Wikileaks revient sur Weeping Angel, qui permet d'espionner avec des Smart TV Samsung. Wikileaks continue la diffusion des informations, en revenant petit à petit sur les noms de code publiés lors des premières révélations Vault 7. Cette fois, l’organisation évoque Weeping Angel, un outil conçu pour le piratage des Smart TV de Samsung. Depuis maintenant plusieurs semaines, Wikileaks diffuse régulièrement des informations sur la CIA et ses techniques d’espionnage, un ensemble de documents que l’organisation nomme « Vault 7 ». On se rappelle qu’à ce jour, la publication la plus pénible pour l’agence américaine est sans nul doute celle sur Marble, un outil permettant de masquer les traces de la CIA dans ses outils, voire d’orienter les yeux indiscrets dans d’autres directions.
En fait, depuis la publication originale, Wikileaks revient petit à petit et en détails sur un certain nombre d’éléments évoqués. Weeping Angel, l’infection de Smart TV de Samsung. NSA/Shadow Brokers : des failles Windows tout juste corrigées et des structures bancaires attaquées. Les pirates de Shadow Brokers ont publié le 14 avril une nouvelle archive contenant les détails de nouvelles failles de sécurité, ainsi que des outils spécifiques. Certaines banques en ligne semblent avoir été particulièrement visées, de même que des produits de Microsoft.
Ces derniers ont cependant déjà été mis à jour. Les Shadow Brokers ont à nouveau fait parler d’eux, cette fois juste avant le week-end. Dans une archive d’environ 300 Mo, les pirates ont livré tout un ensemble d’informations sensibles, de failles semblant a priori de type 0-day (soit non corrigées) à des outils permettant de pirater des banques, ou des agences de services liées à ces dernières.
Dans la pratique toutefois, et sans nier la dangerosité du matériel fourni, la publication fera moins de dégâts que ce qui était initialement estimé. Des failles Microsoft déjà corrigées Le principal danger était censé venir des vulnérabilités publiées ici. Un timing qui soulève bien des questions. CIA : le point sur les réactions à Vault 7, la responsabilité des failles en question.
Les documents lâchés dans la nature par Wikileaks, dans une immense fuite baptisée Vault 7, ont provoqué de nombreuses réactions. Google, Microsoft, Samsung et la Linux Foundation ont tous indiqué enquêter, tandis que la CIA elle-même, sans rien confirmer, a préféré réexpliquer certains points cruciaux de sa mission.
Plus de 8 000 documents (moins de 1 % du total) ont été publiés mardi soir par Wikileaks, montrant en partie les moyens mis en œuvre par la CIA pour accomplir sa mission d’espionnage. Android, iOS, Linux, macOS, Windows, routeurs, Smart TV de Samsung (avec accès physique) et même certains véhicules étaient concernés, le plus souvent par des failles de sécurité – relançant ainsi le débat sur la divulgation respectueuse de leurs détails à l’industrie – mais également via des malwares prenant parfois l’apparence d’applications couramment utilisées comme VLC, Kaspersky, etc.
Rapidement, quelques sociétés impliquées avaient réagi. Depuis, d’autres réactions ont été entendues. ⚡️ GDPR / RGPD ⚡️ - Le réglement européen qui va protéger les internautes, et donner du boulot de mise en conformité aux entreprises. Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l’Europe a voté le RGPD (pour « Règlement général sur la protection des données » ou en anglais : General Data Protection Regulation, GDPR) La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique.
Dit comme ça c’est pas passionnant mais vous allez voir, ce texte est très important. En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l’application du texte le 25 mai 2018. En quoi ça consiste ? Et bien comme cela va permettre de redonner aux citoyens le contrôle de leurs données personnelles (youpi !!) , il faut, entre autres choses, que le consentement de l’internaute ne soit jamais implicite ou général. Et si on décide de ne rien faire ? Finalement Envernote ne lira pas vos notes. Chris O'Neil, CEO d'Evernote, est monté au créneau pour éviter un naufrage annoncé lié à la modification de la politique de gestion de la vie privée qui devait avoir lieu en janvier prochain.
(crédit : D.R.) Devant le tollé suscité par le changement de ses conditions générales d'utilisation permettant à certains de ses employés d'accéder aux notes de ses utilisateurs, Evernote fait machine arrière. Le CEO de la société Chris O'Neil mouille la chemise pour tenter de regagner le crédit perdu. C'est ce que l'on appelle un big rétropédalage. Après avoir annoncé son intention à partir du 23 janvier 2017, de mettre le nez dans les notes de ses utilisateurs, Evernote a finalement fait machine arrière. « Après avoir reçu beaucoup d'avis d'utilisateurs inquiets des changements de notre politique en matière de gestion de la vie privée, Evernote réaffirme son engagement à conserver la vie privée au centre de son activité.
Le trafic voix/data dans les avions Air France collecté par la NSA. Les communications voix, data et SMS sont écoutées par la NSA ainsi que par l'agence de renseignement britannique GCHQ. (crédit : D.R.) Dans de nouveau documents d'Edward Snowden, on apprend que les agences de surveillance gouvernementales américaine et anglaise ont mis en place un système de collecte de données incluant voix, data et SMS des communications passées à bord des avions. Parmi les 27 compagnies aériennes visées, Air France, mais également la Luftansa ainsi que British Airways. Les sulfureuses révélations d'Edward Snowden n'ont pas encore fini de faire parler d'elles. . « La collecte des données se fait quasiment en temps réel et un avion peut être suivi toutes les deux minutes. PoisonTap - Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$
Samy Kamkar, qu'on ne présente plus, a mis en ligne sur son site un outil appelé PoisonTap qui permet de récupérer des tas d'infos sur un ordinateur verrouillé. Installé sur un Raspberry Pi Zero avec NodeJS, PoisonTap permet d'émuler une connexion Ethernet via le port USB pour détourner l'intégralité du trafic réseau de la machine, peu importe la priorité des autres interfaces réseau. J'avais déjà parlé d'une attaque de ce genre il y a quelques semaines, mais là ça va plus loin. Poison Tap peut ainsi récupérer les cookies HTTP ainsi que les sessions ouvertes dans le navigateur du premier million de sites web dans le Top Alexa et si un serveur utilise HTTPS, mais que le cookie n'utilise pas la fonction SecureFlag, alors la protection HTTPS est contournée et le cookie est envoyé en clair à PoisonTap.
Là où ça commence à devenir fun, c'est qu'il est possible pour un attaquant de placer des backdoors persistantes dans le cache HTTP du navigateur, qui n'ont pas de date de péremption. Alessandro Acquisti: Pourquoi le respect de la vie privée est important. WOT - L'extension à désinstaller d'urgence. Connaissez vous WOT ? Mais si, Web Of Trust, un site couplé d'une extension navigateur et d'une application mobile qui permet de savoir si tel ou tel site est de confiance. J'aimais bien le principe de ce soft, mais j'emploie le passé, car NDR, une chaine de TV allemande a découvert plusieurs failles relatives à la vie privée dedans. Il semblerait que WOT collecte beaucoup d'infos sur les habitudes de surf de ses 140 millions d'utilisateurs à travers le monde, et revende le tout à des sociétés tierces. Bah oui, blablabla c'est gratuit blablabla c'est vous le produit blablabla et toutes ces conneries.
Bon, rassurez-vous, d'après WOT, les données (l'adresse IP, la géolocalisation, le modèle de l'appareil utilisé, l'OS, le navigateur, la date, l'heure, l'adresse du site web...etc.) ont été anonymisées avant d'être vendues. Voici le reportage en langue allemande : Bref, encore une merde à désinstaller de votre côté. Source. Un adware livré avec les machines Lenovo pose un sérieux risque de sécurité. Mise à jour : Lenovo a réagi officiellement au scandale provoqué par le logiciel SuperFish. Le constructeur annonce ne plus s’en servir et avoir coupé les connexions dès le mois dernier. Par ailleurs, il est en contact avec la société SuperFish afin que le produit soit amélioré sur la base des retours des utilisateurs.
La firme présente ses excuses pour la gêne occasionnée et ajoute que les gammes d’ordinateurs pour entreprises n’ont jamais été concernées (notamment les ThinkPad). La filiale française propose par ailleurs un document PDF résumant la procédure complète de désinstallation (qui reprend ce que nous avions indiqué au sujet du certificat). Lenovo est au cœur d’un scandale sur la sécurité de ses machines. SuperFish, l'adware et le certificat de sécurité SuperFish : tel est le nom d’un petit programme que l’on retrouve sur les PC portables vendus par Lenovo.
En tant que tel, le problème est déjà sérieux. Et les acteurs concernés sont parfaitement au courant de la situation. PlayStation 4, Xbox One et vie privée. Les conditions d'utilisation des consoles de Sony, dont la PlayStation 4, viennent d'être mises à jour sur le site anglais de la marque PlayStation. Si personne n'attendait de surprises de ce côté là, certains y ont vu des atteintes graves à la vie privée des joueurs. En pratique les réactions sont peut-être un brin exagérées, à moins que ? Sortie imminente de la PlayStation 4 oblige, Sony vient de mettre à jour les conditions d'utilisation de ses consoles de jeu. Sur le site anglais de la marque, on peut lire la dernière version des règles régissant l'utilisation des machines, et certaines clauses ont de quoi refroidir les plus inquiets quant à leur vie privée, tout du moins seulement si on ne prend le temps que de les lire en diagonale. Sony ne surveille pas l'ensemble des utilisateurs, mais communique avec des tiers Microsoft ne se cache pas Les fonctions multimédias de la console sont aussi une bonne occasion de récupérer quelques informations à votre sujet.