Newsletter 47/x

Bonjour,

Visiblement les produits Nest sont de plus en plus sécurisés, avec des identifications à plusieurs facteurs (entre autres), ce sont pourtant des produits Google, et personnellement je m’en méfierai toujours, surtout pour ce qui est de la domotique.

Petite présentation d’un logiciel que je ne connaissais pas : Ace Locker, qui a l’air pas mal du tout. Aucune idée s’il est adoubé par la CNIL et l’ANSSI (pas sur mais ce n’est de toute façon pas une prérogative, sauf si vous travaillez exclusivement avec des outils certifiés), ses promesses sont déjà pas mal pour une utilisation « classique ».

Un long, très long, mais très complet, article du cite malekal (encore), cette fois-ci pour à peu près tout savoir sur les règles dynamiques de Ublock origin, que vous utilisez tous, du moins je l’espère.

Il n’y a pas que la Quadrature et les « gauchistes de l’internet » qui s’inquiètent des conséquences de la loi Avia, cela va jusqu’à la célèbre Electronic Frontier Fondation qui aide les Sages de Conseil Constitutionnel pour prendre sa décision finale.

Les nouvelles règles de programmation en C sont disponibles ici, et elles sont éditées par l’ANSSI. Il est à noter qu’on parle de plus en plus du langage Rust pour « remplacer » le quelque peu vieillissant C, mais pour l’instant ce n’est pas encore sur toutes les lèvres.

Pour ceux qui voudraient se reconvertir en cybersec, un très bon article sur medium, centré sur les USA, mais qui donne énormément de ressources et permet de se poser les bonnes questions. Et de toute façon, l’article vaut le coup rien que pour les ressources de formation qu’il donne (toujours en anglais par contre).

Toujours en anglais, une belle liste de définition relatives à la cybersécurité. Mieux vaut être reposé pour lire tout ça, voire en faire des fiches traduites, ce qui serait le mieux, faudrait que je le fasse tient si ça intéresse des gens d’en avoir une version condensée et en français.

Et plutôt que de vous saouler avec des articles et des news sur StopCovid (je continuerai à relayer les articles intéressants, souvent de NextInpact d’ailleurs), je vous conseille de suivre ce compte sur twitter assez passionnant et mesuré sur beaucoup de sujet qui nous intéressent ici.

Et au moins un truc drôle, une antenne de la police américaine met en place une plateforme pour la dénonciation des manifestants lors des derniers jours d’émeutes et manifestation aux USA. Ben des gens ont saturé cette plateforme à grand coup de K-pop, visiblement la délation ne plait pas à tout Internet.

C’est tout pour moi, à bientôt.

Newsletter 46/x

Bonjour,

Vous avez surement tous vu passer ça : Twitter a, en quelque sorte censuré, ou du moins annoté un post du Donald Trump. Deux choses : il est plutôt bien que ce genre de grandes plateformes se rendent compte de la violence de certains discours (ici celui du président des Etats Unis), mais comme Trump l’a remarqué, et pour une fois il a raison, c’est la première fois que des grandes entreprises comme ça on un tel pouvoir, son décret est politique et pas vraiment effectif mais il pose les bases d’une remise en cause à la fois des politiques mais aussi des plateformes. En quelque sorte les deux acteurs twitter et trump on mis les pieds dans un plat qui leur est présenté depuis longtemps par de nombreuses associations.

Même si HackerOne a le vent en poupe(100 millions de dollars de récompense sur la plateforme) et regroupe de plus en plus de hacker et génère de plus en plus de profit, cet article note que le recours aux hackers éthiques n’est toujours pas rentré dans les mœurs et que le hacker à capuche fait encore et toujours peur, même en 2020.

Le nouveau MISC est sorti et il fait la part belle aux outils python pour l’exploitation et la recherche vulnérabilité. En-joie !

C’est tout pour moi, à bientôt.

Newsletter 45/x

Bonjour,

Petite étude intéressante inter-européenne sur les pratiques de sécurité des européens en terme de télétravail. Finalement on ne peut pas dégager de grandes tendances sur « tel peuple serait plus discipliné qu’un autre », les pratiques sont différentes, et quelque part tant mieux. L’idéal serait de prendre les meilleurs côtés de chaque population. Alors on continue de se former et d’être à l’écoute, parce que la sécurité et le télétravail c’est une histoire qui commence à peine.

Un article intéressant mi-journaliste, mi-témoignage sur la surveillance au boulot, ou du moins en télétravail. A la fois glaçant et pas tellement étonnant.

Pas d’bol, le Conseil d’Etat interdit les drones de surveillance pour la phase de déconfinement. Le but était de surveiller les déplacement (entre autres) des gens pour éviter une deuxième vague et le respect des gestes barrières. Visiblement ça contrevient à des libertés individuelles (nooon vous croyez ?). C’est une première victoire, on verra pour la suite.

Vous retrouverez la saisine du conseil constitutionnel en cliquant ici, en rapport à la loi Avia. On reste connecté sur le futur de cette loi qui, on l’espère, ne sera jamais vraiment appliquée…

Pour du plus technique vous trouverez une petite intro aureverse engineering avec Ghidra ici , et un petit guide de social engineering ici.

Article passionnant et qui donne énormément de billes sur le sujet de la surveillance qui risque d’émerger après le Coronavirus, notamment des livres à lire, et surtout un questionnement qui émerge déjà depuis de nombreuses années : Ou placer la limite entre liberté et sécurité ?

Si vous êtes passé à côté, je vous conseille cette série de Arte sur les objets connectés. Rien de révolutionnaire, mais très ludique et fun comme contenu avec pourtant un fond assez terrifiant comme vous le savez déjà.

Petite victoire de la quadrature du net sur Hadopi. En effet, les données que recueillait Hadopi étaient visiblement en trop grand nombre et surtout pas tellement Constitution compliant. Du coup perte de pouvoir de cette dernière. Même si elle compte faire appel de cette décision, il semblerait que ce soit le chant du cygne pour cet organe étatique et qu’il devrait sous peu fusionner avec le CSA qui hérite de pas mal de pouvoir relatifs à Internet. A suivre.

Dans la catégorie victoire, il y a aussi celle sur les drones de la police pour le déconfinement. Eh oui, vu qu’ils pouvaient enregistrer des visages (beaucoup) et les filmer, eh bien pareil, ça tombe sous le coup de la loi. Tant pis pour ceux qui rêvait d’une flotte de surveillance dans nos grandes villes, il faut se tourner vers l’humain.

Après étude approfondie la CNIL valide l’application StopCovid, vous pouvez lire un résumé du compte rendu ici, et globalement leur avis a l’air assez neutre et intelligent. Même si des questions demeures sur son utilité réelle et si toutes les promesses seront tenues.

Chez les voisins allemands, la surveillance de l’Internet par les services de renseignement est jugée anticonstitutionnelle. Bien qu’il existe des sortes de « dérogations » mais encadrées assez sévèrement. Ce qui, selon moi, devrait être la norme. On ne surveille pas sans autorisation.

C’est tout pour moi, à bientôt.

Newsletter 44/x

Bonjour,

Intéressant article sur les devices Ring de chez Amazon qui commencent à pulluler aux USA, merci à Amazon d’équiper la police, qui elle équipe certaines zones. Le tout étant hébergé entre chez la police et chez AWS, génial hein ? Mais attendez il y a mieux, étant donné que les développeurs de chez Amazon sont la plupart blancs, cette technologie n’est pas encore bien adaptée aux visages noir (on parle d’algorithmes « racistes ») et devinez ou sont installés en priorités ces petits appareils miraculeux ?

Finalement c’est non pour la prolongation du test pour les boites noires du renseignement français. Le sénat a tranché et dit non. Pour rappel, ces boites noires permettaient, ou auraient permis de détecter à l’aide d’algorithme des potentiels foyers de terrorisme (oui c’est peu clair c’est bien pour ça que c’est soumis à débat parlementaire en temps normal).

Dans les mauvaises nouvelles,on a une attaque sur une entreprise gérant une partie du parc électrique de Grande-Bretagne. Rien de très très grave vu que le coeur du système n’est pas atteint, mais la plupart des employés ne peuvent plus travailler vu que les ordinateurs sont pour le moment HS. Et tout ça à cause d’un VPN pas mis à jour. Bien joué.

Article intéressant sur un malware assez coriace que vous avez peut être croisé :Ramsay qui apparemment est assez puissant et permet de faire pas mal de trucs sur vos machines si tant est que vous ayez été infecté.

Je vous conseille cet excellent mais long article sur « celui qui a sauvé Internet » en stoppant Wannacry. Petit résumé sur NextInpact et long papier sur Wired en lien dans le résumé.

Article (payant) sur la loi Avia votée cette semaine et qui entre en vigueur début Juillet. On a déjà beaucoup parlé de cette loi et vous retrouverez pas grand chose de nouveau à part un super résumé. Sachez déjà que le groupe LR du parlement a saisi le Conseil Constitutionnel.

Spécial Covid :

• Une news que je ne vais pas forcément commenter : La RATP va mettre en place une reconnaissance faciale pour étudier le port du masque à la Station Châtelet.
• L’INRIA publie une partie du code source de StopCovid, mais il manque des bouts. Finalement la transparence c’est pas pour de suite de suite. Attention, il ne manque pas que des bouts au niveau sécurité et critique hein…

C’est tout pour moi, à bientôt.

 

Newsletter 43/x

Bonjour,

On s’en doute, mais les smartphones Xiaomi sont des « Backdoor en forme de smartphone » visiblement ils envoient beaucoup de choses, en clair, et pas forcément pour rendre le monde meilleur…Un papier un peu plus fouillé dans le monde de l’informatique.

Vous retrouverez ici le dernier épisode du comptoir sécu avec le retour d’un RSSI sur son boulot. Toujours intéressant de confronter les points de vue.

Très court article pour présenter l’utilisation de la vidéosurveillance en Allemagne. Très peu de photos dans la BDD, mais de plus en plus de requêtes et de plus en plus ciblées.

Une nouvelle faille zeroday sur iOs, cette fois-ci pas très « grave » mais tout de même assez pour attendre un correctif qui ne devrait tarder. Pas de droit d’accès root ou kernel, juste un décloisonnement entre les applis qui permet de récupérer pas mal de données tout de même.

Chouette article relatant la rencontre (virtuelle) avec des pirates iraniens, pas mal pour jeter un oeil dans ce petit milieu et casser quelques images qu’on pourrait avoir sur eux.

Pour ceux sous LineageOS pensez à mettre à jour, petite faille pas bien grave mais qui peut finir par l’être.

Visiblement des chercheurs pensent avoir trouvé la solution pour détecter la criminalité dans les visages. L’étude n’est pas encore parue et ils ont retiré leur annonce tonitruante, on attend la publication complète de l’étude chez Springer avec beaucoup d’impatience.

Les boites noires du renseignement français ont de beaux jours devant elles. Avec des dispositions au niveau de la loi et des petits arrangements, merci l’urgence terroriste et sanitaires, elles restent d’actualité sans vraiment d’évaluation de leur utilité quant à ce pourquoi elles ont été mise en place. Rendez vous en 2021.

La surveillance par drone est pour l’instant validée, et sous bien des aspects. Pourtant elle pose encore énormément de problèmes et de questionnement juridique autant au niveau de la surveillance directement que des différentes réglementations en vigueur au sujet des drones en général. Pour rappel 650 drones ont été commandés dernièrement par la police.

Des revendeurs de bases de données arrêtés en Pologne et en Suisse. Beau coup de filet et article intéressant sur le fonctionnement de ces groupes, court mais à lire.

Stop Covid :

• Dans les îles ça s’organise et on a déjà un simili StopCovid qui tourne. Vous connaissez déjà mon avis dessus. D’autant qu’il y a de grande chance que ça dérape. Wait and see donc.
• Léger résumé du rapport parlementaire relatif à stopcovid qu’il est intéressant de connaitre pour savoir de quoi on parle.
• L’INRIA plaide pour un modèle centralisé quant au contact tracing. Analyse intéressante mais en prenant le parti de la confiance dans l’Etat, ce qui n’est pas recevable pour les défenseurs du décentralisés. Modèle décentralisé ou le risque est quand même fort (malveillance des utilisateurs et possible captation de beaucoup d’informations par la police). En bref pas de réponse, mais de nouvelles informations.
• Le COVID fait tout de même des heureux, on recense plus de 26000 url et autres noms de domaines surfant sur ce thème pour des fins malveillantes.
• En accès libre, vous retrouverez le projet de loi sur l’état d’urgence sanitaire (validé jusqu’ici par la CNIL) commenté ligne par ligne par NextInpact. Toujours de grande qualité je recommande plus que chaudement.
• Les agences de cybersécurité anglaises et américaines alertent sur des attaques d’assez haut niveau sur des laboratoires travaillant sur le COVID, on retrouve les mêmes suspects : Iran et Russie entre autres. Et on a un petit rappel des méthodes d’attaques qui peuvent subvenir sur ce genre de postes et les moyens de s’en prémunir au mieux.

 

C’est tout pour moi, à bientôt.

NEWSLETTER 42/x

Bonjour,

Visiblement la fraude à la nigériane, connu de tous du moins je l’espère, aurait couté 26 milliards à ce jour.

Ah tiens,nouvelle grosse fuite mais chez les lecteurs du Figaro cette fois-ci.

Pour ceux ayant une micro-entreprise, ces conseils (simples mais efficaces) peuvent être intéressant, même pour un rappel.

Spécial Covid :

• Le creis terminal met à disposition son guide de survie sur Internet gratuitement, disponible ici.
• Numerama sort un article pas inintéressant sur les limites du traçage de la population française avec la fameuse application. En résumé : les pays l’ayant utilisé n’ont pas eu une meilleure gestion de l’épidémie que sans, principalement à cause d’autres problèmes techniques. Notamment le fait que l’application ne tourne pas en fond, qu’il faut alors jouer le jeu et mettre à jour régulièrement son application. D’autre part il faut compter sur l’illectronisme, le fait que tout le monde ne possède pas de smartphone et qu’il faudrait énormément de volontaire pour que cette application soit d’une quelconque efficacité, ce qui même avec la moitié du pays couvert n’est pas assuré.
• Google et Apple rejoigne la recherche sur le traçage des populations. Mais non pas pour se substituer aux états, mais pour travailler sur la couche logicielle de l’application. Restera aux états à s’en saisir pour créer leurs propres applications de traçage de la population et des informations qu’elles voudront bien garder. Cette collaboration, si on doutait qu’elle soit possible, est bien réelle et est étonnante à plusieurs titres. Tout d’abord on aurait pu penser que l’association des deux géants ne se fasse jamais pour garder leurs technologies jalousement gardées et d’autres part certains, dont moi, auraient pensé que ces deux géants proto-étatique auraient déjà dans leur cartons une application de traçage toute prête pour se substituer à la lenteur des états d’aujourd’hui. Il n’en est rien. Le futur est toujours surprenant.
• On revient sur ZOOM, visiblement y a des comptes qui s’échangent sur les marchés parallèles. Comme quoi le piratage n’est jamais vraiment en sommeil.
• Petit retour sur les pays ou régions qui ont mis en place une surveillance de leur population. Restera à analyser après coup si c’était les bonnes méthodes et surtout si un retour à la normale sera au programme ou pas.
• Visiblement, et d’après les premières informations qu’on a,l’application StopCovid sera pourrait être, si elle est bien faite, développée en privacy by design. Toujours est il qu’une question demeure, le sera-t-elle ? Et plus important quelle porte voulons nous ouvrir avec ce genre d’applications ?
• Google met à disposition des chercheurs les données de géolocalisation de ses utilisateurs pour permettre de visualiser l’avantage du confinement et l’évolution du virus. Ils assurent qu’il ne s’agit pas d’une surveillance mais d’une aide à la recherche, que les données sont anonymisées et que les plateforme seront supprimées à la fin de la crise.
• Rappel sur ce qu’est le pseudonymat et l’anonymatdans les applications voulant gérer des masses de données.
• je ne commenterai pas plus, le titre parle de lui même : A Nice des caméras pour détecter le port du masque
• Vous pouvez retrouver les recommandations de la CNIL par rapport à l’application StopCovid juste ici.
• Une petite publication du CNRS, ici en résumé sur nextinpact, sur les applications de traçage par Antonion Casilli : en résumé « Il n’existe pas d’application magique capable de remplacer une politique de santé publique solide. »

C’est tout pour moi à bientôt.

NEWSLETTER 41/x

Bonjour,

Le numérique et l’usage de la démocratie revient souvent sur le tapis. Ici vous aurez un petit aperçu des problématiques qui se jouent quand on confronte ces deux notions. En somme, le numérique permet une meilleure implication des citoyens dans la vie de la cité, mais il ouvre la porte (encore plus) à des manipulations de masses. A utiliser avec recul et réflexion donc.

Petit reportage sur les anonymes des réseaux sociaux, oui il y en a beaucoup.

Les plateformes de reventes de données volées c’est pas nouveau, mais il y a toujours des petits nouveaux. Alors on souhaite la bienvenue à dark deals. Et évidemment on rappelle que le vol arrivé souvent, à tous, que payer n’assure en rien la restitution des données ni leur non divulgation.

Comptoir sécu, sechebdo, blabla,cliquez et laissez vous guider pendant une heure (environ).

Les gendarmes reviennent sur l’utilisation et la mise en place de gendnotes qui fait couler beaucoup d’encres. Ce n’est qu’un bloc note connecté et a priori bien protégé. Il remplacera des carnets papier ou des applications non sécurisées. En espérant qu’il soit réellement sécurisé et qu’on assiste à aucune fuite de données.

Le Sénat américain, sous couvert de lutte contre la pédophilie, tente d’interdire le chiffrement de bout en bout. Les vieilles ficelles ont l’air de toujours marcher visiblement. A suivre pour ce qui est des débats, en espérant que la vulgarisation et la communication des différentes associations telles que l’EFF serve à quelque chose.

Quand on dit que le mot de passe a vécu, on se tourne généralement vers la biométrie. Sauf que des petits malins ont réussi à défoncer ce genre de protection avec seulement 2000 dollars de matériel. Donc pour l’instant on pense mot de passe et  2FA.

Firefox est mon navigateur préféré et c’est pas tellement pour rien. Outre ce qu’il fait déjà pour assurer une protection de mes données, aujourd’hui il propose directement de supprimer les données télémétriques qu’il peut générer. Pour plus d’infos vous pouvez allez voir le site malekal qui détaille tout ça.

Petit rappel sur le matériel chinois. Pensez à changer les mots de passes de base ainsi que les ports de connexions. En gros lisez la documentation… Parce qu’il y a toujours des gens qui se font avoir aujourd’hui…

Jolie fuite de plus de 800.000 données de français dont des données GPS des domiciles. Visiblement d’un pirate russe et émanant d’un acteur étranger. A suivre pour en savoir plus.

Visiblement les chinois ne sont pas que les premiers affectés par le covid en mangeant du pangolin. Ils sont aussi à la tête de grosse campagne de piratage, comme ici sur Linux ou l’opération aura duré plus de dix ans en restant peu ou prou sous les radars.

Recap intéressant sur lanorme ISO 27701 relative à la protection des données. Je vous recommande d’y jeter un oeil, même distrait.

Article sympa sur une chercheuse suisse en cybersécurité, qui montre que les belles histoires et les gens compétents ben ça existe et c’est tant mieux.

Spécial COVID :

• On attaque la problématique de l’application Stopcovid avec la question du bluetooth. Petite interview intéressante d’un expert du BT mais malheureusement ce n’est pas le seul questionnement que pose cette application.
• La CNIL plus que frileuse sur le sujet de l’application StopCovid, rien que pour le déploiement d’une application dans un smartphone quand ceux les plus vulnérables au virus n’en possède pas ou n’en comprennent pas le fonctionnement…
• Dans la catégorie Idiotie y a qu’Estrosi, il recommande l’utilisation des compteur Linky pour vérifier si des personnes ont brisé le confinement pour rejoindre leurs résidence secondaires. Outre le caractère juste politique, il ne me semble pas que ce soit légal ni une urgence au vu de la situation.
• Petit point assez précis sur l’application en question par le Monde, article trop long pour que je vous le résume et il est trouvable chez tous les autres journaux du même acabit.
• Article court et précis de Tristant Nitot sur le sujet. Je vous le recommande chaudement.
• On en a beaucoup parlé, tout le monde ou presque l’a utilisé, mais zoom n’est pas tellement recommandé pour pas mal de raisons que vous retrouverez aisément même si vous n’êtes pas abonnés à nextinpact.
• Même les Allemands, pourtant plus soucieux de la protection de leurs données, s’y mettent. Ils commencent par une expérimentation à l’aide de volontaires et basés sur les bracelets connectés, avant de mettre en ligne une application sensiblement pareille que la française puis de revenir vers celle qui devrait être européenne.
• Très très bonne interview d’un professeur de droit de l’université de Grenoble sur le sujet des risques liberticides en temps de crise.

A bientôt et bon confinement à tous.

 

NEWSLETTER 40/X

Bonjour,

C’était couru d’avance mais on serre toujours les fesses pour ce genre de décisions, donc on fête un peu cette décision du tribunal administratif de Marseille (après la CNIL) qui invalide les expérimentations de reconnaissance facialedans les lycées de Marseille et de Nice.

Orange cyberdéfense (et d’autres acteurs) ont audité la plateforme parcoursup, et le bilan est pas brillant. Encore pas mal de choses à revoir sur la transparence et la sécurité de ce site. Un peu dommage pour une plateforme aussi importante.

On en parle souvent, mais c’est pour la bonne cause.Ici on a malekal qui nous fait une petite présentation et une petite pub pour protonmail, à envoyer aux gens qui hésitent encore.

Toujours le podcast du sechebdo, je le mets mais j’espère que vous êtes tous déjà abonnés par contre.

Firefox continue sa bataille pour la protection des données en continuant son combat contre les cookies. Et rien que pour ça on peut les remercier et passer chez eux si on y est pas déjà.

Retour sur l’affaire Clearview : Pour rappel une startup de reconnaissance faciale qui visiblement respectait pas grand chose en piquant de la photo en masse pour nourrir sa base de données. Mais aujourd’hui encore mieux, apparemment leur outil a été filé à des investisseurs en démo. Pas seulement pour les forces de l’ordre comme ils le disaient il y a encore quelques jours. On a pas fini d’en apprendre je pense.

Encore une raison de migrer vers duckduckgo qui publie une liste de tracker à travers un plugin bien de chez eux. Qu’est ce que vous attendez pour les rejoindre ?

Et parce que ça faisait longtemps : un petit rappel desdix règles de bon comportement sur le net pour protéger ses données édité par l’ANSSI, les rappels c’est toujours bon, ça fixe les connaissances.

Un bon papier sur les algorithmes, leurs défauts et comment les améliorer face à ces défauts. Pour l’instant ce ne sont que des pistes, mais ça reste prometteur.

On se plaint souvent que les députés n’écoutent pas, c’est l’occasion de prendre la parole aveccette consultation de la part de l’Assemblée Nationale à propos de l’identité numérique. Je vous encourage donc, tous, à aller fureter sur les liens proposés dans cet article.

Criteo, que vous avez déjà croisé si vous avez cliqué sur des bannières anti-cookies est sous le coup d’un enquête de la CNIL, c’est le premier organisme qui va subir ça dans ce domaine, mais à mon avis pas le dernier vu les pratiques plus que douteuses pour obtenir des données en passant à côté de petits détails du RGPD.

Vous êtes habitués maintenant, vous cliquez et vous atterrissez sur le podcast de NoLimitesécu.

Apparemment le navigateur Brave se travaillerait à se blinder face au fingerprinting, que même Firefox et ses extensions elle sait pas faire mieux. A suivre donc pour voir si c’est vrai, déjà, et le retour des concurrents.

Et vu qu’on est en période Coronavirus,la CNIL est obligée de rappeler les bases, ça fait pas de mal et ça vous permettra de voir si votre patron est à jour sur les différents réglements relatifs à al protection des données, ou vous même.

C’est tout pour moi, à la semaine prochaine.

NEWSLETTER 39/x

Bonjour,

01.net relaie le boulot de Bitdefender qui a testé pas mal d’objets connectés, et Oh surprise, ils ont une protection à jeter par la fenêtre.Donc vous retrouvez les objets à éviter, et si vous voulez mon avis, le besoin de ces objets est plus de l’ordre du marketing que de la vraie nécessité.

On en avait déjà parlé mais unpetit retour sur l’affaire Clearview, une start-up de vidéosurveillance/reconnaissance faciale qui s’était fait voler en masse des données (donc des visages) de ses clients entre autres. Un autre article un peu plus court pour ceux qui ont pas le temps. Et pour nourrir tout ça un long article sur ce qui se fait déjà, ce que ça implique et comment lutter contre par al régulation entre autres solutions.

Toujours sur la vidéosurveillance/reconnaissance faciale, un bon article de lapresse.ca avec de beaux morceaux choisis. Je vous cite juste deux passages sympas en vous recommandant chaudement la lecture de l’article :

« Si on ne fixe pas de limites, les entreprises pourraient devenir des
enquêteurs automatiques, se faire justice à elles-mêmes ou faire
d’immenses parties de pêche. Elles auront les coudées plus franches que
la police, prévient Pierre Trudel, professeur de droit de l’information
et du cyberespace à l’Université de Montréal. Au Canada, la police ne
peut filmer vos allées et venues sans avoir demandé une autorisation
judiciaire ni filmer tout le monde au cas où elle trouverait quelque
chose. »

« Quand il y a des caméras dans l’environnement, on ne peut pas les
éteindre. Il faudrait carrément cesser de fréquenter certains lieux ou
quitter son emploi pour ne pas faire l’objet d’une surveillance accrue
», souligne le professeur qui enseigne à l’Université du Québec à
Montréal.

Petit rappel sur les 2FA et les possibilités de passer outre. Parce que oui, il existe des malwares qui peuvent péter vos authentifications fortes et ainsi accéder à votre argent. Donc on privilégie les clefs de sécurité. Enfin on essaye.

Dans les gratuits, je vous propose ce bouquin à destination des professionnels en contact avec les algorithmes : Résister à l’algocratie. Recommandé par la quadrature, je pense qu’il trouvera une bonne place dans votre liseuse.

Un excellent article sur les données de santé que je recommande chaudement même s’il est long. C’est, par contre, accessible seulement pour les abonnés du Monde. Je ne peux malheureusement pas en faire un résumé exhaustif vu la densité dudit article.

Je ne résiste pas à vous faire part de cette info, au conditionnel, comme quoi google aurait collecté des données personnelles d’enfants. J’espère que comme moi vous n’en croyez pas un mot.

C’est tout pour moi, à la semaine prochaine.

 

NEWSLETTER 38/X

Bonjour,

J’ai été pas mal absent donc j’ai laissé passer beaucoup de choses. Je tente des choses au niveau de mon planning mais parfois j’échoue, comme là. Mais promis j’essaye d’être plus régulier. Je suis tourné vers cet objectif.

Je transmets simplement une information qui peut en intéresser pas mal :Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL propose une consultation sur un projet de recommandation concernant des modalités pratiques de recueil du consentement de l’internaute pour les opérateurs utilisant des traceurs.

Facebook semble avoir compris (enfin…) l’importance de la vie privée, du moins niveau marketing et promet des améliorations à ce sujet dans le futur. Plus de détails dans cet article de NextInpact.

Si vous ne lisez qu’un article cette semaine lisez celui là :Il revient sur l’itinéraire d’une fuite de donnée et le fait bien. Voire très bien. Je n’en dis pas plus, ça se lit comme une bonne série.

Visiblement y a eu un couac avec le service photo de google : Des photos et des vidéos ont pu être transmises par mégarde à d’autres utilisateurs. En gros vous recevez une photo qui n’est pas pour vous et inversement. Bon ça ne concerne que 0,01% des utilisateurs, mais ça veut déjà dire pas mal de personne. A suivre.

L’EFF revient sur les wifis publics : En gros avec l’évolution de l’https everywhere et les protection accrues, il est moins dangereux qu’on ne le croit de se connecter à un wifi public. En revanche il reste des risques et des métadonnées transitent forcément par là. Bref ce n’est pas à 100% sur mais pas la peine d’en faire un diable comme on le fait depuis longtemps.

Petit résumé du dernier rapport de l’unité 42 : Quelques menaces en hausse, dont des menaces sur SSH qui pourraient être largement évitée et des chiffres sur les menaces et pratiques à risques courantes en ce moment. A au moins regarder d’un œil distrait.

Puisqu’on est dans les rapports,cybermalveillance.gouv.fr sort son premier rapport sur l’année 2019, clair, concis et précis. Si vous ne lisez pas celui de l’unité 42 intéressez vous plus en profondeur à celui là.

Dans les nouveaux outils vous avez Mine, qui, apparemment permet d’identifier ce que les entreprises savent de nous, mais surtout de supprimer ces données. Apparemment en phase avec le RGPD, d’autres entreprises seront ajoutées au fur et à mesure. Un outil bien pratique de suppression centralisée… Si cela fonctionne et que ça n’avale pas d’autres données par ailleurs.

Bon on va pas rentrer dans la polémique Linky, seulement constater qu’EDF a été mis en demeure puisqu’il ne respecte pas tellement le RGPD avec ses nouveaux compteurs. C’était malheureusement à prévoir…

Un très très long article de Steven Levy sur Zuckerberg, en prévision de la sortie de son livre sur le même sujet. Bien qu’indigeste, je conseille sa lecture, ne serait-ce que pour ré-humaniser le patron de Facebook et de plonger un peu dans le pourquoi de ses choix. Du moins avant de lire le livre qui ne devrait pas tarder à sortir.

Toujours intéressant : L’état de l’art dans la réponse à incident par les merveilleux podcasteur de no limit sécu.

Vous en avez surement entendu parler, mais je vous le mets quand même, une grosse fuite chez Decathlon. Mais alors un truc assez gros. On va voir la suite des événements…

Toujours au niveau des fuites de données, c’est pour l’université de Toulouse cette fois-ci.

Les gendarmes se dotent d’un nouvel outil type bloc-notes, le problème est qu’il peut comporter des données sensibles et qu’il est donc très vulnérable. A voir comment va évoluer son déploiement et sa protection.

La commission européenne pousse son personnel à l’utilisation de Signal, même si certains choix européens laisse circonspect, sur ce sujet on peut leur faire confiance et suivre leur exemple je pense.

Je ne reviens pas sur toutes les conneries qu’on a pu lire à propos de l’anonymat durant le zizigate, je pense que ça se passe de commentaires.

C’est tout pour moi, à plus tard.