Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé IoT. Afficher tous les messages
Aucun message portant le libellé IoT. Afficher tous les messages

jeudi 23 septembre 2021

Google et la vie privée : 80 de ses employés renvoyés,et qui exploitaient des données personnelles,c'est 8,6% de tout les problêmes de sécurité chez Google,et que ces employés s'infiltrent dans vos appareils IoT connectés sans-fil !!!

 

 Google et la vie privée : 80 de ses employés renvoyés,et qui exploitaient des données personnelles,c'est 8,6% de tout les problêmes de sécurité chez Google,et que ces employés s'infiltrent dans vos appareils IoT connectés sans-fil !!!

Google et la vie privée : 80 de ses employés renvoyés,et qui exploitaient des données personnelles

Google aurait licencié des douzaines d’employés au cours des trois dernières années. Ils ont été accusés d’avoir enfreint les politiques de l’entreprise sur le traitement des données des utilisateurs en se servant de leur accès privilégié.

Entre 2018 et 2020, Google aurait renvoyé plusieurs douzaines d’employés. La firme de Mountain View avait effectivement découvert que les employés en question avaient exploité les données des utilisateurs. Cela signifie qu’ils se sont servis de leur accès aux bases de données pour enfreindre les politiques de l’entreprise.


Ce genre de problème arrive relativement souvent chez les géants de la tech. L’année dernière, Amazon avait licencié plusieurs employés qui avaient divulgué des données clients et plus spécifiquement les adresses mail et les numéros de téléphone. L’année précédente, c’était Snapchat qui faisait face au même problème avec des employés qui espionnaient les données des utilisateurs.

36 employés de Google renvoyés en 2020, 26 en 2019 et 18 en 2018

Au total, ce sont 36 employés que Google a renvoyés en 2020 pour des « problèmes liés à la sécurité ». Comme l’a rapporté Vice, « 86 % de toutes les allégations liées à la sécurité contre des employés comprenaient une mauvaise gestion d’informations confidentielles, telles que le transfert d’informations uniquement internes à des tiers ». De plus, 10 % de ces allégations concernaient des employés qui avaient eu accès aux données. Ils pouvaient donc supprimer ou modifier des données personnelles.

Un tel incident est grave pour Google qui est présent au quotidien chez ses utilisateurs, notamment en ce qui concerne la domotique et les objets connectés dans les maisons. D’ailleurs, les nouvelles caméras Google Nest sont apparues en ligne il y a quelques jours.

En 2019, Google avait licencié 26 employés et 18 en 2018. Les chiffres montent donc progressivement chaque année, ce qui peut sembler inquiétant pour la confidentialité des utilisateurs. Néanmoins, Google se défend. Un porte-parole de la firme de Mountain View a expliqué que « les cas mentionnés concernent principalement un accès inapproprié ou une utilisation abusive d’informations confidentielles et sensibles de l’entreprise ou de la propriété intellectuelle ».

Pour Google, ce ne sont donc pas les données des utilisateurs qui étaient ciblées, mais celles de l’entreprise. D’ailleurs, les employés qui enfreignent les politiques de l’entreprise ne sont pas forcément tous renvoyés. Des formations spéciales sont prévues pour éviter qu’un tel incident se répète à l’avenir. Quoi qu’il en soit, Google doit tout mettre en place pour privilégier la sécurité et la confidentialité de ses utilisateurs en priorité.

 

Événements relier aux attaques des IoT;

 https://teodulle.blogspot.com/2019/12/jouets-connectes-la-cnil-livre-ses.html

https://teodulle.blogspot.com/2019/08/piratees-les-enceintes-connectees.html

 https://teodulle.blogspot.com/2018/06/les-7-hacks-dappareils-iot-le-plus-fou.html

 https://teodulle.blogspot.com/2020/02/les-ampoules-phillips-hue-porte-dentree.html

Source. : Screen Rant

samedi 14 mars 2020

Alexa, Cortana, Google et Siri vous écoutent



Alexa, Cortana, Google et Siri vous écoutent





Alexa, Cortana, Google, Siri, espionnage, IoT, Hackers,


Technologie : Vous êtes-vous déjà demandé combien de fois votre enceinte intelligente s'active sans le vouloir ? Une étude de la Northeastern University a tenté de le découvrir.


Personne n'aime que des étrangers s'immiscent dans une conversation. Surtout lorsqu'ils ont tendance à interrompre sans prévenir.
Une étude estime que les enceintes intelligentes s'activent, alors même que vous ne les avez pas appelées, entre 1,5 et 19 fois par jour. Le temps moyen d'activation est de 43 secondes, ce qui signifie que 43 secondes de vos conversations peuvent être enregistrées et transmises au siège du fabricant.
Les chercheurs sont arrivés à ces conclusions en utilisant des séries pour étudier lesquelles – sans raison évidente – ont activé Alexa (et d'autres) de manière aléatoire.

publicité

19 séries et 125 heures de diffusion

L'étude aurait pu être menée en utilisant simplement du vocabulaire varié pour parler aux enceintes. Mais cela aurait pris beaucoup de temps, et aurait été probablement incomplet. D'où l'idée d'utiliser des séries télévisées très populaires aux Etats-Unis, appartenant à des domaines très différents, comme Grey's Anatonmy, The Big Band Theory ou encore Narcos, qui contiennent un très large choix de vocabulaire.
Les chercheurs ont diffusé 125 heures de programmation télévisée pour mener cette étude, et ont bien sûr pris soin d'écarter les moments où l'enceinte s'est réveillée parce que le mot d'activation était effectivement prononcé. Ils ont examiné cinq enceintes intelligentes : Google Home Mini première génération, Apple HomePod première génération, Harman Kardon Invoke de Microsoft, quelques haut-parleurs Amazon Echo Dot deuxième génération, et quelques haut-parleurs Amazon Echo Dot troisième génération.

Dis Siri, tu nous écoutes ?

La pire d'entre elles ? Siri, bien sûr. Siri n'est pas très douée pour comprendre la plupart des choses. Qui peut s'étonner que des mots choisis au hasard à la télévision la fasse réagir ? Et nous parlons vraiment de mots aléatoires. Siri s'active en entendant "Faith's funeral" ("l'enterrement de Faith") et Alexa croit qu'on l'appelle quand elle entend "congresswoman" ("membre du Congrès"). L'assistant de Google Home Mini réagit à la phrase "I don't like the cold" ("je n'aime pas le froid"). Quant à Cortona, elle confond son nom avec "Colorado".
Que sommes-nous censés faire face à cela ? Espérer que nos conversations susceptibles d'être enregistrées par inadvertance soient si banales que personne ne pourra les utiliser contre nous ? La semaine dernière, Robert Frederick, un ancien directeur d'Amazon Web Services, a déclaré à la BBC que pour avoir une vie privée, il a la solution : il éteint simplement Alexa.

Source : ZDNet.com

jeudi 20 février 2020

Les ampoules Phillips Hue, porte d’entrée des pirates informatiques



Les ampoules Phillips Hue, porte d’entrée des pirates informatiques

Par Zoubeir Jazi,




WiFi, IoT, Hackers, failles



Des experts en sécurité informatique ont pu pirater le réseau local d’une maison équipée par des ampoules intelligentes Phillips Hue. Une brèche de sécurité sérieuse qui leur a permis de pirater  tous les objets connectés au réseau. Comment se protéger de cette faille? Est-ce qu’on a vraiment besoin d’ampoules intelligentes compte tenu des risques encourus?
En utilisant des drones qui ont survolé des maisons équipées par des ampoules Phillips Hue. Des auditeurs en cybersécurité de la firme Check Point Software ont découvert des brèches dans le protocole ZigBee. Un protocole qui régit les ampoules Phillips Hue et la plupart des objets connectés. Une fois piraté, l’ensemble du réseau local ( ordinateur, télévision, cuisinière, etc.) peut être contrôlé, voire infecté par des logiciels malveillants causant notamment leur dysfonctionnement ainsi que le vol des données personnelles des utilisateurs.

Votre lampe intelligente Phillips Hue, est-elle piratée?

  • Le pirate change la couleur ou l’intensité de la lumière de la lampe. L’utilisateur, croyant qu’un problème technique est derrière ce dysfonctionnement, essayera de la « réinitialiser » sur l’application Phillips Hue ou sur les assistants personnels de Google, Apple et d’Amazon.
  • Pour la réinitialiser, il faut supprimer l’ampoule de l’application et de la retrouver, ensuite, sur le au pont de contrôle.
  • Une fois trouvé, l’utilisateur réintègre la lampe qui est maintenant « infectée »
  • Le pirate exploite une vieille vulnérabilité (découverte en 2017 et qui n’a pas été corrigée entièrement) pour déclencher un « débordement de tampon» ( lien), un flot de données et surtout l’installation sur le pont qui contamine à son tour le réseau local de la maison ou de l’entreprise
Le logiciel malveillant se connecte de nouveau au pirate via un utilitaire comme EternalBlue qui lui permet d’attaquer le réseau IP cible en y diffusant, entre autres, des rançogiciels et des logiciels espions

Comment réparer une faille de sécurité dans une ampoule Phillips Hue?

Installer dans l’application Phillips Hue le correctif («firmware» 1935144040, publié fin janvier dernier) ou lancer la mise à jour automatique de la dernière version de l’application.
Les vulnérabilités des objets connectés soulèvent des questions de leur pertinence et surtout du risque encouru par leur usage : a-t-on vraiment besoin d’une lampe qu’on change de couleur à distance selon nos désirs tout en courant le risque qu’elle soit une porte d’entrée d’actes de malveillance, de sabotage d’équipements, d’intrusion et d’espionnage de nos vies privées et professionnelles?
Zoubeir Jazi


REF.:

mardi 4 février 2020

Une fuite de mots de passe pour plus de 500 000 serveurs, routeurs et dispositifs IoT



Une fuite de mots de passe pour plus de 500 000 serveurs, routeurs et dispositifs IoT

Sécurité : La liste a été partagée par l'opérateur d'un service de démarrage DDoS.

Un hacker a publié cette semaine une longue liste d'identifiants de connexion Telnet pour plus de 515 000 serveurs, routeurs et appareils connectés à l'Internet des objets (IoT). La liste, publiée sur un forum bien connu des hackers, comprend l'adresse IP de chaque appareil, ainsi qu'un nom d'utilisateur et un mot de passe pour le service Telnet, un protocole d'accès à distance qui peut être utilisé pour contrôler les appareils sur Internet.
Selon les experts à qui ZDNet s'est adressé cette semaine, et une déclaration du hacker lui-même, la liste a été compilée en balayant tout Internet à la recherche d'appareils qui exposaient leur port Telnet. Le pirate a ensuite essayé d'utiliser (1) les noms d'utilisateur et mots de passe par défaut (paramètres d'usine), ou (2) des combinaisons de mots de passe personnalisés mais faciles à deviner. Ces types de listes - appelées "bot lists" - sont communes lors d'opérations de "botnet IoT". Les pirates parcourent Internet pour créer des bot lists, puis les utilisent pour se connecter aux périphériques et installer des logiciels malveillants. Elles sont généralement privées, bien que certaines aient fait l'objet de fuites en ligne par le passé, comme une liste de 33 000 références Telnet de routeurs domestiques en août 2017. A notre connaissance, il s'agit de la plus grande fuite de mots de passe Telnet connue à ce jour.

publicité

DDoS et fuite de données

Il semblerait que la liste a été publiée en ligne par le responsable d'un service DDoS-for-hire (DDoS booter). Lorsqu'on lui a demandé pourquoi il avait publié une liste de "bots" aussi massive, il a répondu qu'il avait mis à niveau son service DDoS en passant du travail sur des botnets IoT à un nouveau modèle qui repose sur la location de serveurs à haut rendement auprès de fournisseurs de services cloud.

Les listes qui ont fuitées sont datées d'octobre-novembre 2019. Certains des périphériques fonctionnent maintenant sur une adresse IP différente, et les identifiants de connexion peuvent avoir été modifiés. Impossible de dire si les identifiants sont encore valides, nous n'avons pas pu les tester - ce serait illégal bien entendu. En utilisant des moteurs de recherche IoT comme BinaryEdge ou Shodan, nous avons identifié des périphériques dans le monde entier, certains sur des réseaux domestiques, d'autres sur les réseaux des fournisseurs de services cloud.

Le danger demeure

D'après un expert sécurité IoT souhaitant rester anonyme, même si certaines entrées de la liste ne sont plus valides, ces listes restent très utiles pour un attaquant habile. Les périphériques mal configurés ne sont pas répartis uniformément sur Internet, mais ils sont généralement regroupés sur le réseau d'un seul FAI en raison de la mauvaise configuration des périphériques par le personnel du FAI lors de leur déploiement auprès de leurs clients respectifs. Le pirate peut donc utiliser les adresses IP des listes, déterminer le fournisseur de services, puis ré-analyser le réseau du FAI pour mettre à jour la liste avec les dernières adresses IP.
ZDNet a partagé la liste des identifiants avec des chercheurs en sécurité fiables et approuvés qui se sont portés volontaires pour contacter et avertir les FAI et les propriétaires des serveurs.

Source.: ZDNet.com

mardi 17 décembre 2019

Jouets connectés : la CNIL livre ses recommandations pour les sécuriser

Jouets connectés : la CNIL livre ses recommandations pour les sécuriser

source,:Alexandre Boero

 


IoT, Hackers, vol de donné, vol d'identité, WiFi, Bluetooth,
 
 

De nombreux parents succombent à la tentation d'offrir des jouets connectés à leurs enfants. Sauf que ces objets collectent souvent de nombreuses données, un détail auquel on ne pense pas forcément.

Alors que Noël approche et que le Père Noël s'active avec son armée de lutin, quelque part au Pôle Nord, la CNIL a décidé d'offrir un coup de main à la section « jouets connectés » en sensibilisant les parents sur les données collectées auprès des enfants, et en les guidant pour les sécuriser. Car bien qu'ils prennent une forme souvent anodine (console, robot, poupée, montre connectée...), les jouets connectés collectent des informations et les font transiter vers Internet grâce aux ondes radio comme le Wi-Fi ou le Bluetooth.



Le jouet connecté, un objet de tentation pour les cybercriminels

Méconnaître le jouet connecté ou mal l'utiliser, surtout lorsqu'il n'est pas sécurisé, peut conduire l'enfant et ses parents à subir des conséquences pouvant être fâcheuses. Les données collectées via l'objet peuvent en effet être utilisées à des fins commerciales, pour notamment procéder à du ciblage publicitaire. Bien plus grave, elles peuvent aussi être détournées par une personne malveillante, qui cherche à escroquer, harceler ou usurper l'identité d'un membre du foyer.


Le jouet connecté peut aussi s'avérer problématique au sein même de son propre lieu de vie. Certains jouets permettent aux parents « d'écouter » les interactions de leurs enfants avec ces derniers, grâce à des applications par exemple. Certes, cela permet de davantage protéger les jeunes utilisateurs et de contrôler les données stockées en ligne. Mais la pratique peut aussi nuire à la vie privée de l'enfant, qui voit, sans forcément le savoir, son jardin secret disparaître.


La CNIL mise sur la prudence, avant et après l'achat

Sur un plan purement sécuritaire, la CNIL propose, avant de donner le jouet connecté à l'enfant, de vérifier que celui-ci ne permette pas à n'importe qui de s'y connecter. Si le jouet dispose d'un mot de passe ou de tout autre moyen d'identification, mieux vaut le changer immédiatement après l'achat ou avant la première utilisation. Avant l'achat toujours, il est aussi très utile de se renseigner sur les caractéristiques du produit et ses interactions avec les autres appareils électroniques.

Les actions antérieures à l'utilisation sont primordiales, vous l'aurez compris. Si tant est que vous deviez procéder à une inscription en ligne pour utiliser le jouet ou bénéficier de certaines fonctionnalités, mieux vaut créer une adresse mail dédiée, avec un mot de passe sécurisé, que vous contrôlerez en utilisant des pseudonymes, plutôt que les prénom(s) et nom(s) de l'enfant.


Lorsque l'enfant n'utilise pas le jouet, il est préférable de l'éteindre afin de limiter les risques de collecte de données sauvage. Il est important aussi d'avoir accès aux données et de pouvoir les supprimer. Le partage automatique sur les réseaux sociaux doit enfin être désactivé.

Il est conseillé de s'informer avant même d'acheter le jouet connecté, en se méfiant par exemple des objets à trop bas coût, ou en jugeant de la transparence du fabricant (qui y est théoriquement obligé par la loi) sur les données collectées et leur hébergement.

REF.:

vendredi 30 août 2019

Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs


Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs

Elles se démocratisent, et cela donne aux hackers potentiels un pouvoir d'autant plus important. Aujourd'hui, les enceintes connectées se placent dans presque toutes les pièces de la maison. Mais que se passerait-il si une personne bien équipée, mais mal intentionnée, en prenait le contrôle ?
 


WiFi, objets connectés, IoT, Hackers,


Dans ce cas, la personne pourrait mener une attaque, au sens littéral du terme : le 11 août 2019, la conférence Defcon a notamment expliqué que « un attaquant pourrait développer un malware visant à émettre des sons très élevés, causant des effets plus ou moins graves sur les propriétaires de ces enceintes ».


Des dommages humains et matériels


C'est un chercheur spécialiste en cybersécurité, Matt Wixey, qui alerte sur le danger que peuvent représenter les appareils électroniques pour leurs propriétaires dans le cas d'un piratage. Selon lui, l'attaque la plus évidente consisterait en un son très élevé, endommageant l'ouïe de la personne. Mais il va aussi plus loin, affirmant que l'utilisation de fréquences en dehors de l'audible pourraient provoquer des acouphènes, et même induire des changements psychologiques chez la personne ciblée.

Il souligne que « les émanations acoustiques ont prouvé leurs effets sur l'humain, autant d'un point de vue physiologique et psychologique ». Durant la guerre en Irak, lors d'interrogatoires, des militaires américains avaient même utilisé... Du heavy metal (du Metallica, pour être précis). La CIA elle-même a été accusée d'avoir infligé de la torture auditive. Le bruit en tant qu'arme est donc bien connu.

Une minorité d'appareils concernés


L'équipe de Matt Wixey a aussi mesuré la température que pouvaient atteindre ces enceintes. Résultat : quatre ou cinq minutes après le début du piratage, l'appareil avait émis suffisamment de chaleur pour que ses composants internes aient commencé à fondre. Cela pose ainsi des questions de sécurité concernant d'éventuels courts-circuits.

Ces données sont d'autant plus inquiétantes que Matt Wixey qualifie l'écriture d'un logiciel malveillant d'« étonnamment simple ».

Son étude ne s'est cependant pas cantonnée aux enceintes connectées. Son équipe a aussi testé d'autres appareils numériques du quotidien : un ordinateur portable, un smartphone, une enceinte Bluetooth ainsi qu'un casque audio de type circum-auriculaire. Matt Wixey admet qu'une minorité de ces appareils pourrait effectivement être reconvertie en « arme acoustique ». A priori, les enceintes connectées font partie des rares objets à pouvoir subir cette reconversion. Concernant justement ces dernières, l'étendue exacte de leur capacité de nuisance reste globalement floue. Mais les recherches de Matt Wixey constituent une incitation pour les constructeurs à revoir leurs normes de sécurité à la hausse.

Source : TechRadar

jeudi 16 août 2018

Fitness: L’application d’activité Polar a révélé les adresses personnelles d’agents du renseignement


Fitness: L’application d’activité Polar a révélé les adresses personnelles d’agents du renseignement

Polar, l’appli fitness qui aime trop espions et militaires, pas assez la vie privée

Sécurité : Les données de localisation de l’application d’activité Polar ont révélé les adresses personnelles d’agents du renseignement, et ce même lorsque leurs profils étaient définis comme privés.

Une application de fitness populaire, qui suit les données d'activité de millions d'utilisateurs, a révélé par inadvertance les emplacements du personnel travaillant dans des bases militaires et pour les services de renseignement.
L'application Polar Flow, créée par la société éponyme Polar, un géant finlandais basé à New York, permettait à quiconque d'accéder aux activités de fitness d'un utilisateur sur plusieurs années, en modifiant simplement son adresse Web.

Un mode privé ? Inutile 

Pour la plupart des utilisateurs qui choisissent de rendre publiques leurs données d'activité, l'affichage de leurs entraînements sur la carte Explore de Polar est une fonctionnalité et non un problème de confidentialité. Toutefois, même avec des profils paramétrés en mode privé, l'activité physique d'un utilisateur peut révéler où celle-ci réside.
L’exposition de la localisation d’une personne travaillant dans une installation gouvernementale ou militaire peut ainsi rapidement devenir un risque pour la sécurité nationale.
C'est la deuxième fois cette année qu'une application de fitness suscite la controverse en révélant la localisation du personnel d’installations sensibles. Strava a changé ses paramètres de confidentialité après qu’il ait été révélé que le tracker exposait les routes classifiées entre les bases sur le champ de bataille.
A présent, une enquête menée par les sites d'information néerlandais De Correspondent et Bellingcat a révélé que Polar Flow avait exposé ses données de suivi d’activité. L'API développeur de la société pouvait être sollicitée pour récupérer des activités de fitness, comme chaque session de course et de cyclisme, pour n'importe quel utilisateur.
Avec deux paires de coordonnées placées au-dessus d'un lieu ou d'une installation gouvernementale sensible, il a été possible de trouver les noms de membres du personnel enregistrant leurs activités physiques grâce à Polar.
Les journalistes ont identifié plus de 6.400 utilisateurs supposés intervenir sur des lieux sensibles, notamment la NSA, la Maison Blanche, le MI6 à Londres et le centre de détention de Guantanamo Bay à Cuba, ainsi que du personnel travaillant sur des bases militaires étrangères.
Les noms d’officiers et agents des services de renseignements étrangers, comme le GCHQ à Cheltenham, la DGSE à Paris et le GRU russe à Moscou, ont également été trouvés.
Le personnel des installations de stockage nucléaire, des silos de missiles et des prisons a également été repéré.

Une API trop bavarde

Non seulement il était possible de voir exactement où un utilisateur avait fait de l'exercice, mais il était facile également de déterminer précisément son lieu de résidence, ou s'il avait commencé ou arrêté le suivi de son activité physique dès la sortie de son domicile.
Comme il n'y avait pas de limites au nombre de requêtes que les journalistes pouvaient effectuer, couplées à des ID utilisateur facilement dénombrables, il était possible pour n'importe qui - y compris des acteurs malveillants ou des services de renseignement étrangers - de récupérer les données d'activité de millions d'utilisateurs.
Mais les journalistes ont également découvert qu'ils pouvaient tromper l'API en récupérant des données de suivi de profils privés.

Dans les zones densément peuplées telles que la Maison Blanche, le nombre de personnes ordinaires activant l'application à proximité est plus élevé, ce qui ajoute beaucoup de bruit indésirable aux données. En revanche, les camps militaires isolés et les bases gouvernementales donnaient de meilleurs résultats.
De Correspondent démontre dans un rapport supplémentaire combien il était facile de suivre un utilisateur de Polar, supposé être un officier du service de renseignement de l'État néerlandais, et même de localiser son adresse personnelle. Pourtant, dans certains pays, comme aux Pays-Bas, révéler l'identité d'un agent de renseignement est illégal, rappelle le quotidien.
ZDNet a été en mesure de suivre le trajet d'une personne ayant fait de l'exercice à proximité du siège de la NSA à Fort Meade. L'utilisateur a plus tard commencé le suivi d'activité lors de son départ de son domicile en Virginie voisine. Grâce aux archives publiques, nous avons confirmé son nom et sa fonction de haut responsable militaire.
Une autre personne, également considérée comme un membre du personnel de la NSA basé à Fort Meade, a été retrouvée en train de faire de l'exercice près du centre de détention de Guantanamo Bay.
Les reporters néerlandais ont par ailleurs trouvé les données de suivi de plusieurs officiers militaires et de renseignement étrangers à proximité d'installations sensibles aux États-Unis.
Les données permettent de construire une image troublante de la vie d'une personne, où elle vit, où elle va, et fournissent des pistes supplémentaires sur son identité et ses relations.

Polar ? Conforme au RGPD, oui oui

Informé en amont, Polar a retiré sa fonction de cartographie avant la publication de l'enquête journalistique.
Dans une réaction envoyée par Marco Suvilaakso, directeur de la stratégie de Polar, la société déclare avoir "récemment appris que les données de localisation publique partagées par les clients via la fonction Explore dans Flow pourraient fournir des informations sur les sites potentiellement sensibles".
L'entreprise réfute en revanche toute fuite ou une violation de ses systèmes.
"Actuellement, la grande majorité des clients Polar conservent des profils privés par défaut et les paramètres de données des sessions privées, et ne sont aucunement affectés par ce cas" indique le communiqué.
"Bien que la décision d'accepter et de partager les sessions de formation et les données de localisation GPS relève du choix et de la responsabilité du client, nous sommes conscients que des emplacements potentiellement sensibles apparaissent dans les données publiques et avons décidé de suspendre temporairement l'API Explore."

Nous avons demandé à Polar si cette exposition de données, en particulier la révélation de certaines adresses personnelles sur des profils privés, constituait une violation de la nouvelle loi européenne sur la protection des données - connue sous le nom de RGPD.
"Oui, nous sommes conformes RGPD" commente Suvilaakso.
Polar ne communique pas ses chiffres d'utilisateurs, mais De Correspondent a trouvé plus de 30 millions d'utilisateurs.
De Correspondent a contacté les autorités néerlandaises et finlandaises pour sécuriser la plateforme Polar, tandis que ZDNet a contacté plusieurs autorités américaines au sujet de cette compromission de données.
Nous avons contacté différents départements du gouvernement US, y compris le bureau du directeur du renseignement national, qui supervise la communauté du renseignement et ses agences. Son porte-parole Charles Carithers déclare que l'ODNI est "conscient des impacts potentiels" des terminaux qui recueillent et transmettent des données personnelles et de localisation.

Les agences de renseignement conscientes des risques

"L'utilisation de terminaux de suivi de l'activité physique et similaires par des personnes engagées dans l'action du gouvernement américain est déterminée et dirigée par chaque agence et département" annonce-t-il.
Le porte-parole de la NSA, Brynn Freeland, précise que l'agence "a mis en place et applique des politiques concernant l'utilisation de wearables dans les zones de travail contrôlées", mais ne précise pas le contenu de ces politiques.
"En outre, nous menons une campagne de formation continue pour nos employés en mettant l'accent sur la relation entre la technologie, leur vie privée et la sécurité opérationnelle" ajoute-t-il.
Sollicités, la CIA, la Maison Blanche, le Conseil de sécurité nationale, le FBI et le Pentagone n'ont pas fait de commentaire.
Dans des déclarations antérieures, le ministère en charge de la supervision des militaires déclarait prendre "des questions comme celles-ci très au sérieux." D'après de précédentes déclarations, le personnel militaire n'est pas autorisé à utiliser des trackers d'activité disposant d'une connectivité Wi-Fi ou cellulaires. Les terminaux Bluetooth et GPS synchronisant les données sur les téléphones seraient en revanche admis.
Polar n'est pas la seule société de suivi de l'activité physique à exposer par inadvertance des données utilisateur. D'autres applications de fitness ont eu des problèmes similaires, mais dans une ampleur moindre que pour Polar selon les journalistes néerlandais.
Polar s'est excusé pour le désagrément causé par la suspension de la carte.
"Cependant, notre objectif est d'élever le niveau de protection de la vie privée et d'accroître la sensibilisation aux bonnes pratiques personnelles en matière de partage des données de localisation GPS" promet l'éditeur.

REF.:

mardi 26 juin 2018

Les 7 Hacks d'appareils IoT le plus fous

Les 7 Hacks d'appareils IoT le plus fous


8 mai 2018 - par:  Mike O'Malley - 0
Les botnets Internet of Things (IoT) ont à jamais changé la cyber-sécurité. Lorsqu'un botnet IoT - c'est-à-dire un groupe d'ordinateurs, d'appareils ou d'appareils connectés à Internet qui ont été cooptés pour lancer une cyber-attaque - est déchaîné, les résultats peuvent être dévastateurs.
Presque tout appareil connecté à Internet peut être considéré comme un appareil IoT. Avec le recours croissant de l'humanité à Internet, le nombre de dispositifs susceptibles d'être piratés et utilisés dans le cadre d'un botnet a considérablement augmenté. D'ici 2020, il y aura plus de trois appareils IoT pour chaque humain sur la planète Terre.
En conséquence, ce qui était autrefois l'histoire d'un film de science-fiction (appareils ménagers piratés et tournés contre l'humanité) maintenant la réalité.


 Des aquariums aux lave-vaisselle en passant par les automobiles, voici sept des appareils les plus étranges de l'Internet des objets qui ont été piratés ces dernières années.Cayla - L'appareil d'espionnage illégalSource: ParentingHub https://parentinghub.co.za/2014/10/my-friend-cayla/
Avec des cheveux dorés à la taille et une voix conçue pour réchauffer le cœur d'un enfant, Cayla a ravi des millions d'enfants dans toute l'Allemagne. En réalité, elle est un "appareil d'espionnage illégal" qui doit être détruit immédiatement, selon l'agence fédérale allemande du réseau.
Une fois que les hackers contrôlent cette poupée interactive Wi-Fi, ils peuvent utiliser leurs caméras et leurs microphones pour voir et entendre quoi que ce soit, permettant ainsi aux hackers de suivre leur emplacement ou de potentiellement profiter des bénéfices du stand de limonade. Plus important encore, lorsque la sécurité de ces appareils connectés à Internet est négligée, ils peuvent être involontairement enrôlés dans une armée de machines piratées connues sous le nom de botnet.
[Vous pourriez également aimer: Smart Homes of Tomorrow - Connectez toutes les choses!]Ocean 14?L'aquarium Shark Reef à Mandalay Bay et pas le casino en question. Source: MGM Resorts https://www.mgmresorts.com/fr/things-to-do/mandalay-bay/shark-reef-aquarium.html
Quand il s'agit de voler des données, les pirates informatiques utiliseront tous les moyens à leur disposition. Les casinos sont parmi les organisations / installations les plus sécurisées de la planète, ce qui explique pourquoi un groupe de pirates a choisi de pirater un casino via un thermomètre dans un aquarium dans le hall.
Après avoir accédé au réseau du casino, les hackers ont localisé la base de données high-roller et l'ont extraite via le thermostat. Ce cambriolage n'était peut-être pas aussi audacieux qu'Ocean's Eleven, mais pour les joueurs de haut niveau dont les données sur le personnel avaient été compromises, le casino et eux-mêmes avaient perdu la main.
Pirater une page à la foisSource: PC Mag https://www.pcmag.com/article2/0,2817,2411967,00.asp
L'impression au bureau peut être une proposition risquée. Vous courez le risque qu'un collègue regarde quelque chose de personnel. Vous devez subir la tâche infernale de charger du papier de format légal dans le bac 2. Ou vous risquez d'invoquer la colère de la finance en utilisant les options d'impression couleur onéreuses. Mais on est au dessus de tout: si l'imprimante connectée à un réseau de votre organisation est piratée par un assaillant numérique. Il fait soudainement apparaître un message "PC LOAD LETTER" comme un cakewalk.
Des hacks d'imprimantes réussis ont permis aux pirates de siphonner la mémoire de l'imprimante pour accéder à des travaux d'impression contenant des fichiers sensibles, tels que des contrats, des données d'entreprise ou des informations sur les patients. En outre, les mots de passe d'entreprise peuvent être compromis si l'imprimante utilise des autorisations basées sur des rôles.
Cela pourrait aussi se résumer à une scène tout droit sortie du film Office Space.Espace de bureau, 20th Century Fox
[Vous pourriez également aimer: Maisons intelligentes de demain - Ce n'est pas ce que nous attendions]Faire tourner le gel
La prochaine génération de thermostats connectés à Internet est devenue un favori permanent des pirates, comme le montre l'exemple du casino mentionné ci-dessus. Mais en 2016, les hackers ont gelé les citoyens de Lappeenranta, en Finlande, quand ils ont réussi à pirater les systèmes de contrôle de l'environnement dans deux immeubles via des thermostats.Dans leur tentative de combattre l'attaque, les systèmes environnementaux ont été redémarrés - et ensuite bloqués dans une boucle sans fin qui a laissé les résidents dans le froid pendant près d'une semaine.
Un vrai cauchemar - Moniteurs de bébé piratésSource: https://servicemasteranchorage.com/2016/02/29/128/oh-my-gosh-face/
Les moniteurs de bébé ont parcouru un long chemin depuis leur introduction dans les années 1930. Ce qui a commencé, c'est que les émetteurs radio unidirectionnels simples ont évolué pour devenir des appareils intelligents sophistiqués compatibles WiFi, dotés d'un récepteur, d'une caméra vidéo, d'une vision infrarouge et d'une foule d'autres fonctionnalités.
Ces mêmes capacités high-tech ont transformé ces titans de la sécurité des tout-petits en un véritable cauchemar. Les pirates recherchent des opportunités, et ces appareils à peine sécurisés peuvent être piratés pratiquement n'importe où dans le monde via leurs connexions Wi-Fi. Les moniteurs pour bébés sont un parfait exemple de la façon dont les pirates informatiques peuvent mettre en commun des appareils apparemment inoffensifs connectés à Internet pour lancer des attaques massives de déni de service.Devenir un pilote Backseat
Experts en cyber-sécurité automobile Charlie Miller et Chris
Valasek a fait des vagues (ou speedbumps) ces dernières années en piratant une Chrysler Jeep Cherokees. Ce qui a commencé comme l'envoi de commandes à distance via le système qui interroge le système GPS s'est transformé en intrigue à partir d'un film d'action tel que Fast and Furious. Ils ont maintenant prouvé qu'un hacker peut tourner à distance le volant ou activer le frein de stationnement, le tout à grande vitesse. Le concept longtemps craint que quelqu'un pourrait vous transformer, vous et votre automobile, en mannequin de crash-test, devient rapidement une réalité.

 Les télévisions intelligentes SmartSmart représentent maintenant la majorité des nouvelles ventes de téléviseurs. Selon la firme d'études de marché IHS Markit, 69% de tous les nouveaux ensembles expédiés en Amérique du Nord en 2017 étaient compatibles avec Internet et ce pourcentage augmentera tout au long de 2018. La connectivité Internet apporte beaucoup de fonctionnalités attrayantes: la diffusion de contenu via des applications populaires tels que Hulu et Netflix, ainsi que la capacité de trouver rapidement du contenu à l'aide de commandes vocales. Il apporte également un cauchemar de sécurité hors du centre de données et dans le salon. Ces téléviseurs s'accompagnent également d'une importante collecte de données et, parce qu'ils sont compatibles avec Internet, cela signifie qu'ils peuvent être piratés et que les données peuvent être compromises. Les pirates informatiques peuvent changer de chaîne, jouer un contenu offensant ou dissimuler des données détaillées sur les utilisateurs du téléviseur. Et avec les téléviseurs devenant la pièce maîtresse des foyers de plus en plus connectés des consommateurs, il ne faudra pas longtemps avant qu'un pirate puisse exploiter un ensemble compromis pour potentiellement contrôler d'autres appareils intelligents, depuis les thermostats et caméras susmentionnés jusqu'aux lave-linge et haut-parleurs.  

Soirée de boulimie Netflix peut se transformer en enfer domestique lorsque le téléviseur change de chaîne, la machine à laver fait une lessive et votre poêle commence à faire bouillir de l'eau.

REF.:

vendredi 15 juin 2018

Réseaux LoRa & Sigfox : il y a une vie en-dehors de la 3G, du Bluetooth et du Wi-Fi !




On estime que d'ici 2020, ce sont plus de 50 000 Go de données qui transiteront entre nos machines chaque seconde. Ces échanges massifs se font en partie via des réseaux sans fil, les plus répandus étant essentiellement les réseaux 3G/4G, le Bluetooth et le Wi-Fi. Mais d'autres réseaux moins connus sont utilisés tous les jours dans nos objets connectés et dans nos villes !

Nous connaissons tous les principaux réseaux non-câblés qui font partie de notre quotidien, en téléphonie mobile avec la 3G/4G ou avec celui qui s'est imposé comme le standard domestique, le Wi-Fi.

Ces réseaux traditionnels ont en commun un protocole de communication d'une grande complexité qui permet un débit de données très élevé. Avec jusqu'à 700 Mbits de débit par seconde, ils permettent de regarder des vidéos en 4K et d'échanger de gros fichiers au quotidien. Mais cela implique également une importante consommation énergétique : la connectivité sans fil représente environ 40% de la consommation énergétique de nos téléphones.

Ces technologies évoluent et s'adaptent à nos besoins au fil des années, et nous permettent d'échanger toujours plus de données, toujours plus vite, tout en contrôlant notre consommation.


ville connectée fotolia


Les nouveaux réseaux dédiés à la ville connectée


Parallèlement, on assiste à l'émergence des villes connectés au sein desquelles de plus en plus d'objets du quotidien doivent être également capable de communiquer entre eux. Les applications telles que les compteurs intelligents, le contrôle et la gestion des parkings, de l'éclairage ou encore du trafic routier se généralisent.

Les quantités mesurées ou contrôlées dans ces applications, comme les conditions météorologiques, les niveaux d'humidité du sol ou les lampadaires, montrent toutes de très lentes fluctuations sur une période prolongée. Pour connecter ces objets il suffit, dans la majorité des cas, d'un débit de données extrêmement faible avec des échanges très peu fréquents.

détecteur de place de stationnement
Le pavé clair est un détecteur de places de stationnement installé aux abords du port d'Amsterdam. Il transmet un message lorsqu'une place se libère et permet de mieux gérer les flux de véhicules.


L'un des principaux challenges consiste également à augmenter la durée de vie des batteries de ses capteurs afin de réduire les coûts de maintenance et de remplacement.

D'après une étude de la firme Gartner datée de 2017, ce sont plus de 20,4 milliards « d'objets » qui seront connectés en 2020. Cet engouement soulève de nouveaux besoins en matière de connectivité. Or, les réseaux grand public sont mal adaptés aux objets car trop gourmands en énergie et trop coûteux.

C'est un petit peu comme de payer un abonnement 4G illimité au prix fort alors que vous ne souhaitez envoyer que 10 SMS par mois. N'existerait-il pas un forfait plus adapté ?

reseau sans fil fotolia


L'émergence des LPWANs


Supporter un très grand nombre de connexions à faible débit avec une consommation énergétique minimale, le tout pour des coûts d'implémentation et de de gestion réduits : voici le tour de force à accomplir pour supporter l'expansion de l'Internet Of Things.

La demande est si forte que de nombreux industriels se sont engouffrés dans la brèche tentant d'imposer un nouveau standard. C'est l'avènement des LPWAN, Low Power Wide Area Network (réseaux sans-fil à faible consommation énergétique). Ils sont constitués de différents routeurs qui collectent les messages des capteurs environnants et qui retransmettent les informations sur internet afin d'y accéder sur son mobile où un ordinateur.

Ils permettent l'échange de données simples telle que l'état d'un interrupteur, la position géographique d'un objet, le taux d'humidité d'un entrepôt ou le déclenchement d'une alerte.

Voici les principales caractéristiques et attentes d'un réseau LPWAN :
Caractéristique Réseau LPWN
Débit Faible : une centaine d'octets de données par jour
Fiabilité de la transmission Moyenne : les données sont rarement critiques et certaines pertes de données restent acceptables
Consommation énergétique Bonne : 10 ans de batterie avec seulement 4 piles classiques.
Coût et souscription au réseau Bons : gratuit ou quelques centimes par objet et par mois
Portée Bonne : 30 km en milieu rural, 5 km en ville


Le sujet de la législation autour des fréquences radio


Une autre particularité de ces réseaux est l'utilisation d'une bande de fréquence libre d'exploitation.
En effet, l'utilisation des différentes fréquences radio est encadrée par des organismes nationaux et internationaux afin que tous les systèmes sans fils puissent cohabiter sans subir de perturbations.

Il est possible d'acheter certaines plages de fréquence pour être assuré d'être l'unique utilisateur au niveau national ou international. Ce sont donc plusieurs millions d'euros qui sont dépensés chaque année par les opérateurs téléphoniques dits classiques (Orange, SFR, Free...) afin d'assurer à leurs utilisateurs qu'un client d'une entreprise concurrente ne perturbera pas sa communication.

Il existe deux bandes de fréquence définies comme libres d'utilisation, appelées ISM (Industrie, Science et Médicale) : 868 MHz et 2.4 GHz - fréquence dans laquelle opèrent le Bluetooth et le Wi-Fi.

Dans ce contexte, deux réseaux tendent à s'imposer dans la guerre des LPWANs. Ils utilisent la fréquence ISM 868 MHz, qui permet d'obtenir une portée supérieure comparée à 2.4 GHz.

Il s'agit de SigFox et LoRa, qui reposent tout deux sur des technologies d'initiative française.


Sigfox


Créée en 2009 dans la commune de Labège, cette société est l'une des premières mondiales à avoir flairé le besoin grandissant d'un réseau bas débit. L'idée était simple : créer un réseau national d'antennes optimisées pour couvrir une zone de 10 à 50 km, quitte à sacrifier la vitesse de transfert de données. Le nombre d'antennes à installer s'en trouve ainsi ainsi drastiquement réduit. Les investisseurs n'ont pas tardé à s'intéresser au projet et ont permis à Sigfox de couvrir 92% de l'Hexagone dès 2014 avec seulement 1 000 antennes (contre 11 121 pour la couverture 4G de Bouygues Telecom, par exemple).

Ils sont aujourd'hui présents sur les 4 continents, dans plus de 45 pays et couvrent 3,8 millions de kilomètres carré, soit la superficie de l'Inde.

Le réseau Sigfox, de par sa simplicité de déploiement (bande de fréquence libre et grande portée), peut s'étendre extrêmement rapidement et tente peu à peu de recouvrir le globe. La firme participe d'ailleurs à un programme de lancement de nano-satellites afin d'obtenir une couverture mondiale. Les premiers lancements sont prévus l'an prochain.

sigfox


Coûts


Pour environ 2 euros par an, il est possible d'enregistrer un objet sur le réseau et de récupérer ses données à distance. Grâce à cette souscription il est possible d'envoyer maximum 140 messages de maximum 8 octets par jour. Suffisant pour relever une température, un taux d'humidité ou encore les coordonnées GPS d'un objet.

Technologie


Sigfox utilise pour communiquer une technologie appelée Ultra Narrow band. Chaque message est transmis en utilisant une bande de fréquence très étroite (100 Hz) ce qui permet d'augmenter la qualité du signal et sa portée.

Le message est transmis en utilisant une modulation appelée DBPSK, une variante d'une technique appelée PSK. Cette modulation assez simple à implémenter et permet d'une part de réduire le coût des récepteurs et d'autre part de faire cohabiter un maximum de terminaux sur le réseau.



LoRa


Contrairement à Sigfox, LoRa n'est pas le nom d'une entreprise. Il s'agit d'un protocole de communication sans fil, crée par une société grenobloise, Cycleo SAS puis racheté par l'américain Semtech. Cette technologie s'avère excellente pour transmettre des messages sur de très longues distances, le tout pour très peu d'énergie. Un candidat idéal pour le marché des capteurs et objets connectés.

A la différence de Sigfox, vous aurez besoin de déployer vous-même un modem pour assurer la connexion des appareils environnants. Ils couvrent une zone d'environ 5 à 15 km dans laquelle tous les appareils utilisant la technologie LoRa pourront échanger des informations.

lora


Coûts


LoRa est gratuit d'utilisation : il suffit d'acheter un modem et des capteurs compatibles. Cela le rend particulièrement intéressant à l'échelle d'une ville. Avec seulement quelques modems, la ville de Dublin arrive à collecter les informations de différents capteurs d'inondation LoRa et peut prendre des mesures rapidement avant tout incident.

Il existe également une communauté, nommée The Things Network et basée à Amsterdam, qui permet aux passionnées ou entreprises possédant un modem LoRa de le partager avec les autres. Le réseau compte aujourd'hui 40 000 membres dans 60 pays et offre donc une couverture LoRa dans différents endroits à travers le monde.

Technologie


Le protocole LoRa repose sur une technique appelée CSS (Chirp Spread Spectrum modulation). Ce procédé étale le message sur une bande de fréquence défini, ce qui rend la communication extrêmement résistante aux interférences et permet d'améliorer drastiquement la portée. Cela permet également de fonctionner avec très peu d'énergie pour un coût de fabrication très réduit.

Les signaux LoRa d'un ballon d'air chaud embarquant des capteurs de pression et de température, ont été reçus à plus de 700 km de distance en août dernier, le tout fonctionnant avec 40 fois moins d'énergie qu'un smartphone.

En comparaison avec Sigfox, le débit offert est supérieur et le nombre de messages par jour est ici théoriquement illimité.


LoRa ou Sigfox : quel réseau pour connecter les objets entre eux ?


LoRa et Sigfox répondent tous deux parfaitement aux besoins du futur « internet des objets » en matière de communications longue portée, basse consommation et à faible débit de données. Cependant, ils diffèrent en plusieurs points qui ont un impact sur le choix de la technologie à choisir en fonction de son application.

Pour un agriculteur qui souhaite implanter des capteurs dans un champ pour connaitre l'état de santé de ses plantations et les besoins d'irrigation, il lui est préférable d'utiliser le réseau LoRa. Il déploie son propre modem et peut consulter les données amassées par les capteurs depuis un ordinateur sans payer d'abonnement annuel par capteur.

réseau fotolia


Pour une compagnie de déchets qui souhaite installer des capteurs de remplissage sur des bennes à ordures réparties sur différentes communes, il est peut-être préférable de souscrire à un abonnement Sigfox. Cela évite d'avoir à installer des modems LoRa pour garantir la couverture. Il suffit d'acheter les capteurs adéquats et Sigfox s'occupe de transférer les données via ses antennes réseaux jusqu'au PC du centre de collecte des déchets.

Quoi qu'il en soit, devant le succès de ces compagnies, les opérateurs téléphonique classiques cherchent à se tailler une part dans le marché de l'IoT. Ainsi, Orange a lancé son propre réseau LoRa fonctionnant sur leurs antennes.

L'organisme créateur des standards téléphoniques (2G, 3G, 4G), quant à lui, vient de publier une nouvelle technologie appelée NB-IoT, destinée uniquement à connecter les objets à internet.


REF.:

samedi 24 mars 2018

Le maître d’un puissant botnet identifié et arrêté au Bélarus



Ar3s, le maître présumé d'Andromeda, l'un des plus puissants et des plus anciens botnets de la Toile, a été arrêté fin novembre au Belarus. Il a fallu, pour l'identifier et l'arrêter, la collaboration pendant de longs mois des plus puissantes agences anti-crimes de la planète.

En 6 ans, Andromeda a contaminé plus de 2 millions de machines, et a permis de bâtir plus de 400 botnets.

Trahi par ICQ


Il aura fait courir le FBI, Europol, et toutes les sociétés de cybersécurité de la planète pendant plusieurs années. Les autorités du Bélarus viennent d'annoncer lundi 4 décembre l'arrestation du maître présumé d'Andromeda, le kit logiciel à l'origine d'un gigantesque réseau de botnets qui avaient réduit à l'état d'esclave plus de 2 millions de machines dans 223 pays.

Le maître en question est un certain Sergey Jarets, 33 ans, directeur technique d'une chaîne de télé régionale bélarusse. Mais derrière cette activité légale, Sergey était aussi Ar3s, une figure respectée de l'underground criminel du Net. C'est sa présence sur de nombreux forums whitehat, notamment son identifiant ICQ, qui a permis aux enquêteurs de remonter sa piste.



Un champion de la dissimulation


Andromeda, connu aussi sous le nom de Gamarue, restera comme son chef-d'oeuvre : il s'agit en fait d'un kit couteau-suisse permettant de bâtir des malwares sur mesure. Ses plug-ins permettaient pour 150 dollars de transformer Andromeda en keylogger (collecteur de frappes de clavier), de prendre le contrôle de la machine infectée et de la transformer en serveur de diffusion de malwares. C'est cette fonctionnalité qui a fait le succès d'Andromeda, devenu l'agent de contamination de 464 botnets autour de nombreuses attaques en déni de service. On retrouve Andromeda à la racine de plus de 80 familles de virus en tous genre : rançongiciels (Petya ou Cerber), des diffuseurs de spams, trojans (chevaux de Troie), etc.

Andromeda avait aussi la particularité d'être sélectif : il épargnait volontairement les machines localisées en Russie, Ukraine, Kazakhstan et... Belarus. Sournois, il s'effaçait de lui-même s'il repérait un antivirus, et contournait aisément les firewalls et les mises à jour Windows. Andromeda porte aussi bien son nom, car c'est véritablement une constellation de 1.200 domaines et adresses IP que les autorités ont identifiés comme postes de contrôle des machines infectées. Rien que sur les 6 derniers mois, Microsoft en a identifié plus d'un million.

REF.: Modifié le 14/02/2018 à 17h02
 
 
 

Satori, le botnet qui transforme vos objets connectés en zombies



Depuis le mois de décembre, les experts en cybersécurité regardent avec inquiétude grossir à toute vitesse un botnet baptisé Satori. Ce dernier s'ajuste en permanence aux contre-mesures, et a la particularité de se loger dans tout objet mal protégé et connecté à Internet.

Parmi les cibles favorites de Satori, les thermostats, les TV connectées, les systèmes d'infotainment dans les voitures, mais surtout les routeurs. Une fois massif, le botnet pourrait servir à des attaques en déni de service (DDoS).


Déjà 40.000 zombies


En japonais, son nom signifie illumination, compréhension, éveil. Une notion d'une haute valeur philosophique, bien loin des objectifs et des méthodes du malware baptisé Satori. Repéré en décembre dernier, ce code malicieux se loge dans toutes sortes d'objets connectés au Net et les asservit, tels des zombies, pour constituer un puissant botnet, une armée de machines à la main de son ou ses maîtres.

Satori n'est pas encore très gros : il aurait sous sa coupe environ 40.000 appareils, mais il grandit vite. Les experts observent avec inquiétude la discipline de son ou ses auteurs, qui modifient régulièrement leur tactique d'infection. Le moment venu, Satori pourrait servir à expédier des millions de spams, ou noyer sous des requêtes simultanées venant de chaque objet infecté les serveurs d'une compagnie, d'un hébergeur ou d'une institution.

01f4000008745214-photo-pixabay-s-curit-internet-virus.jpg


Le digne héritier de Mirai


Des pans entiers du code source de Satori sont identiques à celui de Mirai, un botnet qui paralysa en 2016 plusieurs structures critiques du web en Amérique du Nord. L'attaque de Mirai fit tomber notamment Twitter, les sites d'Airbnb et du New York Times. Au faîte de sa gloire, Mirai enrôlait des centaines de milliers de routeurs, de webcam, et de toutes sortes d'objets connectés corrompus.

Les trois auteurs de Mirai ont été arrêtés mi-décembre par le FBI, mais leur créature a ouvert la voie à d'autres. Pour se protéger de Satori, plusieurs mesures s'imposent : changer tout d'abord les mots de passe par défaut de vos objets connectés, et les mettre à jour si l'éditeur vous le propose. Si votre bande passante baisse, vous pouvez demander une vérification à votre FAI. Satori a la particularité de se propager rapidement à tous les objets d'un même réseau, notamment domestique.

mardi 23 mai 2017

Les ampoules connectées, nouvelle cible des hackers

Les Philips Hue en ligne de mire

 Le développement des objets connectés constitue un nombre de failles suffisamment important pour permettre à de nombreux hackers d'infiltrer les réseaux et les données personnelles des utilisateurs. L'Internet des Objets n'est pas toujours bien sécurisé et c'est ce qu'ont voulu montrer des chercheurs-hackers en piratant les ampoules connectées Philips Hue.
 
Le New York Times a récemment dévoilé une étude qui fait toute la lumière sur les nombreuses failles de sécurité présentes dans les ampoules connectées Philips Hue. En effet, deux chercheurs, Eyal Ronen du Weizmann Institute of Technology en Israël et Colin O'Flynn de la Dalhousie University au Canada, se sont employés à élaborer une fausse mise à jour des Philips Hue en y insérant un logiciel malveillant. Le but de l'opération consiste à déployer ce code au sein de plusieurs ampoules contaminant ainsi l'ensemble du réseau. La propagation de ce ver informatique fut telle, que les pirates ont alors pu récupérer toutes les données liées aux autres objets connectés (thermostats, fours connectés et autres appareils domotiques), prendre le contrôle à distance des ampoules intelligentes Hue, voire même de les rendre complètement hors service.

L'intégration de ce logiciel n'a vraisemblablement pas été très compliquée à mettre en place dans la mesure où les ampoules Philips communiquent entre elles grâce au protocole ZigBee. En contaminant une ampoule spécifique, celle-ci propage son virus aux autres ampoules du réseau, toujours via ZigBee. Les chercheurs expliquent : "nous nous sommes contentés d'utiliser un équipement disponible à quelques centaines de dollars avant de parvenir à trouver cette faille, sans constater de mise à jour"

Une faille à moitié corrigée par Philips 

La vulnérabilité de l'écosystème Hue a donc permis à Philips de corriger sa copie en proposant à ses clients depuis le 4 octobre dernier de télécharger un patch permettant de renforcer la sécurité de leurs ampoules connectées. Cette initiative, aussi louable soit-elle, n'est vraisemblablement pas suffisante pour les chercheurs qui déplorent une faille toujours persistante.

L'Internet des Objets représente incontestablement une porte d'entrée à tous les cybercriminels ; à grande échelle, les répercussions générées par ces failles peuvent s'avérer majeures. Les fabricants ne se préoccupent que trop peu de la sécurisation de leurs objets et c'est bien ce que cette étude israélo-canadienne a souhaité démontrer. Faut-il pour autant craindre l'Internet des Objets ? L'attaque récente du fournisseur de DNS — mettant à mal de nombreux sites Web dont Amazon, Twitter, Spotify, eBay ou encore Netflix — est encore bien présente dans nos esprits. 

REF.:

vendredi 5 mai 2017

L'internet des objets: Les traces numériques laissées par nos jumeaux sont bien réelles

Connaissez-vous votre jumeau numérique (digital twin) ?

Prospective : Une des tendances des projets dans le domaine de l'internet des objets semble être celle du "digital twin": le vôtre, celui des objets, des systèmes et pourquoi pas des villes.

Une des tendances des projets dans le domaine de l'internet des objets semble être celle du "digital twin". Pourtant, on rencontre encore peu ce concept dans l'actualité française (sauf sur ZDNet ! - par exemple içi) alors qu'il est très présent en Allemagne, Industrie 4.0 oblige, ou aux Etats-Unis. Il n'en fallait pas plus pour motiver GreenSI à faire la lumière sur ce jumeau numérique qui, comme la prose de M.Jourdain, est peut-être déjà plus présent qu'on le pense dans les projets de beaucoup d'entreprises et on le verra aussi, de collectivités locales. "Industrie 4.0" d'Angela Merkel, une politique visionnaire, qui a compris il y a plus de 6 ans qu'il fallait stimuler la vision du futur de l'industrie allemande pour la transformer et essayer de garder l'avantage compétitif qu'a l'Allemagne en ce domaine. Le chiffre 4 faisant référence à la quatrième révolution industrielle après la vapeur, l'électricité, l'électronique et l'informatique. Un plan Industrie 4.0 qui avait bien identifié le risque de ne pas digitaliser des pans entiers des processus de fabrication et d'attirer les GAFAs Américains à la recherche d'inefficacités, quand de l'autre côté du sprectre concurrentiel les Chinois et les Coréens produisent moins cher avec plus de qualité.Un plan, mais aussi la vision d'usines connectées, flexibles et intelligente (smart), permettant à la fois la personnalisation des produits et leur production de masse, avec l'utilisation intensive de robots configurables à la demande et de plateformes de collaboration. Le numérique est bien au coeur d'une bataille géopolitique pour la compétitivité des Etats.
Le jumeau numérique des personnes ("digital moi") est une notion qui est maintenant bien comprise en France. 

Les traces numériques laissées par nos jumeaux sont bien réelles et les "chasseurs de primes" du monde virtuel les suivent sans vergogne jusque dans vos données personnelles. La CNIL et l'ANSI veillent et informent le grand public sur les dangers de la non maîtrise de ces vases communicants physique-numérique, par exemple quand des cambrioleurs peuvent vous suivre sur les réseaux sociaux et voir que vous êtes loin de chez vous.
La notion de "Digital workplace" commence aussi à s'installer pour outiller les salariés, les rendre plus efficaces dans leurs interactions virtuelles, et améliorer leur productivité dans le monde réel. Cette semaine c'était d'ailleurs la publication de la 9ème Edition de ce qui est la référence en matière de "Digital Workplace", l'étude annuelle de Lecko de tous les outils de collaboration virtuelle, notamment les réseaux sociaux d'entreprise, qui transforment le travail en entreprise.
Mais qu'est-ce que le jumeau numérique d'un objet ?
Ce jumeau numérique est un compagnon informatisé d'un objet physique, qui modélise en partie cet objet physique (d'un simple nom jusqu'à un modèle 3D sophistiqué) et utilise des données de capteurs installés sur cet objet physique pour représenter son état, sa position... quasi temps réel. Quelqu'un qui ne serait pas dans le monde physique de l'objet (tout simplement à distance) pourrait quand même suivre l'évolution de l'objet en explorant le monde numérique.
Un exemple qui existe depuis plusieurs années est celui de la raquette connectée (Play) de la marque Babolat. Son capteur interne dans le manche lui permet de mesurer les vibrations de la raquette lors d'un match et de représenter en temps réel tous les impacts de balle, les angles, la force, le côté qui frappe (coup droit ou revers)...
Un coach du joueur pourrait être tranquillement installé dans la loge avec son smartphone pour donner des conseils pour améliorer le jeu à la fin du match... même sans avoir vu le match. D'ailleurs le coach peut lui même être un coach virtuel, un programme informatique, qui analyse la partie par rapport à d'autres parties ou la progression dans le temps du joueur.
Babolat a aussi un produit (Pop) qui n'est qu'un bracelet connecté autour du poignet du joueur car en  analysant son bras en permanence il y a déjà beaucoup de données exploitables. Ce bracelet appartient au jumeau numérique du jouer et la raquette a aussi son propre jumeau.
A l'avenir les jumeaux d'humains et d'objets vont de plus en plus interagir dans le monde virtuel.
Quittons le grand public et demandons nous quels sont usages des "digital twin" en entreprise ?

L'entreprise va cibler les enjeux d'amélioration de la performance des objets, des équipements, des systèmes ou des usines.
Supposons donc que l'entreprise synchronise en permanence avec une plateforme les données entre des équipements et leur jumeau numériques accessibles par divers interface (smartphone, tablette, lunettes, écrans muraux...). Les usages sont multiples comme:
  • de projeter les données numériques quasi temps réel du jumeau virtuel sur l'objet physique (en utilisant la réalité augmentée). Par exemple un technicien qui passe devant une pompe peut avec son simple smartphone lire le débit et le temps de marche de la pompe, en fait de son jumeau virtuel accessible depuis son smartphone.
  • de manipuler l'objet numérique pour se former ou préparer une manipulation sur le "vrai" objet physique (en utilisant la réalité virtuelle). C'est par exemple un technicien qui visite virtuellement une installation et se prépare au réglage d'une chaîne de production.

    Si le modèle qui fait réagir le jumeau virtuel est sophistiqué, la simulation ira au delà de la visualisation de données et permettra de piloter le jumeau comme dans un jeu vidéo. Ce n'est d'ailleurs pas un hasard si l'un des acteurs, PTC, a annoncé fin 2016 un partenariat avec Unity, le moteur de jeu vidéo multi-plateformes le plus utilisé.
  • de collaborer à plusieurs autour de ce jumeau numérique (en réalité virtuelle). L'un des acteurs peut guider les autres qui voient sur leur écran ou leur casque, ce que voit cet acteur. Ce dispositif est complété par un dispositif audio pour qu'ils se parlent en direct. C'est par exemple un groupe de techniciens qui visite virtuellement l'installation précédente.
  • d'analyser le jumeau numérique pour comprendre, prédire et optimiser les performances des actifs physiques sans avoir besoin d'embarquer le logiciel dans la machine comme on l'aurait fait il y a quelques années. Couplés à des algorithmes d'auto-apprentissage (machine learning) on peut même optimiser sans définir de modèle préalable.

    Ce sont par exemple les systèmes de pilotage de la distribution d'eau potable, comme Aquadvanced™, celui de SUEZ. Ils permettent par modélisation hydraulique et capture des données par secteurs, d'optimiser le rendement du réseau a tout moment.
Sans surprise, le digital twin est un concept développé dans l'industrie avec les acteurs majeurs de l'informatique de ce secteur comme le français 3DS, l'allemand Siemens, les américains PTC et GE Digital et qui ouvre donc de belles perspectives de développement des produits.
Réservées au départ aux produits complexes et chers (notamment l'aéronautique), ces technologies sont aujourd'hui accessibles pour des produits aussi "simples" que des raquettes de tennis qui se commercialisent à moins de 400€.
Digital city, ma ville jumelle
GreenSI s'est aussi posé la question d'appliquer ce modèle de l'industrie à un système complexe que l'on connaît tous très bien, la ville. Petite, moyenne ou grande métropole, elle se modélise dans l'espace et l'utilisation des GPS a radicalement accéleré sa modélisation 2D, et pour certaines en 3D.
C'est par exemple le cas de Rennes Métropole très engagée depuis longtemps dans la représentation, d'abord cartographique et maintenant digitale de la ville, par exemple pour explorer ses projets qui vont la transformer jusqu'en 2030 (Rennes 2030).
On peut aussi citer la Ville de Paris qui a lancé une consultation pour modéliser les 2500 km d’ouvrages souterrains d’assainissement (dont 2300 km de galeries visitables) qui assurent la collecte et le transport des eaux usées et pluviales sous Paris. Les entreprises travaillant pour la Ville de Paris pourront prochainement visiter virtuellement ces ouvrages avec un navigateur web et ainsi mieux préparer leur rencontre ultérieure, avec le jumeau physique cette fois.
Mais ce qui a récemment retenu l'attention de GreenSI c'est l'énergie mise par Google, en lien avec sa division SideWalkLab, dédiée à la "smart city", de modéliser toujours plus loin le jumeau de la ville.
Google maîtrise déjà la ville en 3D avec ses GoogleCars, le trafic, les zones d'affluences (apparues l'été dernier),... autant de moyens de captures de données automatiques pour construire le jumeau numérique des villes sur ses serveurs.
Mais Google exploite aussi le "crowdsourcing", façon de "Waze" ou "Open Street Map" et anime la collecte de données de Google Maps avec des outils intuitifs pour que chacun contribue (voir photo). Les (+) représentent des lieux où il manque à Google des données comme les horaires d'ouverture, des photos ou le "rating" de l'endroit. En cliquant dessus les ambassadeurs locaux de Google peuvent les renseigner et gagner... des points !
Personnellement j'ai remarqué que la pression de Google pour récupérer ces données s'était accentuée. Dans les 15mn après la prise de vue sur un lieu d'intérêt, Google me demande de rajouter mes photos à Google Map, et me propose régulièrement de vérifier des informations qu'il a sur les lieux dont je suis proche. La collecte massive d'images permettra certainement ensuite de mettre à jour le modèle 3D et surtout le modèle décisionnel avec des données qualitatives.
Le dernier service lancé par sa division SideWalk est le contrôle du stationnement de surface. D'un côté Google valorise l'information sur les disponibilités des places de parking qu'il détecte, de l'autre il propose aux villes de trouver les habitants indélicats qui ne paieraient pas leur parkmètre. Un domaine qui va d'ailleurs être prochainement privatisé en France en 2018.
Mais Google n'est pas le seul acteur de la donnée en ville. On imagine qu'Uber, qui développe ses propres cartes, étant toujours prêt à nous inventer un nouveau service "Uber-X", est déjà dans les starting-blocs pour la collecte de données et prendre des positions sur la logistique du dernier kilomètre.
Ceci devrait faire réfléchir les métropoles sur la vitesse avec laquelle d'autres sont en train de construire leur "city digital twin" à leur place...
L'espace urbain remodelé par son jumeau numérique
Le champ d'application dépasse largement le parking des voitures: terrasses de café, marchés, parcs...
L'espace public est aujourd'hui vu comme une source de coûts financés par des impôts mais il a pourtant bien une valeur économique. A l'heure où les villes repensent leur modèle économique, la vision de Google d'en optimiser l'usage, et donc la valeur, peut séduire les collectivités pour imaginer la location de l'espace urbain en général (pas que des places de stationnement) comme une moyen de les rentabiliser.
GreenSI va même plus loin ! Imaginons : plusieurs acteurs sont intéressés par le même espace à un moment donné. L'un par exemple pour installer une extension de sa terrasse de restaurant, l'autre pour organiser un espace de vente de glaces temporaire. On peut imaginer un mécanisme d'enchères qui attribuerait dynamiquement les espaces à celui qui ferait la meilleur offre. Les acteurs susceptibles de louer les espaces indiqueraient à l'avance sur la carte de la ville leur préférences et le prix maximum qu'ils sont prêts à payer en fonction des jours, voire des heures, pour chaque espace.
Bref, vous avez certainement reconnu le mécanisme d'AddWords qui permet d'acheter des mots-clefs d'une recherche Google et d'afficher les publicités de ceux qui payent le plus sur les espaces du moteur de recherche de Google. GreenSI ne peut pas imaginer que Google n'y ait pas pensé ;-)
Numériser et indexer le monde physique est donc devenu dans tous les domaines un sujet en fort développement, il donc temps de s'intéresser systématiquement à tous nos jumeaux digitaux.
Source.: