Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

Quote

Vie privée : Google a aspiré les données de santé de millions de patients aux États-Unis

Une enquête du Wall Street Journal révèle que Google récoltait les données cliniques de millions de patients au travers d’un accord passé avec un immense organisme de santé nord-américain. Une pratique légale, mais à la moralité plus que douteuse.

On savait Google très actif dans le domaine de la santé grâce à sa branche Calico qui s’est donnée pour humble mission de “résoudre la mort”, mais le géant de la recherche est encore plus investi que l’on pensait. En effet, une récente enquête du Wall Street Journal vient de révéler que l’entreprise avait aspiré les données cliniques de millions de patients et de patientes aux États-Unis, sans leur consentement.

Comme le détaille le journal anglophone, le Projet Nightingale avait pour but de récolter les données issues de plus de 2 600 organisations médicales à travers les États-Unis pour tenter de créer un ersatz de moteur de recherche capable d’aider les médecins et les patients à mieux identifier de potentielles maladies et proposer des traitements plus appropriés. Petit hic, le contrat passé entre Alphabet (maison mère de Google) et Ascension (le deuxième plus grand organisme de soins aux États-Unis) n’exigeait pas l'information préalable des médecins ou des patients.

Une pratique parfaitement légale

En somme, presque personne dans la chaîne de soin n’était au courant de cette collecte à grande échelle. Et pourtant, le volume de données récolté est assez large. Étaient transmises des informations de base comme les nom, date de naissance et adresse, mais aussi des données plus pointues comme l’historique de santé, les résultats d’analyses et l’état du patient. Selon le Wall Street Journal, au moins 150 personnes au sein de Google avaient accès à ces informations.

Le géant du web ne devrait pas être inquiété puisque cette pratique, aussi moralement discutable qu’elle soit, est parfaitement légale selon le Health Insurance Portability and Accountability Act of 1996, une loi qui entend faciliter et réguler “l’échange de données entre les acteurs de la santé”. Dans un billet de blog, la firme de Mountain View se targue d’ailleurs de respecter toutes les lois en vigueur concernant la sécurisation des données. De plus, aucune donnée ne sera fusionnée avec celles récoltées au travers des activités plus “traditionnelles” de Google. Ite, missa est.

Et en France ?

On se souvient que Google a mis la main sur Fitbit il y a peu. Le fabricant de bracelets de sport va permettre à Google de récolter les données de santé de plus de 100 millions d’appareils. Mais là aussi, l’entreprise assure que ces informations “ne seront pas utilisées pour les annonces publicitaires Google” et qu’il sera possible de les supprimer. Google sait bien qu’il marche sur des œufs sur ce thème.

En France, le sujet de la collecte des données de santé est revenu sur le devant de la scène à l’occasion d’une loi promulguée en juillet 2019 qui prévoit l’ouverture automatique du dossier médical partagé pour les personnes nées après juin 2021. Le dossier médical partagé (ou DMP) est un “carnet de santé numérique” qui centralise un large paquet d’informations telles que les traitements suivis, les résultats d’examens, les allergies, etc. Facultatif, cet outil fait déjà parler de lui en raison de son coût faramineux (plus de 500 millions d'euros depuis 2004) et du risque potentiel de fichage généralisé qu’il présente.

https://www.lesnumeriques.com/vie-du-net/vie-privee-google-a-aspire-les-donnees-de-sante-de-millions-de-patients-aux-etats-unis-n143103.html

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Citation

La Belgique à la tête d’une cyberattaque pour faire taire l’État islamique: "Ce n’est pas une bombe atomique qu’on a lancée, mais des flèches très précises"

Près de 26 000 comptes et vidéos ont été effacés à partir d’Europol.

Sous la direction des autorités judiciaires belges, des experts informatiques d’Europol ont livré à partir du 21 novembre une bataille homérique contre le principal site de propagande du groupe État islamique, Amaq.

En quatre jours, près de 26 000 comptes, vidéos, groupes et publications ont été neutralisés ou effacés par ces experts de l’Unité spéciale d’Internet (IRU) de l’Union européenne, ont annoncé lundi à La Haye plusieurs responsables.

Le parquet fédéral belge, en collaboration avec un juge d’instruction de Malines, et la Guardia Civil espagnole, avaient le lead sur cette opération qui a impliqué jusqu’à une centaine d’experts informatiques dans une salle d’Europol.

Révélation

Telegram collabore activement

"Ce n’est pas une bombe atomique qu’on a lancée, mais des flèches très précises. Chaque fois que quelque chose apparaissait, on réagissait. Action, réaction", explique Eric Van Der Sypt, l’un des porte-parole du parquet fédéral belge.

L’essentiel des comptes effacés l’ont été sur la messagerie instantanée et cryptée Telegram, qui fut un temps le circuit préféré des djihadistes pour véhiculer leurs vidéos et revendications. Mais, depuis un an et demi, cette société fondée par les frères russes Nikolaï et Pavel Dourov et basée à Berlin collabore activement avec Europol et d’autres organisations internationales.

Telegram a mis en place des systèmes de "dénonciation" des contenus extrémistes par ses utilisateurs et un processus de détection automatique des contenus litigieux.

Une traque inlassable

Dès le 23 novembre, le service de monitoring de la BBC a constaté que de nombreux sites relayant la propagande de l’État islamique, de Nashir News Agency à Caliphate News 24, ont été fermés. Ceux-ci ont rapidement invité leurs utilisateurs à cliquer d’autres liens et à se détourner de Telegram.

D’autres fournisseurs d’Internet ont collaboré à cette opération, dont Google, Files.fm, Twitter, Instagram et Dropbox.

À ce jeu du chat et de la souris, c’est pour le moment les policiers qui ont la main. Mais ils ne sont pas naïfs et savent qu’ils vont devoir poursuivre cette traque sur le Web.

"Pour le moment, l’État islamique n’est plus sur Internet", s’est toutefois félicité M.Van Der Sypt.

C’est aussi une Belge qui dirige Europol. Catherine De Bolle a insisté lundi à La Haye sur ce travail de longue haleine contre un réseau comme Amaq qui a permis "d’engager des gens à rejoindre l’État islamique et à commettre des attentats" en Europe.

Amaq avait revendiqué les attentats de Bruxelles de mars 2016, (en évoquant le chiffre totalement faux de 230 morts) mais aussi l’attaque à la machette contre deux policières de Charleroi en août 2016 et celle au couteau contre des policiers de Bruxelles en août 2017.

Au cours de la même conférence de presse, lundi, le chef du contre-terrorisme à la Guardia Civil Alberto Vasquez a confirmé l’arrestation d’un Mauritanien de 26 ans à Ténérife (Canaries). Cet homme, qui vivait en Espagne depuis dix ans, s’est radicalisé au contact notamment d’Amaq et appelait au djihad.

L’IRU de La Haye comprend de nombreux experts en technologies de communication, mais aussi des traducteurs et des spécialistes de l’islam. L’unité avait déjà mené deux cyberattaques contre Amaq, la première en juin 2017 avec la Guardia Civil et les États-Unis, la seconde en avril 2018, avec le parquet fédéral belge et la police judiciaire de Flandre orientale.

Source: https://www.lalibre.be/belgique/judiciaire/la-belgique-a-la-tete-d-une-cyberattaque-pour-faire-taire-l-etat-islamique-et-son-agence-de-propagande-amaq-ce-n-est-pas-une-bombe-atomique-qu-on-a-lancee-mais-des-fleches-tres-precises-explique-eric-van-der-sypt-5ddc0dac9978e272f92c83e1

  • J'aime (+1) 2
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

En principe,  les entreprises doivent respecter les règles de chiffrement imposer par les états, sinon ce sont de gros soucis,

tout est défini, clé symétrique, asymétrique, certificats,etc.. a bouffer impérativement par toutes les personnes travaillant sur la cybersécurité

cela permet aux états de pouvoir déchiffrer si nécessaire les messages en cas d'anomalie. le problème va être de retrouver les gens qui échangent les messages chiffrer.

En France c'est le référentiel général de sécurité

https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/liste-des-documents-constitutifs-du-rgs-v-2-0/

La cyberattaque d’Europol contre les sites jihadistes a perturbé des opérations du renseignement français

http://www.opex360.com/2019/12/04/la-cyberattaque-deuropol-contre-les-sites-jihadistes-a-perturbe-des-operations-du-renseignement-francais/

Modifié par zx
  • Merci (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
Quote

Vie privée : des millions d'Américains partagent leurs positions GPS sans le savoir

Le New York Times a mis la main sur un fichier contenant les localisations précises de millions d’Étasuniens sur plusieurs mois. Une découverte qui pose des questions sur l’usage fait de nos données et sur la manière dont on peut se protéger.

Depuis les révélations d'Edward Snowden en 2013 sur l'espionnage de masse opéré par les États-Unis, difficile d'ignorer le fait que nos smartphones peuvent agir comme de véritables petits espions. Mais une récente enquête du New York Times vient d'en remettre une sacrée couche. Le journal anglophone a mis la main sur une base de données contenant des milliards de données de localisation extraites de smartphones un peu partout aux États-Unis.

Washington, New York, San Francisco, Los Angeles… Au total, ce sont plus de 50 milliards de coordonnées GPS appartenant à 12 millions d'Américains qui ont été scrutés par les journalistes du quotidien new-yorkais. Les données récoltées s'étalent sur plusieurs mois, à cheval sur les années 2016 et 2017. Certains mobiles ont pu être précisément localisés à la Maison Blanche, au Pentagone ou dans les demeures de Johnny Depp, Tiger Wood et Arnold Schwarzenegger. Il existe même des traces de téléphones ayant passé la nuit… au manoir Playboy.

Des informations à n'en plus finir

La source ayant envoyé le fichier au New York Times a bien évidemment tenu à rester anonyme, mais voulait “informer le grand public et le législateur” de l'ampleur de cette opération, car elle craignait que cette manne de données soit utilisée à des fins peu recommandables. Tout ce que l'on sait sur l'origine de ce fichier, c'est qu'il vient d'une entreprise spécialisée dans la localisation qui développe des briques logicielles pouvant être embarquées au sein d'apps mobiles.

La “richesse” du fichier permet sans peine d'établir un profil assez complet de chaque smartphone épié. On imagine facilement qu'une entreprise pourrait proposer des pubs pour des antidépresseurs à quelqu'un qui se rend plusieurs fois par semaine à un cabinet psychiatrique, par exemple. En recoupant les données, il est même assez aisé de découvrir l'identité de la personne derrière les chiffres. Le journal s'est ainsi amusé à identifier et suivre les mouvements de généraux de l'armée, de policiers, d'avocats réputés, etc. Un responsable du département de la Défense, par exemple, a pu être localisé dans une manifestation anti-Trump ! L'article souligne aussi à quel point il est aisé avec ces données de repérer des partenaires infidèles ou des activités illégales.

Des données insuffisamment protégées

Pour le New York Times, les risques sont énormes, allant du harcèlement par un conjoint mécontent à la mise en danger d'agents secrets. Cette découverte n'étonnera que moyennement celles et ceux qui ont déjà mis le nez dans un système informatique et sont au fait des pratiques employées par les grandes entreprises du web, mais le volume de données obtenues par le New York Times peint tout de même un tableau très inquiétant. Et le simple fait qu'une source concernée par les droits individuels ait pu mettre la main sur un tel fichier et le partager avec un organe de presse prouve que ce genre de données est loin d'être suffisamment protégée.

Interrogées sur ce scandale, de nombreuses entreprises spécialisées dans la localisation de mobiles répondent à l'identique : la collecte de données est légale, les internautes y consentent et le tout est anonymisé. Si le dernier argument ne tient pas la route comme on a pu le voir, celui du consentement est vicié puisque la plupart du temps, les entreprises qui ont recours à ces pratiques enterrent ce genre de détails à la 127e page des conditions d'utilisation… que personne ne lit.

Pour ne rien arranger, cette collecte massive de données n'a pas lieu qu'aux États-Unis. Votre opérateur téléphonique, par exemple, peut facilement savoir où vous vous trouvez à tout moment via un bête exercice de triangulation des antennes réseau. Et tout cela ne dresse qu'un portrait partiel de nos pérégrinations numériques. Si l'on complétait avec nos données de carte bancaire, notre historique web et nos passages à proximité des caméras de surveillance installées en ville, par exemple, il serait facile de savoir à peu près tout sur nos vies.

https://www.lesnumeriques.com/vie-du-net/vie-privee-des-millions-d-americains-partagent-leurs-positions-gps-sans-le-savoir-n145135.html

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

 

La Russie teste son internet «souverain»

La Russie teste lundi des équipements devant lui permettre d'isoler son internet des serveurs mondiaux et garantir son fonctionnement en cas de cyberguerre mondiale, dans le cadre d'une loi controversée entrée en vigueur début novembre.

https://www.lefigaro.fr/flash-actu/la-russie-teste-son-internet-souverain-20191223

Modifié par zx
  • J'aime (+1) 1
  • Haha (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

La Russie envisage d'isoler son internet du reste du monde

Le régime de Vladimir Poutine vient de réaliser des tests qui pourraient lui permettre de se couper numériquement du monde. C'est la porte ouverte à une censure renforcée.

https://www.francetvinfo.fr/replay-radio/un-monde-d-avance/la-russie-envisage-d-isoler-son-internet-du-reste-du-monde_3737845.html

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, ARPA a dit :

Je trouve qu'il y a tellement d'abus sur internet, que ce ne serait pas forcément une perte de s'isoler des pays dont la législation n'est pas cohérente avec la nôtre.

Si demain, on ne peut plus recevoir les spams ni subir les attaques informatiques venues des pays étrangers, je ne pense pas le regretter.

À mon avis, il manque une sorte de douane ou de frontière sur internet, ça ne me choque pas que certains pays finissent par contrôler leur internet.

Ce n'est pas une question de spam ou d'attaque informatique mais de contrôle de l'information. Internet me suffit actuellement, elle est assez libre d’accès.

Imagine maintenant un gouvernement ou un groupe qui peut imposer sa vision à un peuple entier, c'est le retour des autodafés, censure, bienvenue à Fahrenheit...

Lien vers le commentaire
Partager sur d’autres sites

On a indiqué le piratage d'une compagnie aérienne en Alaska bloquant ses avions au sol ? 

https://www.rtl.fr/actu/international/etats-unis-des-avions-cloues-au-sol-a-cause-d-une-cyberattaque-7799769937

L'attaque aurait forcé RavnAir à déconnecter les systèmes de maintenance de ses Bombardier Q Series (Dash 8), pouvant contenir une trentaine de passagers à son bord.

On a indiqué le piratage d'une compagnie aérienne en Alaska bloquant ses avions au sol ? 

https://www.rtl.fr/actu/international/etats-unis-des-avions-cloues-au-sol-a-cause-d-une-cyberattaque-7799769937

L'attaque aurait forcé RavnAir à déconnecter les systèmes de maintenance de ses Bombardier Q Series (Dash 8), pouvant contenir une trentaine de passagers à son bord.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Quote

La police nationale veut exploiter les “données de voyage” des usagers de tous les transports

Le gouvernement a mis en place le Service national des données de voyage. Ce service supervisé par la police nationale sera chargé de collecter et exploiter les données des voyageurs au bénéfice des ministères de la Défense et de l'Intérieur.

Un arrêté récemment publié dans le Journal officiel permet au gouvernement d'instaurer le Service national des données de voyage (SNDV), une nouvelle entité rattachée à la police nationale dont les missions seront exercées au bénéfice des ministères de la Défense et de l'Intérieur, avec le soutien — évidemment — du ministère des Transports. Tous les types de transports terrestres, maritimes et aériens sont concernés par ce dispositif de collecte et d'exploitation des “données de voyage” qui s'applique aussi bien aux passagers qu'aux personnels navigants.

Comme le remarquent nos confrères de Next INpact, il s'agit d'étendre le suivi des trajets des passagers déjà en vigueur dans l'aviation à travers le Passenger Name Record (PNR) à l'ensemble des moyens de transport, sachant que le SNDV servira à terme de bureau central pour la collecte des données, même s'il est dans un premier temps avant tout chargé d'études de faisabilité. Ce service sera d'ailleurs amené à proposer des “mesures législatives et réglementaires nécessaires à l'exploitation des données de voyage”. Il est également prévu qu'il s'occupe à terme de surveiller les dispositifs de collecte et de traitement des données de voyage, tout en organisant les fichiers et en s'assurant de leur interopérabilité entre les différentes entités devant y avoir accès (dont les entreprises de transport).

Un champ applicatif assez vague qui laisse craindre des dérives

Au regard d'un texte qui, dans sa présentation et sa terminologie, peut laisser craindre des atteintes aux libertés publiques, car assez vague dans la description de son champ applicatif, la direction de la police nationale indique que ces données seront essentiellement utilisées pour prévenir les actes relevant du terrorisme et de la criminalité. Néanmoins, en prévoyant techniquement que les données de transports puissent être exploitées dans “la poursuite d'infractions pénales”, leur utilisation pourrait — sur le papier — être beaucoup plus vaste.

Dans ce registre, il est à signaler que la Cnil n'a pas été consultée au sujet de la création du SNDV, dont la seule supervision semble être accordée à la police. Cela n'empêchera pas la Commission de l'informatique et des libertés d'être saisie en ce qui concerne le fonctionnement du SNDV et des futurs fichiers dont elle assurera la gestion, sachant que le mode de fonctionnement en partie opaque de cet organisme fera certainement s'élever de nombreuses craintes sur le respect des libertés individuelles. Car entre la mise en place d'un système cloisonné capable d'alerter les autorités lorsqu'une personne recherchée ou suspectée de terrorisme achète un billet d'avion, de train ou de bus sur Internet, et la mise en œuvre extrêmement intrusive de fichiers nationaux listant tous les usagers des transports, il y a une grande différence.

https://www.lesnumeriques.com/vie-du-net/la-police-nationale-veut-exploiter-les-donnees-de-voyage-des-usagers-de-tous-les-transports-n145331.html

  • Merci (+1) 1
  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

si ca marche comme un radar, pour détecter et suivre certaines personnes ou de blacklist, sur décision du juge, pourquoi pas, mais exploiter toutes les données de tous le monde,  non. faut appliquer les même principes que pour les écoutes, il faut une raison valable.

personne n'aimerai être suivi sans aucune raison.

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

39 minutes ago, zx said:

personne n'aimerai être suivi sans aucune raison.

Pour beaucoup d'utilisateur des réseau sociaux le font de bon cœur ...

... meme chose pour tout un tas d'application douteuse sur smartphone ...

L'intimité c'est un truc de vieux cons il faut croire ...

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

j'avais oublié les réseaux sociaux que je ne suis quasiment pas ou très indirectement, si on est volontaire pour ca et vouloir plein d'"amis", j'ai aucun soucis, je dois être un vieux con. je préfère les bons vieux forums.

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, zx a dit :

personne n'aimerai être suivi sans aucune raison.

Le problème, c'est qu'avec l'informatique, on est tout le temps suivi.

Il y a quelques temps, j'ai assisté à une "cyberinformation" démontrant notre traçage presque complet. A titre d'exemple, sur un smartphone, on peut récupérer le nom de la totalité des réseaux Wifi qui ont été vu (même pas utilisé, juste vu) ce qui nous permet d'en déduire la position du smartphone si on connait la position des réseaux Wifi (qu'on peut facilement connaitre, suffit de se balader dans la rue avec un détecteur wifi...)

Personnellement j'en suis arrivé à un point où j'estime qu'on est complètement traqué et manipulé par internet (donc des pirates ou des entreprises privées) donc je préfère autant que ce soit la police ou l'administration française qui m'espionne.

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Le 04/09/2018 à 17:21, rogue0 a dit :

Sujet à la croisée de l'infoguerre et de la cyberguerre.

Sur le modèle des Shadow Brokers, et des autorités US (inculpations de hackers chinois, du GRU / de Fancy Bear, etc) , un mystérieux groupe expose l'identité ("doxxing") de hackers présumés des SR chinois.
Le groupe se fait appeler "Intrusion Truth", et depuis l'année dernière, a révélé l'identité de plusieurs membres présumés de APT3 et APT10 (des groupes de pirate de haut niveau, d'habitude ceux avec support étatiques).

https://motherboard.vice.com/en_us/article/wjka84/intrusion-truth-group-doxing-hackers-chinese-intelligence

Révélation

Certains de ces hackers (travaillant pour la firme de cybersécurité chinoise Boyusec) ont ensuite été inculpés par les autorités US (pour piratage de secrets industriels, normalement proscrit par l'accord avec Obama de 2016).
Depuis juillet, Intrusion Truth s'est attaqué à APT10, un autre groupe de hacker présumé chinois qu'il dit basé à Tianjin.

Les autres firmes de cybersécurité occidentales déplorent la méthode, mais recoupent ses informations.

L'identité du groupe est un mystère : la plupart de ses informations sont accessibles à tout praticien de la cyberguerre...
Mais il a aussi obtenu accès aux comptes Uber de certains des hackers chinois dénoncés, information non publique (piratage ou tuyau).

 


Ce groupe Intrusion Truth frappe à nouveau.
Toutes proportion gardées, c'est l'équivalent (léger) des Shadow Brokers, ou de Bellingcat, sauf qu'il est anonyme ... et grille publiquement l'identité des hackers chinois (je n'approuve pas toujours la méthode...)

Dernier coup :
Il grille un groupe APT (hacker étatique) connu sous le code APT40 /
Leviathan / TEMP.Periscope / TEMP.Jumper, spécialisé dans le renseignement maritime (politique et espionnage industriel) , et l'ASEAN (riverains de la Mer de Chine méridionale, comme les élections cambodgiennes).
Sans surprise, ce serait un groupe de pirate chinois basé à Hainan, sous contrôle du MSS, planqué derrière 13 sociétés écrans différentes (en sécurité informatique).

Le détail croustillant (avec le facepalm du jour...) :
Ils ont eu la paresse / imprudence de poster des offres d'emploi très similaires, orientés cyberguerre offensive ... et avec la même adresse et téléphone de contact :biggrin:
 

https://intrusiontruth.wordpress.com/

https://www.cyberscoop.com/intrusion-truth-chinese-hacking-front-companies-hainan-xiandun/

ça recoupe les recherches de FireEye sur ce groupe (qui avait repéré des serveurs de C&C sur l'île)

https://www.fireeye.com/blog/threat-research/2019/03/apt40-examining-a-china-nexus-espionage-actor.html

https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html

https://www.proofpoint.com/us/threat-insight/post/leviathan-espionage-actor-spearphishes-maritime-and-defense-targets


Bon, il reste un mystère pour moi dans tout ça:
Un organisme gouvernemental cambodgien aurait résisté à toutes les tentatives de piratage de ce groupe
APT40...
Y a peut être un DSI compétent à recruter là-bas :biggrin:

https://www.cyberscoop.com/rancor-group-cambodia-palo-alto-networks/

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Faille critique Citrix Netscaler (solution IT très répandue de connexion /travail à distance) : CVE-2019-19781

L'éditeur n'a toujours pas sorti de patch après 1 mois ... (juste des palliatifs temporaires)

Et la vulnérabilité est maintenant connue publiquement .
Ca va être un carnage en entreprise dès que les pirates l'exploitent.

https://www.zdnet.fr/actualites/vulnerabilite-les-pirates-sondent-les-serveurs-citrix-39897197.htm

https://www.kb.cert.org/vuls/id/619785/

https://www.cyberscoop.com/citrix-vulnerability-patch-exploit/

 

Modifié par rogue0
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

La fin de vie de Windows 7 risque d'être spectaculaire.

La livraison de patch Microsoft prévue aujourd'hui est annoncée comme ... critique.

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

Les rumeurs courent que le module cryptographique de Windows (toutes versions) serait être touché par une faille majeure.
L'armée US aurait déjà reçu le correctif en avance de phase.
La NSA a prévu une conférence de presse aujourd'hui.
Coïncidence ? :dry:

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, rogue0 a dit :

La fin de vie de Windows 7 risque d'être spectaculaire.

La livraison de patch Microsoft prévue aujourd'hui est annoncée comme ... critique.
https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/
Les rumeurs courent que le module cryptographique de Windows (toutes versions) serait être touché par une faille majeure.
L'armée US aurait déjà reçu le correctif en avance de phase.
La NSA a prévu une conférence de presse aujourd'hui.
Coïncidence ? :dry:

Ce n'était pas une coincidence.

La NSA a rendu publique la faille crypto (touchant les Windows les plus récents 10 et Server 16 ) ...

Et je comprend mieux pourquoi ils ont choisi de la publier pour correction immédiate (plutôt que de la garder secrète pour espionner, façon EternalBlue).
(accessoirement, c'est une façon de regagner de la confiance publique après Snowden)

En gros, la faille compromet les chaînes de confiance numériques, à base de certificat  Internet X509 utilisant les algos de crypto ECC (crypto à courbe elliptique *** MDR explication plus tard)
Un attaquant avec de grosses ressources (cad état, APT) peut faire accepter son propre certificat de sécurité ... et compromettre toute transaction qui s'en sert... 
En gros tout : connexion SSL/TLS (e-commerce, banques, sites gouvernementaux), VPN, MAJ logicielles, messageries cryptées, etc.
Ce n'est pas une vulnérabilité permettant des worm façon Wannacry, ou de contrôler en masse des PC ... Mais c'est aussi grave d'une certaine façon
Bref, la MAJ est à faire rapidement.

https://www.cyberscoop.com/windows-10-vulnerability-nsa-public-disclosure/

https://www.kb.cert.org/vuls/id/849224/

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

https://twitter.com/SwiftOnSecurity/status/1217160101104103426

 

*** en lisant ça, j'ai eu une crise de fou rire... mais difficile à expliquer pour les non geeks de cryptographie.
En gros, ce sujet (crypto ECC et Dual EC DRBG) est l'équivalent crypto des fiasco CVN-78 Ford, ou F-35/Alis ou Arjun / LCA.

Je crois qu'on a un forumeur inscrit assez récemment qui adore le sujet.
Qui a le temps d'expliquer le sujet pour les curieux ? :biggrin:
 

  • J'aime (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Si ils veulent casser les codes, ils en ont largement les moyens, mais il faut s'adresser à des labos spécialisés, mais ca coute cher et c'est une question de temps.

Passe d'armes entre Apple et le gouvernement américain sur le cryptage des données

https://www.lefigaro.fr/flash-actu/passe-d-armes-entre-apple-et-le-gouvernement-americain-sur-le-cryptage-des-donnees-20200115

Modifié par zx
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Quote

Reconnaissance faciale : vers un scandale Clearview AI, la start-up qui aurait volé des milliards de photos

Clearview AI aurait compilé de manière sauvage des milliards de photos d'individus pour composer la bibliothèque intégrée à la solution de reconnaissance faciale qu'il vend aux forces de l'ordre, un peu partout aux États-Unis.

Deux anciens collaborateurs du think tank conservateur Manhattan Institute sont à l'origine de Clearview AI, une start-up spécialisée dans la reconnaissance faciale qui fait l'objet d'une grosse polémique outre-Atlantique après la publication d'un article à charge du New York Times. Il faut dire que la base de données mise au point par cette société, utilisée par plus de 600 entreprises et agences gouvernementales, pose problème. En effet, Clearview AI — en partie financé par Peter Thiel, actionnaire de Facebook et siégeant à son conseil d'administration — a constitué sa base de manière illicite, collectant des milliards de photos sur les médias sociaux sans respecter les conditions d'utilisation de ces plateformes en ligne.

Efficace et pas cher ?

Cela permet aujourd'hui aux clients de Clearview AI d'accéder à cette immense base de données photographique pour y confronter le visage d'une personne repérée par l'une de leurs caméras. Selon le New York Times, qui a pu interroger diverses cellules des forces de l'ordre ayant recours à Clearview AI, la majorité de ces clients ignorent la manière dont fonctionne le système ou qui en est l'éditeur, et s'en sont servis pour enquêter dans des affaires en tout genre, allant du vol à l'étalage à l'homicide.

Des représentants politiques auraient eux-mêmes fait la promotion des services proposés par Clearview AI auprès des forces de l'ordre, vantant une solution efficace et peu coûteuse. Il serait question de factures débutant à 2 000 $ avec la possibilité, dans certains cas, de tester gratuitement le logiciel. L'entreprise travaillerait aussi sur un prototype de Clearview AI fonctionnant de pair avec des lunettes de réalité augmentée, qui permettrait à un policier équipé de déterminer quasiment en temps réel l'identité d'une personne présente dans son champ de vision. À l'heure actuelle, la start-up se targue d'un taux de réussite de 75 %. Un chiffre qui n'a en l'état aucune valeur (échantillon non précisé, non validé par un tiers indépendant).

Facebook lance une enquête

“La collecte de données issues de Facebook et leur ajout à un annuaire sont interdits par nos politiques, nous examinons donc les réclamations concernant cette entreprise et prendrons les mesures appropriées si nous constatons qu'elle a enfreint nos règles”, a réagi un porte-parole du premier réseau social mondial. Quant à l'implication possible de Peter Thiel, c'est là aussi le porte-parole du milliardaire (par ailleurs cofondateur de Palantir, société fournissant des solutions de renseignement à la NSA, la CIA, le FBI ou encore la DGSI française) qui répond : “En 2017, Peter a donné 200 000 $ à un jeune fondateur talentueux. Cette somme a été convertie deux ans plus tard en actions Clearview AI [...] C'était la seule contribution de Peter, qui n'est pas impliqué dans l'entreprise.”

Le New York Times a également pu interroger les responsables d'Instagram, Twitter et YouTube au sujet des photos collectées par Clearview AI sur leurs plateformes. À chaque fois, la réponse a été la même que celle apportée par Facebook : si cela a été le cas, c'est en infraction à la politique “maison”. Twitter a même précisé que ses conditions d'utilisation interdisent l'usage de photos publiées sur sa plateforme pour la reconnaissance faciale. Des enquêtes internes devraient être lancées par les plateformes dont les photos auraient été pillées par Clearview AI. Leurs résultats sur l'activité de la start-up sont encore inconnus.

https://www.lesnumeriques.com/vie-du-net/reconnaissance-faciale-vers-un-scandale-clearview-ai-la-start-up-qui-aurait-vole-des-milliards-de-photos-n146207.html

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

San Bernardino : des hackers ont bien aidé le FBI à débloquer un iPhone

Apple ne souhaite pas poursuivre le FBI pour l'obliger à divulguer la méthode employée, mais ses avocats ont prévenu qu'ils allaient exiger des détails.

 

https://www.lepoint.fr/monde/san-bernardino-des-hackers-ont-aide-le-fbi-pour-debloquer-un-iphone-13-04-2016-2031910_24.php

il aurait pu faire plus simple, sur l'ordre d'un juge ordonner à apple de déverrouiller le téléphone pour un motif valable comme pour un crime, etc...

Lien vers le commentaire
Partager sur d’autres sites

Amazon via sa filiale de sonnette connecté au FBI ... s'est encore fait chopé à avoir vendu des donnée personnelle ...

Quote

Ring (Amazon) épinglé pour avoir revendu des données personnelles

Ring enchaîne les bévues. Cette fois-ci, une enquête de l'Electronic Frontier Foundation dénonce le fait que l'application Android du fabricant de caméras de surveillance enverrait les données des utilisateurs à quatre sociétés, dont Facebook.

Décidément, Ring ne cesse de se faire remarquer pour de très mauvaises raisons. Le fabricant de caméras de surveillance racheté par Amazon est une fois de plus pointé du doigt pour avoir partagé des données de ses utilisateurs. Selon une enquête de l'Electronic Frontier Foundation (EFF), l'application Ring Doorbell sur Android avec la version 3.21.1 contiendrait des traqueurs qui enverraient des informations privées (adresses IP, noms des clients, données des capteurs…) à quatre sociétés d'analyse et de marketing qui sont Facebook, Branch, AppsFlyer et MixPanel.

Facebook reçoit par exemple des alertes systématiques dès que l'application de l'utilisateur est ouverte et quand il la désactive, et ce, même si le propriétaire de l'appareil Ring ne possède pas de compte sur le réseau social. La firme de Zukerberg reçoit les informations sur le modèle de l'appareil, les préférences linguistiques ou encore un identifiant unique, quand bien même l'utilisateur réinitialise son appareil Ring.

Les données de Ring transmises à Facebook

Si les quatre sociétés profitent de nombreuses informations, c'est toutefois l'entreprise MixPanel qui reçoit le plus de renseignements sur le propriétaire de l'appareil puisque Ring lui permet d'obtenir le nom complet de l'utilisateur, mais aussi son adresse mail et l'endroit ou les objets Ring sont installés.

Dans une mise à jour sur l'avis de confidentialité datant de mai 2018, Ring avait indiqué que la société utilisait des plateformes d'analyse de données de tiers "pour évaluer l'utilisation de son site web et de ses applications mobiles". Petit hic, MixPanel est la seule entreprise à être mentionnée dans la liste des services tiers de Ring et les trois autres sociétés n'ont en aucun cas été nommées. "MixPanel est brièvement mentionné dans la liste des tierces parties avec lesquelles travaille Ring", affirme EFF.

Ring, une sécurité de plus en plus contestée

Ce n'est pas la première fois que Ring est visé pour ce type de problèmes et, depuis plusieurs mois, le fabricant est soupçonné d'être beaucoup trop laxiste sur la sécurité des données et de dévoiler certaines informations personnelles des utilisateurs.

En décembre dernier, un journaliste du site tech Motherboard s'était insurgé du dispositif de sécurité employé sur les caméras Ring découvrant qu'en utilisant "simplement" son adresse mail et son mot de passe, ses collègues ont été en mesure de l'espionner en direct et d'accéder à l'ensemble des clips vidéo enregistrés sur son compte utilisateur Ring. Plus récemment, l'entreprise rachetée par Amazon avait été mise en cause pour son alliance avec les forces de police aux États-Unis.

https://www.lesnumeriques.com/camera-surveillance/ring-amazon-epingle-pour-avoir-revendu-des-donnees-personnelles-n146537.html

Lien vers le commentaire
Partager sur d’autres sites

https://www.lesnumeriques.com/vie-du-net/la-police-de-chicago-abandonne-son-systeme-de-precrime-n146571.html

Quote

La police de Chicago abandonne son système de précrime

Après 8 ans de mauvais mais loyaux services, le système TRAP utilisé par la police de Chicago va prendre sa retraite. Il cherchait à réduire la criminalité en identifiant à l’avance les personnes les plus susceptibles de commettre des infractions.

En 2002 sortait un film qui allait faire beaucoup parler de lui : Minority Report. Adaptation du roman du célèbre auteur de science-fiction Philip K. Dick, le film de Spielberg allait populariser auprès de toute une génération la notion de "précrime." Une méthode de maintien de l'ordre bien particulière qui consiste à arrêter un criminel avant que le crime ne soit commis.

10 ans plus tard en 2012, la police de Chicago adoptait un système qui se rapprochait dangereusement du futur dystopique imaginé par Philip K. Dick avant de l'abandonner il y a quelques jours comme l'explique BoingBoing. Le système appelé "TRAP" (pour Targeted Repeat-Offender Apprehension Program ou "programme ciblé d'appréhension des récidivistes" en bon français) assignait un "score de dangerosité" à tous les Chicagolais ou Chicagolaises qui avaient déjà eu des problèmes avec la police. L'idée était d'essayer de ficher les personnes les plus à même de commettre d'autres crimes après une première interpellation.

Petit problème, comme l'a souligné un rapport cinglant de l'inspecteur général de Chicago, ce système était truffé d'erreurs et ne réduisait en rien le nombre de crimes dans la ville. Le système encourageait le profilage racial puisqu'il se reposait sur des algorithmes biaisés comme la plupart des programmes de ce type. Même Google et IBM l'ont reconnu, les algorithmes reproduisent et amplifient les discriminations ayant lieu dans le monde réel.

Un cercle vicieux

Pire encore, même lorsque les tribunaux classaient l'affaire sans suite, le score TRAP augmentait quand même. Les biais policiers venaient donc nourrir un système qui ensuite s'acharnait sur les individus concernés puisqu’une interpellation avait plus de chance de se finir en arrestation lorsque le score de "dangerosité" était haut. Et comme une arrestation faisait augmenter le score, le cercle vicieux était lancé.

"Plusieurs des critères utilisés pour déterminer le score TRAP étaient liés aux arrestations et partait du principe que la personne interpellée avait commis le crime pour lequel elle était arrêtée", explique le rapport, en jetant allègrement la présomption d'innocence à la poubelle. Pour ne rien améliorer, les données n'étaient pas particulièrement bien protégées et souvent partagées avec des personnes étrangères à la police.

Rarement un système de surveillance algorithmique n'aura été tant cloué au pilori par les structures mêmes qui l'utilisaient. Pendant ce temps, le débat sur l'utilisation de la reconnaissance faciale continue en France.

 

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 003
    Total des membres
    1 749
    Maximum en ligne
    pandateau
    Membre le plus récent
    pandateau
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...