commission) a signalé mercredi avoir constaté le mois dernier une intrusion dans son système d’information datant de 2016. Le régulateur a ajouté que les pirates peuvent avoir utilisé ces données pour effectuer des transactions et en tirer profit sur les marchés boursiers. […] L’an dernier, c’est le piratage du système mondial d’échanges interbancaires Swift qui faisait déchanter investisseurs et hauts dirigeants. - 08/09/2017: Les États-Unis victimes de la pire fuite de données personnelles jamais enregistrée
Les données personnelles de 143 millions de personnes – soit la moitié de la population des États-Unis – ont été volées sur les serveurs d’Equifax, une société spécialisée, entre autres dans… la protection des données personnelles. Dans un communiqué texte et vidéo, Richard Smith, le PDG d'Equifax, présente ses "excuses aux clients pour l'inquiétude et la frustration causées" - 29/07/2017: Les fonctions cloud des antivirus facilitent le vol de données confidentielles
Les services d’analyse de malware dans le cloud peuvent être détournés pour servir de canal de d’exfiltration entre une cible et un attaquant. Un scénario qui fonctionne même sur des machines déconnectées de l’Internet. […] Cloud et antivirus ne font pas forcément bon ménage, comme viennent de le montrer les chercheurs Itzik Kotler et Amit Klein de SafeBreach, à l’occasion de la conférence Black Hat USA 2017. De plus en plus d’éditeurs antivirus déportent en effet l’analyse malware dans le nuage, pour des raisons d’efficacité. Quand l’agent logiciel local tombe sur une application inconnue et potentiellement malveillante, il est désormais courant qu’il l’envoie sur les serveurs de l’éditeur afin de procéder à une analyse approfondie… - 20/06/2017: Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée à cause d'un service de stockage qui n'a pas été sécurisé
Parmi ces informations figuraient les noms, les dates de naissance, les adresses de domicile, les numéros de téléphone et les détails de l'inscription des électeurs, ainsi que les données décrites comme appartenant à des groupes ethniques et des religions. […] Cette divulgation éclipse les violations antérieures des données électorales au Mexique et aux Philippines de plus de 100 millions d’individus, exposant les informations personnelles de plus de 60% de la population américaine entière. […] L'information était initialement destinée à être utilisée par les candidats politiques pour cibler les électeurs potentiels et adapter leurs campagnes de manière appropriée. […] Compte tenu du fait que tout ce qu’il fallait pour pouvoir visiter la base de données n’était pas complexe, les risques que les informations puissent tomber dans les mauvaises mains sont élevées. - 19/06/2017: Les données des électeurs US dans la nature
- 14/04/2017: Shadow Brokers : et maintenant des exploits visant Swift !
Les Shadow Brokers publient une nouvelle collection d’outils de hacking dérobés à la NSA. Parmi eux, une foule de données pour pirater les prestataires du réseau interbancaire SWIFT.[…] Rappelons que le réseau interbancaire a récemment été victime d’une autre vague de piratages, ciblant de nombreuses banques sur la planète. Passant par la compromission des postes clients de SWIFT au sein de banques, cette campagne, dont la Corée du Nord serait responsable selon les États-Unis, a notamment abouti au vol de 81 M$ à la banque centrale du Bengladesh, en février 2016. Une somme qui s’est évanouie dans le très opaque circuit des casinos aux Philippines. - 12/01/2017: Hacker Steals 900 GB of Cellebrite Data. A hacker provided Motherboard with a large cache of customer information, databases, and more
= "Un pirate a volé 900 Go de données de la société Cellebrite (en). Un pirate a fourni à Motherboard (en) un grand dépôt d'informations clients, de bases de données et plus encore."
La société piratée Cellebrite (en) est une société experte en cyber-attaque et cyber-sécurité qui fournit des "solutions d'intelligence numérique" ("digital Intelligence solutions provider"). Travaillant dans le secteur de l'analyse légale numérique pour les professionnels de la justice ("digital Forensics for Legal Pros"), elle s'est notamment spécialisée dans l'investigation en téléphonie mobile et réseaux sans fil. D'après les données piratées, le journal Motherboard (en) annonce que la société Cellebrite travaille aussi bien pour les USA que pour la Russie, les Émirats Arabes Unis et la Turquie - 03/08/2016 : États-Unis : 150 Go de données médicales seraient dans la nature
- 30/06/2016: Plus de 2 millions d'enregistrements de données issus de la base World-Check exposés. On y trouve des noms d'individus et organismes à risque accru
Chris Vickery, un spécialiste en cybersécurité, vient récemment de déclarer qu’il a pu accéder à une base World-Check. Cette liste recense les individus et organismes classés dans la liste noire des organismes bancaires, ceux qui sont soupçonnés de financer le terrorisme, ceux qui ont commis des blanchiments d’argent ou encore ceux qui sont impliqués dans des crimes organisés. - 15/04/2016: Le cloud de la Grande Loge de France piraté
Plus de 6 000 documents stockés dans le cloud ont été divulgués sans toucher toutefois le précieux fichier contenant les 34 000 membres de l'obédience française régulière et traditionnelle… - 24/09/2015: 5,6M d'empreintes digitales de fonctionnaires américains dérobées
Alors qu'il était estimé à 1,1 million, le nombre d'empreintes digitales volées à l'occasion du gigantesque piratage du service du personnel des fonctionnaires américains révélé cet été se monte désormais à 5,6 millions. Un coup dur pour cette administration qui poursuit ses investigations. Le bilan s'alourdit concernant le piratage massif dont a été victime l'Office of Personnel Management (OPM) aux Etats-Unis. Révélé en plein coeur de l'été, ce piratage a débouché sur le vol de données personnelles en tous genres dont essentiellement des numéros de sécurité sociale, mais pas seulement (historiques de consommation de drogue, problèmes juridiques et financiers, dossiers scolaires, historiques de carrières…), appartenant à plus de 20 millions de fonctionnaires américains. Parmi les données volées se trouvaient également des empreintes digitales. Mais alors que le nombre d'empreintes dérobées était auparavant estimé à 1,1 million, l'OPM a revu ce nombre à la hausse. - 13/03/2015: Google a laissé filer les données privées de détenteurs de 282 000 domaines
Le groupe de recherche en sécurité de Cisco a révélé que depuis le milieu de l'année 2013, des informations privées de détenteurs de 282 867 domaines se sont retrouvées sur la base de données publiques Whois. Des informations qui ont pu être utilisées par des pirates dans le cadre de campagnes de phishing. Des noms, adresses, mails et numéros de téléphone utilisés pour l’enregistrement de sites web se sont inopinément retrouvés à disposition sur le web. Si on ne sait pas combien d’informations personnelles ont précisément été publiquement exposées, on sait en revanche que les utilisateurs concernés avaient expressément indiqué vouloir les garder secrètes. - 2015: Télé Santé Centre > Chronique d’actualités : Sécurité des Systèmes d’Information :
Fascicule de sensibilisation par des exemples de piratage de données de santé (PDF) - 11/12/2014: Ce que révèlent les milliers de documents confidentiels volés à Sony Pictures
Imaginez que toutes les données – ou presque – qui transitent sur votre ordinateur de travail, stockées sur les disques durs et serveurs de votre entreprise, soient compilées et rendues accessibles à tous. Voilà la situation devant laquelle se retrouvent actuellement les employés et la direction de Sony Pictures Entertainment, après l'attaque informatique de grande ampleur subie le 24 novembre. Depuis, des milliers de gigaoctets de fichiers confidentiels du géant du divertissement hollywoodien, producteur et diffuseur de nombreux films, sont dispersés sur le Web. - 15/10/2014: Photos intimes volées : pourquoi Snapchat est un gruyère (et le restera)
Concernant Snapchat, certains disent même qu’on ne pourra jamais être certain qu’une image envoyée sera réellement détruite. "Le concept même de Snapchat ne fonctionne pas", estime ainsi Adam Caudill. En d’autres termes, il ne faut plus utiliser Snapchat. - …
Navigateurs web et services en ligne concentrés : Une fenêtre sur votre vie privée
- 16/10/2024: 01net.com > Chrome : c'est la fin pour uBlock Origin, Google désactive automatiquement l'extension
- 02/10/2023: securite.developpez.com > L'EFF exhorte les utilisateurs de Chrome à sortir du "Privacy Sandbox" de Google
- 28/10/2022: IA > lemondeinformatique.fr > Google joue gros pour tromperie sur la navigation privée de Chrome
- 17/10/2022: IA > rtbf.be > Google Chrome : le mode incognito ne serait pas vraiment privé : Bloomberg a déterré des échanges concernant le mode incognito du navigateur Google Chrome. Et comme on le découvre, Lorraine Twohill, responsable marketing et Sundar Pichai, PDG de la firme de Mountain View, ont conscience que le mode privé n'a rien de privé…
- 19/06/2020: Google Chrome : les utilisateurs d'extensions mis en danger par un espionnage massif :
Les chercheurs d'Awake Security ont expliqué à l'agence Reuters avoir mis en évidence un logiciel d'espionnage qui a pris pour cible le navigateur Google Chrome. Au total, 32 millions de téléchargements d'extensions seraient concernés […] Pour l'expert en sécurité, il s'agit de la plus vaste campagne d'espionnage par téléchargements d'extension. Selon les analystes, si quelqu'un naviguait sur le web à l'aide de Chrome, il se connectait à son insu à une série de web et transmettait les informations de son ordinateur personnel… - 17/10/2019: Le Conseil d'État autorise la CNIL à ignorer le RGPD :
Hier, le Conseil d'État a rejeté notre demande contre la CNIL en matière de consentement au dépôt de cookie. En sous-titre, le Conseil d'État pourrait désavouer la CNIL dans son rôle de protectrice des libertés, réservant ce rôle aux seuls juges judiciaires. […] Une autorité administrative est désormais capable de décider seule qu'une règle votée par des élu·es ne s'appliquera à personne pendant un an… - 10/09/2019: Vos photos Instagram et Facebook ne sont pas aussi privées que vous l'imaginez :
Les photos et les vidéos publiées au travers de ces réseaux sociaux sont accessibles au travers d'adresses publiques que l'on peut partager avec n'importe qui. Si vous êtes soucieux de votre vie privée, vous disposez peut-être d'un compte Instagram privé, où les photos et vidéos ne sont accessibles qu'aux personnes approuvées. Et sur Facebook, vous avez peut-être créé divers groupes d'amis pour limiter la visibilité de vos publications. Vous pensez être tranquille ? Pas de chance, les contenus multimédias partagés au travers de ces flux ne sont pas si verrouillés que cela… - 04/09/2019: Google utiliserait des pages web cachées pour encore mieux vous traquer :
Un mécanisme baptisé "Push Pages" permettrait de créer un identifiant unique pour chaque internaute. Celui-ci serait ensuite partagé avec les clients du système d'enchères publicitaires Authorized Buyers. […] Johnny Ryan ajoute une couche à cette plainte en révélant un nouveau mécanisme de tracking jusqu'alors inconnu. Il consiste à créer un mouchard pour chaque internaute, en chargeant des pages vides appelées "Push Pages". Ces pages, que l'internaute ne voit pas, ont des URLs qui sont uniques pour chaque internaute. Selon le directeur juridique, cet identifiant est ensuite partagé avec différents clients du système d'enchères de Google, ce qui leur permet de comparer et partager leurs données à propos de cet internaute. Et, par conséquent, d'établir son profil comportemental : quelles pages est-ce qu'il visite, à quel moment, etc. Google contournerait ses propres protections. Selon Brave, ce mécanisme caché permettrait de contourner des protections que Google avait lui-même mises en place afin de respecter le règlement RGPD. […] Google estime par ailleurs que le processus décrit par Brave respecte la vie privée des utilisateurs et qu'il est en accord avec ses règles de confidentialité. L'entreprise explique, par ailleurs, qu'il s'agit là d'une pratique standard de l'industrie de la publicité numérique qui n'est pas propre à Google. - 17/04/2019: Comment Facebook a partagé vos données avec des sociétés amies... (et pas avec les autres) :
Une longue enquête détaille de quelle manière le réseau social empêchait l'accès aux données personnelles à certaines entreprises, quand en même temps, elle l'ouvrait à d'autres, dont les dirigeants étaient bien plus proches. […] Certains des clients de Facebook étaient tout simplement interdits d'accès, car leur business était parfois trop proche ou concurrent de celui du réseau social. […] En parallèle, Facebook a continué à partager ce même genre de données avec d'autres sociétés, souvent des grands groupes américains. Ces partenaires privilégiés étaient retenus grâce au simple rapport d'amitiés ou de sympathies entre leurs dirigeants. Ainsi, Amazon, Sony, Microsoft ou encore Tinder pouvaient encore exploiter sans aucun souci les données personnelles de millions d'utilisateurs de Facebook - 26/03/2019: Incompatibilité entre le RGPD et les cookie walls (archive.org) :
L'autorité de protection des données des Pays-Bas a indiqué il y a quelques semaines, après avoir reçu de nombreuses plaintes, que les cookie walls n'étaient pas conformes au RGPD. Un cookie wall est un dispositif qui empêche un internaute d'accéder à un service (par ex. un site web) s'il n'a pas accepté que des cookies de tracking soient installés sur son périphérique. Un tel cookie wall n'est donc pas admissible au sens du RGPD car l'internaute n'est pas libre de donner son consentement à un traitement de données visant à analyser son comportement. En effet, l'internaute est confronté à un choix qui exerce sur lui une pression non négligeable : soit il renonce à un peu de vie privée pour accéder au service, soit il n'y accède pas. Le choix n'est donc ni libre, ni réel, puisque l'internaute s'expose à des conséquences en cas de refus… - 13/04/2018: Comment Facebook piste les internautes qui ne sont pas sur le réseau social (archive.fo)
Le réseau social ne s'en cache plus : il collecte des données même sur les internautes qui n'ont pas ouvert de compte chez lui. […] À partir de sites visités par l'internaute. Les boutons Facebook "J'aime" ou "Partager" qui apparaissent sur d'innombrables pages Web ont une fonction supplémentaire. Même si l'internaute ne clique pas dessus, ils ordonnent à son navigateur de transmettre des données le concernant à Facebook, comme l'entreprise l'explique dans ses "pages d'aide". À travers les contacts de l'internaute. Les utilisateurs de Facebook se voient proposer d'importer leurs contacts (Gmail, Hotmail, Yahoo!, répertoire téléphonique…) afin de trouver des amis avec lesquels se connecter sur le réseau social, ou d'en inviter d'autres à se créer un compte. Or, lorsqu'ils effectuent cette action, Facebook aspire des données concernant ces personnes, qui ne sont pourtant pas forcément inscrites sur le réseau social. […] Par ailleurs, lorsqu'un utilisateur de Facebook synchronise ses contacts avec le réseau social, les adresses e-mail et les numéros de téléphone de ces personnes sont collectés, mais pas seulement. Les données peuvent inclure, précise Facebook, "leurs noms et surnoms, photos de contact (…) et autres informations que vous pourriez avoir ajoutées comme une relation ou leur profession, ainsi que les données sur ces contacts présentes sur votre téléphone". […] Le représentant Ben Lujan (Nouveau-Mexique) a même souligné, lors d'un échange musclé, que si un internaute non inscrit souhaitait accéder aux données récupérées par Facebook, le réseau social lui demandait… de créer un compte… - 05/04/2018: La mauvaise utilisation des données est une caractéristique pas un bug !
[…] Aleksandr Kogan, le chercheur qui a créé un quiz pour recueillir des données sur des dizaines de millions de personnes sur Facebook qui a permis à Cambridge Analytica de produire ses analyses, n'a pas pénétré les serveurs de Facebook pour voler des données. Il a utilisé l'API de Facebook qui, jusqu'en avril 2015, permettait à ceux qui créaient des applications de récolter les informations de leurs utilisateurs et de tout leur réseau social. Comme le dit le spécialiste des médias, Jonathan Albright : "La capacité d'obtenir des informations exceptionnellement riches sur les amis des utilisateurs est due à la conception et aux fonctionnalités de l'API Graph de Facebook. Et la grande majorité des problèmes qui en ont résulté étaient des caractéristiques pas de bugs". Si Kogan a agi en violation de l'éthique, il n'a pu le faire que parce que Facebook l'a rendu possible, pointe Zuckerman. Certes, vendre ces données à Cambridge Analytica était une erreur, mais Facebook ne pouvait pas ignorer que des gens comme Kogan pouvaient accéder aux données de millions d'utilisateurs, puisque c'était précisément la fonctionnalité de Facebook annoncée aux développeurs d'applications, jusqu'à ce que Facebook referme un peu la corne d'abondance en 2014. Or, rappelle Ethan Zuckerman, le modèle économique de Facebook est basé sur la collecte des informations personnelles et psychographiques et la vente de la capacité à cibler publicitairement les produits de ces données (c'est-à-dire les utilisateurs). Cette fonctionnalité n'est pas propre à Facebook, rappelle le chercheur. Google développe des profils de ses utilisateurs, depuis leurs historiques de recherches et les outils qu'il développe pour eux, pour aider des annonceurs à cibler leurs messages. La plupart des sites web financés par la publicité tracent leurs utilisateurs pour tirer de la valeur et améliorer le ciblage publicitaire. […] Facebook n'est pas le problème. Le chercheur en sécurité informatique, Bruce Schneier, le souligne néanmoins : Facebook n'est que l'arbre qui cache la forêt du capitalisme de surveillance. […] - 04/04/2018: Protection des données personnelles: Facebook se contentera du minimum
Au niveau de la protection des données personnelles, le mot d'ordre chez Facebook semble être clair : pas question de faire des cadeaux aux utilisateurs ! Interrogé par Reuters sur l'application de la nouvelle réglementation européenne RGPD, Mark Zuckerberg a expliqué que l'entreprise n'allait pas étendre aux autres pays le même niveau de protection qu'il est obligé de garantir pour l'Union européenne. D'après le PDG, certains éléments de cette loi seront implémentés partout, mais pas tous. Sans plus d'explications. Cela veut dire qu'à partir du 25 mai, les utilisateurs des Etats-Unis et du Canada n'auront pas accès aux mêmes mécanismes de protection. D'une certaine manière, ils deviendront des utilisateurs de seconde classe. […] D'un point de vue purement business, on comprend que Facebook – dont le métier est l'analyse de données personnelles – cherche à préserver le plus d'avantages possibles. D'un point de vue de la communication, toutefois, il n'est pas certain que ce soit la meilleure option. A partir du mois de mai, les utilisateurs vont pouvoir comparer les fonctionnalités auxquelles ils accèdent des deux côtés de l'Atlantique. Si la divergence est trop forte, le réseau social risque de générer une nouvelle levée de boucliers. Une de plus. - 03/04/2018: Grindr partagerait le statut VIH de ses utilisateurs
Nouveau scandale dans le domaine du partage des données utilisateurs. Le service de rencontre gay Grindr partagerait en effet le statut VIH de ses utilisateurs avec d'autres entreprises… - 03/02/2018: Chrome : Google supprime 89 extensions qui ont permis d'enregistrer ce que vous faites Et ont affecté près d'un demi-million d'utilisateurs
Scripts de "session replay" : "Contrairement aux services d'analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l'enregistrement et à la lecture de sessions de navigations individuelles, comme si quelqu'un regardait par-dessus votre épaule"… - 03/01/2018: Pourquoi il faut se méfier des gestionnaires de mots de passe de Chrome ou Firefox (archive.fo)
Pour faciliter la constitution du profil comportemental des internautes, certaines sociétés marketing n'hésitent pas à extraire les identifiants stockés dans le gestionnaire de mot de passe des navigateurs - 25/11/2017: Des centaines de sites figurant dans le top 50 000 d'Alexa enregistrent les actions d'un visiteur par un script de relecture de session
Pour montrer combien les scripts tierces parties sont intrusives, les chercheurs de l'Université de Princeton ont prévu de lancer et présenter le résultat d'une série d'études qu'ils ont appelée "No Boundaries". La première de cette liste s'intéresse à la pratique des session replay, des scripts qui enregistrent vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que tout le contenu des pages que vous visitez et les envoient à des serveurs tiers. La pratique est le plus souvent réalisée à l'insu de l'internaute et est, selon les chercheurs, de plus en plus répandue. […] "Contrairement aux services d'analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l'enregistrement et à la lecture de sessions de navigations individuelles, comme si quelqu'un regardait par-dessus votre épaule", ont-ils commenté. L'objectif déclaré de cette collecte de données comprend la collecte d'informations sur la manière dont les utilisateurs interagissent avec les sites Web et la découverte de pages brisées ou confuses. Cependant, l'étendue des données collectées par ces services va bien au-delà des attentes de ceux qui s'en servent : le texte tapé dans les formulaires est recueilli avant que l'utilisateur ne soumette un formulaire, et les mouvements précis de la souris sont enregistrés, le tout sans aucune indication visuelle apportée à l'internaute. En théorie, les données collectées par ces outils de session replay doivent être anonymisées. Certains de ces services prévoient automatiquement de ne pas enregistrer certaines informations sensibles – comme les caractères tapés dans un champ de saisie de mot de passe. Mais des tests effectués par les chercheurs montrent que cette anonymisation n'est pas totalement efficace, et nécessite des personnalisations que tous les éditeurs de sites ne mettent pas en place. "Ces données ne peuvent raisonnablement pas rester anonymes. En fait, certaines entreprises permettent aux éditeurs de lier explicitement les enregistrements à la véritable identité d'un utilisateur", ont prévenu les chercheurs. […] - 21/11/2017: Des centaines de sites Web majeurs vous espionnent et siphonnent vos données (archive.fo)
Des scripts d’analyse marketing enregistrent automatiquement les informations renseignées dans les formulaires. Parfois, ils aspirent même les données de cartes bancaires et les mots de passe. - 02/11/2017: Google bloque des contenus Drive en violation avec son service
Plusieurs rédactions dans le monde, y compris en France, ont eu la désagréable surprise de ne plus accéder à leurs contenus sous Google Drive. Les contenus, inaccessibles plusieurs heures durant, ont été mystérieusement jugés indésirables par le géant américain. […] Plus taquin, l'Electronic Frontier Foundation n'a pu s'empêcher de tweeter que "Google a accidentellement rappelé au monde que votre contenu dans le cloud est en fait sur un serveur scanné par des algorithmes." Et d'ajouter : "Le souci rencontré par Google Docs est le résultat inévitable du recours à des filtres automatisés pour déterminer si le contenu est abusif." - 27/06/2017: Google lira encore vos emails, et SnapChat montre aux autres où vous vous trouvez
Google n’arrêtera pas de lire vos emails. […] Mais Google ne va pas pour autant cesser totalement de lire vos emails. Par exemple, Google procèdera toujours à l’ouverture de vos emails pour filtrer le spam et procéder à des vérifications de sécurité (détecter un virus, une tentative de phishing). En outre, le fait que Gmail ne lira plus les emails dans un but marketing ne signifie pas que les publicités disparaitront de Gmail : elles seront toujours présentes, mais elles se baseront sur d’autres informations relatives à l’activité de l’utilisateur (Youtube, géolocalisation, historique des recherches, etc.). Le fait que Google décide d’abandonner l’analyse à des fins publicitaires des emails des particuliers constitue un pas en arrière intéressant de la part du géant informatique. La vie privée des utilisateurs s’en trouve légèrement renforcée. Mais si Google peut se passer de cette manne de données, c’est qu’il parvient à en obtenir suffisamment par d’autres moyens…. François Charlet, juriste. - 03/05/2017: Mouchards publicitaires : ce que Ghostery, AdBlock Plus et consorts laissent passer
La firme de Mountain View a construit un véritable empire en collectant sans relâche les données personnelles de ses utilisateurs pour alimenter son outil DoubleClick et vendre des publicités ciblées. […] Dans un billet ce matin, Google déclare qu'il cessera de scanner les boîtes de réception Gmail pour personnaliser les publicités "un peu plus tard cette année". […] Cela ne signifie pourtant pas que les algorithmes de Google arrêteront de scanner tous les courriels - c'est ainsi que fonctionnent les réponses automatiques et les assistants d'AI. Mais la décision de Google pourrait aider les utilisateurs à mieux considérer la protection de leurs données à l'avenir. - 08/11/2016: Pourquoi il faut vite vous débarrasser de l'extension Web of Trust
Censé protéger l’internaute des chausse-trapes du web, ce logiciel est en réalité un mouchard qui transmet l’intégralité des URLs visitées à des entreprises tierces, en violation totale de la protection des données personnelles. - 08/11/2016: La Croix Rouge Australienne laisse échapper 1,28 millions d’enregistrement médicaux et personnels
Hier, je vous parlais des risques de piratage d'un fichier tel que TES, et aujourd'hui, j'ai un exemple qui tombe tout cuit dans mon bec. Troy Hunt qui s'occupe du célèbre site haveibeenpwned.com a reçu de manière anonyme un fichier de 1,74 GB contenant les dossiers médicaux et informations personnelles de plus de 1,28 million d'enregistrements d'Australiens inscrits dans le registre national des donneurs de sang. […] Depuis, le Croix Rouge a présenté ses excuses, et a retiré le fichier qui d'après elle est resté en ligne du 5 septembre au 25 octobre. - 03/10/2016: Une série de clics et Twitter suffisent à vous identifier
Corréler l’historique des pages Web visitées aux profils Twitter permet d’identifier les internautes, expliquent des chercheurs de Princeton et de Standford. Ou quand le Big Data vient lever ce qui restait d’anonymat sur le Web. L’anonymat sur Internet, un vœu pieux ? C’est en somme la démonstration d’une équipe de chercheurs des universités de Princeton et Standford. - 01/07/2015: Vous protéger de l’espionnage industriel, c’est bien. Vous assurer que vos partenaires le sont aussi, c’est mieux
[…] Ce que j'ai vu hier m'a un peu scotché. Comme je rentrais de Toulouse en avion, je me suis retrouvé à côté d'un monsieur très sympa qui rentrait d'un rendez-vous important avec l'une des divisions d'Airbus les plus sensibles et qui, tenez-vous bien, a sorti un Chromebook et s'est mis à rédiger des documents et des emails pros sur Google Docs et Gmail. Vous savez, la version Google Apps pour Entreprise où on peut mettre en haut à gauche et en gros, le logo de sa boite… Cette entreprise dont Airbus est cliente est cotée en bourse et pèse lourd dans le tissu économique français. Elle bosse avec des gros industriels et des services publics ET POURTANT… Elle héberge directement aux États-Unis tout son savoir-faire et tous ses échanges professionnels. C'est très flippant quand même… Malheureusement, ce n'est qu'un exemple parmi tant d'autres… Nombreuses sont les sociétés comme celle-ci qui n'ont aucune notion de sécurité ou de protection de leurs données vis-à-vis de puissances étrangères ou d'entreprises concurrentes. Manuel Dorne alias Korben - 07/06/2015: Et maintenant Google veut vos photos. Toutes vos photos...
Après les courriers électroniques, Google veut héberger toutes les photos des internautes. Et bien sûr, analyser leur contenu. - 21/05/2016: Les trackers publicitaires nous espionnent avec de plus en plus d’ingéniosité
Paramètres d’affichage, configuration audio, niveau de charge des batteries… Les professionnels de la publicité font feu tout bois pour pister les internautes.[…] Tout d’abord, il faut constater que le tracking publicitaire attire beaucoup de monde. Les chercheurs ont dénombré environ 81.000 trackers différents sur le Net. Mais le secteur est en réalité dominé par un petit nombre d’acteurs. Le roi en la matière est évidemment Google, présent sur le plus de 60 % des sites, grâce à ses mouchards Google Analytics et Doubleclick. Il est suivi par Facebook et Twitter, présents respectivement sur au moins 20 % et 10 % des sites. […] En dehors des cookies, il faut faire appel aux techniques dites de « fingerprinting » (capture d'empreinte). L’idée est d’utiliser des fonctions Javascript pour collecter sur les ordinateurs des internautes des données techniques suffisamment particulières pour pouvoir les différencier. […] Le protocole WebRTC, utilisé pour la visiophonie, se prête également bien à l’identification… - 30/03/2015: Royaume-Uni : les utilisateurs de Safari peuvent porter plainte contre Google Pour violation de la vie privée
Cette affaire remonte à 2011 – 2012 lorsque le numéro un de la recherche gardait un œil sur la navigation des internautes qui utilisaient Safari. Il se trouvait qu’il enfreignait les paramètres de confidentialité du navigateur sur iOS et Mac OS X, qui rejette par défaut les cookies tiers, afin de pouvoir collecter des données personnelles à l’insu des utilisateurs et leur proposer des publicités plus ciblées. L’affaire a été portée devant une cour du Royaume-Uni qui a estimé que les utilisateurs de Safari sont en droit de déposer une plainte pour violation de vie privée. - 15/04/2014: tomsguide.fr > "Espionnage de Gmail : Google persiste et signe" par Édouard le Ricque : […] Désormais, on peut y lire que "des systèmes automatisés analysent votre contenu à des fins de publicité, de personnalisation et de sécurité." …
- 10/04/2014: Comment notre ordinateur nous manipule
Grâce à de nouveaux logiciels, les professionnels de la vente en ligne ne se contentent plus de tout savoir sur nous. Ils devinent nos préférences et anticipent nos intentions. […] Fiché 108 fois en 3 clics…
Systèmes d'exploitation et constructeurs privateurs : Une menace croissante pour la vie privée
- 06/02/2024: Underscore_ > [Vidéo] La trouvaille scandaleuse d'un chercheur sur Windows 11 (18'13" ; Invidious ; Youtube) : Étude des requêtes Internet envoyées par Windows 11 vierge dés l'arrivée sur le bureau, comparé à celles de Windows XP. Dès les premières minutes du premier démarrage de Windows 11, une partie de l'espionnage est sous-traité à scorecardresearch.com de TMRG Inc. et à privacyportal.onetrust.com. Lors du premier démarrage de Windows 11, il est possible de demander l'option "Je n'ai pas Internet" : Touches de raccourci Maj F10 > Terminal CMD : Taper
OOBE\BYPASSNRO
–> Redémarrage automatique du PC et poursuite du premier démarrage avec cette option affichée - 19/08/2019: Pendant des années, l'antivirus Kaspersky facilitait le tracking des utilisateurs :
Le logiciel de sécurité insérait dans le code de chaque page web visitée un identifiant unique lié au terminal utilisé, qu'il était assez simple de récupérer. Un patch a été diffusé pour éliminer ce risque de surveillance - 13/12/2018: Windows 10 : Microsoft reçoit vos données d'activité... même si vous ne le voulez pas :
Des utilisateurs ont remarqué qu'ils partageaient avec Microsoft l'historique de leurs activités même si cette option était désactivée. Un nouveau mystère dans la gestion de données personnelles de l'éditeur… - 13/12/2017: Un keylogger de plus dans les PC HP
C'est la deuxième fois cette année qu'un enregistreur de saisie est découvert dans les pilotes présents sur les PC de HP. Cette fois-ci, la faille de sécurité affecte les drivers des pavés tactiles Synaptics sur 450 modèles d'ordinateurs portables - 11/12/2017: Un keylogger se cache peut-être dans votre PC HP
Et de deux ! Au mois de mai dernier, un keylogger avait été débusqué dans 30 modèles différents de machines HP. La faute à un pilote permettant de faire fonctionner la carte son, mal configuré depuis 2015. Nouveau scandale du même ordre mais à une plus grande échelle : le chercheur en sécurité Michael Myng, surnommé ZwClose, a dévoilé le 6 décembre dernier que 475 modèles de portables du fabriquant ont été affectés par un keylogger, un logiciel espion enregistrant toutes les actions d'un clavier. […] La liste des appareils HP touchés comprend 172 ordinateurs portables professionnels, mobiles et stations de travail, ainsi que 303 produits grand public. - 31/10/2014: Une pétition en ligne s'élève contre le spyware d'OS X Yosemite
Le fonctionnement du service de recherche unifié Spotlight embarqué dans le dernier système d'exploitation d'Apple suscite un tollé. Des milliers d'utilisateurs sont vent debout contre le système de suivi des activités personnelles mis en place par la firme à la pomme.
Fournisseurs d'Accès Internet et données privées
Les entreprises et les données personnelles de leurs clients
- 29/11/2023: IA > microsoft.developpez.com > Le nouveau client Outlook de Microsoft déplace discrètement votre courrier électronique vers le cloud et introduit des fonctionnalités controversées de partage de données : […] Il semble que la nouvelle application Outlook soit beaucoup plus étroitement intégrée au cloud qu'un utilisateur ne pourrait le penser, ouvrant ainsi la portée de la collecte potentielle de données Microsoft. Cela représente un problème important en matière de confidentialité. […] À partir de ce moment, tous les traitements (y compris la récupération de vos e-mails) sont gérés dans le cloud. Le blog allemand heise.de a effectué une recherche et n'a pas pu observer un trafic circulant directement du client vers son fournisseur de messagerie. Cela est vrai pour les flux de travail OAuth et IMAP, mais est plus visible lors de l'authentification auprès d'un serveur IMAP tiers. Dans ce cas, le client Outlook utilise les informations d'identification IMAP fournies par votre fournisseur de messagerie pour accéder à l'application et les transfère directement vers le cloud de Microsoft via TLS. Les curieux peuvent reproduire cela en mettant en place un proxy transparent entre Internet et le client Outlook pour intercepter le trafic chiffré. Client de messagerie ou application web ? Pour pouvoir répondre à cette question, Heise a utilisé un fournisseur de messagerie qui enregistre l'adresse IP et l'heure d'accès de chaque nouvelle connexion. Si le client Outlook communiquait directement avec notre serveur de messagerie (c'est-à-dire agissait comme un client le devrait), alors l'adresse IP enregistrée par le fournisseur de messagerie doit être la même que celle de l'ordinateur sur lequel nous exécutons Outlook. Cependant, à chaque tentative, aucune connexion n'a été enregistrée à partir de leur adresse IP personnelle; les connexions provenaient d'une autre adresse IP qui, une fois insérées dans le service de recherche WHOIS, indiquait qu'elle était enregistrée auprès de Microsoft. Cela démontrerait que le "client" Outlook n'est rien de tout cela, agissant entièrement comme un wrapper autour des services cloud de Microsoft et que le client local ne s'est jamais connecté. Il y a ici un problème clair pour l'utilisateur. En se connectant simplement au nouveau client Outlook, un utilisateur a effectivement fourni au Microsoft Cloud un accès global et illimité à l'ensemble de son compte de messagerie. …
- 11/07/2023: latribune.fr > Bruxelles adopte un cadre légal pour le transfert des données personnelles de l'UE vers les Etats-Unis : […] De nouveaux recours attendus. Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer ces données des Européens vers les États-Unis avaient été invalidés en raison de craintes d'une surveillance par les services de renseignement américains. Ces recours devant la Cour de justice de l'UE avaient été introduits par Max Schrems, le militant autrichien pour le respect de la vie privée. Lundi, il a annoncé saisir à nouveau la justice, estimant que le nouveau texte n'apportait pas d'amélioration en matière de protection des données personnelles des Européens. …
- 31/04/2022: IA > developpez.com > Apple et Meta ont partagé des données avec des pirates se faisant passer pour des agents des forces de l'ordre qui émettent des "demandes de données d'urgence" : […] "Il existe une "méthode" terrifiante et très efficace que les pirates informatiques utilisent désormais pour récolter des données clients sensibles auprès des fournisseurs de services Internet, des compagnies de téléphone et des entreprises de médias sociaux. Cela implique de compromettre les comptes de messagerie et les sites Web liés aux services de police et aux agences gouvernementales, puis d'envoyer des demandes non autorisées de données d'abonné tout en affirmant que les informations demandées ne peuvent pas attendre une ordonnance du tribunal, car elles concernent une question urgente de vie ou de mort. Il est maintenant clair que certains pirates ont compris qu'il n'y a pas de moyen rapide et facile pour une entreprise qui reçoit l'un de ces EDR de savoir s'il est légitime. En utilisant leur accès illicite aux systèmes de messagerie de la police, les pirates enverront un faux EDR accompagné d'une attestation selon laquelle des personnes innocentes souffriront probablement beaucoup ou mourront si les données demandées ne sont pas fournies immédiatement.
- 25/03/2022: IA > francetvinfo.fr > Washington et Bruxelles s'accordent sur un nouveau cadre pour le transfert des données personnelles entre l'Union européenne et les Etats-Unis : Le cadre juridique précédent, baptisé "Privacy Shield" ("bouclier de protection"), avait été invalidé en juillet 2020 par la justice européenne en raison de craintes sur les programmes de surveillance américains
- 12/11/2019: Google a collecté en cachette les données médicales de millions d'Américains :
Dans l'océan de données personnelles que Google collecte sans l'aval des utilisateurs, nous avons aujourd'hui les informations médicales ! Selon le quotidien américain The Wall Street Journal (article payant), l'opération portait le nom de code de "Project Nightingale". Le nom semble être hommage à Florence Nightingale, une infirmière britannique qui a été pionnière dans l'utilisation de statistiques. Or, pour travailler sur des statistiques, il faut des données… Ces données, Google ne les a pas volées, mais les a collectées auprès d'Ascension, une organisation médicale sans but lucratif qui réunit 2.600 médecins, hôpitaux, cabinets médicaux et autres lieux médicaux. L'organisation catholique basée à Saint-Louis, dans le Missouri, a ouvert ses serveurs aux équipes de la division cloud de Google. Qui a récupéré non seulement des résultats d'analyses, des diagnostics de docteurs, etc., mais aussi des noms et des dates de naissance. En clair : des données non anonymisées. Et ce qui est encore plus grave c'est que ce partage et l'utilisation de ces données ont été réalisés à l'insu des patients et des praticiens de santé ! […] Google et Ascension ont répondu au Wall Street Journal que l'opération conjointe était pour le bien de l'humanité (bien évidemment)… - 13/08/2019: Paradoxalement, le RGPD facilite le vol de données personnelles :
Entré en vigueur depuis mai 2018, le règlement européen RGPD a pour objectif d'améliorer la protection et le contrôle dans le domaine des données personnelles, notamment en imposant de nouvelles procédures à respecter et en prévoyant des amendes dissuasives. Malheureusement, le règlement a également des effets indésirables qui vont dans le sens contraire, facilitant même le vol de données personnelles dans certains cas. C'est en effet ce que vient de démontrer le chercheur en sécurité James Pavur à l'occasion de la conférence Black Hat 2019. Le RGPD confère à toute personne un droit d'accès à ses données et l'entreprise qui les détient ne peut pas lui refuser, sous peine de recevoir une amende. Ce qui est une bonne chose. Mais cet accès est-il également sécurisé ? […] Fuite de données sensibles. Seules 39 % des entreprises ont demandé une preuve d'identité d'un niveau correct, comme la connexion par un formulaire en ligne ou l'envoi d'un message depuis l'adresse e-mail référencée chez le fournisseur. […] Au final, grâce à cette opération d'ingénierie sociale, James Pavur a réussi, en l'espace de deux mois, à récupérer 60 types de données personnelles sur sa fiancée. Certains d'entre eux étaient plutôt sensibles comme l'adresse, le numéro de téléphone, le numéro de sécurité sociale ou le numéro de carte bancaire. Une entreprise a même envoyé le login et le mot de passe du compte de l'utilisatrice. Une lacune du RGPD. […] En tant qu'utilisateur, il est presque impossible de se prémunir contre de tels vols de données. La seule option est de se renseigner auprès des fournisseurs sur d'éventuelles demandes d'accès qui auraient été faites par le passé. […] - 12/10/2017: RGPD: les entreprises françaises face à la dispersion des données persos (archive.fo ; archive.org)
Une étude réalisée par OnePoll pour le compte de Citrix auprès de 500 décisionnaires informatiques d’entreprises de plus de 250 salariés en France rapporte que :- Près de 10% des grandes entreprises françaises ne savent ni sur combien de systèmes (9%) ni combien de temps (8%) sont conservées les données personnelles qu’elles collectent
- En moyenne, les données sont dispersées sur 22 systèmes internes et plus de 40 pour 18% des organisations sondées
- Plus de la moitié des répondants (54%) reconnaissent partager ces informations à caractère personnel (nom, adresse postale, e-mail, photo, coordonnées bancaires, publications sur les réseaux sociaux, adresse IP…) de leurs clients avec des parties tierces (fournisseurs ou partenaires). En moyenne, les données sont partagées avec 40 autres entreprises. Mais cette proportion monte à 76 entreprises (voire plus) dans 18% des cas
- 64% des sondés déclarent stocker et gérer les données en fonction d’informations fournies par des analyses prédictives (préférence d’achat des clients, par exemple)
- Seule une proportion de 18% des entreprises pense que le client est propriétaire de leurs données. Mais 57% estiment qu’elles appartiennent à l’entreprise et 12% au fournisseur de la solution prédictive
- En moyenne, les données de 545 individus sont enregistrées quotidiennement par entreprise. On se hisse à plus de 1001 personnes pour 38% des grandes entreprises
- Une petite majorité (51%) des sociétés déclare stocker les données pendant 3 ans ou plus et 17% pendant plus de 10 ans
- 25/02/2015: larevuedudigital.com > Quand l'Eglise catholique française s'assoit sur la protection des données personnelles : […] Il décrit ce qu'il a ressenti : "c'est alors que j'apprends terrifié que le diocèse de la ville où je me suis fait baptiser en France a envoyé sur demande de l'église catholique de Berlin un certificat de baptême." Conséquence, bien qu'il se sente athée convaincu, selon la loi allemande, il est redevable de l'impôt. Conclusion, il estime que l'église catholique française passe outre la directive européenne 95/46/CE sur la protection des données personnelles …
Santé : Votre intimité violée
- 15/02/2024: IA > intelligence-artificielle.developpez.com > Les petites amies IA vont non seulement vous briser le cœur, mais aussi récolter et vendre vos données avertissent les experts en protection de la vie privée de la Fondation Mozilla : Une enquête sur l'espace florissant des applications de romance par IA a révélé une vérité effrayante. Les chatbots favorisent la "toxicité" et s'emparent sans relâche des données des utilisateurs, selon une étude de la Fondation Mozilla. Une application peut collecter des informations sur la santé sexuelle des utilisateurs, leurs ordonnances et les soins qu'ils reçoivent en fonction de leur sexe. …
- 16/02/2023: Tech & Co > Métadonnées > Nos données de santé sont-elles en danger ? (Invidious ; Youtube) : Piratage de numéros de sécurité sociale, carte Vitale dématérialisée, Health Data Hub: notre santé se numérise, et forcément, nos données de santé également. Avec, au passage, de nombreuses craintes, parfois justifiées. Nos données de santé sont-elles vraiment en danger ? Baptiste Robert, patron de Predicta Lab et hacker éthique
- 15/02/2024: IA > intelligence-artificielle.developpez.com > Les petites amies IA vont non seulement vous briser le cœur, mais aussi récolter et vendre vos données avertissent les experts en protection de la vie privée de la Fondation Mozilla :
Une enquête sur l'espace florissant des applications de romance par IA a révélé une vérité effrayante. Les chatbots favorisent la "toxicité" et s'emparent sans relâche des données des utilisateurs, selon une étude de la Fondation Mozilla. Une application peut collecter des informations sur la santé sexuelle des utilisateurs, leurs ordonnances et les soins qu'ils reçoivent en fonction de leur sexe. … - 04/04/2022: IA > numerama.com > La fuite d'une app de livraison a révélé des infos sensibles sur des espions russes : Les données de 58 000 utilisateurs de Yandex Eats, une application russe de livraison, ont été partagées sur le web. Ce leak offre des informations précieuses sur des membres du renseignement russe…
- 19/03/2022: IA > undernews.fr > Assurance maladie : les données de plus de 500 000 Français dérobées
- 18/03/2022: IA > lemondeinformatique.fr > Assurance Maladie : vol de données de 510 000 assurés : En septembre dernier, l'AP-HP avait vu les données de 1,4 million de patient être subtilisées. Un jeune homme avait été par la suite arrêté. C'est au tour de l'Assurance Maladie d'annoncer un vol de données touchant pas moins de 510 000 assurés. L'organisme a publié un communiqué hier pour expliquer cette affaire et tenter de rassurer. […] MAJ : L'Assurance Maladie a répondu à nos questions en indiquant que les professionnels de santé touchés appartenaient à des structures différentes. Sur la façon dont les emails ont été compromis, l'organisme souligne qu'ils l'ont été "à partir d'information se trouvant dans le darkweb, où se trouvent des listes d'adresses mail + mots de passe, préalablement hackés. Si le propriétaire du compte mail n'a pas changé son mot de passe depuis, alors l'attaquant a pu accéder à la messagerie en question". Sur la problématique de l'identifiant , "soit le professionnel de santé a utilisé pour amelipro le même mot de passe que celui de la messagerie personnelle hackée et l'attaquant a pu accéder au compte directement. Soit le mot de passe a été modifié par l'attaquant par réinitialisation du mot de passe avec l'aide de la messagerie", déclare l'Assurance Maladie.
- 18/03/2022: IA > numerama.com > Piratage de l'Assurance Maladie : comment les données de 510 000 personnes ont fuité
- 17/03/2022: IA > assurance-maladie.ameli.fr > Connexion de personnes non autorisées à des comptes amelipro
- 16/09/2021: IA > lemondeinformatique.fr > Les données de 1,4 million de patients subtilisées à l'AP-HP : Quand ils ne sont pas frappés par des ransomwares, les hôpitaux doivent aussi faire face à la menace du vol de données. C'est ce qu'il vient d'arriver à l'AP-HP qui a annoncé hier avoir été victime d'une cyberattaque pendant l'été. Les pirates ont réussi à voler les données de 1,4 millions de personnes. Ces informations portent sur des dépistages Covid réalisés à la mi-2020 et comprennent : l'identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l'identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. Comme l'indique Gérôme Billois de Wavestone dans un tweet, il s'agit "des données récentes, de qualité, qui attirent les cybercriminels pour faire de la revente ou des fraudes". Dans sa communication, l'AP-HP donne quelques pistes sur la cyberattaque. "Le vol pourrait être lié à une récente faille de sécurité de l'outil numérique de partage de fichiers acquis par l'AP-HP et hébergé sur ses propres infrastructures techniques". Le nom de la solution n'a pas été communiqué. Nous avons sollicité l'AP-HP sur ce sujet, qui ne souhaite pas communiquer plus. Ce service servait pour la transmission des données des tests réalisés par des laboratoires médicaux à l'Assurance maladie et aux agences régionales de santé (ARS). Il a été utilisé "de manière très ponctuelle" en septembre 2020 en complément du système d'information national de dépistage (SI-DEP). …
- 21/05/2021: franceculture.fr > La Question du jour > Faut-il s'inquiéter de la prédominance de Doctolib ? :
Il y a un Doctolib avant et après la pandémie. Aujourd'hui, 90% de l'accès aux centres de vaccination covid passe par cette plateforme numérique de prise de rendez-vous médicaux et vaccinaux. Comment la crise sanitaire a-t-elle accru la prédominance de Doctolib ? Faut-il s'en inquiéter ? […] Guillaume Erner reçoit Nathalie Martial-Braz, professeure de droit du numérique à l'Université de Paris, co-directrice du Master 2 Droit de la protection des données, membre de l'Institut Universitaire de France. Doctolib, poussé par la crise : Nathalie Martial-Braz rappelle qu'avant la crise, Doctolib était avant tout un système de réservation qui collectait des données personnelles avec un certain flou sur les données impliquant la santé : "Depuis la crise et la multiplication des téléconsultations qu'il a rendu possibles, Doctolib a généré davantage de données à caractère personnelles sensibles, des données de santé qui, par conséquent, vont avoir une incidence plus grave pour les populations." … - 21/05/2021: francetvinfo.fr > "Nos données personnelles valent de l'or !" > Le débrief du magazine "Cash Investigation" :
L'équipe de "Cash Investigation" répond à une partie des questions qui ont été posées via le site de Franceinfo et sur les réseaux sociaux en utilisant le hashtag #CashInvestigation… (vidéo de 8'05") - 20/05/2021: youtube.com > Fred Normand > Cash Investigation : Nos données personnelles valent de l'or ! (1h44), une enquête de Linda Bendali de l'agence de presse Premières Lignes
- 20/05/2021: bfmtv.com > TOUT COMPRENDRE - Pourquoi la collecte des données de santé en pharmacie fait scandale :
L'émission Cash Investigation évoque la collecte massive de données liées à la consommation de médicaments de millions de Français. Un système très encadré, malgré des failles dans l'information des patients. […] Le 12 septembre 2018, la Commission Nationale de l'Informatique et des Libertés (CNIL) a autorisé une collecte par l'entreprise IQVIA du numéro de sécurité sociale, de l'année de naissance, du prénom, du sexe et de la liste des médicaments inscrit sur l'ordonnance de millions de patients français. Le système proposé par IQVIA - baptisé Pharmastat - récolte par ailleurs l'identité du médecin prescripteur, sa spécialité et sa zone géographique. La zone géographique de l'officine délivrant les médicaments est également enregistrée. En échange, les pharmaciens bénéficient d'une rétribution de 6 euros par mois, mais surtout de statistiques liées aux ventes de leur officine, afin de pouvoir gérer au mieux leurs stocks. […] C'est précisément l'obligation d'informer les patients qui semble ne pas avoir été respectée, selon Cash Investigation. "Les pharmaciens d'officine seront chargés, contractuellement, d'informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l'exercice des droits d'accès, de rectification et d'opposition qui leur sont reconnus" précisait ainsi la CNIL en 2018, évoquant la remise d'une notice d'information à chaque patient et l'affichage d'un document expliquant la collecte de données dans les officines partenaires. - 20/05/2021: ordre.pharmacien.fr > Données personnelles : rappel sur l'obligation d'informer les personnes du traitement de leurs données
- 20/05/2021: lequotidiendupharmacien.fr > Données de santé : pourquoi il faut absolument informer les patients :
Un numéro de l'émission Cash Investigation diffusé ce jeudi soir sur "France 2" aborde la question de la transmission des données de santé, notamment à des entreprises de statistiques comme IQVIA. Un reportage qui met en cause les pharmacies, "accusées" de ne pas informer les patients sur ce point… - 20/05/2021: uspo.fr (Union des Syndicats de Pharmaciens d'Officine) > Pharmastat IQVIA — Nouvelle procédure de mise en oeuvre du droit d'opposition des patients à l'officine de pharmacie (PDF)
- 19/05/2021: lemondeinformatique.fr > Données personnelles de santé : la Cnil a-t-elle fait son travail sur Iqvia ?
- 19/05/2021: uspo.fr (Union des Syndicats de Pharmaciens d'Officine) > IQVIA – OSPHARM... pensez à informer vos patients (affiches) :
Une émission de Cash investigation sur les données de santé sera diffusée ce jeudi 20 mai, et vous pourrez être interrogés par vos patients sur le sujet. Certaines officines transmettent leurs données non nominatives à des entreprises de statistiques, dont IQVIA, Ospharm…
- 02/10/2020: Cellule Investigation de Radio France :
- 02/10/2020: francetvinfo.fr > Données de santé des Français : le choix contesté de Microsoft
- 02/10/2020: franceculture.fr > Le choix de Microsoft pour héberger les données de santé des Français fait polémique
- 03/10/2020: franceinter.fr > Secrets d'info > Données de santé des Français : le choix contesté de Microsoft
- 23/01/2020: lequotidiendupharmacien.fr > Les données de l'officine, un trésor qui reste encore mal exploité :
Exploiter des données pour être plus performant commercialement, c'est possible, avec les LGO déjà, avec aussi avec tous les services et logiciels proposés par les spécialistes des analyses de données qui permettent d'en retirer plus de valeur en les agrégeant à un niveau plus élevé. Mais globalement, les pharmaciens n'utilisent pas assez les outils à leur disposition pour mieux valoriser la "data". Et ce, à un moment où l'exploitation de la donnée de santé – autrement plus réglementée - pourrait l'asseoir dans un rôle de prestataire de santé à part entière. Comment parvenir à mieux utiliser ce trésor mal exploité ? … - 18/05/2019: franceinter.fr > Secrets d'Info (cellule investigation) > Doctolib : success story ou danger pour le monde de la santé ? (archive.org)
- 08/01/2018: La Poste lance un carnet de santé numérique
Le groupe français annonce une app mobile pour permettre aux particuliers de collecter et gérer leurs données médicales stockées sur la plateforme sécurisée de sa filiale Docapost qui est déjà l'un des principaux hébergeurs de données de santé en France. […] A travers l'app mobile qui sera disponible cette semaine sur les boutiques en ligne d'Apple et Google, les particuliers pourront donc réunir diverses données de santé dont leur carnet de vaccinations, leurs résultats d'analyses médicales et les données remontées des dispositifs connectés dont ils se servent. Ces informations sont stockées par La Poste sur la plateforme sécurisée de sa filiale Docapost et pourront être partagées avec les professionnels de santé. […] Depuis le mois de juin dernier, à travers Docapost, La Poste a engagé plusieurs partenariats, notamment avec l'entreprise montréalaise Tactio qui numérise les parcours de soins mobiles et connectés, et dont il intégrera les solutions. Cet automne, Docapost a également signé avec Visiomed Group spécialisé dans la télémédecine (sous la marque BewellConnect) et avec le fournisseur chinois Huawei qui apportera son expertise en infrastructure, réseaux et visioconférence pour faciliter la collaboration entre les équipes médicales et prendre en charge les patients via des téléconsultations. Au nombre des autres partenariats, les balances connectées de Terraillon seront intégrées au parcours de soin de Tactio pour la télésurveillance de l'obésité. - 10/09/2017: Podcast France Inter du Magazine Secret d'info : Santé : ce que préparent les géants du numérique par Anne Brunel
- 09/09/2017: youtube.com > Les géants du numérique vont-ils régir notre santé ? – Vidéo infographique France Inter (2'17")
Si l’exploitation du "Big Data" de la santé au moyen d’algorithmes, représente une révolution, les médecins européens pourraient aussi devenir tributaires des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), des industriels qui en viendraient à orienter les politiques publiques. Quel modèle de société cela entraînerait-il ? - 08/09/2016: Dossier de presse France Inter : Santé : ce que préparent les géants du numérique : Big Data : C'est une révolution qui va bouleverser notre système de santé, transformer les méthodes de soins et aura à terme une influence sur notre politique de santé publique.
- 07/05/2016: Google s’ouvre les portes de centaines de milliers de dossiers de santé
Un accord signé entre la filiale Google DeepMind [spécialisée dans l'intelligence artificielle) et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux. […] Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. - 28/04/2014: Le gouvernement anglais prêt à céder aux entreprises les données personnelles des élèves :
Très controversé au Royaume-Uni, le projet Care.data a été retardé suite aux protestations des défenseurs des données personnelles. Le gouvernement britannique est en effet prêt à céder des informations sensibles concernant les écoliers : notes aux examens, comportement et handicaps….
Banques & assurances très intéressées par la vie privée de leurs clients
- 15/05/2024: IA > businesswire.com > Visa Reinvents the Card, Unveils New Products for Digital Age : […] Today at the annual Visa Payments Forum in San Francisco, Visa (NYSE: V) unveiled new products and services that will revolutionize the card and address the future needs of businesses, merchants and consumers and the financial institutions that serve them. […] Visa Payment Passkey Service. Identifying a person in the digital world has become incredibly complex and has resulted in a significant increase in fraud. Today, online payment fraud is seven-times higher than in-person payments. Built on the latest Fast Identity Online (FIDO) standards, the Visa Payment Passkey Service confirms a consumer's identity and authorizes online payments with a quick scan of their biometrics like a face or fingerprint. When shopping online, Visa passkeys replace the need for passwords or one-time codes, enabling more streamlined, secure transactions. […] Data Tokens. For the last 10 years, Visa has added security to the payments ecosystem by tokenizing payments, removing sensitive cardholder account information from the payment flow. […] Using its tokenization infrastructure, Visa will offer a new way for people to control their data and receive better shopping experiences, powered by AI. Visa data tokens let consumers, whose financial institution participates in the program, consent to sharing their data as they shop online, then see where it's been shared and revoke access right from their banking app. With data tokens, Visa and participating banks can enable an experience where a merchant can request consent from the consumer to get more personalized offers as they shop. If the consumer agrees, behind-the-scenes, Visa issues a private data token to the merchant complete with AI-generated insights based on the consumer's transaction data. The data token can be used with the merchant's AI models to deliver real-time recommendations for the shopper. Visa will also pass the data token to the consumer's bank to capture where the data has been shared, so the consumer can easily review where it has been shared in their mobile banking app and revoke access if they choose. …
- 17/05/2024: IA > siecledigital.fr > Visa va fournir l'historique d'achats de ses clients aux commerçants pour faciliter la publicité ciblée : Lors d'une conférence organisée à San Francisco ce 15 mai, Visa a annoncé le déploiement d'une nouvelle technologie lui permettant de partager avec les détaillants des informations sur les préférences des clients en fonction de leur historique d'achats. […] Cette nouveauté sera déployée par Visa et les banques participantes dès cette année. Les détaillants auront ainsi la possibilité de demander le consentement d'un client pour lui envoyer des offres personnalisées en temps réel lors de ses achats, en utilisant des informations générées par l'IA sur la base des données de transaction. "La quasi-totalité des consommateurs n'y voient rien. Ils savent simplement que leurs paiements fonctionnent mieux", a assuré Ryan McInerney, directeur général de Visa. Les banques recevront également un jeton indiquant où les données d'un client ont été partagées, afin de l'afficher dans leur application mobile. Les utilisateurs pourront ainsi décider s'ils veulent continuer à partager leurs données avec un commerçant ou lui révoquer l'accès. "Le secteur est à un tournant – les nouvelles technologies telles que l'intelligence artificielle modifient rapidement la façon dont nous faisons nos achats et gérons nos finances", a commenté Jack Forestell, chef produit et responsable de la stratégie chez Visa, dans un communiqué de presse. Cette initiative s'inscrit dans le cadre d'une tendance récente à l'ouverture des services bancaires pour les fournisseurs de cartes. L'open banking permet aux clients de partager leurs données de transaction avec des institutions autres que leurs banques. Visa, le plus grand émetteur de cartes de crédit au monde, cherche aussi à se démarquer des fintech comme Stripe ou Plaid, qui gagnent de l'ampleur. En parallèle, l'entreprise va faciliter les achats des consommateurs en ligne. Pour confirmer leur identité et autoriser les paiements, ils n'auront plus qu'à utiliser un système de reconnaissance faciale ou d'empreintes digitales.
- 24/05/2024: IA > lemondeinformatique.fr > Visa fournit plus de données clients aux commerçants grâce à l'IA (article privé) : Le spécialiste en solutions de paiements Visa envisage de réintégrer les informations personnelles des clients dans son flux des données transmis aux commerçants. Jusqu'à présent sa technique de tokenisation s'employait à faire exactement l'inverse mais cela ne se fera pas sans le consentement des utilisateurs…
- 26/02/2018: parlament.ch >Délibérations au Conseil national (archive.fo)
Le National fixe de nouvelles règles sur les tests génétiques. Les assureurs-vie ne doivent pas accéder aux tests génétiques réalisés préalablement par leurs assurés. Le National a suivi lundi en ce sens par 117 voix contre 43 le Conseil fédéral et la gauche dans la loi sur l'analyse génétique. Le dossier passe aux Etats. Sur le fond, tous les intervenants se sont retrouvés sur la nécessité de réviser totalement le texte, qui date de 2007, et d'encadrer le domaine face aux progrès techniques et à l'évolution des offres commerciales non médicales toujours plus faciles d'accès. Au vote sur l'ensemble, la loi sur l'analyse génétique humaine a passé la rampe par 175 voix contre 3 et 10 abstentions. Grâce au séquençage du génome, des tests permettent actuellement de déterminer une filiation, l'alimentation idéale ou des aptitudes sportives, a expliqué Géraldine Marchand (PDC/VS) au nom de la commission. Leurs coûts ont nettement baissé et la nouvelle loi permettra de couvrir l'émergence de ces offres commerciales. Les analyses sur des caractéristiques non sensibles seront autorisées à la vente directe au consommateur. Interdiction totale. Tout en reconnaissant la nécessité d'encadrer ces tests, la gauche a notamment défendu la proposition du Conseil fédéral pour que les résultats d'analyses génétiques réalisées préalablement ne puissent pas être transmis aux assureurs. Celle-ci concerne certaines assurances vie et assurances invalidité facultatives. Une interdiction totale n'a pas de sens surtout quand l'utilisation de données génétiques est motivée, a estimé Mme Marchand défendant la proposition de la commission. Il y a risque de discrimination. Des personnes pourraient ne pas contracter d'assurance et subir de manière injuste des primes élevées ou un refus, selon elle. Certains pourraient renoncer à tout séquençage de peur que cela ne révèle des informations défavorables à leurs assurances, a répondu Matthias Aebischer (PS/BE). Par exemple, une personne avec des antécédents de cancers dans sa famille évitera de se faire tester pour que le résultat ne soit pas un jour transmis à son assureur, a-t-il dit. […] - 21/02/2018: Revue de presse internationale : Quand la réalité dépasse la fiction (archive.fo)
[…] en Suisse, nous raconte LE TEMPS, vient de s'ouvrir le plus important centre de séquençage à haut débit d'Europe. Avec, là encore, des perspectives fascinantes pour la médecine. […] Or, dans moins d'une semaine, le parlement suisse traitera d'une révision de la loi sur l'analyse génétique, qui pourrait bien vous dégoûter pour toujours d'en savoir plus sur votre ADN. Pour quiconque voudrait contracter une assurance vie ou invalidité, la commission veut en effet rendre obligatoire la transmission à l'assureur de tout profil génétique réalisé préalablement. - 19/02/2018: Tests génétiques : sans protection des données, ils pourraient devenir vos pires ennemis (archive.fo ; archive.org)
Pour que la médecine prédictive et personnalisée progresse, il faut que les tests ADN soient accessibles et sécurisés. Or, quoi de plus anxiogène que de savoir que votre assureur sera légalement en droit de connaître votre profil génétique, comme le prévoit un projet de loi ? […] Risque de discrimination. La commission, contre l'avis du Conseil fédéral, veut en effet rendre obligatoire, pour conclure une assurance vie ou une assurance invalidité facultative, la transmission de tout profil génétique réalisé préalablement, dans quelque contexte que ce soit, à l'assureur. - 22/01/2018: Vidéo JT 20h de France 2 : Assurance : Un mouchard dans ma voiture !
- 17/09/2017: Vidéo JT 20h de France 2 - Assurances, Payez comme vous vivez
David Poujadas et son équipe préparent l'opinion à accepter les assurances comportementales, avec la bénédiction des lobbies d'assurance… - 11/09/2017: ADN et assurance : gardez vos secrets
[…] À l'heure où les tests d'ADN sont de plus en plus accessibles et fiables, révélant les secrets de nos gènes, les craintes relatives à la discrimination soulèvent des questions éthiques. C'est pourquoi plusieurs pays ont choisi de légiférer en la matière, et le Canada ne fait pas exception. En mai 2017, le gouvernement fédéral a adopté le projet de loi S-201– devenu la Loi visant à interdire et à prévenir la discrimination génétique, qui empêche désormais les assureurs de mettre en œuvre ces pratiques. […] Mais puisque la nouvelle loi fait en sorte que le client n'est pas contraint de partager cette information cruciale avec son assureur, ce dernier se trouve désavantagé dans la gestion du risque. Pour pallier cette situation, les compagnies pourraient choisir d'augmenter le coût de certaines polices, et ce, pour tous les clients, même ceux qui n'ont aucune tare génétique… - 28/04/2017: Vidéo JT 20h de France 2 : Les assurances vous surveillent
Des automobilistes installent des mouchards sur leurs propres voitures pour leurs compagnies d'assurance françaises. D'autres français portent actuellement les bracelets connectés de leurs compagnies d'assurance, et communiquent à celles-ci leurs tickets de caisse et données de santé… - 03/11/2016: Quand les assureurs auront accès au contenu de votre frigo
Admiral, l’un des plus grands assureurs du Royaume-Uni annonce vouloir utiliser les données des utilisateurs de Facebook pour personnaliser ses tarifs en matière d’assurance automobile. […] Désormais, la fréquence avec laquelle vous utilisez des mots comme toujours, jamais ou peut-être peut donc avoir une incidence directe sur le montant de votre prime d’assurance. Ce programme expérimental est volontaire et peut permettre aux jeunes conducteurs auxquels il s’adresse de réduire leur prime d’assurance automobile de 350 livres par an. […] Pour le spécialiste en éthique de la technologie Jathan Sadowski (@jathansadowski), l’internet des objets auquel s’intéressent activement les assureurs, nous réserve des moyens plus invasifs encore pour surveiller et contrôler nos comportements, explique-t-il dans une tribune pour le Guardian. - 20/01/2016: Ne donnez jamais une donnée personnelle de santé à un assureur
Quand il s’agit de données personnelles de santé, les Français ne doivent rien communiquer aux assureurs, aux banquiers ou aux employeurs. C’est le conseil de Philippe Douste-Blazy, ancien ministre de la santé, et désormais créateur de la startup Honestica - 13/06/2015: Quand le marketing est partout, sa régulation devient primordiale
[…] Dans son libre blanc sur les droits civils et le big data, Rieke a ainsi souligné que Deloitte était capable d'utiliser des milliers de sources provenant de tiers de données, d'antécédents d'achats… permettant de prédire l'état de santé d'un demandeur d'assurance vie avec une précision comparable à un examen médical … - 11/05/2015: Assurances : la vie au rythme pavlovien ?
Dans une récente actualité publiée sur RTL, j’apprenais que l’interconnexion entre les données de santé et les assurances était toujours d’acualité. Pour rappel ou pour ceux à qui cela ne dit rien, il est question de polices d’assurance spécifiques où vos données de santé sont collectées, généralement à l’aide d’un objet connecté fourni par la société de prestation. Dans l’article de RTL c’est d’un bracelet connecté fourni par la société Fitbit. […] A chaque action qui va "dans le sens de la norme", c’est un bonus qui sera appliqué et à chaque action qui va à l’inverse de ladite norme, ça sera un malus. C’est ce qu’on appelle un conditionnement pavlovien : vous êtes punis tant que vous ne faites pas comme il faut faire et, bien évidemment, vous n’êtes pas maître de ce "ce qu’il faut faire", vous perdez donc toute votre capacité de décision sur votre propre vie. Pour l’instant, ces polices d’assurance sont à la marge et facultatives mais, dans 50 ans, le seront-elles toujours ? - 02/10/2014: Comment le Big Data va révolutionner l'assurance
Les objets connectés et les réseaux sociaux collectent une foule d'informations sur notre vie quotidienne. S'ils arrivent à faire parler cette montagne de données, les assureurs disposeront d'un outil d'une puissance inouïe, aux applications infinies… […] "Notre profession vit une période très intéressante, où il faut réinventer la mutualisation, dont certains principes historiques peuvent être mis en cause par l'individualisation croissante de la société", ajoutait Jacques Richier dans nos colonnes. […] Dans notre métier, il y a toujours un questionnement permanent sur le point d'équilibre à trouver entre la segmentation, qui permet d'aller chercher les meilleurs risques, et la mutualisation », rappelle Stéphane Dedeyan. […] "Pour l'industrie de l'assurance, un des pièges à éviter est de pousser à ses limites un système fondé sur la mutualisation. En effet, si à la fois les données plus nombreuses et les moyens d'analyse plus pertinents permettent par exemple une tarification extrêmement fine, quasiment individualisée, quelle place restera-t-il à la mutualisation ? […] Dans une industrie friande de modèles prédictifs, la capacité d'anticipation devenue "infaillible" sonnerait la fin de l'incertitude et de l'assurance" prévient Gontran Peubez, directeur conseil chez Deloitte dans la revue Risques. - 26/08/2014: La banque Crédit Agricole Consumer Finance épinglée par la CNIL
La banque a failli dans la gestion des incidents de remboursement des crédits aux particuliers et la confidentialité des données bancaires des clients. - 13/03/2013: À qui les algorithmes prêteront-ils de l'argent ?
Les données provenant de Facebook sont déjà utilisées par Kreditech, une start-up allemande, qui demande à ceux qui souhaitent un prêt de lui donner accès à leur compte Facebook ou aux autres sites sociaux qu'ils utilisent. Un candidat qui est ami avec quelqu'un qui a déjà fait défaut est plus susceptible d'être rejeté, ceux qui ont des amis qui vivent dans des quartiers riches et qui ont des amis qui ont des emplois bien rémunérés ont plus de chance d'obtenir un prêt. Rien d'étonnant. […]
Zones de chalandise et vie privée sous haute surveillance
- 04/07/2023: IA > laquadrature.net > Veesion, la start-up illégale qui surveille les supermarchés
- 09/06/2017: Vidéo France 2 - Jt20h : Consommation, ces marques qui nous espionnent
Le consommateur est espionné par les webcams des panneaux publicitaires, par les webcams des mannequins et par les ondes wi-fi émises par son propre téléphone portable. Ses données comportementales sont analysées et exploitées… - 30/08/2017: Sur Android, le Wi-Fi peut vous tracer même s’il est désactivé
Certains smartphones émettent des trames Wi-Fi en permanence pour faciliter la géolocalisation. Une fonction qui peut être détournée à des fins de surveillance, par exemple pour analyser la fréquentation des magasins. Si vous détestez être repéré dans vos déplacements par l’intermédiaire de votre smartphone, peut-être désactivez-vous systématiquement le Wi-Fi quand vous êtes en vadrouille. Eh bien sachez que cela ne sert pas forcément à grand-chose. Dans certains cas, les smartphones Android envoient des trames Wi-Fi même si le Wi-Fi est éteint. C’est en effet ce que viennent de démontrer les chercheurs Mathieu Cunche, Célestin Matte et Vincent Toubiana dans une étude. - 11/08/2017: Comment les grands magasins traquent vos déplacements
BHV, Forum des Halles, boutiques de sport ou de jouets, les enseignes sont de plus en plus nombreuses à pister leurs clients dans leurs rayons. Et pour cela, il suffit que le Wi-Fi de votre smartphone soit activé. - 14/02/2017: L’aéroport Paris-CDG teste un nouveau système de reconnaissance faciale
Depuis avril 2016, le gouvernement a donné son accord par décret à l’utilisation de la reconnaissance faciale pour les contrôles aux frontières dans le cadre du programme PARAFE (passage rapide aux frontières extérieures) - 05/09/2016: Des conséquences de la collecte des données clients en magasin... sur les vendeurs
Les magasins recueillent de plus en plus de données sur leurs clients en magasin en surveillant leurs déplacements dans les rayons par exemple, à l'image de ce que propose la startup Euclid. La plupart des études sur le sujet s'intéressent assez légitimement aux conséquences en matière de vie privée pour les consommateurs, oubliant que ces nouveaux outils ont également des conséquences pour ceux qui travaillent dans ces magasins, soulignent les chercheurs Solon Barocas et Karen Levy pour la Harvard Business Review. La collecte de données sur les clients impacte d'autres personnes que les surveillés. […] "Avec des données plus complètes et granulaires sur les consommateurs viennent des évaluations plus complètes et granulaires du personnel" - 14/03/2013: Des mannequins espions en vitrine
Quand vous faites du lèche-vitrine, vous observez les mannequins, les vêtements, les accessoires… Et si, eux, vous observaient en retour ? Oui, les mannequins ! Ce n’est pas de la science-fiction et ça existe déjà en Italie. […] Votre sexe, votre âge, votre origine mais aussi les articles qui vous intéressent, le mannequin enregistre toutes les informations importantes. Une fois analysées, elles permettent aux entreprises d’adapter les assortiments pour qu’ils correspondent mieux au goût du client. - 27/11/2012: Des mannequins qui vous espionnent dans les boutiques de vêtements où vous vous rendez
Benetton et d’autres marques de prêt à porter vont introduire des mannequins espions dans leurs magasins.
Des entreprises intéressées par la vie privée de leurs salariés
- 09/12/2018: Au travail aussi, souriez, car vous êtes fliqués :
Sur le lieu du travail, les dispositifs de surveillance se multiplient, y compris de manière sauvage. Malheureusement, ces actions illégales sont difficiles à prouver. Au final, les salariés sont un peu à la merci de leur patron. Géolocalisation, tracking publicitaire, enregistreurs de frappes de clavier, mouchard, webcam… Les technologies numériques ont révolutionné la surveillance qui vit actuellement son "âge d'or", comme on dit à la NSA. Malheureusement, il n'y a aucune raison qui justifierait que cette lame de fond devrait s'arrêter à l'entrée du bureau ou de l'usine. Les employeurs font appel, eux aussi, à la quincaillerie de Big Brother. Ils placent des GPS dans les véhicules de fonction, inspectent le trafic Internet qui transite sur le réseau ou installent des logiciels de prise de contrôle à distance sur les ordinateurs ou les smartphones. Certains vont encore plus loin. Au Royaume-Uni, Tesco n'a pas hésité en 2013 à équiper les employés de ses supermarchés de bracelets connectés pour suivre en temps réel l'ensemble de leurs activités. Quelles sont les limites légales de cette surveillance ? Et comment être certain qu'elles ne sont pas contournées ? Au fond, la question de la surveillance au travail est une question d'équilibre. "L'entreprise a le droit de lutter contre la fraude et les malversations, et donc de contrôler ses activités. De son côté, le salarié a des droits fondamentaux, comme celui d'aller et venir, de penser librement et celui du respect à la vie privée", explique Olivier Iteanu, avocat. Aucune technologie de surveillance n'est donc interdite a priori, mais il faut respecter un certain nombre de principes. La surveillance doit être proportionnée et notifiée. Toute surveillance doit être justifiée par la tâche à accomplir et proportionnée au but recherché. Elle ne peut pas se faire à l'insu des salariés et ne peut empiéter sur leurs libertés individuelles et leur vie privée. […] Des déploiements sauvages surtout dans les PME. Malheureusement, certains employeurs n'hésitent pas à se placer du côté obscur de la Force et surveillent les salariés en douce. […] Enquêtes parallèles. Il ne faut pas non plus compter sur l'intégrité et le courage des bras droits de la direction qui mettent en œuvre la surveillance illégale. "Certes, ces personnes peuvent se rendre compte qu'un dispositif est hors la loi et décider de résister, mais dans ce cas elles ne vont pas rester longtemps dans l'entreprise. Inversement, elles ne risquent rien en appliquant les ordres de la direction", ajoute Franc Muller. […] Quelques conseils pratiques. En d'autres termes, les employeurs peu scrupuleux vont procéder à une double enquête. Une première, illégale, permettra de détecter des irrégularités. Celles-ci seront "redécouvertes" par une seconde enquête, légale cette fois-ci. Et le tour est joué. Pour les salariés, il est presque impossible de se défendre contre ce type d'action. "Comme c'est difficile à prouver, on arrive rapidement à des impasses au niveau des Prud'hommes. Au final, c'est un peu le pot de terre contre le pot de fer", souligne Franc Muller. […] - 30/10/2018: cnil.fr > Vidéosurveillance excessive : mise en demeure de l’école 42
- 08/02/2017: En Belgique, l’entreprise NewFusion implante des puces électroniques aux salariés
Huit salariés volontaires se sont fait implanter sous la peau une puce électronique qui fait office de badge, et contient des données personnelles - 06/04/2006: RH Management > Efficacité personnelle : Les cartes SIM suivies à la trace
Une autre technique, plus légère, consiste à localiser le salarié grâce à la carte SIM de son téléphone portable : c'est le "Cell-ID", comme "identification de la cellule". Le point fort : une souplesse de mise en oeuvre et un investissement moindre, puisqu'un téléphone portable et un logiciel suffisent. Une fois connecté, on visualise sur une carte la position des téléphones de ses salariés, avec la possibilité de communiquer avec eux par SMS, et de recevoir des alertes
Smartphone : Vie privée sur écoute
Des conseils pour améliorer sa vie privée avec les appareils tactiles sont donnés sur la page Applications Android. À cause des effets sur la confidentialité, la liste non exhaustive d'articles ci-dessous porte également sur les problèmes de sécurité.
- 22/04/2022: IA > undernews.fr > Check Point Research : la vie privée de 2/3 des utilisateurs d'Android dans le monde serait compromise : Check Point Research a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de puces mobiles au monde, ont intégré le code ALAC en question dans leurs décodeurs audio, qui sont utilisés dans plus de la moitié des smartphones dans le monde. Selon IDC, 48,1 % de tous les téléphones Android vendus aux États-Unis sont alimentés par MediaTek au quatrième trimestre 2021, tandis que Qualcomm détient actuellement 47 % du marché. MediaTek et Qualcomm, les deux plus grands fabricants de puces mobiles au monde, ont utilisé le codage audio ALAC dans leurs. téléphones mobiles très largement commercialisés, mettant ainsi en danger la vie privée de millions d'utilisateurs d'Android. Deux tiers de tous les smartphones vendus en 2021 sont vulnérables. Check Point Research a découvert des vulnérabilités dans le format ALAC qui auraient pu permettre à un attaquant de se procurer à distance l'accès à ses médias et conversations audio. Qualcomm et MediaTek ont confirmé les vulnérabilités signalées par CPR, et en réponse ont mis en place des patchs et des correctifs. L'Apple Lossless Audio Codec (ALAC), également connu sous le nom d'Apple Lossless, est un format de codage audio, développé par Apple Inc. et introduit pour la première fois en 2004 pour la comprimer les données sans perdre la musique numérique. Fin 2011, Apple a rendu le codec open source. Depuis lors, le format ALAC a été intégré dans de nombreux appareils et programmes de lecture audio autres que ceux d'Apple, notamment les smartphones Android, les lecteurs et convertisseurs multimédias Linux et Windows. Depuis, Apple a mis à jour la version propriétaire du décodeur à plusieurs reprises, corrigeant et patchant les problèmes de sécurité, mais le code partagé n'a pas été modifié depuis 2011. De nombreux fournisseurs tiers utilisent le code fourni par Apple comme base de leurs implémentations ALAC, et on peut légitimement supposer que beaucoup d'entre eux ne gèrent pas le code externe. La découverte de CPR et quelle est la menace potentielle ? Les failles ALAC découvertes par les chercheurs pourraient être utilisées par un cybercriminel pour lancer une attaque d'exécution de code à distance (RCE) sur un appareil mobile par le biais d'un fichier audio défectueux. Ces attaques RCE permettent à un malfaiteur d'exécuter à distance un code malveillant sur un ordinateur. L'impact d'une vulnérabilité RCE peut varier de l'exécution d'un malware à la prise de contrôle par un attaquant des données multimédias d'un utilisateur, y compris le streaming de la caméra d'un dispositif compromis. De plus, une application Android non autorisée pourrait utiliser ces vulnérabilités pour élever ses privilèges et accéder aux données multimédia et aux conversations des utilisateurs. …
- 22/04/2022: IA > 01net.com > On pouvait pirater des dizaines de millions de smartphones Android grâce à un seul fichier son : Des failles ont été trouvées dans la version open source du codec Apple Lossless Audio Codec. Elle n'a jamais eu de mises à jour de sécurité depuis… 2011. […] Ces vulnérabilités permettraient de prendre le contrôle à distance d'un smartphone Android. Il suffirait pour cela d'envoyer un fichier son piégé au format Apple Lossless Audio Codec (ALAC). Aussitôt, le pirate pourrait exécuter du code arbitraire à distance sur le terminal et, le cas échéant, espionner les conversations de l'utilisateur ou le filmer à son insu. Une attaque que les chercheurs ont baptisée "ALHACK", en référence au format d'Apple. Qualcomm et MediaTek étant les principaux fournisseurs de codecs dans le marché des smartphones Android, ces failles affectent des dizaines de millions d'appareils. Pour la seule année 2021, Check Point estime que deux tiers des smartphones Android vendus sont vulnérables. La bonne nouvelle, c'est que les deux fabricants ont diffusés des patches en décembre dernier. Il faut maintenant espérer que les constructeurs les aient bien intégrés dans leurs mises à jour depuis.
- 22/04/2022: IA > 01net.com > iPhone : certaines applis continuent à vous surveiller même si vous refusez le tracking : Des chercheurs ont analysé 1759 applications iOS. Résultat : certains mouchards fonctionnent même si l'on refuse le tracking sur l'appareil. Depuis la sortie d'iOS 14.5 en avril 2021, les utilisateurs d'iPhone et d'iPad peuvent dire s'ils acceptent ou non des mouchards publicitaires dans leurs applications. Baptisée "App Tracking Transparency" (ATT), cette fonctionnalité a provoqué un tremblement de terre dans le milieu publicitaire, où l'on craignait un écroulement des revenus. À juste titre d'ailleurs, car seule une minorité d'utilisateurs accepte désormais les trackers. Mais ce n'est pas parce qu'on refuse les mouchards qu'il n'y en a pas. C'est en effet l'amère conclusion à laquelle est parvenu un groupe de chercheurs en sécurité qui a analysé le code et le comportement de 1759 applications iOS avant et après la mise en œuvre de la fonctionnalité ATT. Tout d'abord, les chercheurs constatent que le nombre de trackers intégrés dans les applis n'a presque pas changé. On est passé en moyenne de 3,7 à 3,6 et ce sont toujours les mêmes qui figurent en tête de classement : Apple, Google, Facebook, Alibaba… Après tout, l'espoir fait vivre et certains utilisateurs aiment peut-être les pubs personnalisées. Ce qui est plus étonnant, c'est que certaines applis transfèrent quand même des données, même si l'utilisateur a refusé le tracking. […] Les chercheurs concluent en estimant que l'ATT est non seulement une mesure imparfaite, mais elle pourrait même provoquer l'inverse de ce qui était prévu. Les acteurs publicitaires semblent développer des stratégies de contournement qui rendent l'utilisation des applications encore moins transparente qu'avant !
* 04/04/2022: IA > numerama.com > La fuite d'une app de livraison a révélé des infos sensibles sur des espions russes : Les données de 58 000 utilisateurs de Yandex Eats, une application russe de livraison, ont été partagées sur le web. Ce leak offre des informations précieuses sur des membres du renseignement russe…
- 29/11/2021: cyberguerre.numerama.com > Vous devez vraiment faire attention aux autorisations que vous donnez aux applications : […] 9,3 millions d'utilisateurs ont été contaminés par un cheval de Troie informatique, nommé Cynos, un malware qui existe depuis déjà plusieurs années. La faille touche les utilisateurs de certaines applications du magasin de Huawei. […] À travers des jeux comme "Cat game room" ou encore "Drive school simulator", Cynos collecte et transmet à des tiers un cocktail de données volées : numéro de téléphone, localisation, données géographiques, caractéristiques de l'appareil et un ensemble de données d'identification de votre téléphone. Autant de données qui peuvent être utilisées par des pirates ou des publicitaires véreux pour viser les victimes, notamment avec des campagnes de phishing personnalisés. […] Mais cette affaire n'est pas un phénomène isolé. De nombreuses applications, du jeu vidéo au service météo, utilisent le même genre de procédé pour collecter vos données. Et ce risque n'est pas propre aux services de Huawei. Les utilisateurs des services de Google Play, et dans une moindre mesure ceux d'Apple (le processus de soumission d'application de l'Apple Store est plus strict) sont également touchés par ce genre de captation sauvage de données.
- 21/05/2021: undernews.fr > Les données de + de 100M d'utilisateurs d'apps Android exposées par une mauvaise configuration de services cloud tiers :
[…] CPR a récemment découvert qu'au cours des derniers mois, de nombreux développeurs d'applications ont exposé leurs données privées de millions d'utilisateurs car ils n'ont pas suivi les bonnes pratiques de sécurité lors de la configuration et l'intégration de services cloud tiers dans leurs applications. Cette mauvaise configuration a mis en danger les données personnelles des utilisateurs et les ressources internes des développeurs, comme l'accès aux mécanismes de mise à jour, le stockage et bien plus encore… - 21/05/2021: 01net.com > Android : les données personnelles de 100 millions d'utilisateurs dans la nature
- 21/11/2019: developpez.com > Un bogue dans l'app Google Camera permet à des applications de prendre des photos et des vidéos à l'insu des utilisateurs. Des millions de dispositifs sont concernés :
[…] Disposant de Google Pixel 2 XL et de Pixel 3, l'équipe a entamé des recherches sur l'application Google Camera et a finalement découvert plusieurs vulnérabilités liées à des problèmes de contournement des autorisations. Après des recherches plus approfondies, elle a également constaté que ces mêmes vulnérabilités avaient des répercussions importantes sur les applications pour appareils photo d'autres fournisseurs de smartphones de l'écosystème Android (notamment Samsung), ce qui aurait des conséquences importantes pour des centaines de millions d'utilisateurs de smartphones. Les vulnérabilités et les implications. Après une analyse détaillée de l'application Google Camera, l'équipe a découvert qu'en manipulant des actions et des intentions spécifiques, un attaquant pouvait contrôler l'application pour prendre des photos et/ou enregistrer des vidéos via une application non autorisée ne disposant pas de l'autorisation de le faire. De plus, elle a constaté que certains scénarios d'attaque permettaient à des acteurs malveillants de contourner diverses règles d'autorisation de stockage en leur donnant accès aux vidéos et photos stockées, ainsi qu'aux métadonnées GPS incorporées dans les photos […] Cette même technique s'applique également à l'application Camera de Samsung. Ce faisant, les chercheurs ont déterminé un moyen de permettre à une application non autorisée de forcer les applications de l'appareil photo à prendre des photos et à enregistrer des vidéos, même si le téléphone est verrouillé ou si l'écran est éteint. Les chercheurs pourraient faire la même chose tandis qu'un utilisateur est en train de passer un appel vocal. […] Cela signifie qu'une application non autorisée peut prendre des photos et/ou des vidéos sans autorisations spécifiques de l'appareil photo. Elle n'a besoin que d'autorisations de stockage pour aller plus loin et récupérer des photos et des vidéos une fois qu'elles ont été prises. […] Google a indiqué à l'équipe de recherche que l'impact était beaucoup plus important et étendu à l'ensemble de l'écosystème Android. - 20/11/2019: Un bug de Google Camera permet aux applications d'enregistrer des vidéos à l'insu de l'utilisateur :
Une faille de sécurité trouvée dans Google Camera permettrait aux autres applications installées sur le smartphone, d'enregistrer des vidéos sans l'autorisation de l'utilisateur. La vulnérabilité toucherait également l'application Samsung Camera. […] Ils expliquent ainsi que les applications malicieuses qui ont accès au stockage de l'appareil peuvent non seulement accéder aux photos et vidéos stockées sur l'appareil, mais peuvent désormais utiliser cette nouvelle méthode pour prendre des photos et des vidéos de l'utilisateur et le localiser à l'aide des coordonnées GPS intégrées dans les données EXIF des photos et des vidéos enregistrées. - 03/10/2019: L'usage des applis espionnes augmente de façon inquiétante :
Chez Kaspersky, le nombre de détections d'applis espionnes a augmenté de 35 %. Les pays les plus touchés sont la Russie, l'Inde, le Brésil et les Etats-Unis. La France est un peu moins impactée. Espionner un proche au travers de son smartphone est un phénomène qui prend de l'ampleur. Parmi les utilisateurs Android de Kaspersky, plus de 37 000 ont fait l'expérience désagréable de détecter un mouchard sur leur terminal mobile entre janvier et août 2019. Ce qui représente une augmentation de 35 % par rapport à 2018… - 11/09/2019: Les applis de suivi de règles envoient des données beaucoup trop personnelles à Facebook :
Date d'ovulation, état d'humeur, dernier rapport sexuel… Sur Android, certaines applications de gestion de la menstruation transmettent des informations particulièrement sensibles à des entreprises tierces, sans que l'on sache vraiment pourquoi… - 13/09/2019: Ces SMS "invisibles" pourraient géolocaliser plus d'un milliard de mobiles (attaque Simjacker) :
Sur le plan opérationnel, l'attaque est d'une simplicité enfantine : le pirate envoie un SMS vers le téléphone mobile ciblé qui, ni vu ni connu, lui renvoie un SMS avec le numéro IMEI et l'identifiant de sa station de base, les deux messages restant invisibles pour le propriétaire du mobile. Grâce à ces informations, l'attaquant peut localiser cet utilisateur avec une précision proportionnelle à la densité des antennes déployées. En milieu urbain, c'est donc plutôt efficace. Cette attaque n'a rien de théorique. D'après les chercheurs en sécurité d'AdaptiveMobile Security (AMS), qui l'ont découverte et baptisée "Simjacker", elle a été développée par une entreprise privée spécialisée dans la cybersurveillance… - 04/09/2019: Il est désormais plus compliqué de pirater un smartphone sous Android qu'un iPhone :
La sécurité de l'iPhone, ce n'est plus ce que c'était. En témoignent les prix que pratique l'entreprise Zerodium pour l'achat d'une méthode de piratage "zéro-clic" sur l'OS de Google. […] C'est une surprise, car jusqu'à présent, les failles sur iOS ont toujours été mieux rétribuées que celles sur Android. […] Interrogé par ZDnet, Chouakri Bekrar, PDG de Zerodium, explique que le marché est submergé par des méthodes de piratage pour iOS, à tel point qu'il a même été contraint de refuser des offres. Ces chaînes d'exploitation seraient généralement basées sur Safari ou iMessage. "D'un autre côté, la sécurité d'Android s'améliore à chaque nouvelle version du système d'exploitation grâce aux équipes de sécurité de Google et de Samsung. Il devient donc très difficile et fastidieux de développer des chaînes d'exploitation complète pour Android, et il est encore plus difficile de développer des méthodes sans aucune interaction de l'utilisateur", explique le PDG. […] Et ce n'est pas tout. Fin août, une mise à jour d'iOS a bizarrement réintroduit une faille critique qui avait précédemment été colmatée… - 30/08/2019: Des dizaines de milliers d'utilisateurs d'iPhone piratés via des sites web piégés... depuis des années :
C'est du lourd. Google vient de révéler les détails d'une campagne d'espionnage particulièrement sophistiquée, qui a permis de pirater en douce les iPhone de dizaines de milliers de personnes… - 07/06/2019: Une porte dérobée préinstallée sur une série de smartphones Android :
[…] La porte dérobée intégrée est bien connue. Baptisée "Andr/Xgen2-CY" par Sophos, elle collecte toute une série de données sur l'appareil avant de les transmettre à des serveurs tiers : numéro de téléphone, numéro IMEI, données de géolocalisation, résolution d'écran, langue, adresse MAC, etc. Le malware est également capable d'installer n'importe quel autre logiciel sur le terminal et d'exécuter des commandes avec privilèges administrateur (shell). […] En 2018, l'éditeur DrWeb avait, de son côté, trouvé une quarantaine de smartphones livrés avec le cheval de Troie "Triada" préinstallés. - 05/06/2019: Plus de 440 millions de smartphones Android inondés de pubs par un malware :
Caché dans 238 applications du Google Play Store, un plug-in a tellement déversé de publicités que les utilisateurs ne pouvaient plus utiliser leur terminal mobile. […] BeitaAd a ainsi pourri la vie a beaucoup de monde. Les 238 applications infestées totalisent plus de… 440 millions d'installations ! […] Les développeurs de BeitaAd ont usé de différents stratagèmes pour rester sous le radar. Le plug-in est systématiquement renommé et chiffré en AES, la clé étant ensevelie dans le code sous une tonne de méthodes interconnectées. Les parties de l'appli qui font appel au plugin sont également codées en XOR ou base64. Tester l'application de façon dynamique n'est pas non plus une solution. Le plugin ne déverse sa réclame qu'au bout d'un temps minimal de 24 heures. Parfois, la pub n'apparaît qu'après quelques jours ou semaines. Bref, tout est fait pour ne pas se faire repérer… - 28/05/2019: Applications mobiles : l'inquiétante approche des compagnies aériennes :
En moyenne, les applications de compagnies aériennes testées par Pradeo utilisent 14 connexions non sécurisées et renferment 21 vulnérabilités. […] Près d'une application sur deux (49%) manipule ainsi des données de géolocalisation, photos ou contacts des utilisateurs. De surcroît, un tiers des applications envoient ces données sur le réseau, relève l'entreprise de sécurité mobile. Or, le plus souvent, ces envois sont réalisés via des connexions non certifiées. Ainsi, les applis du panel utilisent en moyenne 14 connexions non sécurisées, selon le rapport. […] Le rapport fait état d'une moyenne de 21 vulnérabilités de code par application testée. Or, les failles les plus souvent identifiées "exposent les applications au déni de service, à la fuite de données et aux attaques dîtes de l'homme du milieu (man-in-the-middle)", a expliqué Pradeo dans un billet de blog - 23/04/2019: Les mots de passe de 2 millions de réseaux Wi-Fi ont fuité sur Internet :
L'application mobile "WiFi Finder" a stocké les mots de passe Wi-Fi de ses utilisateurs dans une base de données qui était librement accessible sur la Toile… - 03/04/2019: Les applis préchargées sur les smartphones Android constituent un risque majeur — Des chercheurs ont analysé les surcouches logicielles de plus de 1700 smartphones Android. Résultat : c'est un véritable Far West qui permet à des éditeurs plus ou moins douteux de s'affranchir des garde-fous d'Android et de Google (archive.org) : […] Un groupe de chercheurs vient d'analyser 82.501 applications préinstallées, récupérées dans les firmwares de 1742 terminaux issus de 214 fournisseurs. Résultat : c'est un vrai "Far West" avec des accès ouverts dans tous les sens, des failles de sécurité jamais patchées et des données personnelles transférées en douce. Les chercheurs ont même trouvé des malwares notoires dans ces firmwares, ce qui est un comble. L'étude, qui sera présentée en mai à l'occasion du symposium IEEE Security and Privacy, est assez large et complexe…
- 01/04/2019: Des mouchards gouvernementaux ont été découverts sur Google Play :
Un logiciel d'espionnage d'origine italienne était diffusé sur la boutique applicative, probablement dans le cadre d'interceptions. Mais des questions se posent sur la légalité de ce système. Que les gouvernements utilisent des chevaux de Troie pour procéder à des écoutes administratives ou judiciaires, on le savait déjà et c'est tout à fait légal (y compris en France). Que certains utilisent Google Play pour les diffuser, en revanche, est une nouveauté. L'association Security Without Borders (SWB) vient de détecter sur cette boutique applicative un logiciel d'espionnage baptisé Exodus, qui a visiblement été utilisé par les forces de l'ordre italiennes. […] Les chercheurs de SWB ont trouvé presque 25 versions différentes d'Exodus sur Google Play durant ces deux dernières années. […] D'une certaine manière, la boutique de Google servait de garant pour ne pas susciter de méfiance auprès de l'utilisateur - 27/03/2019: Des chercheurs ont découvert 36 failles dans des réseaux 4G et veulent aider à les corriger :
Déconnexion d'abonnés, phishing SMS, interception et manipulation de communication… Les réseaux télécoms regorgent de failles de sécurité en tout genre… - 14/03/2019: Simbad: un adware présent dans plus de 200 applications Android :
Check Point a découvert Simbad, un logiciel publicitaire caché dans des centaines d'applications Android disponibles sur Google Play. Il a été téléchargé plus de 150 millions de fois. Plus de 200 applications distribuées sur Google Play contenaient Simbad, un logiciel malveillant masqué en plateforme publicitaire pour leurrer les développeurs. SimBad a été découvert par l'éditeur de solutions de sécurité Check Point. Son action : créer une porte dérobée dans l'application infectée afin de pouvoir installer d'autres malware sans être repéré par les systèmes d'analyse de Google Play - 18/02/2019: Plus de 18 000 applis Android collectent des identifiants... sans en avoir le droit :
D'après les conditions d'utilisation de Google, seul l'identifiant publicitaire d'Android peut être utilisé pour le ciblage comportemental. Mais beaucoup d'applications contournent cette règle en transmettant aux régies publicitaires des identifiants persistants… - 13/04/2018: Android : des chercheurs dénoncent les mensonges sur les correctifs de sécurité (archive.org ; archive.fo)
[…] Un problème de sécurité doublé d'un mensonge. Or, dans certain cas, il pouvait manquer jusqu'à une douzaine de patches correctifs sur cette période. De quoi laisser les terminaux mobiles concernés vulnérables à des techniques de piratage, tels que des malware. […] Des pratiques généralisées. Ont été passés au cribles les propres smartphones Pixel de Google, ainsi que ceux d'autres fabricants tels que HTC, Samsung, Motorola, ZTE et d'autres moins connus. […] Les investigations ont montré que, exception faite des téléphones phares de Google tels que Pixel et Pixel 2, les même des fabricants de modèles haut de gamme prétendaient parfois avoir installé des correctifs dont ils manquaient réellement. Ces fabricants ont ainsi délibérément menti et tromper leurs clients sur des questions critiques et sensibles de sécurité. Le mensonge va parfois jusqu'à modifier la date des anciennes mises à jour (avec des dates plus récentes) pour faire croire aux utilisateurs qu'ils disposent des derniers correctifs de sécurité…. - 07/04/2018: Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle selon une étude menée par AV-comparatives
AV-comparatives, une organisation autrichienne indépendante spécialisée dans les tests et évaluations des logiciels antivirus, affirme que moins de la moitié des applications de sécurité sur Android offrent une réelle protection. "Le test de cette année montre une fois de plus que les évaluations des utilisateurs ne sont pas un indicateur de l'efficacité d'une application de sécurité", déclare Andreas Clementi, fondateur et PDG de ladite organisation. Il explique que "la plupart des applications qui ne parvenaient pas à fournir une protection efficace contre les logiciels malveillants avaient néanmoins de très bonnes notes sur le Google Play Store." - 08/03/2018: Onavo Protect, le VPN de Facebook, collecte en douce les données des utilisateurs
Sur iOS, l'application mobile collecte en permanence des données techniques et d'usage, même quand le service VPN n'est pas utilisé - 03/03/2018: Encore des smartphones Android low cost avec cheval de Troie préinstallé (archive.org)
L'éditeur russe Dr.Web vient maintenant de détecter une quarantaine de smartphones Android à bas coût dont le firmware intègre un cheval de Troie - 22/02/2018: Tinder : une faille permettait d'accéder à votre profil avec un simple numéro de téléphone
S'il y a une appli que l'on n'aimerait pas voir tomber entre les mains des pirates, c'est bien Tinder. Le service de rencontre accumule en effet énormément de données sur ses utilisateurs et des conversations… parfois très intimes. Problème : des chercheurs en sécurité on découvert une faille qui permettait d'accéder à votre compte… avec la simple connaissance de votre numéro de téléphone. C'est la deuxième faille majeure découverte dans l'appli en quelques mois… - 14/02/2018: Onavo Protect : Facebook fait la promotion d'une application VPN gratuite qui collecte les données des utilisateurs pour le compte de la société : Pour se rendre compte que cette application (Onavo VPN) fait partie du giron de Facebook, il faudra se diriger aux boutiques d'applications (App Store ou Play Store) et élargir la description pour arriver jusqu'à la fin où on peut lire que le client VPN est détenu par Facebook et qu'il partage les données avec sa société mère. Avec des millions d'utilisateurs, beaucoup ignorent forcément qu'ils ont installé un spyware qui agit pour le compte de Facebook. Pour cette raison, si vous utilisez cette application dans le but de protéger vos données ou tout autre service VPN gratuit, tâchez de souscrire un service de VPN payant ! Ou du moins, renseignez-vous s'il ne partage pas les données personnelles avec des tiers.
- 29/01/2018: La police fédérale allemande accusée d'avoir déployé un cheval de Troie sur les dispositifs de suspects pour mener à bien ses enquêtes criminelles
[…] d'après le Deutsche Welle, le parlement allemand a fait passer une loi l'été dernier qui "fixe les lignes directrices pour l'utilisation des chevaux de Troie lors des enquêtes. La loi permet aux enquêteurs d'examiner les communications numériques avant que les procureurs ne commencent à enquêter sur les suspects." Signe de la manière dont elle a été reçue, elle est surnommée la "loi du trojan étatique". - 24/01/2018: Tinder : une faille de sécurité permet de voir toutes vos photos et vos swipes
[…] En observant les données reçues par un utilisateur et les choix qu'il fait, on peut effectivement rapidement déterminer ses préférences sexuelles. "Comme toutes les autres sociétés technologiques, nous améliorons constamment nos défenses contre les hackers malveillants", précise un porte-parole de Tinder à Wired. Pourtant, le chercheur explique qu'il a notifié Tinder de cette faille en novembre 2017, mais que rien n'a été fait de la part de la société pour y remédier. - 24/01/2018: Plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD, le règlement sur la protection des données
Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d'accéder à l'emplacement de l'utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d'obtenir la liste des applications installées sur le dispositif de l'utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l'utilisateur. - 22/01/2018: Les pirates de Dark Caracal espionnent des smartphones Android dans le monde entier (archive.fo ; archive.org)
Les victimes sont des personnes d'importance : des militaires, des activistes, des journalistes, des juristes, des membres de gouvernements, des entrepreneurs, etc. Parmi les pays touchés figurent la France, l'Allemagne, les Etats-Unis, la Chine, l'Inde et l'Italie. Les pirates se sont jetés sur toutes les données qu'ils pouvaient trouver. Ils ont siphonné les documents, les journaux d'appel, les messageries, les carnets d'adresses, les photos, les données de géolocalisation, etc. Ils ont également réalisé des enregistrements sonores. - 17/01/2018: Skygofree, un spyware multifonctions qui s'attaque à Android (archive.fo)
Les chercheurs de Kaspersky ont identifié ce spyware fin 2017, mais son existence remonte en fait à 2014 et depuis cette date, il n'a pas cessé d'être amélioré. "Ce malware est distribué au travers de faux sites d'opérateurs mobiles où Skygofree est déguisé comme une mise à jour permettant d'améliorer la rapidité de l'Internet mobile", explique l'éditeur de sécurité. "Si un utilisateur la télécharge, des notifications d'installation sont poussées permettant l'envoi de requêtes à un serveur de commande." - 16/01/2018: Skygofree, un puissant logiciel espion Android capable de capter toutes vos données (archive.fo)
Créé probablement à destination des forces de l'ordre, ce malware dispose d'un catalogue complet de fonctionnalités, avec quelques originalités comme l'enregistrement audio géolocalisé. […] La fonctionnalité d'enregistrement audio géolocalisé fait également sens dans le cadre juridique italien. Selon le journaliste Riccardo Coluccini, le pays transalpin vient de voter une loi pour l'utilisation de chevaux de Troie par les forces de l'ordre et celle-ci spécifie justement l'enregistrement de sources audio environnantes. "La fonctionnalité geofence correspond parfaitement à cette requête", estime-t-il. - 03/01/2018: Ces publicitaires profitent de jeux Android pour savoir ce que vous regardez à la télé
Un logiciel présent dans plus de 250 jeux analyse les habitudes TV de se ses utilisateurs pour peaufiner le ciblage publicitaire. Des jeux inoffensifs au premier regard, mais qui cachent en réalité un sacré mouchard. Dans une enquête, le New York Times a révélé l'existence d'un logiciel présent dans plus de 250 jeux Android avec un but simple : écouter ce que regarde un utilisateur à la télévision. Une fois analysé, il revend ces données aux publicitaires avec pour but d'améliorer le ciblage des consommateurs. Les jeux infectés seraient capables de vous écouter même l'application fermée. […] Ce ne serait pas la première fois que ce genre de mouchards font couler de l'encre : fin 2016, des chercheurs en sécurité révélaient les pratiques douteuses de l'entreprise SilverPush, peu ou prou identiques à celles d'Alphonso. - 29/11/2017: Google annonce la découverte de Tizi, un spyware utilisé pour voler des données sensibles dans les applis de médias sociaux installées sur Android
Selon les données collectées par l’équipe de sécurité de Google, les acteurs malveillants auraient utilisé le malware pour voler des informations sensibles "à partir des applications de médias sociaux populaires comme Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn et Telegram" […] "Les applications Tizi peuvent également enregistrer de l’audio ambiant et prendre des photos sans afficher l’image sur l’écran de l’appareil", souligne Google - 15/11/2017: Une mystérieuse application se cache dans les smartphones OnePlus
Baptisée OnePlusLogKit, elle permet de collecter en local des données GPS, Wi-Fi, NFC, photos, vidéos… Mais à quoi peut-elle bien servir ? - 14/09/2017: 8,2 milliards d'appareils piratables via Bluetooth :
Armis Labs a lancé une alerte sur l'existence d'un vecteur d'attaque utilisant le protocole réseau Bluetooth susceptible de concerner n'importe quel terminal connecté, représentant la bagatelle de 8,2 milliards d'appareils dans le monde. Tous les systèmes d'exploitation sont concernés, de Windows à Linux en passant par Android et iOS. Baptisée BlueBorne, cette typologie d'attaque n'emploie pas de lien URL et n'utilise pas de téléchargement pas plus que l'appairage Bluetooth pour connecter, prendre le contrôle et accéder à des systèmes critiques, et répandre du malware. Non détectable par l'utilisateur, cette vulnérabilité touche aussi bien les portables, les smartphones, que les tablettes, les ordinateurs que les bracelets et les montres connectées. Elle permet de diffuser des malwares en passant de terminal en terminal via Bluetooth. - 09/10/2017: Le secrétaire général de la Maison Blanche s'est fait pirater son smartphone
John Kelly utiliserait désormais uniquement son téléphone professionnel pour ses communications professionnelles. Rappel : John Kelly est secrétaire général de la Maison Blanche depuis le mois de juillet dernier, mais il était secrétaire à l'intérieur depuis le mois de décembre 2016, c'est un général en retraite, donc à priori très au fait des questions de sécurité… - 03/12/2016: Article et Podcast France Culture : Qu'est-ce que Uber sait de nous ?
L'application de VTC conserve désormais plus de données de géolocalisation. Uber a de plus en plus d'informations sur ses utilisateurs. Mais pour ces derniers, il reste difficile d'avoir accès à ses propres données… - 05/11/2015: Déferlement de fausses applis malveillantes qui rootent les smartphones Android
Ils se déguisent en applis Facebook, Google Now, Snapchat… mais en réalité, ce sont d’horribles adwares. Ils prennent racine dans le système et sont presque impossibles à supprimer - 15/04/2015: Imsi-catchers, des valises aux grandes oreilles
- 26/01/2012: Et votre mobile se change en balise
Des milliers de localisations cellulaires sont effectuées chaque année en France, notamment dans le cadre de procédures judiciaires. En complément, l'envoi de SMS furtifs est testé. La police collabore principalement avec une entreprise, Deveryware, qui fait le lien avec les opérateurs de téléphonie mobile. Des SMS furtifs sur vos portables. Les services de sécurité envoient des milliers de SMS furtifs pour localiser des personnes et réactiver leur téléphone… En France, le flou domine autour des SMS furtifs. Légalement, rien ne s’oppose à ce que la police française en envoie… - 26/01/2012: Des SMS furtifs sur vos portables
Objet connecté : Intimité partagée
Pour les objets connectés en rapport avec les assurances, voir ci-dessus Banques & assurances marchandent la vie privée.
- 30/01/2022: francetvinfo.fr > Radio > Nouveau monde > AirTags et autres traceurs : alerte et vigilance : Ils tiennent dans la paume de la main, passent inaperçus et sont capables d'afficher leur position sur un téléphone portable à l'autre bout du monde : alerte aux traceurs, ces petits appareils de localisation qui permettent de retrouver ses clés par exemple, mais qu'on pourrait aussi placer dans votre sac à main ou sur la carrosserie de votre voiture, pour vous suivre…
- 11/02/2020: Cybersécurité : gare aux failles des imprimantes :
48 % des collaborateurs d'entreprises ignorent que les imprimantes, notamment les multi-fonctions (MFP), peuvent être piratées, 55 % qu'un document peut y être intercepté par un pirate. 90 % jugent que les imprimantes ne constituent en aucun cas un risque de cyber-sécurité même si 22 % admettent savoir qu'une imprimante peut être piratée, 46 % n'ayant jamais entendu parler de piratages d'imprimantes. Ces résultats effrayants sont extraits d'une étude menée par le cabinet Censuswide pour le compte de Sharp Europe. - 06/09/2019: Des centaines de milliers de trackers GPS peuvent être piratés à distance et tout dire de vos vies :
Beaucoup de fournisseurs de ces trackers s'appuient, en réalité, sur une seule et même plate-forme technique, basée en Chine et criblée de failles de sécurité… - 08/04/2019: sergetisseron.com > Assistants vocaux, l'intimité familiale menacée
- 13/03/2019: franceculture.fr > Les Idées claires > Les objets connectés nous espionnent-ils ?
- 23/02/2018: En Inde, à New Delhi, des caméras de surveillance installées à l'intérieur des salles de classe (archive.org ; archive.fo)
La mesure est censée permettre de s'assurer de la bonne tenue des cours et accroître la sécurité des enfants, mais certains considèrent que cette surveillance des enfants est trop intrusive - 14/02/2018: L'enfer de la maison intelligente
[…] Tous les appareils connectés téléphonent constamment à leurs fabricants. Vous ne serez pas au courant que ces conversations se déroulent à moins que vous soyez techniquement avertis ou que vous surveillez votre routeur comme nous l'avons fait. Et même si vous l'êtes, parce que les conversations sont généralement chiffrées, vous ne serez pas en mesure de voir ce que vos affaires disent de vous. Lorsque vous achetez un appareil intelligent, il ne vous appartient pas seulement : vous en partagez la garde avec la compagnie qui l'a fabriqué ! - 07/02/2018: La police chinoise s'équipe de lunettes avec reconnaissance faciale
[…] Et si la police chinoise est la première servie avec cette solution de reconnaissance faciale, LLVision envisage déjà de l'exporter à d'autres forces de police dans le monde. - 01/02/2018: L'usage détourné des big data de Strava met en danger les militaires
L'application Strava qui permet de centraliser 1 milliard d'activités de 27 millions de personnes dans le monde, dont des parcours géolocalisés d'utilisateurs de bracelets connectés, est au centre d'une polémique. La cartographie de ses datas permet de facilement localiser des bases militaires et les mouvements de troupes.
29/01/2018: Strava : le dangereux mouchard à l'insu de son plein gré
L'application de Fitness Strava, largement employée par les militaires américains, est victime d'une faille particulièrement dangereuse. En effet, elle dévoile l'emplacement de plusieurs bases militaires américaines, dont la localisation ne devrait évidemment pas être dévoilée.
29/01/2018:Une application de fitness révèle les positions de certaines bases militaires secrètes des États-Unis ainsi que des données sur leurs activités
29/01/2018: Quand une appli sportive révèle les secrets des bases militaires américaines
En publiant des cartes des tracés de course de leurs utilisateurs comme l'a fait Strava, les applications de sport peuvent révéler des lieux secrets. Comme des bases avancées sur les théâtres de guerre. - 07/12/2017: Ce clavier pour Android et iOS a laissé fuiter les données de 31 millions d'utilisateurs sur le web
Ce que le descriptif du produit ne dit pas, c'est que cette application collecte une grande quantité de données personnelles sur les utilisateurs et les stockent dans des bases de données ouvertes à tous. Les chercheurs en de Kromtech Security ont ainsi pu mettre la main sur une base de données de type MongoDB qui appartient manifestement à AI.Type et qui était librement accessible depuis Internet. 6 millions de carnets d'adresses. Cette base contenait 577 Go de données de 31 millions d'utilisateurs, probablement sur plateforme Android. On y trouvait une quantité de données personnelles : nom, prénom, numéros de téléphone, emails, pays de résidence, langues activées, version d'Android, numéro IMSI, numéro IMEI, données issues des profils sociaux, données de géolocalisation. Mais ce n'est pas tout. Cette base d'AI.Type a également stocké les carnets d'adresses de 6 millions d'utilisateurs, avec noms et numéro de téléphone. Ce qui représentaient plus de 373 millions d'entrées. - 18/11/2017: L’Allemagne interdit les montres connectées pour enfants
L’agence nationale allemande des télécommunications vient d’interdire la vente des montres connectées destinées aux enfants. Elle va même encore plus loin en demandant aux parents de détruire les montres qu’ils auraient déjà achetées. Pourquoi ? Parce que ces appareils connectés à Internet peuvent être piratés et détournés de leur fonction première pour servir de dispositif d’espionnage. Rappelons qu’ils sont en général dotés d’une caméra, d’un micro et d’un dispositif GPS. De plus, des pirates pourraient se servir des montres pour entrer en contact avec les enfants, à l’insu des parents. - 26/10/2017: Les aspirateurs aussi peuvent vous espionner (s’ils sont connectés)
Une faille permettait de prendre le contrôle de n’importe quel objet connecté du fabricant LG. Elle permettait en particulier de se servir d’un robot aspirateur pour filmer l’intérieur d’une maison… - 04/08/2017: Podcast: Peut-on encore protéger nos données personnelles ? (1ère partie ; 2ème partie)
La prolifération d'objets connectés marque l'entrée dans une nouvelle ère de l'histoire numérique, celle de la mesure algorithmique de la vie. Avec Eric Sadin, Écrivain et philosophe - 11/06/2017: Samsung accusé d'utiliser la technologie de pistage uXDT sur ses smartphones. Le géant s'explique
Jim Killock, président exécutif de l’Open Rights Group, était certainement au fait des récents développements en ce qui concerne la technologie uXDT avant de faire l’exclusivité de ses déclarations au quotidien The Sun au micro duquel il a d’ailleurs déclaré "Samsung a amélioré ses techniques d’espionnage de ses consommateurs. Ce que vous ne voyez ni n’entendez ne vous embête pas, c’est du moins ce qu’ils pensent". Si l’on se réfère aux développements sur la technologie uXDT, on comprend que les balises dont il est question ici sont des signaux ultrasons émis par un contenu en ligne. Il suffit qu’un smartphone soit à proximité pour les capter et passer en mode "espion". - 30/05/2017: Les objets connectés sont en mesure de dévoiler votre vie à votre FAI
"Même chiffrés, nos flux nous trahissent…" - 16/03/2017: Des sextoys trop intrusifs coûtent 3,5 millions de dollars à leur fabricant
Peu respectueux de la confidentialité de ses utilisateurs, Standard Innovation, fabricant de sextoys connectés, vient de mettre fin à une class action en déboursant 3,5 millions de dollars et en acceptant de ne plus collecter de données sur ce qui fait vibrer ses clients. - 22/04/2015: PayPal - Tuez tous les mots de passe
(Pour en finir avec les mots de passe, PayPal propose d’implanter une puce dans votre cerveau, ou de vous faire ingérer un dispositif "d’identification embarquée" (dans une micropuce).) - 06/01/2015: Samsung nous dévoile un futur technologique effrayant
[…] Là où j'ai éprouvé un peu de malaise, c'est à la fin de la présentation. Durant les dernières minutes, BK Yoon nous laisse entrevoir un futur assez effrayant. Et vu le tonnerre d'applaudissement dans la salle, on n'est pas beaucoup à avoir trouvé ça flippant. Ce qu'il faut bien comprendre, c'est que pour que toutes ces technos fonctionnent en harmonie et soient agréables pour l'utilisateur, il faut que nous, en tant qu'être humains, soyons totalement profilés, et totalement transparents pour la machine. Et par conséquent pour les sociétés qui développent ces machines. Ça va de simples comportements comme rentrer chez soi, ou enlever son casque audio, à des choses un peu plus précises comme nos habitudes de sommeil, nos absences, les pièces où nous sommes et à quel moment nous y sommes.. À nos goûts, tel que la musique que nous apprécions, le type de films que nous regardons, ce que nous buvons et nous mangeons… etc. pour terminer enfin sur nos données physiques. Savoir si nous sommes en forme, ou malades ou fatigués après une grosse journée ou si nous faisons du sport et en quelle quantité… etc. - 14/12/2014: Objets connectés : du service à la servitude en 4 exemples
Il y a deux types d'innovations technologiques : celles qui cherchent à résoudre un problème, et celles qui cherchent un problème à résoudre. Pour ce qui est des objets connectés, on penche très clairement vers la seconde catégorie… La preuve par quatre…
Collecte de données et manipulation
- 23/04/2022: franceculture.fr > La Vie mode d'emploi : L'algorithme a-t-il hacké nos vies ? De la manipulation des opinions par les plateformes de réseautage
- 27/03/2018: aphadolie.com > La méthode de Cambridge Analytica pour manipuler nos cerveaux (archive.org ; archive.fo)
Comment fait-on de la propagande à grande échelle sans éveiller les soupçons ? Cambridge Analytica semble avoir trouvé quelques réponses en scrutant de très près nos comportements. […] Avant d'observer de plus près ces travaux scientifiques, retenons que Cambridge Analytica ne poursuit qu'une seule chimère, dévoilée à la fois par Christopher Willie, le lanceur d'alerte interviewé par le Guardian, et également par des cadres de chez Cambridge Analytica, filmés à leur insu dans le documentaire choc de Channel 4 : il faut repérer les failles, les peurs, les fragilités des gens. Pour revenir sur leur vocabulaire, les (ex-)employés évoquent nos démons intérieurs ("inner daemons"), nos vulnérabilités mentales ("mental vulnerabilities") et nos biais cognitifs ("cognitifs biaises"). Et ça va même un peu plus loin que ça : ces peurs peuvent même être inconscientes et profondément enracinées ("unconscious" et "deep-seated"). […] Le directeur de Cambridge Analytica, dans le reportage, affirme : "Il ne faut pas que ça ait l'air de propagande sinon le message ne sera jamais accepté.". Comment faire, donc, pour qu'un message de propagande passe comme une lettre à La Poste ? En le taillant sur-mesure. […] Cette manière de faire, cette infiltration dans notre intimité grâce à la psychométrie, est tout sauf taboue. Dans une conférence hallucinante tenue en 2016 (et réitérée en 2017), Alexander Nix, le boss de Cambridge Analytica, dévoile, non sans mégalomanie, la méthode de fabrication de son grand filet de pêche : le test Ocean. […] Chaque humain possède une dose de chacune de ces "dimensions" qui sont, au sein de notre esprit, indépendantes les unes des autres. Une fois que l'on connaît la proportion de chacune, on calcule une moyenne qui permet de déterminer la personnalité d'un quidam qui, théoriquement, ne bougera plus quand il aura atteint l'âge adulte. […] En fonction de la personnalité de l'individu, on pourra donc lui glisser un contenu adapté sous les yeux. Il pourra s'agir d'une publicité sur un site Web ou sur les réseaux sociaux, d'un e-mail personnalisé ou encore d'une publicité ciblée sur une chaîne câblée locale. […] Dans son ouvrage, l'auteur (Robert Cialdini) expose six manières de fabriquer son discours pour faire vriller son interlocuteur : la réciprocité, l'engagement et la cohérence ("commitment and consistency"), la preuve par la masse ("social proof"), l'autorité, la rareté ("scarcity"), l'appréciation et l'amitié ("liking"). Cambridge Analytica, grâce aux données recueillies et au talent de ses armées de créatifs, pourra fabriquer plusieurs supports pour diffuser une seule et même idée… - 22/03/2018: Ce qu'il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook (archive.fo)
[…] Il s’agit d’une "société fille" de SCL Group, entreprise britannique spécialisée dans le conseil en communication et l’analyse de données, qui compte les ministères de la défense anglais et américain parmi ses clients. Que vend exactement Cambridge Analytica ? Essentiellement des outils d’influence. […] Sur quelle méthode s’appuie-t-elle ? Cambridge Analytica s’appuie sur le modèle psychologique des Big Five, une construction empirique des principaux types de personnalités. Inventé dans les années 1980, ce modèle fait relativement consensus, notamment dans les services de relations humaines, mais n’est pas exempt de défauts […] À qui vend-elle ses services ? Cambridge Analytica revendique un réseau de clients parmi les organisations gouvernementales et non gouvernementales, des entreprises privées de toutes tailles, et "des clients politiques issus de tout le spectre idéologique". Est-elle politiquement engagée ? Sur son site officiel, Cambridge Analytica se présentait en 2016 comme "une organisation non partisane". Elle appartient toutefois en grande partie à la famille du célèbre homme d’affaires de Wall Street Robert Mercer, pionnier du trading algorithmique et principal donateur du républicain Ted Cruz. […] Par ailleurs, Cambridge Analytica compte parmi ses fondateurs Steve Bannon, ancien président du site d’extrême droite Breitbart et stratège de Donald Trump durant sa campagne pour la présidence américaine. […] Par ailleurs, la chaîne britannique Channel 4 a révélé lundi dans un reportage en caméra cachée que les pratiques de Cambridge Analytica s’étendent à la diffusion volontaire de fausses informations, à l’espionnage d’adversaires politiques, au recours à des prostituées et à la corruption pour manipuler l’opinion publique à l’étranger, selon les mots de son propre dirigeant, Alexander Nix, filmé à son insu. - 25/01/2018: Vers le lobbying automatisé ?
Dans la grande famille des CivicTech (les technologies au service de la citoyenneté), on connaissait déjà les GovTech (technologies de gouvernement, c'est-à-dire les plateformes au service des autorités pour assurer leur développement numérique à l'image des plateformes de consultations citoyennes comme le propose Cap Collectif) et les PolTech (les technologies politiques, qui regroupent plutôt des outils au service de la politique, allant des plateformes de mobilisation comme Change.org aux logiciels de gestion de la relation militante, comme NationBuilder)… Il va désormais falloir compter sur le renouveau des outils de lobbying via des outils de gestion des relations gouvernementales (Government Relationship Management, faisant référence aux outils de gestion de la relation clients, CRM), nous apprend Politico, tels Fiscal Note, GovPredict, Bloomberg Government ou Quorum… - 09/11/2017: Les espions aussi utilisent le comportementalisme (archive.fo)
Quelques biais ayant pour effet de déformer notre vision des choses… et de notre intérêt. Article texte et audio de Brice Couturier - 06/10/2017: Vos données seront manipulées (archive.fo)
En plus de la manipulation de l'information qui est extrêmement développée sur le web et les réseaux "sociaux", la chercheuse Danah Boyd alerte sur l'avènement imminent d'algorithmes automatisés de manipulation de la data-masse, en vue de manipuler les algorithmes d'intelligence artificielle qui pour le moment, interprètent le monde grâce à ces méga-données (intelligence artificielle faible).
En juillet 2017, Google annonçait en effet la création d'une nouvelle compétition technologique appelée "AI Fight Club" dans laquelle des algorithmes d'intelligence artificielle développent des attaques contre d'autres algorithmes d'intelligence artificielle afin de leur faire commettre des erreurs de jugement grâce à deux techniques : d'une part l'attaque contradictoire non ciblée qui implique l’obtention d’algorithmes pour confondre un système d’apprentissage machine (machine learning) afin qu’il ne fonctionne pas correctement ; d'autre part l'attaque adversaire ciblée qui nécessite de former une intelligence artificielle pour obliger une autre à classer les données de manière incorrecte14). - 15/01/2017: Reportage vidéo de 7'27" Data Brokers : La grande manipulation ?
Élise Bronsart a enquêté pour Vox Pop/ARTE sur l’entreprise britannique Cambridge Analytica. Ce courtier de données a notamment contribué à la victoire de Donald Trump en ciblant ses messages auprès des électeurs américains dont elle avait collecté un grand nombre de données - 25/01/2016: Le business secret des data-brokers
Enquête de Guillaume Dasquié pour gqmagazine.fr
- Ne pas utiliser le stockage cloud, ou bien très provisoirement pour des données non sensibles
- Utiliser les services décentralisés de l'association La Quadrature du Net : degooglisons-internet.org
- Utiliser un service email éthique (emails décentralisés, et non espionnés) : Voir page Reprendre le contrôle de ses emails
- Convaincre autour de soi que la privatisation des services public est le contraire du progrès
- Utiliser un système d'exploitation libre comme GNU/Linux sur ordinateur, ou sur smartphone /e/ (site officiel FR) ou encore Replicant
(Sous Windows 10, configurer minutieusement les paramètres de confidentialité (mini tutoriel CNIL) et ne vous connectez surtout pas à un compte Microsoft !) - Configurer correctement Mozilla Firefox pour désactiver l'espionnage par Google (Partenaire commercial) et le sous-programme privateur de prise en charge DRM
- Utiliser au minimum les 2 bloqueurs publicitaires uBlock Origin et Privacy Badger : Voir page Extensions Firefox
- Utiliser un moteur de recherche éthique comme Qwant : Voir page Extensions Firefox
- Utiliser un service email éthique (emails décentralisés et non espionnés) : Voir page Reprendre le contrôle de ses emails > Services email alternatifs intermédiaires
- Utiliser un service intermédiaire de réception de message email : Voir page Reprendre le contrôle de ses emails
- Utiliser les services décentralisés de l'association La Quadrature du Net : degooglisons-internet.org
(Par exemple, utiliser Framatalk au lieu de Skype) - Débrancher ou obturer les webcams avec une gommette ou un adhésif opaque (comme déclarent le faire les patrons de Facebook, du FBI, etc.)
- Utilisateurs familiers : Utilisez Random Agent Spoofer avec le Logiciel libre de VPN simplifié Psiphon pour brouiller la signature de votre navigateur web Mozilla Firefox
- silentservices.de > [WinMo] HushSMS : A Silent SMS Tool
(application Windows Mobile 5 et 6 permettant d'envoyer des SMS furtifs pour vérifier que le téléphone du correspondant et allumé) - deveryware.com, services de géolocalisation des personnes via leurs téléphones portables (SMS furtifs ou Flash SMS) :
- Application OuEsTu pour géolocaliser ses proches
- Web service DeveryLoc pour localiser ses salariés
- Logiciel TeamLoc de gestion, surveillance et communication avec les équipes de terrain
- Application Notico pour définir à quel moment ont souhaite ou ne souhaite pas être surveillé par les services Deveryware
- Web service MyPub de géomarketing en temps réel (publicités géo-ciblées par SMS aux utilisateurs de Notico)
- Technologie de modulation radio LORA (2013) :
- LoRaWAN (2015) : France : Objenious (filiale de Bouygues Telecom), Orange ; Pays-Bas : KPN7 ; Suisse : Swisscom ; Belgique : Proximus, wireless belgie ; Afrique du Sud : Fastnet ; Mondial : The Things Network est un réseau LoRaWan open source qui est partiellement disponible dans 86 Pays11, basé sur une communauté de plus de 17000 membres11. Il peut être utilisé sans contrainte commerciale ou privée
- Symphony Link (2013)
- Technologie de modulation radio Ultra Narrow Band :
- Sigfox (2010) : Afrique du sud : SqwidNET ; Allemagne : Sigfox ; Antilles françaises : IDEO Caraibes ; Australie : Thinxtra ; Belgique : Engie M2M ; Brésil : WND ; Colombie : PHAXSI ; Danemark : IoT Denmark ; Espagne : CELLNEX ; États-Unis : Sigfox ; Finlande : ConnectedFinland ; France : Sigfox ; Italie : NetTrotter ; Irlande : VT Networks ; Iles de La Réunion, Maurice et Mayotte : IO Connect ; Japon : Kyocera Communication Systems Co., Ltd ; Luxembourg: RMS.lu S.A. ; Malte : IoTMalta ; Mexique : IoTNet Mexico ; Nouvelle-Zélande : Thinxtra ; Oman : Omantel ; Pays-Bas : Aerea ; Polynésie française : VITI ; Portugal : NarrowNet ; République Tchèque : Simple Cell ; Royaume-Uni : Arqiva ; Singapour : UnaBiz ; Taiwan : UnaBiz
- Telensa
- NB-IoT
- NWave
- Weightless
- Autres technologies de modulation radio :
- Qowisio
- Haystack
- LTE Advanced for Machine Type
- MySensors
- NarrowBand IoT
- Random phase multiple access (RPMA)
- …
- Utiliser le magasin d'applications F-Droid au lieu de Google Play
- Ôter la batterie du smartphone et n'utiliser celui-ci qu'en cas de nécessité
- Ne pas faire de lèche vitrine, ne pas s'approcher trop près des mannequins ou bien avec des lunettes de soleil
- Ôter la batterie du smartphone et n'utiliser celui-ci qu'en cas de nécessité
- Informer autour de soi pour développer une prise de conscience et le refus collectif de ces impostures
- Ne jamais faire transiter de données médicale dans une connexion non chiffrée (par exemple, un email ordinaire)