L’application StopCovid collecte plus de données qu’annoncé
▻https://www.lemonde.fr/pixels/article/2020/06/16/l-application-stopcovid-collecte-plus-de-donnees-qu-annonce_6043038_4408996.
Un chercheur en cryptographie a découvert que l’application française de lutte contre la propagation du Covid-19 collectait les identifiants de toutes les personnes croisées par un utilisateur – et pas seulement celles croisées à moins d’un mètre pendant quinze minutes.
C’est Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), qui est à l’origine de cette découverte.
Sur la plate-forme de développement de l’application, il raconte comment il a découvert que « tous les contacts croisés pendant les quatorze derniers jours » sont envoyés au serveur central hébergeant les données liées à StopCovid. « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée », écrit-il :
« J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé.) »
StopCovid : une utilité limitée et trop de données envoyées
▻https://www.linformaticien.com/actualites/id/54621/stopcovid-une-utilite-limitee-et-trop-de-donnees-envoyees.aspx
StopCovid “envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée” signale Gaëtan Leurent. Contacté par Mediapart, le secrétariat d’Etat au Numérique a reconnu cet envoi, mais a souligné que ce choix était justifié du fait que, puisqu’un nouvel identifiant est attribué toutes les 15 minutes à un appareil, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques.
Une justification plausible mais qui ne correspond pas aux recommandations de la Cnil qui a assuré contrôler de près StopCovid.
note : le signalement initial
Too much contact data sent to the server (#43) · Issues · StopCovid sources / StopCovid android · GitLab
▻https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/issues/43
Le Premier ministre promet débat et vote sur #StopCovid dès qu’elle fonctionnera !
▻https://www.linformaticien.com/actualites/id/54285/le-premier-ministre-promet-debat-et-vote-sur-stopcovid-des-qu-elle-f
Finalement les parlementaires auront bien ce débat spécifique suivi d’un vote sur le traitement et la conservation des données du suivi de contacts via l’application StopCovid sur mobile en cours de développement. Dès que l’app fonctionnera, pas avant.
La séance de débat sans puis avec vote sur le projet StopCovid était prévue pour ce 28 avril à l’Assemblée nationale. Finalement les députés ont eu droit à une déclaration du gouvernement sur la stratégie nationale du plan de déconfinement dans le cadre de la lutte contre l’épidémie de COVID-19. Mais le Premier ministre Edouard Philippe a bien évoqué rapidement ce mardi le volet numérique du suivi de contacts.
A partir du 11 mai, l’objectif est que tous les cas contacts soient testés. Cette règle exige des moyens considérables et d’abord humains. Dans ce cadre « un consortium européen a lancé le développement d’un outil numérique de suivi de contacts. Ce sera un outil complémentaire des autres moyens » a déclaré le Premier ministre. Notamment dans le cas où il faudra surmonter la difficulté de reconstituer les chaînes de transmission en zones denses, par exemple dans les transports en commun.
Un outil complémentaire
« Beaucoup d’interrogations ont été soulevées sur ce type d’instruments, reconnaît Edouard Philippe. Ce sont des questions fondées. J’ai le sentiment qu’elles doivent faire l’objet d’un vote. Pour le moment c’est trop tôt. Le débat est prématuré aujourd’hui mais je confirme mon engagement. Dès que l’application fonctionnera nous aurons ce débat suivi d’un vote. »
Comme on pouvait le pressentir, vu le retard important pris au démarrage du projet StopCovid et les réserves non seulement éthiques mais aussi techniques quant à son efficacité, l’outil numérique apparaît désormais comme très accessoire dans le cadre du plan de déconfinement. Et surtout le débat parlementaire et le vote des députés et sénateurs auront bien lieu.
Linky : charge de la Cnil contre EDF et Engie
▻https://www.linformaticien.com/actualites/id/53801/linky-charge-de-la-cnil-contre-edf-et-engie.aspx
Le gendarme des données personnelles vient d’annoncer la mise en demeure d’EDF et d’Engie, en leur qualité de fournisseurs d’électricité exploitant les compteurs connectés Linky. La Cnil leur reproche un défaut de recueil du consentement éclairé et spécifique et des durées de conservation des données trop longues.
[…]
Pas assez éclairé…
A commencer par le consentement des usagers. Si EDF comme Engie demandent effectivement à leurs usagers s’ils acceptent la collecte de leurs données, ce consentement n’est ni spécifique, ni suffisamment éclairé. En effet, une seule case à cocher pour deux voire trois finalités distinctes : affichage des consommations quotidiennes, affichage des consommations à la demi-heure et fourniture de conseils personnalisés.
Je suis très vénère !
J’avais spécifiquement signalé ce point à la CNIL au printemps 2016, ainsi que l’absence totale d’information (d’éclairage…) sur les conséquences de la non acceptation : quelles données étaient transmises et à quel pas de temps.
Elle ne m’a même pas accusé réception de mon message.
Les données financières d’employés de Facebook volées dans une voiture
▻https://www.linformaticien.com/actualites/direct-afp/id/53478/les-donnees-financieres-d-employes-de-facebook-volees-dans-une-voitu
Facebook a prévenu vendredi ses employés que les données personnelles et financières de 29.000 d’entre eux avaient été volées dans une voiture le mois dernier.
« Nous n’avons constaté aucun abus et nous pensons qu’il s’agit d’un cambriolage et non pas d’une tentative de voler des informations sur les employés », a expliqué Facebook à l’AFP.
Aucune donnée d’utilisateurs du réseau n’a été compromise.
Les disques durs volés contenaient les noms, numéros de comptes en banque et d’autres données personnelles de 29.000 personnes qui étaient employées par Facebook aux Etats-Unis l’année dernière, a confirmé le géant de l’internet, après une dépêche de Bloomberg.
Le conducteur de la voiture, un membre du service de paie du groupe, avait placé les disques durs dans un sac, laissé dans le véhicule, alors qu’ils n’auraient pas dû quitter le campus Facebook.
« Par prudence, nous avons informé les employés passés et présents concernés, et nous mettons à leur dispositions les aides nécessaires en cas de vol d’identité », a précisé Facebook, qui coopère aussi avec l’enquête de la police.
Curieusement, ça ne dit pas si le disque des portables était chiffré ou pas...
Qu’est-ce que tu crois ? Ils ne l’étaient pas,…
Facebook lost some hard drives in a car break-in, but shouldn’t worry
▻https://www.cnbc.com/2019/12/13/facebook-lost-some-hard-drives-in-a-car-break-in-but-shouldnt-worry.html
• Theft of unencrypted hard drives from a Facebook employee’s car led the company to announce another privacy and security incident to its employees.
• For a number of reasons, however, the employees probably shouldn’t worry, and the public probably shouldn’t be surprised.
On the surface, it seems like another privacy hit for Facebook: a thief broke into an employee’s car “recently,” the company told CNBC Friday, taking company equipment including hard drives. The company said the hard drives contained unencrypted personal data of current and former Facebook employees, and alerted those employees to the theft “_out of an #abundance_of_caution._”
But this is unlikely to be a data problem of any significance to Facebook for a simple reason: thefts of computer equipment remain almost entirely about re-selling that equipment as a commodity, not lifting the data and selling the information as well.
In fact, the announcement is possibly a testament to Facebook’s improved transparency on data protection issues, and the heightened regulatory obligations for telling affected people when their data could possibly be viewed by an outside party. It also illustrates how slow change can be in the cybersecurity sphere, since this type of theft, and the outrage it provokes, are so similar to other incidents that are decades old.
A brief history of the oldest type of data theft
Data theft by stolen or lost hard drive is probably one of the oldest types of computer security “breaches.”
Facebook hard disks containing company’s payroll information stolen - TechSpot
▻https://www.techspot.com/news/83196-facebook-hard-disks-containing-company-payroll-information-stolen.ht
Unsurprisingly, the unfortunate employee whose car was robbed was not meant to have taken the hard disks out the office. Facebook have confirmed that they have taken “appropriate disciplinary action” though they declined to say what ‘appropriate’ meant exactly.
Perhaps just as worrying for fellow staff members, however, is the timeline of events and Facebook’s sluggishness in communicating with people. The break-in allegedly happened on November 17, and Facebook confirmed a few days later that the disks in question had been taken, but employees were not notified until December 13. That’s almost a month during which the perpetrator could make use of the data.
The email to staff reportedly encouraged employees to inform their banks, and offered affected people a two-year subscription to an identity theft detection scheme.
L’information est donc connue. Et le fait est donc (très) grave. En France, ça vaut déclaration à la CNIL avec potentiels ennuis à la clef du fait de RGPD.
Palantir signe un nouveau contrat à 110 millions de dollars avec le Pentagone
▻https://www.linformaticien.com/actualites/id/53485/palantir-signe-un-nouveau-contrat-a-110-millions-de-dollars-avec-le-
L’entreprise de Peter Thiel continue son petit bonhomme de chemin, signant avec le Department of Defense un nouveau contrat, portant sur plusieurs bases de données de l’armée américaine, à 100 millions de dollars. Et ce n’est peut-être qu’un début, Palantir profitant des états d’âme des autres entreprises de la tech.
Ce n’est pas JEDi, mais c’est un gros coup pour une jeune startup. Palantir fait encore parler d’elle : l’entreprise spécialisée en analyse de données et orientée défense et renseignement signe un contrat représentant 110 millions de dollars sur quatre ans avec l’armée américaine. Une somme équivalente à un dixième des revenus de l’entreprise.
Selon Bloomberg, Deloitte, Accenture ou encore Microsoft ont eux aussi répondu à cet appel d’offres, sans succès. Palantir aura pour mission d’intégrer sur une plateforme unique les données de différentes bases de données de l’armée, connectant ainsi ressources humaines, supply chains et autres systèmes opérationnels du Pentagone.
Après Maven, Palantir
Mais ce n’est qu’un début, Palantir vise en effet d’autres contrats pour un montant de 400 millions de dollars avec l’armée américaine. Parmi eux, la fourniture d’un système de reconnaissance d’images, ceux de drones et de satellites par exemple. Il s’agit pour l’entreprise co-fondée par Peter Thiel de reprendre là où Google a abandonné son projet Maven, sous la pression de ses salariés. Le fondateur ne manque pas d’étriller au passage ses concurrents, fustigeant leur réticence à travailler avec le Pentagone.
Intelligence artificielle : l’Unesco mandatée pour travailler sur l’éthique
(par AFP)
▻https://www.linformaticien.com/actualites/direct-afp/id/53320/intelligence-artificielle-l-unesco-mandatee-pour-travailler-sur-l-et
Les États membres de l’Unesco ont décidé jeudi de mandater cette agence de l’ONU pour travailler à l’élaboration de normes éthiques en matière d’intelligence artificielle, a-t-on appris auprès de l’Unesco.
« Ce fut une décision à l’unanimité » de la part de pays aux positions très diverses sur ces questions, « c’est une belle journée ! », s’est-on félicité au Secrétariat de l’organisation des Nations unies pour l’éducation, la science et la culture, après la décision des 193 pays membres.
L’Unesco va donc faire appel à des experts internationaux qui travailleront au cours des 18 prochains mois « au premier instrument normatif mondial » dans ce domaine.
À l’ouverture de la conférence générale de l’institution (12-27 novembre), sa directrice générale, Audrey Azoulay, avait plaidé pour « la construction d’une vision partagée des questions d’éthique liées à l’intelligence artificielle » qui « s’appuie sur le réseau d’experts » de l’Unesco et sa « légitimité politique ».
« L’intelligence artificielle dépasse le registre de l’innovation, c’est aussi une rupture anthropologique majeure qui nous place devant des choix éthiques », a-t-elle lancé en appelant la Conférence générale à « prendre une décision historique » en donnant ce mandat à l’Unesco.
Les experts vont donc réfléchir aux moyens d’encadrer le développement de l’IA par un certain nombre de grands principes, sans l’entraver pour autant.
Ils se pencheront sur tous les sujets qu’ils estimeront nécessaires, affirme-t-on à l’Unesco, liés par exemple à la diversité culturelle ou de genre, ou encore à la diffusion des savoirs et technologies, les pays en développement ne souhaitant pas rester en marge de cette révolution technologique.
Un des problèmes les plus souvent évoqués en matière d’IA sont les algorithmes discriminatoires, du fait des biais introduits par les humains.
L’IA est en effet basée sur l’apprentissage automatisé à partir de données insérées par le concepteur, que la machine analyse. Si cette matière première est biaisée, le résultat ne peut qu’en être faussé.
JEDI : AWS a-t-il été floué sur ordre de Donald Trump ?
▻https://www.linformaticien.com/actualites/id/53137/jedi-aws-a-t-il-ete-floue-sur-ordre-de-donald-trump.aspx
On sait le président américain très remonté contre Jeff Bezos, mais cette inimitié a-t-elle pu coûter à AWS un contrat de 10 milliards de dollars avec le Pentagone ? Oui, à en croire un assistant de l’ancien Secrétaire à la Défense James Mattis, à qui Donald Trump aurait demandé de « niquer Amazon ».
Vendredi, le Department of Defense a annoncé avoir attribué à Microsoft le fameux contrat JEDI, Joint Enterprise Defense Infrastructure, portant sur la mise en place d’une infrastructure cloud pour le compte du Pentagone et représentant quelque 10 milliards de dollars sur 10 ans. Un juteux contrat qui avait attiré Microsoft, Oracle, IBM, Google ou encore AWS. Et aux dernières nouvelles, celui-ci faisait la course en tête.
La décision du DoD a été une surprise pour de nombreux observateurs. Mais peut-être Azure a-t-il prévalu sur AWS auprès des pontes du Pentagone. Ou peut-être l’enquête sur un éventuel trucage de l’appel d’offres en faveur de l’entreprise de Jeff Bezos a-t-elle joué en sa défaveur. Ou bien Donald Trump a-t-il explicitement exigé que AWS n’emporte pas le contrat, comme l’écrit Guy Snodgrass.
Cet assistant de l’ancien Secrétaire à la Défense James Mathis rapporte dans un livre à paraître mais dont la presse américaine a obtenu les bonnes feuilles, qu’à l’été 2018 Donald Trump a appelé James Mattis lui ordonnant de « niquer Amazon » (« screw Amazon » dans le texte) et d’empêcher le géant du e-commerce de remporter l’appel d’offres de JEDI.
Avant même l’élection de Donald Trump à la présidence des Etats-Unis, il existait une inimitié entre le candidat et Jeff Bezos, patron d’Amazon mais aussi propriétaire du Washington Post, journal ayant fait campagne contre Trump. Lequel promettait, une fois élu, qu’Amazon aurait « beaucoup de problèmes ». Quitte à truquer une attribution de marché ? Guy Snodgrass l’assure et ajoute qu’il s’agit même de la raison véritable de la démission de Mattis en décembre 2018, le Secrétaire à la Défense ayant indiqué au président préférer jouer dans les règles.
L’Arcep pourrait perdre son pouvoir de sanction
▻https://www.linformaticien.com/actualites/id/52734/l-arcep-pourrait-perdre-son-pouvoir-de-sanction.aspx
Orange a formé une QPC afin d’obtenir l’annulation de la mise en demeure de l’Arcep à son encontre. En cas de succès de l’opérateur, le régulateur risque d’y laisser plus que des plumes : c’est son pouvoir de sanction qui est menacé.
L’Arcep est menacée de perdre son pouvoir de sanction. Orange a déposé selon les informations du Monde une requête en QPC (question prioritaire de constitutionnalité) auprès du Conseil d’Etat afin d’obtenir l’annulation de la mise en demeure formulée par le régulateur en décembre dernier. Le gendarme des télécoms y exigeait que l’opérateur historique respecte son obligation en matière d’accès et de qualité de service sur ses offres de gros.
Un peu plus tôt l’an passé, l’Arcep mettait déjà en demeure Orange, cette fois-ci quant à ses obligations d’opérateur du service universel. L’entreprise de Stéphane Richard n’avait pas apprécié d’être ainsi rappelée à l’ordre et l’avait fait savoir. L’opérateur monte désormais d’un cran en reprochant au régulateur de méconnaître le principe de séparation des pouvoirs, se faisant juge, juré et bourreau.
En effet, aux yeux de l’opérateur, les trois formations de l’Arcep, respectivement chargées de définir les normes du secteur, de contrôler le respect de ces règles et de sanctionner le manquement, ne sont pas suffisamment étanches entre elles. La requête formée par Orange doit d’abord être acceptée par le Conseil d’Etat avant d’être transmise au Conseil Constitutionnel, qui devra à son tour l’examiner.
La procédure devrait donc être longue, néanmoins une victoire d’Orange serait catastrophique pour le régulateur. L’Arcep pourrait en effet se voir privée de son pouvoir de sanction. Un pouvoir qu’elle n’utilise certes que très peu, mais qui représente une épée de Damoclès au-dessus des opérateurs afin qu’ils respectent leurs différentes obligations.
Panne des impôts : et si c’était une attaque informatique ?
▻https://www.linformaticien.com/actualites/id/52175/panne-des-impots-et-si-c-etait-une-attaque-informatique.aspx
Où l’on apprend que le site de la DGFIP se bloque en cas d’un trop grand nombre de connexions et que Bercy soupçonne une attaque DDoS. Deux enquêtes auraient été ouvertes suite à la panne qui a touché impots.gouv lundi.
Le 4 juin, Gérald Darmanin, ministre de l’Action et des Comptes publics, lançait oups.gouv.fr, un site qui veut aider les administrés à éviter les erreurs administratives. Sous-titre : « vous avez le droit à l’erreur ». Au lendemain de la panne rencontrée par le site impots.gouv.fr, alors que la date limite pour remplir sa déclaration était fixée au 4 juin, ce droit à l’erreur pouvait prêter à sourire.
Mais à Bercy, on ne rigole pas. A en croire les informations de France Info, le ministère a ouvert deux enquêtes après l’interruption de service du site de la DGFIP le 3 juin. On soupçonnait un trop grand nombre de connexions que l’infrastructure sous-jacente de Bercy n’a pas été en mesure de supporter : que nenni, le site s’est bloqué de lui-même, « comme le veut la procédure » explique très sérieusement France Info.
Les bras nous en tombent. Si 3 millions de connexions en 30 minutes, comme l’indiquait le ministre, représentent effectivement un pic de trafic important, nous étions bien loin de penser qu’un mécanisme allait mettre le site en panne. Où est donc passé le load balancing ? Mais il s’agirait d’une mesure de sécurité, car Bercy soupçonne très fortement une attaque DDoS. Car, « selon une source proche de Bercy […] des adresses IP suspectes venues de l’étranger ont été repérées ».
On est bien loin de « l’effet de ce long week-end ensoleillé » et de « l’augmentation du nombre de gens qui télédéclarent » et font preuve d’un « peu de procrastination », explications de la panne selon Gérald Darmanin, au micro de France Info mardi.
Les deux enquêtes, l’une interne au ministère de l’Action et des Comptes publiques, l’autre confiée à l’ANSSI, vont donc devoir déterminer ce qu’il s’est réellement passé dans la nuit du 3 au 4 juin.
Les deux propositions subordonnées de la première phrase ne sont guère compatibles entre elles. On les comprendrait mieux reformulées comme suit :
Plutôt que de reconnaître la stupidité d’un mécanisme qui se bloque en cas d’affluence (prévisible…), c’est plus classe de beugler #encore_un_coup_des_Russes !
Une vilaine faille dénichée dans #Tchap [et dans le module Python email.utils]
▻https://www.linformaticien.com/actualites/id/51862/une-vilaine-faille-denichee-dans-tchap.aspx
L’application de messagerie des pouvoirs publics contient au moins une faille, très rapidement découverte par un chercheur en sécurité et corrigée tout aussi promptement. La vulnérabilité permettait de contourner l’authentification des adresses mails .gouv.fr ou .elysee.fr.
comment y disait l’autre déjà ? ah oui, #à_l'insu_de_son_plein_gré
Facebook pompe « malencontreusement » les contacts mails de ses utilisateurs
▻https://www.linformaticien.com/actualites/id/51865/facebook-pompe-malencontreusement-les-contacts-mails-de-ses-utilisat
Pour s’inscrire sur le réseau social, il arrive depuis trois ans que Facebook demande l’adresse mail, mais aussi le mot de passe du compte mail de l’utilisateur. Et qu’il en profite pour collecter les adresses des contacts. Mais cela était purement « involontaire » plaide l’entreprise.
Tout a commencé le 31 mars, lorsque e-sushi, un développeur, a découvert que Facebook demandait lors de l’inscription d’un nouvel utilisateur le mot de passe de son adresse email. Une procédure déjà particulièrement douteuse, revenant à laisser à l’entreprise de Mark Zuckerberg les clés de sa boîte aux lettres. Mais le géant fait mieux encore…
Business Insider a mené son enquête et a remarqué que l’étape suivante de l’inscription au réseau social ouvrait une fenêtre pop-up indiquant « importing contacts ». Sans possibilité d’annuler cette importation, sans même demander l’accord de l’utilisateur. Selon notre confrère, cette « modalité » d’inscription a cours depuis 2016.
Facebook a rapidement réagi, annonçant avoir « cessé d’offrir la vérification de mot de passe de messagerie comme une option lors de la première inscription à Facebook ». Mais le communiqué envoyé à Business Insider ne s’arrête pas là, l’entreprise ajoutant avoir constaté que « dans certains cas, leurs contacts de messagerie ont également été téléchargés involontairement sur Facebook lors de la création de leur compte ».
Le mot important ici est sans doute « involontairement » : on voit mal comment la collecte des données de contacts contenues dans les comptes mails des utilisateurs qui en ont donné le mot de passe peut être fortuite. « Nous estimons que près de 1,5 million de contacts de messagerie ont été téléchargés. Ces contacts n’ont été partagés avec personne. Nous les supprimons. Nous avons corrigé le problème sous-jacent et avertissons les personnes dont les contacts ont été importés ».
Et c’est pareil chez LinkedIn... :-/
Oui, exactement @biggrizzly Sauf que tu n’es pas obligé d’accepter tout. C’était Turk, alors président de la CNIL qui disait à propos des données bancaires réclamées par les services sociaux « Oui, ce sont effectivement des données confidentielles … tant que vous ne les révélez pas vous même » Même si on vous le demande vous n’êtes pas obligé d’accepter. #consentement #viol_de_données
e-sushi ce serait pas le pseudo de christophe colomb ?
Tout a commencé le 31 mars, lorsque e-sushi, un développeur, a découvert que Facebook demandait lors de l’inscription d’un nouvel utilisateur le mot de passe de son adresse email.
Ca fait 20 ans qu’on sait que Zuckerberg a des rêves nourris de théories infectes, voire ses potes philosophes millionnaires du capitalisme numérique mais bon …
#boycott_facebook #humanité_désespérante
Au passage, on a la même chose avec Doctolib qui siphonne les données des patients sans leur accord depuis les hopitaux avec l’agrément de l’#ordre_des_médecins et de la #CNIL mais ça n’a pas l’air de faire tilt non plus.
L’IA pour éviter les massacres dans les écoles aux US ? L’1FO : Fil d’actus transfo numérique, RGPD, IA, SSI, RV, cybersociété...
▻https://www.linformaticien.com/actualites/ia/lia-pour-eviter-les-massacres-dans-les-ecoles-aux-us.aspx
En 2018, 2 000 enfants seraient morts aux Etats-Unis suite à des fusillades, selon USA Today (du 14 février). Un problème de société évidemment largement commenté aux Etats-Unis. Trois sociétés ont même eu l’idée de recourir à l’IA pour analyser les mails, les échanges sur les réseaux sociaux et tous les documents échangés entre les élèves.
Les trois sociétés Bark Technologies, Gaggle.net et Securly Inc. ne partent pas de rien. L’IA est déjà utilisée pour détecter des signes montrant l’usage de drogues ou d’alcools, des phases de dépression ou de harcèlement numérique. Des systèmes existent pour signaler aux établissements ou même à la police des jeunes présentant des risques. L’un d’eux a été testé avant la tuerie de Parkland dans le cadre d’un programme pilote mené dans 25 établissements en 2017, il avait déjà permis d’éviter une fusillade.
De plus en plus d’établissements aux Etats-Unis se penchent sur l’IA et mettent la méthode à la disposition des familles. Ils utilisent l’IA pour scruter les réseaux sociaux et détecter des signes avant-coureurs de violence.
Le sujet est très sensible et s’immisce dans le débat politique. Après la tuerie de Parkland, Donald Trump avait mis en cause les jeux vidéo et convoqué l’Entertainment Software Association (ESA), l’organisation regroupant les entreprises de jeu vidéo aux Etats-Unis. Ce n’était pas le responsable des massacres. L’IA permettra peut-être d’affiner la détection de la violence.
La #NSA publie sous licence libre son outil de #rétro-ingénierie
▻https://www.linformaticien.com/actualites/id/51548/la-nsa-publie-sous-licence-libre-son-outil-de-retro-ingenierie.aspx
Profitant de la conférence RSA, la NSA a publié sous licence libre #Ghidra, son outil de reverse engineering. Disponible uniquement au téléchargement sur le site dédié de l’agence de renseignement américaine, son code source doit prochainement être publié sur GitHub (sans doute après en avoir effacé toute trace de backdoor, pour reprendre le calembour très en vogue sur les forums).
Cet outil, développé en Java et fonctionnant sous Windows, Linux et Mac OS, a reçu un accueil enthousiaste de la communauté des chercheurs en cybersécurité. Gratuitement mis à disposition, Ghidra vient fournir une suite d’outils (#décompilateur, #désassembleur) généralement vendus au prix fort par des sociétés telles que HexRay avec IDA Pro. Quoique Ghidra ne comprenne pas (pour le moment) d’outil de débogage.
Ghidra est disponible en téléchargement et prend la forme d’un ZIP à décompresser directement sur le disque. Aucune installation n’est requise, seul OpenJDK 11 ou ultérieur st nécessaire pour faire fonctionner le programme. En outre, la documentation fournie par la NSA, notamment sous forme de wiki, est particulièrement abondante, de l’installation du programme à l’utilisation d’extension.
Ce n’est pas la première fois que la NSA publie ses outils sous licence libre. Une trentaine de projets sont ainsi listés sur le site de l’agence. Laquelle obtient en retour de la communauté l’amélioration et la correction des bugs sur ses produits. Déjà au moins une faille, permettant une exécution de code à distance, a été découverte sur Ghidra… alors même que son code source n’a pas été publié.
Excel, de la photo au tableau
▻https://www.linformaticien.com/actualites/id/51523/excel-de-la-photo-au-tableau.aspx
Parmi la flopée de nouveautés qui arrive sur Excel, il en est une qui va changer la vie de tous les utilisateurs du tableur. Sobrement intitulé Insert Data from Picture, il permet par reconnaissance d’images d’extraire les informations contenues dans la photo d’un tableau pour les retranscrire dans un tableau Excel.
Annoncée à l’occasion de la dernière conférence Ignite, la fonctionnalité Insert Data from Picture débarque sur l’application Excel pour Android. Celle-ci permet de convertir les informations contenues dans un tableau pris en photo (donc une image) en données exploitable dans un tableau Excel. Plus besoin de devoir recopier un tableau de dizaines d’entrées dans un livre à la main.
« La nouvelle fonctionnalité de reconnaissance d’image convertit automatiquement l’image en un tableau entièrement modifiable dans Excel, vous évitant ainsi de devoir saisir manuellement des données » explique l’éditeur dans un post de blog. Si les OCR (optical character recognition, ou reconnaissance optique de caractères) n’ont rien de neuf, l’introduction de cette fonctionnalité dans le tableur est des plus appréciables.
Pour l’heure, Insert Data from Picture est disponible sur l’application Android Excel, et devrait l’être prochainement, en préversion, sur iOS. Autre nouvelle fonctionnalité, Excel va désormais pouvoir piocher en ligne certains types de données afin d’enrichir plus aisément les tableaux, à commencer par_ Geography_ (soit des données géographiques) et Stocks (données liées aux marchés financiers).
« En convertissant une liste de pays d’un classeur en entités "Géographie", les utilisateurs peuvent intégrer des données de localisation à une analyse de leurs propres données » écrit Microsoft. Superficie, nombre d’habitants, prix de l’action, valorisation : autant d’informations que cette fonction « types de données liés » obtient en un clic. Les types de données Stock_s et _Geography passeront en disponibilité générale le mois prochain.
L’informatique de la BNP tombe encore en panne
▻https://www.linformaticien.com/actualites/id/51117/l-informatique-de-la-bnp-tombe-encore-en-panne.aspx
A croire que les années impaires sont maudites pour la banque. En 2015 et 2017, ses sites étaient tombés en rade. La BNP commence 2019 sur les chapeaux de roues, avec un incident affectant non seulement ses sites et ses apps, mais aussi les opérations de paiement et de retrait par carte.
La journée d’hier fut particulièrement compliquée pour les clients de la BNP Paribas. Un grand nombre d’entre eux se sont plaints sur les réseaux sociaux de problèmes non seulement pour accéder aux sites Internet de la banque et à ses applications mobiles, mais aussi pour retirer de l’argent ou encore effectuer des achats. Selon certain témoignages, les DAB de la BNP eux-mêmes étaient hors service.
Sur Twitter, la BNP a prévenu, un peu tardivement aux yeux de ses clients, qu’un incident était effectivement en cours. Le problème a été résolu dans la soirée, la banque expliquant dans un autre tweet qu’il s’agit d’un « incident informatique interne survenu sur l’accès à nos sites et applications mobiles et certaines opérations de paiement et de retrait par carte ». Sa filiale en ligne Hello Bank a elle aussi été touchée par cette panne.
En l’absence de postmortem ou d’un minimum d’explications de la part de la banque, impossible pour l’heure de connaître avec exactitude l’origine de l’incident. On se rappellera qu’en juin 2017, la BNP avait connu un problème technique, en l’occurrence une panne DNS : le seul serveur gérant le nom de domaine de la banque étant tombé en rade. Cette panne faisait écho à une autre, similaire, survenue en 2015. Mais cette fois-ci, le problème semble plus grave puisque le système de paiement par carte bancaire à lui aussi été touché.
Panne chez BNP Paribas : un incident interne, pas une cyberattaque
▻https://www.latribune.fr/entreprises-finance/banques-finance/panne-chez-bnp-paribas-un-incident-interne-pas-une-cyberattaque-803199.htm
La banque, qui se montre peu disserte, affirme avoir subi une panne informatique dont l’ampleur reste difficile à évaluer. La non-disponibilité du réseau a concerné les clients particuliers et professionnels français, belges (Fortis) mais aussi ceux d’Hello Bank !, l’offre 100% en ligne de l’établissement bancaire. Elle a débuté mardi 8 janvier en fin de matinée et aurait été totalement résolue dans le courant de la soirée.
Le périmètre de la panne reste flou puisque ni le nombre de clients affectés, ni les produits concernés n’ont été communiqués par la banque. En France, l’établissement bancaire compte près de 7 millions de clients particuliers. Impossibilité d’effectuer un retrait, de payer en magasin ou encore de réaliser des opérations en ligne... « Le paiement par chèque fonctionne », a répondu le compte SAV à un client sur Twitter, s’attirant les sarcasmes des internautes. Sur les réseaux sociaux, de nombreux particuliers ont partagé leur mécontentement.
– Une attaque contre la démocratie (tiens ça me rappelle quelque chose…)
– L’usine à trolls du Kremlin, vous dis-je !
– Ah, ben non, c’est un lycéen vivant chez ses parents.
Un étudiant de 20 ans avoue la cyberattaque sur les responsables politiques allemands
▻https://www.linformaticien.com/actualites/id/51116/un-etudiant-de-20-ans-avoue-la-cyberattaque-sur-les-responsables-pol
Un jeune homme de 20 ans a avoué être l’auteur de la cyberattaque de grande ampleur en Allemagne, expliquant avoir agi pour protester conte les déclarations de responsables politiques et personnalités qui l’irritaient.
Ce piratage de grande envergure, révélé vendredi, a choqué le pays, nourrissant les spéculations selon lesquelles des services de renseignements étrangers pourraient être à la manoeuvre. La ministre de la Justice Katarina Barley avait même parlé « d’attaque contre la démocratie ».
Mardi, les autorités ont écarté à ce stade un lien avec l’extrême droite, envisagé au départ, ou avec une puissance étrangère, affirmant que le jeune homme avait agi seul.
Il s’agit d’un Allemand de 20 ans, encore scolarisé et vivant chez ses parents. Il a réussi à pirater et diffuser sur des comptes twitter des données confidentielles d’un millier de responsables politiques, dont la chancelière Angela Merkel, de journalistes et de personnalités publiques.
« Concernant son motif, il a dit avoir été agacé par des propos publics » de ses victimes, a expliqué Georg Ungefuk, porte-parole du département de lutte contre la cybercriminalité au parquet de Francfort lors d’une conférence de presse. Il n’a pas donné plus de détail.
Même si les élus du parti d’extrême droite Alternative pour l’Allemagne (AfD) sont les seuls à avoir été épargnés, « il n’y a aucun indice objectif laissant conclure à une motivation politique », a-t-il assuré.
Toutefois, c’est un élément « qui doit être éclairci », a souligné le ministre de l’Intérieur Horst Seehofer, lors d’une conférence de presse séparée à Berlin.
Le jeune homme a été interpellé dimanche à son domicile dans la région de Francfort. Mais son arrestation n’a été rendue publique que deux jours plus tard.
Il a reconnu les faits et a affirmé avoir agi seul, puis a été remis en liberté étant donné qu’il a pleinement coopéré avec la police et en l’absence de tout danger de fuite, ont indiqué les autorités.
Le « hacker », dont le cas relève de la justice pour mineurs, aurait acquis ses connaissances techniques par lui-même en passant « beaucoup de temps sur son PC », selon M. Ungefuk.
Via un compte Twitter @Orbit, désormais bloqué, il avait jour après jour diffusé les données de ses victimes en décembre, à la manière d’un calendrier de l’Avent dont il fallait ouvrir porte après porte pour accéder à l’information.
Les données dérobées se trouvaient dans des comptes sur les médias sociaux ou stockées dans le « _cloud ».
Fuite massive de données dans le monde politique allemand
▻https://www.linformaticien.com/actualites/id/51084/fuite-massive-de-donnees-dans-le-monde-politique-allemand.aspx
Stupeur au Bundestag. Des centaines d’hommes et de femmes politiques allemands, ainsi que quelques journalistes et artistes, ont vu certaines de leurs données personnelles être publiées sur Internet. Autour de l’identité des responsables et de la nature de la fuite, la confusion règne.
Que s’est-il donc passé outre-Rhin ? Entre début décembre et vendredi dernier, un mystérieux compte Twitter publiait quotidiennement diverses données personnelles de responsables politiques allemands, environ un millier, dont la chancelière en personne, Angela Merkel, mais aussi de plusieurs journalistes et artistes. Numéros de mobiles, documents professionnels variés et adresses mail font partie du lot.
Jeudi dernier, un article du [Bild] lançait l’alerte quant à ce compte qui, depuis un mois, faisait fuiter ces données. Néanmoins, d’autres quotidiens allemands rapportent que les autorités travaillaient depuis début décembre avec des députés affectés par la publication de leurs informations personnelles. Par ailleurs, difficile de savoir comment elles ont été obtenues : le BSI assure n’avoir aucune preuve d’une intrusion dans les systèmes gouvernementaux.
Le bureau fédéral en charge de la sécurité des systèmes d’information explique en outre enquêter aux côtés du Centre national de cyberdéfense, avec d’autres autorités fédérales. De même, les informations contenues dans ces documents révèlent, selon le journaliste de [Bild], des scandales de corruption. Certains de ses collègues pointent quant à eux l’absence de documents compromettants dans le lot des données publiées.
Le compte Twitter incriminé a été suspendu vendredi dernier, pour violations des règles du gazouilleur. Dans la foulée, la valse des attributions a commencé, certains pointant du doigt les Russes, et plus précisément le groupe de hackers APT. D’autres y voient la main d’un ou plusieurs militants de l’extrême droite allemande, dont le parti AfD est le seul à avoir vraisemblablement été épargné par la fuite.
USA : l’ingérence russe visait à inciter les Noirs à s’abstenir à la présidentielle
►https://www.linformaticien.com/actualites/id/51008/usa-l-ingerence-russe-visait-a-inciter-les-noirs-a-s-abstenir-a-la-p
L’agence Internet Research Agency (IRA), basée à Saint-Pétersbourg et considérée par la justice américaine comme une ferme à « trolls » payée par le Kremlin, a cherché pendant la campagne présidentielle à dissuader des franges de la population plutôt proches des démocrates, comme les jeunes, les minorités ethniques et la communauté LGBT, de voter, selon ces textes.
Elle a mis un accent particulier sur les électeurs noirs d’après l’analyse la plus complète à ce jour des milliers de messages et publications diffusés sur les réseaux sociaux par l’IRA, entre 2015 et 2017, menée conjointement par l’Université d’Oxford et des spécialistes des nouveaux médias Graphika.
L’autre rapport commandé par le Sénat a lui été élaboré par la compagnie New Knowledge et l’université de Columbia notamment.
L’IRA avait ainsi créé de nombreux comptes sous de faux profils américains destinés à la communauté noire. L’un d’eux, intitulé « Blacktivist », envoyait des messages négatifs sur la candidate démocrate Hillary Clinton, accusée d’être une opportuniste, seulement soucieuse de gagner des voix.
« Cette campagne visait à convaincre que la meilleure manière d’améliorer la cause de la communauté afro-américaine était de boycotter les élections et de se concentrer sur d’autres sujets », écrivent les auteurs du rapport.
Parallèlement, une partie des 3.841 comptes Facebook, Instagram, Twitter ou Youtube étudiés cherchait à pousser les électeurs blancs proches des républicains à participer au scrutin.
Initialement, les messages soutenaient les thèses républicaines - la défense du port d’armes ou la lutte contre l’immigration - sans citer de favori. Une fois que la candidature de Donald Trump a pris de la consistance, les messages de l’IRA lui ont été clairement favorables, selon cette étude.
Selon une étude du Pew Research Center, le taux de participation des électeurs blancs avait augmenté en 2016, alors que celui des Noirs, à 59,6%, était en recul de cinq points par rapport à 2012.
Plusieurs employés de l’IRA, financée par l’oligarque Evguéni Prigojine, ont été inculpés par la justice américaine pour ingérence dans l’élection de 2016.
La campagne de propagande a ensuite évolué pour se trouver une nouvelle cible après la victoire de Donald Trump : le procureur spécial Robert Mueller, chargé d’enquêter sur les soupçons de collusion entre l’équipe de campagne du républicain et la Russie, a indiqué lundi soir le Washington Post.
Des comptes alimentés par des Russes sur les réseaux sociaux ont ainsi partagé des publications affirmant que M. Mueller était corrompu, un post sur Instagram allant jusqu’à prétendre qu’il avait par le passé travaillé avec « des groupes islamistes radicaux ».
USA : l’ingérence russe visait à inciter les Noirs à s’abstenir à la présidentielle
►https://www.linformaticien.com/actualites/id/51008/usa-l-ingerence-russe-visait-a-inciter-les-noirs-a-s-abstenir-a-la-p
La campagne de propagande menée par la Russie sur les réseaux sociaux avant la présidentielle américaine de 2016 a tenté d’inciter les Noirs à s’abstenir de voter, avant de prendre le procureur spécial Robert Mueller lui-même pour cible après la victoire de Donald Trump, selon des rapports commandés par le Sénat.
L’agence Internet Research Agency (IRA), basée à Saint-Pétersbourg et considérée par la justice américaine comme une ferme à « trolls » payée par le Kremlin, a cherché pendant la campagne présidentielle à dissuader des franges de la population plutôt proches des démocrates, comme les jeunes, les minorités ethniques et la communauté LGBT, de voter, selon ces textes.
Elle a mis un accent particulier sur les électeurs noirs d’après l’analyse la plus complète à ce jour des milliers de messages et publications diffusés sur les réseaux sociaux par l’IRA, entre 2015 et 2017, menée conjointement par l’Université d’Oxford et des spécialistes des nouveaux médias Graphika.
L’autre rapport commandé par le Sénat a lui été élaboré par la compagnie New Knowledge et l’université de Columbia notamment.
L’IRA avait ainsi créé de nombreux comptes sous de faux profils américains destinés à la communauté noire. L’un d’eux, intitulé « Blacktivist », envoyait des messages négatifs sur la candidate démocrate Hillary Clinton, accusée d’être une opportuniste, seulement soucieuse de gagner des voix.
« Cette campagne visait à convaincre que la meilleure manière d’améliorer la cause de la communauté afro-américaine était de boycotter les élections et de se concentrer sur d’autres sujets », écrivent les auteurs du rapport.
Parallèlement, une partie des 3.841 comptes Facebook, Instagram, Twitter ou Youtube étudiés cherchait à pousser les électeurs blancs proches des républicains à participer au scrutin.
Initialement, les messages soutenaient les thèses républicaines - la défense du port d’armes ou la lutte contre l’immigration - sans citer de favori. Une fois que la candidature de Donald Trump a pris de la consistance, les messages de l’IRA lui ont été clairement favorables, selon cette étude.
Selon une étude du Pew Research Center, le taux de participation des électeurs blancs avait augmenté en 2016, alors que celui des Noirs, à 59,6%, était en recul de cinq points par rapport à 2012.
Plusieurs employés de l’IRA, financée par l’oligarque Evguéni Prigojine, ont été inculpés par la justice américaine pour ingérence dans l’élection de 2016.
La campagne de propagande a ensuite évolué pour se trouver une nouvelle cible après la victoire de Donald Trump : le procureur spécial Robert Mueller, chargé d’enquêter sur les soupçons de collusion entre l’équipe de campagne du républicain et la Russie, a indiqué lundi soir le Washington Post.
Des comptes alimentés par des Russes sur les réseaux sociaux ont ainsi partagé des publications affirmant que M. Mueller était corrompu, un post sur Instagram allant jusqu’à prétendre qu’il avait par le passé travaillé avec « des groupes islamistes radicaux ».
(source : AFP)
Un CR plus détaillé des 2 rapports avec lien vers les documents en pdf
►https://seenthis.net/messages/745180
Bof !
Voter, pour les noirs aux USA est déjà un exploit.
Pas besoin de les dissuader, le système électoral US est fait pour les en empècher
Suffit de lire les articles consacrés aux difficultés qu’ont les noirs américains, pour voter, publiés sur ce site.
A c’est vrai, c’est une occasion de parler des russes, pas des oligarques américains, capitalistes, des saloperies du FBI, de la NSA . . . etc.
Fake news : Twitter cherche la méthode
▻https://www.linformaticien.com/actualites/id/50103/fake-news-twitter-cherche-la-methode.aspx
Le fondateur et CEO Jack Dorsey reconnaît la difficulté à contrer les « fake news » et les contenus toxiques. Il explique que ses équipes travaillent dessus mais admet que le combat est difficile.
Les apparitions de Jack Dorsey à la télévision sont rares. C’est donc une belle performance que vient de réussir la chaîne de télévision CNN. On y voit un Jack Dorsey barbu qui explique la complexité à laquelle il doit faire face en matière de fake news ou de contenus « toxiques » (pornographie, incitations à la haine, soutiens aux actions terroristes,…).
Contrairement à d’autres, M. Dorsey s’exprime avec beaucoup de modestie. Il reconnaît notamment le rôle joué par la plateforme dans le monde politique et les vives controverses que cela crée. Cela est évidemment renforcé par la présence continue du président américain qui a fait de cette plateforme son principal vecteur de communication, parfois au grand dam du camp républicain ou de ses équipes au sein de la Maison Blanche.
« En douze ans, nous avons beaucoup changé mais nous n’avons pas changé les fondamentaux sous-jacents » affirme-il. Aujourd’hui, M. Dorsey veut repenser la manière dont les followers utilisent Twitter en se concentrant sur les sujets, les hashtags, plutôt que les gens.