background preloader

Vie privée & espionnage

Facebook Twitter

Wikileaks revient sur Weeping Angel, qui permet d'espionner avec des Smart TV Samsung. Wikileaks continue la diffusion des informations, en revenant petit à petit sur les noms de code publiés lors des premières révélations Vault 7.

Wikileaks revient sur Weeping Angel, qui permet d'espionner avec des Smart TV Samsung

Cette fois, l’organisation évoque Weeping Angel, un outil conçu pour le piratage des Smart TV de Samsung. Depuis maintenant plusieurs semaines, Wikileaks diffuse régulièrement des informations sur la CIA et ses techniques d’espionnage, un ensemble de documents que l’organisation nomme « Vault 7 ». NSA/Shadow Brokers : des failles Windows tout juste corrigées et des structures bancaires attaquées. Les pirates de Shadow Brokers ont publié le 14 avril une nouvelle archive contenant les détails de nouvelles failles de sécurité, ainsi que des outils spécifiques.

NSA/Shadow Brokers : des failles Windows tout juste corrigées et des structures bancaires attaquées

Certaines banques en ligne semblent avoir été particulièrement visées, de même que des produits de Microsoft. Ces derniers ont cependant déjà été mis à jour. CIA : le point sur les réactions à Vault 7, la responsabilité des failles en question. Les documents lâchés dans la nature par Wikileaks, dans une immense fuite baptisée Vault 7, ont provoqué de nombreuses réactions.

CIA : le point sur les réactions à Vault 7, la responsabilité des failles en question

Google, Microsoft, Samsung et la Linux Foundation ont tous indiqué enquêter, tandis que la CIA elle-même, sans rien confirmer, a préféré réexpliquer certains points cruciaux de sa mission. Plus de 8 000 documents (moins de 1 % du total) ont été publiés mardi soir par Wikileaks, montrant en partie les moyens mis en œuvre par la CIA pour accomplir sa mission d’espionnage. Android, iOS, Linux, macOS, Windows, routeurs, Smart TV de Samsung (avec accès physique) et même certains véhicules étaient concernés, le plus souvent par des failles de sécurité – relançant ainsi le débat sur la divulgation respectueuse de leurs détails à l’industrie – mais également via des malwares prenant parfois l’apparence d’applications couramment utilisées comme VLC, Kaspersky, etc. ⚡️ GDPR / RGPD ⚡️ - Le réglement européen qui va protéger les internautes, et donner du boulot de mise en conformité aux entreprises. Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l'Europe a voté le RGPD (pour "Règlement général sur la protection des données" ou en anglais : General Data Protection Regulation, GDPR) La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique.

Dit comme ça c'est pas passionnant mais vous allez voir, ce texte est très important. En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l'application du texte le 25 mai 2018. En quoi ça consiste ? Finalement Envernote ne lira pas vos notes.

Chris O'Neil, CEO d'Evernote, est monté au créneau pour éviter un naufrage annoncé lié à la modification de la politique de gestion de la vie privée qui devait avoir lieu en janvier prochain.

Finalement Envernote ne lira pas vos notes

(crédit : D.R.) Devant le tollé suscité par le changement de ses conditions générales d'utilisation permettant à certains de ses employés d'accéder aux notes de ses utilisateurs, Evernote fait machine arrière. Le CEO de la société Chris O'Neil mouille la chemise pour tenter de regagner le crédit perdu. Le trafic voix/data dans les avions Air France collecté par la NSA. Les communications voix, data et SMS sont écoutées par la NSA ainsi que par l'agence de renseignement britannique GCHQ.

Le trafic voix/data dans les avions Air France collecté par la NSA

(crédit : D.R.) Dans de nouveau documents d'Edward Snowden, on apprend que les agences de surveillance gouvernementales américaine et anglaise ont mis en place un système de collecte de données incluant voix, data et SMS des communications passées à bord des avions. Parmi les 27 compagnies aériennes visées, Air France, mais également la Luftansa ainsi que British Airways. PoisonTap - Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$

Samy Kamkar, qu'on ne présente plus, a mis en ligne sur son site un outil appelé PoisonTap qui permet de récupérer des tas d'infos sur un ordinateur verrouillé.

PoisonTap - Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$

Installé sur un Raspberry Pi Zero avec NodeJS, PoisonTap permet d'émuler une connexion Ethernet via le port USB pour détourner l'intégralité du trafic réseau de la machine, peu importe la priorité des autres interfaces réseau. J'avais déjà parlé d'une attaque de ce genre il y a quelques semaines, mais là ça va plus loin. Poison Tap peut ainsi récupérer les cookies HTTP ainsi que les sessions ouvertes dans le navigateur du premier million de sites web dans le Top Alexa et si un serveur utilise HTTPS, mais que le cookie n'utilise pas la fonction SecureFlag, alors la protection HTTPS est contournée et le cookie est envoyé en clair à PoisonTap.

Là où ça commence à devenir fun, c'est qu'il est possible pour un attaquant de placer des backdoors persistantes dans le cache HTTP du navigateur, qui n'ont pas de date de péremption. Alessandro Acquisti: Pourquoi le respect de la vie privée est important. WOT - L'extension à désinstaller d'urgence. Connaissez vous WOT ?

WOT - L'extension à désinstaller d'urgence

Mais si, Web Of Trust, un site couplé d'une extension navigateur et d'une application mobile qui permet de savoir si tel ou tel site est de confiance. J'aimais bien le principe de ce soft, mais j'emploie le passé, car NDR, une chaine de TV allemande a découvert plusieurs failles relatives à la vie privée dedans. Il semblerait que WOT collecte beaucoup d'infos sur les habitudes de surf de ses 140 millions d'utilisateurs à travers le monde, et revende le tout à des sociétés tierces. Bah oui, blablabla c'est gratuit blablabla c'est vous le produit blablabla et toutes ces conneries. Un adware livré avec les machines Lenovo pose un sérieux risque de sécurité. Mise à jour : Lenovo a réagi officiellement au scandale provoqué par le logiciel SuperFish.

Un adware livré avec les machines Lenovo pose un sérieux risque de sécurité

Le constructeur annonce ne plus s’en servir et avoir coupé les connexions dès le mois dernier. Par ailleurs, il est en contact avec la société SuperFish afin que le produit soit amélioré sur la base des retours des utilisateurs. PlayStation 4, Xbox One et vie privée. Les conditions d'utilisation des consoles de Sony, dont la PlayStation 4, viennent d'être mises à jour sur le site anglais de la marque PlayStation.

PlayStation 4, Xbox One et vie privée

Si personne n'attendait de surprises de ce côté là, certains y ont vu des atteintes graves à la vie privée des joueurs. En pratique les réactions sont peut-être un brin exagérées, à moins que ? Sortie imminente de la PlayStation 4 oblige, Sony vient de mettre à jour les conditions d'utilisation de ses consoles de jeu. Sur le site anglais de la marque, on peut lire la dernière version des règles régissant l'utilisation des machines, et certaines clauses ont de quoi refroidir les plus inquiets quant à leur vie privée, tout du moins seulement si on ne prend le temps que de les lire en diagonale.