Des ours connectés trop bavards

Quelques jours après l'interdiction de vente de la poupée Cayla en Allemagne, pour des raisons de sécurité informatique, ce sont à présent les ours connectés de la marque CloudPets qui font parler d'eux. Un article publié sur Motherboard révèle que plus de 2 millions de messages enregistrés par des parents ou des enfants ont été exposés à la fin de l'année dernière. Le chercheur en sécurité Troy Hunt et Victor Gevers, directeur de la fontation GDI avaient pourtant alerté le fabricant de jouet à plusieurs reprises, avant que des hackers s'emparent des données en janvier. En plus de la vulnérabilité des serveurs hébergeant les comptes utilisateurs, il semblerait que le protocole de communication des pauvres peluches ne soient pas du tout sécurisé.

The exposed data included more than 800,000 emails and passwords, which are secured with the strong, and thus supposedly harder to crack, hashing function bcrypt. Unfortunately, however, a large number of these passwords were so weak that it's possible to crack them, according to Troy Hunt, a security researcher who maintains Have I Been Pwned and has analyzed the CloudPets data. (source)

Twitter Facebook

Amnesty interpelle les courtiers en données

Amnesty International et 16 entreprises ont lancé un appel aux data brokers détenant des données sur des citoyens américains afin qu'ils refusent de contribuer au fichage des musulmans aux Etats-Unis. Dans un long article publié sur Medium, Tanya O’Carroll et Joshua Franco alertent leurs lecteurs de la grande disponibilité et des faibles coûts de corpus de données personnelles incluant l'ethnie, la religion et même l'absence de titre de séjour. Ils décrivent également les liens étroits entre les institutions américaines et ces sociétés privées de courtage de données spécialisées dans la collecte et la revente de données, qui opèrent en tout légalité.

It takes just five clicks on ExactData.com and we are staring at a quote to download data on 1,845,071 people listed as Muslim in the United States. For the price of $138,380, the website offers a database file containing more than 1.8 million individual names, addresses, cities, states and ZIP codes. Just 7.5 cents per person. (source)

Twitter Facebook

Deux cours sur le droit à la vie privée

La plateforme d'activisme pour les droits de l'homme et des journalistes Advocacy Assembly propose à ses membres deux cours en ligne d'une trentaine de minutes sur les métadonnées et la surveillance. Pour les novices, une introduction au droit à la vie privée est recommandée avant de plonger dans le vif du sujet. Ce deuxième vidéo met l'accent sur les différentes technologies susceptibles d'être utilisées contre des militants et rappelle les droits protégeant les citoyens dans différents pays. Des ressources sont également téléchargeables gratuitement.

What do I learn: You’ll learn about the fundamentals of communication networks, the different protections metadata receives in countries around the world, the technologies that conduct surveillance technologies and the Adversary who operates these surveillance technologies. (source)

Twitter Facebook

Ce que révèle notre historique de navigation

Le collectif berlinois Tactical Technology et le Share Lab ont étudié l'historique de navigation d'un journaliste Suisse afin d'évaluer ce que ces meta-données révèle de nos vies. On découvre ainsi dans un article vertigineux, la reconstruction des moindres aspects du quotidien de ce journaliste volontaire, qui restera heureusement anonyme pour les besoins de ce projet. Après avoir d'abord inféré les intentions, besoins et préférences de leur cobaye, les data scientists ont réussi à modéliser ses habitudes et ses opinions personnelles. Bien que nécessitant une expertise en data mining, toutes les techniques utilisées dans le cadre de ce projet peuvent très facilement employées par des entreprises privées ou des institutions gouvernementales.

As websites Mr J visits contain a lot of trackers, small bits of data used for collecting behavioural information of users, the experiment also showed which companies extract the most data on Mr J. Google, Facebook and Twitter were unsurprisingly among the companies with the largest number of trackers. It was also interesting to “read” sample web pages Mr J visited like a machine would do it. This is possible with Google’s Cloud Natural Language tool, which is attached to its deep learning platform and can be used to extract information about people, places, events, and much more, mentioned in text documents, news articles or blog posts. It recognised important events, names, and places based on keywords it picked up from web pages. (source)

Twitter Facebook

Importante fuite de données chez CloudFlare

L'entreprise CloudFlare, specialisée dans les réseaux de diffusion de contenu, les proxy inverses et la signature de certificats SSL, a annoncé sur son blog une importante fuite mémoire. Découvert par Tavis Ormandy du Google’s Project Zero, ce problème, bien que très rapidement corrigé, a exposé plus de 3 300 300 requêtes HTTP - qui ont été indexées par des moteurs de recherche - dont de nombreuses contenaient des données sensibles. Une liste des sites potentiellement touchés par cette fuite est dès à présent disponible. Nous vous encourageons à changer votre mot de passe si vous les utilisez.

(...) he found hotel bookings, passwords from password managers, and full messages from dating sites among the cached data. "I didn’t realize how much of the internet was sitting behind a Cloudflare CDN until this incident,” he wrote on February 19th. "We're talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything." (source)

Twitter Facebook