• Automatisierte Scans : Microsoft sperrt Kunden unangekündigt für immer aus
    https://www.heise.de/hintergrund/Automatisierte-Scans-Microsoft-sperrt-Kunden-unangekuendigt-fuer-immer-aus-732

    Ton espace « cloud » chez les géants informatiques étatsuniens est systématiquement surveillé et scanné afin de savoir si tu respectes leurs règles. Dans l’article suivant on apprend que beaucoup d’innocents voient l’accès à leur « compte » coupé sans avertissement et sans dialogue après coup quand l’algorithme disjoncte. Ceci peut signifier â la fois la perte de tous les documents dans son « cloud », les investissements dans des logiciels vendus par les plateformes et l’accès aux données et logiciels sur son ordinateur personnel.

    En Allemagne il est possible d’entamer une procédure juridique contre ces abus. Les procédures durent jusq’à 7 ans car Microsoft fait systématiquement appel dans toutes les instances.

    Conclusion : Il vaut mieux sauvegarder ses donnés sur des disques ou NAS sur place. Les services « cloud » associatives et des entreprises de confiance sont également envisageables. Les ordinateurs Apple sont préférable au sytèmes Google et Microsoft, mais en utilisant l’iCloud on s’expose au mêmes risques. Avec Linux on possède un outil puissant pour échapper aux abus des géants de l’informatique. Enfin si on ne peut pas se passer de Windows 10/11 on ne devrait utiliser que des comptes locaux non connectés aus serveurs Microsoft.

    Le problème est encore plus grave pour les « smartphones » où seulement l’utilisation d’un clône libre d’android comme #GrapheneOS permet de créer un environnement de travail immunisé contre les abus des monopoles.

    En général il est conseillé de faire appel à un spécialiste de la sécurité informatique qui met en place un ensemble de mesures et configurations pour protéger l’indépendance informatique de ses clients.

    16.11.2022 - Greta Friedrich - Zack. Auf einen Schlag ist die digitale Identität von Malik weg. Wobei „weg“ es nicht trifft, Malik kann nicht mehr darauf zugreifen, sein Microsoft-Konto ist plötzlich gesperrt. Das bedeutet für ihn: Er ist abgeschnitten von seinen E-Mails, Kontakten und Kalendern bei Outlook.com. Er kommt nicht mehr an die OTP-Schlüssel, die er mit Microsoft Authenticator für andere Accounts generiert hat. Er muss seinen Laptop komplett zurücksetzen, da dieser mit BitLocker verschlüsselt ist und er den Wiederherstellungsschlüssel auf Anraten von Microsoft nicht lokal, sondern im Onlinekonto gespeichert hat. So kommt er nun nicht mehr an die Verschlüsselungscodes – lokale Dateien auf dem Laptop sind verloren.

    Große Plattformanbieter wie Google oder Microsoft sperren immer wieder ohne Vorwarnung Nutzerkonten. Viele Menschen zentrieren ihre gesamte digitale Identität bei einem Onlinedienst – ist das Konto verloren, ist auch die Identität weg. Grund für viele Sperrungen ist der Umgang der Plattformen mit dem Verdacht auf die Verbreitung von Kinderpornografie.

    Die Daten auf OneDrive sind zwar noch da, aber Malik, den wir hier auf seinen Wunsch nicht bei seinem echten Namen nennen, kommt nicht mehr an sie heran. Somit sind Fotos aus 13 Jahren, alle Arbeiten und Recherchen für sein laufendes Informatikstudium, Unterlagen für seine Arbeit als studentische Aushilfe in der IT-Branche und sensible Dokumente, die in OneDrives „Sicherem Tresor“ liegen, zumindest fürs Erste verloren. Auch in die Xbox-Bibliothek lässt Microsoft Malik nicht mehr hinein, seine Spiele für über 1000 Euro kann er vergessen. Ganz zu schweigen von der 400-Euro-Familienlizenz für Office 365, die jetzt nutzlos ist.
    Mehr von c’t Magazin Mehr von c’t Magazin

    Kurz vor der Sperrung hat Malik über den Microsoft-Account seine Fotosammlung in OneDrive sortiert, sonst ist nichts Besonderes passiert. Doch Microsoft begründet die Sperre so: „Wir haben Aktivitäten festgestellt, die gegen unseren Microsoft-Servicevertrag verstoßen.“ Dass hinter diesem nichtssagenden Satz ein Verdacht auf die Verbreitung von Kinderpornografie steckt, kann Malik nicht wissen. Er ist ratlos.

    Ähnlich geht es auch anderen Menschen: Foreneinträge und Hilfe-Artikel im Web weisen darauf hin, dass Konten bei Microsoft, Google, Amazon oder Apple nicht selten ohne Vorwarnung gesperrt werden. Dabei geben die Dienste oft keinen Grund an oder formulieren diesen für den Nutzer unverständlich. Die Support-Prozesse scheinen in solchen Fällen oft langsam und nicht zufriedenstellend zu verlaufen.
    Wichtige Gründe

    Jonas Kahl hat als Fachanwalt für Urheber- und Medienrecht häufig mit gesperrten Social-Media-Accounts zu tun. Einige Urteile aus diesem Bereich lassen sich seiner Einschätzung nach in Grundzügen aber auch auf andere Plattformen übertragen, etwa zwei Urteile des Bundesgerichtshofs (BGH) aus dem Jahr 2021 (Az. III ZR 179/20 und III ZR 192/20). Darin lege der BGH Bedingungen fest, unter denen ein soziales Netzwerk einen Account oder weitere Beiträge sperren darf. „Demnach muss das soziale Netzwerk vor einer Sperrung den Account-Inhaber über die beabsichtigte Sperrung informieren und ihm Gelegenheit zur Stellungnahme geben. Erst dann darf der Plattformbetreiber über die Sperrung entscheiden. Wird dieses Prozedere nicht eingehalten, ist die Sperrung bereits aufgrund eines Formfehlers rechtswidrig“, erklärt Kahl.

    In manchen Fällen jedoch brauche es keine vorherige Abmahnung des Nutzers, sagen Sebastian Laoutoumai und Oliver Löffel, die als Fachanwälte für gewerblichen Rechtsschutz regelmäßig Inhaber gesperrter Accounts vertreten. Nach deutschem Recht sei ein Nutzerkonto bei einem Onlinedienst wie etwa Google oder Microsoft ein „Dauerschuldverhältnis“. Wird das Konto sofort gesperrt, sei das „rechtlich gesehen die Kündigung des Dauerschuldverhältnisses ohne Einhaltung einer Kündigungsfrist“, so Laoutoumai und Löffel. Das sei nur aus einem wichtigen Grund rechtlich möglich, den das Bürgerliche Gesetzbuch in § 314 Absatz 1 Satz 2 definiere – die Bewertung hänge stets vom Einzelfall ab.

    Ein solch wichtiger Grund, so die Anwälte, sei zum Beispiel die Verbreitung von Kinder- oder Jugendpornografie: Ein dafür genutztes Konto „darf sofort und dauerhaft deaktiviert werden. So etwas rechtfertigt unter Abwägung der beiderseitigen Interessen die sofortige Kündigung des Nutzungsvertrages“, stellen Löffel und Laoutoumai klar. Besonders wichtig an dieser Stelle: Ein begründeter Verdacht des Onlinedienstes reiche bereits aus.
    Post nach einem Jahr

    Dass sein Konto im Sommer 2020 aufgrund eines solchen Verdachts gesperrt worden war, erfuhr Malik erst über ein Jahr später, als ihm eine polizeiliche Vorladung ins Haus flatterte. Die Polizei befragte ihn und konfrontierte ihn mit dem Verdacht, er habe kinderpornografisches Material zu OneDrive hochgeladen. Doch bei den fraglichen Bildern handelte es sich um eine harmlose Fotoserie von Maliks Neffen, der nackt am Strand spielt und badet.

    Die Urlaubsbilder hatte Maliks Schwester mit seinem Handy gemacht, weil dessen Kamera besser war als die ihres eigenen Smartphones. Die Fotos waren dann automatisch zu OneDrive geladen worden, ohne dass Malik dies bewusst war. Dort hatte offensichtlich ein automatischer Inhaltescanner von Microsoft die Bilder entdeckt, als verdächtig eingestuft und sie an die Behörden weitergeleitet.

    Nun tappte Malik über ein Jahr lang im Dunkeln und durchlief den Support-Prozess, den Microsoft in der Fehlermeldung auf der Anmeldeseite anstößt. Die verlinkte Support-Website empfängt Betroffene mit warmen Worten ("Wir wissen, dass das Sperren Ihres Kontos frustrierend sein kann, und wir entschuldigen uns für die Unannehmlichkeit") und verweist auf ein verlinktes Formular. Damit das gesperrte Konto und der Grund für die Sperrung geprüft werden könnten, müsse der Nutzer es ausfüllen.

    Das hat Malik bis heute etliche Male getan. Als Antwort auf das Formular bekommt er stets eine Mail von Microsoft, die auf Deutsch oder Englisch so oder ähnlich lautet: „Microsoft hat den Zugriff auf das Konto aufgrund eines schwerwiegenden Verstoßes gegen die Microsoft Services Agreement [sic!] deaktiviert.“ Gegen welchen Teil des Servicevertrags Malik verstoßen hat, erklären die Mails nicht.

    Dienste sind berechtigt, Konten zu sperren

    Unter „Verhaltensregeln“ listet der umfangreiche Vertrag mehrere Handlungen auf, die Nutzer unterlassen müssen. Darunter findet sich neben Phishing-Attacken und dem Versand von Spam auch „jede Handlung, die Kinder ausnutzt, Kindern schadet oder zu schaden droht“. Verboten ist es auch, „unangemessene Inhalte oder anderes Material (das z. B. Nacktdarstellungen, Brutalität, Pornografie […] oder kriminelle Handlungen zum Inhalt hat) zu veröffentlichen oder über die Dienste zu teilen“.

    Im Abschnitt „Durchsetzung“ erklärt Microsoft, bei einem Verstoß gegen die Regeln sei der Dienst „berechtigt, Schritte gegen Sie [den Nutzer] einzuleiten; dazu gehört, dass wir die Bereitstellung der Dienste einstellen oder Ihr Microsoft-Konto aus wichtigem Grund fristlos schließen […] können.“ Außerdem behält sich Microsoft vor, Nutzerinhalte zu überprüfen, um vermutete Verstöße gegen die Bestimmungen zu untersuchen. Auch andere große Anbieter von Clouddiensten, etwa Google, Amazon, Apple und Dropbox, dürfen laut ihren Vertragsbedingungen im Zweifel Konten sperren.
    KI-Scans gegen Kindesmissbrauch

    Um sexuellem Missbrauch von Kindern vorzubeugen oder ihn aufzudecken, scannen viele Plattformen die Inhalte ihrer Nutzer, etwa Google, Microsoft und Meta. Sie nutzen Algorithmen und maschinelles Lernen, um bereits bekannte Bilder zu finden und auch neue zu erkennen. Die US-amerikanischen Dienste senden ihre Funde an das National Center for Missing and Exploited Children (NCMEC), wo sie mit einer Datenbank abgeglichen werden.

    Das NCMEC leitet die Verdachtsfälle an Strafverfolgungsbehörden weiter, auch international. Immer wieder gibt es dann Fälle wie den von Malik: Im August 2022 wurde etwa bekannt, dass zwei Familienväter in den USA ihre Google-Accounts verloren hatten und gegen die Männer ermittelt wurde. Beide hatten zuvor jeweils Fotos des Genitalbereichs ihres Sohnes an Ärzte geschickt. Die Handys luden die Bilder automatisch in Google Drive, wo Google sie als kinderpornografisches Material einstufte. Auch die Cloud-Inhalte von Malik wurden offensichtlich gescannt, die Algorithmen erkannten auf einigen Fotos ein nacktes Kind und schlugen Alarm, Microsoft sperrte das Konto.

    Wir haben die Plattformanbieter Microsoft, Amazon, Google und Apple gefragt, was Nutzer tun können, deren Konto plötzlich gesperrt wurde. Google und Apple reagierten auch auf Nachfrage nicht. Die Pressestelle von Microsoft verwies lediglich auf die Nutzungsbedingungen und erklärte, Microsofts „Online Safety Support Agents“ würden solche Fälle prüfen und das Konto gegebenenfalls wiederherstellen. Für Amazon erklärte ein Sprecher, von einer Kontensperre betroffene Kunden sollten sich an Amazon wenden, damit das Konto geprüft werden könne.

    Anwaltliche Abmahnung kann helfen

    Die Anwälte Sebastian Laoutoumai und Oliver Löffel empfehlen allen, die bei einem Online-Dienst ohne nachvollziehbaren Grund gesperrt wurden, den Dienst sofort abzumahnen, am besten auf Englisch. Reagiere der Dienst darauf „nicht oder nicht wie gefordert“, könne man in Deutschland eine einstweilige Verfügung gegen die Sperrung des Kontos beantragen. Diese werde „regelmäßig auch erlassen“, so die Anwälte. „Damit wird dem Online-Dienst unter Androhung einer Strafe bis zu 250.000 Euro verboten, das Konto – aus bestimmten Gründen beziehungsweise ohne Gründe zu nennen – zu sperren.“

    Malik wandte sich in seiner Verzweiflung an Martin Geuß, der auf seinem Blog „Dr. Windows“ mehrfach über ähnliche Fälle berichtet hatte. Einigen Betroffenen hatte Geuß sogar helfen können, ihr Konto wieder zu öffnen – doch bei Malik bemühte er sich vergebens. Der Support erklärte, dass die Sperre unumkehrbar sei, da es sich um einen „besonders schweren Verstoß“ handele, eine Reaktivierung des Kontos sei deshalb „endgültig ausgeschlossen“.

    Windows-Experte Geuß kritisiert im Zusammenhang mit gesperrten Microsoft-Konten die automatische Upload-Funktion von OneDrive: Direkt nach der Anmeldung in einem Microsoft-Konto dränge sich OneDrive auf und wolle private Daten „schützen“. Das zustimmende „Weiter“ sei vorausgewählt – wer „zu schnell auf ’Enter’ drückt, beamt seine private Fotosammlung schneller zu OneDrive, als er gucken kann.“ Auch der Windows-Virenscanner schubst Nutzer in Richtung Microsoft-Konto und OneDrive: Er warnt so lange mit einem gelben „Achtung“-Symbol, bis der Nutzer sich OneDrive „für die Wiederherstellung von Dateien“ einrichtet und sich bei Microsoft anmeldet – „für erweiterte Sicherheit und andere Vorteile“.
    Auch der Windows-Virenscanner möchte gern, dass Nutzer sich ein Microsoft-Konto anlegen und OneDrive nutzen.,

    Auch der Windows-Virenscanner möchte gern, dass Nutzer sich ein Microsoft-Konto anlegen und OneDrive nutzen.

    „Bogen um Microsoft machen“

    Die Erfahrungen von Geuß bestätigt auch Günter Born auf „Borns IT- und Windows-Blog“. Microsoft bringe seine „Online-Konten wie Sauerbier unter die Leute“. Dass der Dienst sich dabei mit dem Servicevertrag absichere, sei völlig in Ordnung – nur müsse es dann auch eine funktionierende „Disput-Regelung“ geben und gesperrte Nutzer müssten ihre Inhalte sichern dürfen, so Born. Er rät sogar, wer „noch alle Tassen im Schrank“ habe, solle „einen hohen Bogen um Microsoft Konten und […] Windows 10“ machen. Bei Malik ist es dafür zu spät.

    Er hatte sich schon mit seinem Schicksal abgefunden, als die Situation unverhofft eskalierte: Im Oktober 2021, fast 15 Monate, nachdem sein Konto gesperrt worden war, bekam Malik Post von der Kriminalpolizei. Die Vorladung wegen des Verdachts von „Verbreitung, Erwerb, Besitz und Herstellung kinderpornografischer Schriften“ liegt c’t vor. Darin heißt es, Malik stehe im Verdacht, zu einem genau benannten Zeitpunkt bei OneDrive „kinderpornografische Inhalte geladen/hochgeladen zu haben“.

    Gegen ihn lief nun also ein Ermittlungsverfahren, er sollte als Beschuldigter vernommen werden. Ein Foto in OneDrive hatte zu der Sperre geführt – als Malik damals seine Bilder umsortiert hatte, hatte er anscheinend eine automatische Prüfung ausgelöst. Die polizeiliche Vorladung war ein Schock und belastete Malik psychisch enorm.

    Zwar waren in Maliks OneDrive-Cloud tatsächlich Bilder gespeichert, die Nacktheit zeigten, eben seinen nackten Neffen – das hatte der Algorithmus von Microsoft erkannt. Also hatte Malik gegen den Servicevertrag verstoßen und die Sperrung war gerechtfertigt, obwohl er die Bilder nicht bewusst hochgeladen hatte. Doch konnte Malik die Polizei in der Befragung von seiner Unschuld überzeugen, was den Kinderpornografie-Verdacht betrifft. Das Verfahren wurde eingestellt.

    Unschuldig und trotzdem ohne Konto?

    Trotzdem scheint es keine Möglichkeit zu geben, Maliks Microsoft-Account zu reaktivieren – bezahlte Software, teure Spiele und all die Daten in der Cloud sind außerhalb seiner Reichweite. Menschen, die zu Unrecht von einem Dienst gesperrt werden, hätten aber durchaus Aussichten, ihr Konto wiederzubekommen, so Anwalt Jonas Kahl. Dafür müssten sie juristisch gegen die Sperre vorgehen, viele Dienste würden auch schon nach einer anwaltlichen Abmahnung den Account wieder freigeben. Klappe das nicht, seien die Chancen in einem gerichtlichen Verfahren trotzdem gut.

    Dem stimmen die Anwälte Sebastian Laoutoumai und Oliver Löffel zu: Wer grundlos gesperrt wurde, könne sein Konto in Deutschland über ein zivilrechtliches Eilverfahren entsperren, die Aussichten auf Erfolg seien gut. Blog-Autor Martin Geuß hat im Herbst 2020 mit Marcus Werner über die Kontensperren gesprochen, der Fachanwalt für IT-Recht sowie für Handels- und Gesellschaftsrecht ist. Werner warnte, dass „Verfahren gegen Konzerne wie Microsoft […] immer bis zum BGH“ gehen, sodass sie drei bis sieben Jahre dauern könnten, abhängig davon, wie komplex der jeweilige Fall sei. Voraussetzung für den Erfolg vor Gericht ist aber die Unschuld des Nutzers.

    Wenigstens die Daten retten – aber besser vorbeugen

    Jonas Kahl sieht auch in einem Fall wie dem von Malik etwas Hoffnung, die bei einem Dienst gespeicherten Daten zurückzubekommen. Nach Artikel 20 Absatz 2 der DSGVO habe man „Anspruch auf Datenportabilität, also ein Recht, seine eigenen Daten zu erhalten und sie für eigene Zwecke bei einem anderen Dienst verwenden zu können. In der Praxis scheitert das aber noch oft an der praktischen Umsetzbarkeit.“

    Bezüglich erworbener digitaler Inhalte, wie Apps, Spiele, E-Books oder Abos, hat das Oberlandesgericht Köln im Jahr 2016 ein Urteil gesprochen: „Die Möglichkeit, entgeltlich erworbene Nutzungsrechte entziehen zu können, stelle [demnach] per se eine unangemessene Benachteiligung des Kunden dar“, fasst die Verbraucherzentrale NRW zusammen. In dem Prozess ging es um eine Klausel in den Nutzungsbedingungen von Amazon.

    Um einer plötzlichen digitalen Auslöschung vorzubeugen, gibt es mehrere Möglichkeiten – aber leider keine zufriedenstellende, ganzheitliche Lösung. Um Datenverluste zu vermeiden, ist es ratsam, von Cloud-Inhalten stets ein lokales Backup zu haben, was den Sinn einer Cloud teils ad absurdum führt. Auch ein Passwortmanager ist hilfreich, um nicht von Diensten wie Microsofts Authenticator abhängig zu sein. Eine Mailweiterleitung kann dabei helfen, trotz eines gesperrten Mailkontos seine E-Mails zu bekommen.

    Der wichtigste Tipp ist aber, seine digitale Identität auf mehrere Anbieter aufzuteilen. Also zum Beispiel ein Mailpostfach bei einem Provider zu haben, eine Cloud bei einem anderen Anbieter, außerdem eine eigene E-Mail-Adresse, um sich bei sozialen Netzwerken oder kleineren Konten anzumelden sowie einen Account bei einem Dienst, über den man Apps oder Spiele kaufen kann. Diese Aufteilung ist zwar deutlich weniger komfortabel, als alles bei einem Anbieter zu speichern, zu kaufen und abzuwickeln. Doch sie schützt davor, mit nur einem Foto seine gesamte digitale Identität zu verlieren.

    #Microsoft #surveillance #sécurité

  • CLI install guide | Install | GrapheneOS
    https://grapheneos.org/install/cli

    J’ai enfin identifié et testé une solution qui libère les utilisateurs d’Android OS de l’espionnage par Google. #GrapheneOS est un dérivé du système d’exploitation auquel son développeur a ôté tous les éléments qui nous espionnent. Il a également modifié l’OS afin de le sécuriser contre les attaques au niveau de la gestion de la mémoire. Avec cet OS je peux enfin choisir librement mes serveurs DNS et désactiver la caméra, le microphone et le gyroscope. Le site de GrapheneOS explique tout dans le détail.

    Il y a deux conditions sine qua non pour le choix d’un système sécurisé : Il ne doit pas être compliqué et ne doit pas coûter trop cher. GrapheneOS s’installe sur des téléphones à partir de € 300,00.

    L’installation de GrapheneOS n’est pas compliquée. Il suffit et il est hautement recommandé de suivre exactement les indications du guide d’installation officiel. La procédure m’a pris deux heures alors que je me suis permis quelques erreurs qui m’ont obligé à recommencer des étapes.

    Le système est solide dès son installation.

    Après une heure additionnelle pour installer Signal puis par le service F-Droid Tor, K-9 Mail, SimpleCalendar et DavX je dispose de tout dont j’ai besoin en matière de communication pour vivre et travailler.

    Côté sécurité je me sens beaucoup mieux car j’ai considérablement réduit ma surface vulnérable. Je m’expose encore aux tiers par les interfaces suivants :
    – Mon fournisseur de télécommunication et FAI sait avec qui je téléphone (apart les appels par Signal) et connaît le relais près duquel je me trouve. Je peux me rendre invisible en désactivant la carte SIM.
    – Je m’expose à l’interception des communications avec mes serveurs mail, webdav et webcal, mais le contenu des transmissions est chiffré. Pour moi c’est un degré de sécurité suffisant.
    – Lors ce que je visite un site web je m’espose aux risques habituels. Le brouteur web de GrapheneOS Vanadium me protège mieux qu’un Firefox avec ses plugins, mais le brouteur du Tor project est à préférer.
    – Je dois toujours faire confiance aux auteurs et distributeurs des logiciels que j’utilise. Il est donc essentiel de n’installer qu’un nombre restreint d’applications afin d’être en mesure de vérifier leur fiabilité et suivre le développement des équipes à l’oeuvre.

    Comme toujours on n’échappe pas aux inconvéniants d’un niveau de sécurité amélioré.

    – Il y a ni Google maps ni les services divers que le géant du web utilise comme appât. Je m’en passe aisément en n’allumant mon autre smartphone avec les apps achetés dans le play store qu’en cas de besoin absolu et immédiat.
    – GrapheneOS ne s’installe que sur des téléphone Pixel 3 - 6. C’est également un avantage car le développeur de GrapheneOS publie des mises à jour de l’OS immédiatement après leur publication pour Android.
    – Il est n’est jamais complètement exclu qu’un spécialiste installe sur notre téléphone des logicients parasitaires pour nous espionner. Pour rendre se type d’attaque anodine on peut toujours acheter un téléphone Pixel auprès de l’entreprise Nitrokey. Ils enlèvent des téléphones la caméra, le microphone et le gyroscope afin dobtenir un niveau de sécurité maximal.

    Ces appareils modifiés sont trop chers pour mes besoins, alors je me contente de téléphones dans leur état original.
    Voici quelques liens pour faciliter l’installlation de GrapheneOS

    https://en.wikipedia.org/wiki/GrapheneOS

    Liste de compatibilité et images d’OS
    https://grapheneos.org/releases

    OEM unlock - Google Pixel Community
    https://support.google.com/pixelphone/thread/43745215/oem-unlock?hl=en

    How to unlock the bootloader on Google Pixel 3 and 3 XL
    https://www.getdroidtips.com/unlock-bootloader-pixel-3-3-xl

    Simple Calendar
    https://alternativeto.net/software/simple-calendar/about

    Nitrophone
    https://shop.nitrokey.com/de_DE/shop

    #Android #sécurité #internet #FLOSS #open-source