Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé anonymat. Afficher tous les messages
Aucun message portant le libellé anonymat. Afficher tous les messages

mardi 16 mai 2023

La confidentialité en danger chez Replika, Calm, Headspace et d’autres

 

 

La confidentialité en danger chez Replika, Calm, Headspace et d’autres

Ces plateformes, avec lesquelles les utilisateurs échangent d’importantes quantités de données personnelles, interrogent côté sécurité.


Publié le

 

Par



  • Des apps de santé mentale sont épinglées car elles collectent et revendent vos données personnelles
  • Mozilla, qui les a comparées, n’a trouvé que peu de plateformes respectueuses de la vie privée
  • Mieux vaut contacter un professionnel pour obtenir des conseils

Replika, Calm et Headspace comptent parmi les apps qui respectent le moins bien votre vie privée, selon un nouveau classement réalisé par la Mozilla Foundation. Celui-ci s’est avant tout intéressé à analyser les plateformes liées au bien-être et à la santé mentale et à leur promesse en matière de confidentialité, certes obligatoire mais rarement proche des attentes du public. On pourrait même dire que dans le cas de Replika, vos données sont tout simplement vendues à des annonceurs. Rien que ça.

 

Rappelons tout de même que l’app, qui a d’ailleurs pu faire polémique très récemment en France, traite de sujets très personnels avec ses utilisateurs. Ceux-ci font en effet de l’intelligence artificielle leur “amie”, afin tantôt de combler leur solitude, tantôt de passer le temps ou encore de recevoir des conseils pour lutter contre la déprime.

Les apps les plus fiables ne sont pas les plus connues

Selon Mozilla, il est ainsi plutôt risqué, encore aujourd’hui, de confier vos petits secrets à la plupart des apps qui vous le proposent. Il en existe cependant quelques-unes qui dont plutôt bien le travail, sans vous exposer à de potentielles fuites très gênantes. C’est notamment le cas de PTSD Coach, qui permet d’aider les patients victimes de stress post-traumatique. Éditée par le United States Department of Veterans Affairs (département des Anciens combattants des États-Unis), cette plateforme ne demande même pas l’e-mail de l’utilisateur lorsque celui-ci doit se connecter.

Headspace, en revanche, fait clairement figure de mauvais élève ici. Ceci se confirme de toute manière avec les étiquettes de confidentialité sur l’App Store, qui sont obligatoires pour indiquer à ceux qui installent l’app quelles données celle-ci collecte. On y apprend qu’ici, les informations relatives à leur santé et à leur activité physique sont par exemple liées à leur identité.

privacy not included

© Mozilla Foundation

Comment se faire aider ?

Aujourd’hui, en 2023, la santé mentale reste d’actualité et, grâce aux réseaux sociaux, de nombreuses prises de conscience donnent de l’ampleur au phénomène. Pour se faire aider, il est avant tout conseillé de prendre rendez-vous avec un spécialiste : psychologue, psychothérapeute ou psychiatre. Des apps dédiées permettent de réserver un créneau en France, comme Livi ou Doctolib.

Bientôt, il se murmure qu’Apple pourrait aussi proposer une nouvelle app avec iOS 17. Il s’agirait d’une sorte de journal intime, dont la tenue pourrait réduire l’anxiété. Mais là aussi, il sera question de données personnelles : gageons que la firme à la pomme saura respecter ses engagements en faveur de leur protection cette fois-ci.

 

REF.:  https://www.iphon.fr/post/confidentialite-danger-replika-calm-headspace-autres

mardi 4 janvier 2022

Google vous traque, voici comment ne plus être suivi

 

 

Google vous traque, voici comment ne plus être suivi

Afin de vous offrir une expérience personnalisée, Google suit vos déplacements et votre activité sur le net. Il est néanmoins possible de désactiver ce suivi.

Lorsque vous utilisez une application Google, que ce soit Maps, Gmail, Chrome ou simplement le moteur de recherche, il y a de fortes chances pour que la firme de Mountain View enregistre vos déplacements. Si vous pensiez vous protéger en désactivant l’historique de vos déplacements, détrompez-vous, seules les données de Google Maps Timeline ne sont pas sauvegardées.


Néanmoins, les données de localisation de vos différentes applications continuent à être enregistrées. Bien que Google affirme que ces données restent en interne et ne sont pas revendues (sous peine de sanction des employés coupables de fuites), il est possible de stopper ce tracking quasi continu s’il vous gène, au prix de certaines fonctionnalités confortables.

Ce qu’il en coûte de désactiver le suivi

Supprimer le suivi de votre activité permet de préserver certains aspects de votre vie privée, comme votre position à un instant t ou simplement l’adresse de votre domicile, lieu de travail… Bien évidemment, l’usage de Google Map nécessite une localisation de votre position, mais elle apparaîtra dans les enregistrements comme un carré d’un peu plus d’un kilomètre de côté contenant un millier d’utilisateurs afin de conserver votre position exacte confidentielle.

A lire aussi > Google Assistant n’écoutera plus vos conversations sans votre consentement

Le problème de ce genre de réglage est le manque de personnalisation des recherches. Lorsque vous cherchez « supermarché » par exemple, Google vous fournit une liste des magasins à proximité avec les horaires, l’itinéraire, l’affluence habituelle… Désactiver le tracking de position se soldera automatiquement par la perte de ces infos de proximité accessibles simplement et rapidement.

Pour les fans des publicités ciblées, désactiver le suivi entraînera l’apparition de publicités génériques au lieu d’encarts personnalisés. L’internet personnalisé est donc le prix à payer pour protéger sa vie privée.

Comment mettre fin au suivi de Google ?

Si vous êtes décidé à mettre fin au suivi de Google, voici la marche à suivre :

  • ouvrir google.com et s’identifier avec son compte
  • cliquer sur Gérer votre compte
  • puis Données et vie privée
  • enfin Vos activités et les lieux que vous avez visités (cela aura pour effet de vous amener au bon onglet)

À partir de cet écran vous aurez la possibilité de stopper l’enregistrement de votre position puis de supprimer votre historique de position en cliquant dessus puis Gérer l’historique. Une fois la carte ouverte, vous pouvez supprimer une date en particulier ou l’ensemble de l’historique en cliquant sur la corbeille en bas à droite.


Pour désactiver le suivi de votre activité, il suffit à partir du même écran de cliquer sur Activité sur le Web et les applications afin de désactiver l’enregistrement et supprimer l’historique. La même manipulation est disponible également avec votre historique YouTube.

Il est impressionnant de voir la précision et la quantité de données enregistrées à notre insu et il est bon de savoir qu’il existe une méthode pour contrôler un peu mieux la part des informations que l’on transmet à une entreprise comme Google.

Source : cnet.com

jeudi 9 décembre 2021

Quand nous sommes en navigation privé est-ce vraiment anonyme ?

Quand nous sommes en navigation privé est-ce vraiment anonyme ?

Par: 

Non, ça ne l'est pas.

Il y a plusieurs façons dont votre identité peut être exposée lorsque vous utilisez une fonction de navigation privée.

Par exemple, la navigation privée ne bloque que les cookies qui ne proviennent pas du site que vous visitez. Elle ne bloque pas les cookies "tiers" qui sont stockés sur votre ordinateur par d'autres sites. Cela signifie que les sites que vous visitez peuvent définir des cookies qui peuvent être lus par des tiers ou qui sont lus par des sites qui sont visités pendant votre navigation privée.

Vos informations d'identification sont également en danger. Les différents navigateurs utilisent différents mécanismes de sauvegarde des informations d'identification qui varient en termes de sensibilité et de sécurité des données qu'ils stockent. Certains navigateurs utilisent des cookies de base qui sont cachés et nécessitent un programme malveillant pour les obtenir.

 

REF.:  https://fr.quora.com/

jeudi 1 juillet 2021

iOS : des éditeurs majeurs tentent d’outrepasser le blocage du suivi

 

 

iOS : des éditeurs majeurs tentent d’outrepasser le blocage du suivi

Et selon les dernières directives dictées par Apple, ils risquent gros à ce jeu-là.


Publié le 

Par;Valentin

Depuis iOS 14, Apple propose une nouvelle stratégie appelée app tracking transparency (abrégée le plus souvent en ATT). Celle-ci prend notamment la forme d’une option supplémentaire au sein des Réglages, où chacun a la possibilité d’interdire aux développeurs de le suivre à travers d’autres applications. Une initiative qui, d’ailleurs, semble connaître un véritable succès puisque la majorité des internautes en profitent ainsi pour mieux se protéger.

Mais comme souvent, s’il y a un gagnant dans l’histoire, on y retrouve aussi un perdant. Il s’agit des créateurs de contenu eux-mêmes, qui se retrouvent alors avec beaucoup moins de données collectées pour mieux cibler les publicités à destination de leurs utilisateurs. Tout logiquement, et alors même qu’il existe des alternatives dans les clous, ceux-ci se sont donc empressés d’imaginer des solutions pour contourner la limitation mise en place par Apple.

L’astuce

L’une des méthodes privilégiées par les éditeurs consiste tout simplement à bloquer l’accès à certaines fonctions de leur app lorsque le suivi est désactivé. Une fenêtre contextuelle apparaît alors lorsqu’on tente de lire les sections en question, incitant à changer ses paramètres de confidentialité pour avoir droit à une expérience complète. Si l’affaire relative à la nouvelle politique de traitement de données chez WhatsApp vous a interpellé, sachez qu’il s’agit peu ou prou du même stratagème.

Jusqu’à maintenant toutefois, seuls quels acteurs mineurs et particulièrement zélés se permettaient de tromper les consommateurs de cette façon. En effet, Apple a d’ores et déjà annoncé que les petits malins qui tenteraient de contrevenir à sa nouvelle barrière risquaient de se faire bannir de l’App Store. Et donc, potentiellement, de perdre encore davantage de revenus.

Premiers cas de figure marquants

Si l’on en reparle aujourd’hui, c’est car deux entreprises bien connues des technophiles viennent à leur tour d’être épinglées à ce propos. Et cette fois-ci, le procédé est bien en place. En fait, c’est l’authentification via la connexion Google qui pose problème. Microsoft et Outlook requièrent en effet que le suivi inter-applications soit de rigueur pour s’authentifier de cette manière.

Apple sévira-t-elle ? Contre deux géants de cette taille, pas si sûr… Ce qui est certain, en revanche, c’est qu’Alphabet n’y est pour rien. En tout cas, selon l’un de ses vice-présidents qui a pu s’exprimer sur le sujet via Twitter :

 

REF.: Valentin

lundi 10 mai 2021

Le mode incognito cache-t-il votre adresse IP ?

 

 

Non le mode incognito ne permet pas de cacher votre adresse IP.

Le mode incognito permet de naviguer sur Internet sans propager les cookies implantés selon votre historique de navigation sur Internet. Les systèmes de tracking publicitaire ne vous reconnaissent pas et ne peuvent vous envoyer de publicité ciblée. En outre, les cookies que vous recevez en navigant en mode incognito, sont effacés en fin de session et ne peuvent servir à vous suivre après la session en mode incognito.

De plus, votre historique de navigation et les fichiers temporaires sont détruits en fin de session.

Pour cacher votre adresse IP, vous devez utiliser un VPN, un proxy qui masque votre IP ou un utilitaire comme TOR.

 

Le but dans un service de VPN, c'est de ne pas simplement encrypter la donnée pour ne pas être capter part des tiers, mais comme vous le savez utiliser une serveur ou machine qui est dans un autre pays ou simplement pas votre machine. Mais surtout des trucs comme NordVPN, Bear machin truc, enfin surtout ces services, le principe c'est de se fondre dans la masse. Si vous avez la meme adresse IP que 10000 autre utilisateurs du service, certains service ne pourront pas reconnaître votre ordinateur sauf si vous connecter un compte Facebook, google et autre (n'utilisez pas un VPN pour sa, la navigation privée largement 😞).

Donc quand on voit 10000 utilisateurs connecte en meme temps avec la meme adresse IP différentes, surtout qu'on voit des variantes comme le navigateur utilise, les cookies et je vous invite a regarder ce que c'est l'empreinte numérique.

On peut meme détecter les mec qui sont sur le reseau Tor pour vous dire.

 

REF.: Quora.com

samedi 11 avril 2020

Mozilla Firefox : Supprimer la télémétrie



Mozilla Firefox : Supprimer la télémétrie






Firefox, télémétrie, anonymat,



Mozilla a fait beaucoup d’effort dans la dernière version pour protéger la vie privée des utilisateurs.
Cela en ajoutant des fonctionnalités pour bloquer les trackers et le pistage.
Parallèlement des fonctions de télémétrie aussi ont aussi été ajoutées dans Firefox qui collectent des données.
Pour maintenir la transparence, Mozilla a mis à disposition toutes les données que Firefox collecte sur vous et votre machine.
À l’aide d’une page masquée dans votre navigateur, voici comment voir ce qui est envoyé aux serveurs de l’entreprise.
Enfin il est bien entendu possible de désactiver la télémétrie de Mozilla Firefox.
Cet article vous guide pour supprimer la télémétrie dans Mozilla Firefox.

Mozilla Firefox : Supprimer la télémétrie
Mozilla Firefox : Supprimer la télémétrie

Introduction à la télémétrie dans Mozilla Firefox

La télémétrie vise à récolter des données anonymisées.
Elles sont découpées en plusieurs types de données.
Les Données d’interaction sur la manière dont vous utilisez le navigateur internet (nombre onglets ouverts, le nombre de pages visitées, etc).
Elles permettent à Mozilla et ses partenaires de connaître les fonctions importantes.
Mais aussi les fonctions inutiles ou peu utilisées.
Les données de suggestions de sites WEB pertinents.
Firefox affiche des contenus tels que : « Snippets » (messages de Mozilla), Recommandations de modules complémentaires, Sites principaux (sites Web suggérés par Mozilla pour les nouveaux utilisateurs de Firefox), et Recommandations Pocket.
Le nombre d’affichages ou de clics peut être compatibilités.
Les Données techniques comme la version de Firefox, la langue, le système d’exploitation, la configuration matérielle, etc.
Lorsque Firefox envoie des données, votre adresse IP est temporairement collectée dans les fichiers journaux de nos serveurs.
Enfin certaines données de géolocalisation peuvent être utilisées pour proposer du contenu liés à votre pays.
Elle se base sur votre adresse IP.
Pensez aussi que Mozilla Firefox utilise Google Safebrowsing, ainsi les sites visités sont partagés avec Google.
Pour plus de détails, lire la page : Firefox — Politique de confidentialité
Selon le point de vue, certains utilisateurs peuvent assimiler cela à un logiciel espion.
La plupart des éditeurs de logiciels usent de la télémétrie, on en parle dans cette page : Télémétrie et collecte de données personnelles sur Windows.
Vous allez voir que Mozilla reste assez transparent.
Ainsi on peut visualiser ou supprimer les données de télémétrie.

Visualiser la télémétrie de Mozilla Firefox

Pour une grande transparence, Mozilla Firefox propose un portail qui permet de visualiser les données de télémétrie collectées.
Visualiser la télémétrie de Mozilla Firefox
Enfin les données de télémétrie de votre navigateur WEB peuvent aussi être visualisées.
Pour cela :
  • Ouvrez le navigateur WEB
  • Puis dans la barre d’adresse, saisissez about:telemetry
  • Vous pouvez alors naviguer dans les données de télémétrie
Visualiser la télémétrie de Mozilla Firefox
Enfin on peut paramétrer Firefox pour bloquer ou supprimer la télémétrie.

Supprimer la télémétrie de Mozilla Firefox

Voici comment désactiver la télémétrie dans Mozilla Firefox.

Dans les options de Firefox

On commence par les réglages et paramètres de Mozilla Firefox.
En effet, des paramètres de vie privée et de télémétrie sont disponibles.
  • Cliquez sur le menu en haut à droite puis Options
  • A gauche cliquez sur vie privée et sécurité
  • Puis descendez tout en bas dans la partie Collecte de données par Firefox et utilisation
  • Décochez toutes les options.
Supprimer la télémétrie de Mozilla Firefox
Enfin Firefox vous informe alors que les données de télémétrie sont supprimées dans les 30 jours.
Bravo ! vous avez réussi à supprimer la télémétrie de Mozilla Firefox.

Supprimer les tâches planifiées de Windows

Pour les utilisateurs de Firefox dans Windows, Mozilla peut créer des tâches planifiées.
Vous pouvez en avoir un ou deux selon vos réglages.
Pour les désactiver ou les supprimer :
Supprimer la télémétrie de Mozilla Firefox
  • Faites un clic droit puis Désactiver sur celle-ci
Supprimer la télémétrie de Mozilla Firefox
Bravo ! vous avez réussi à supprimer la télémétrie de Mozilla Firefox.

Avec about:config

Le about:config permet de paramétrer certains éléments de Mozilla Firefox qui ne sont pas disponibles dans les menus d’options.
Là aussi beaucoup de réglages autour de la télémétrie sont disponibles.
Pour accéder et modifier les options d’about:config, suivez cette page : About:config : personnaliser les réglages de Firefox
Pour minimiser et désactiver la télémétrie, voici les réglages about:config à paramétrer :
devtools.onboarding.telemetry.logged = false
toolkit.telemetry.updatePing.enabled = false
browser.newtabpage.activity-stream.feeds.telemetry = false
browser.newtabpage.activity-stream.telemetry = false
browser.ping-centre.telemetry = false
toolkit.telemetry.bhrPing.enabled = false
toolkit.telemetry.enabled = false
toolkit.telemetry.firstShutdownPing.enabled = false
toolkit.telemetry.hybridContent.enabled = false
toolkit.telemetry.newProfilePing.enabled = false
toolkit.telemetry.reportingpolicy.firstRun = false
toolkit.telemetry.shutdownPingSender.enabled = false
toolkit.telemetry.unified = false
toolkit.telemetry.updatePing.enabled = false
toolkit.telemetry.reportingpolicy.firstRun = false
toolkit.telemetry.unified = false
toolkit.telemetry.archive.enabled = false
devtools.onboarding.telemetry.logged = false
toolkit.telemetry.bhrPing.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false
datareporting.sessions.current.clean = true
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false
datareporting.sessions.current.clean = true
Pour désactiver le « Captive Portal », utilisez ce paramètre.
Ce dernier vise à vérifier si votre connexion internet est limitée ou fonctionnelle.
network.captive-portal-service = false
Bravo ! vous avez réussi à supprimer la télémétrie de Mozilla Firefox.

avec le fichier HOSTS de Windows

Enfin vous pouvez chercher à bloquer les adresses de serveurs de télémétrie de Mozilla.
Par exemple avec un fichier HOSTS filtrants.
Pour bloquer un site avec le fichier HOSTS de Windows, suivez ce tutoriel : Bloquer un site WEB avec le fichier HOSTS de Windows.
Voici un exemple des adresses de télémétrie de Mozilla :
127.0.0.1 ostats.mozilla.com
127.0.0.1 sostats.mozilla.com
127.0.0.1 metrics.mozilla.com
127.0.0.1 hardware.metrics.mozilla.com
127.0.0.1 incoming.telemetry.mozilla.org
127.0.0.1 crash-stats.mozilla.com
127.0.0.1 experiments.mozilla.org
127.0.0.1 getpocket.cdn.mozilla.net
127.0.0.1 qsurvey.mozilla.com
127.0.0.1 telemetry.mozilla.org
127.0.0.1 telemetry-experiment.cdn.mozilla.net
127.0.0.1 detectportal.firefox.com
incoming.telemetry.mozilla.org est l’adresse la plus importante et active.
Bloquer les serveurs de télémétrie de Mozilla Firefox avec le fichier HOSTS de Windows
Bravo ! vous avez réussi à bloquer les serveurs de télémétrie de Mozilla Firefox.

REF.: Liens pour supprimer la télémétrie

vendredi 7 février 2020

Antivirus : désinstallez AVG-Avast si vous tenez à votre vie privée

Antivirus : désinstallez AVG si vous tenez à votre vie privée

par Bruno Clairet,




antivirus, avg, avast, Avira, norton, vol d'identité, vol de donné, anonymat,



Une enquête de PCMag et de Motherboard met en lumière les pratiques d’Avast AVG concernant vos données personnelles. L’antivirus gratuit prétend collecter des données de manière anonyme, pourtant il permet aux géants du web de suivre simplement toute votre activité sur internet.
Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google.

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité.

Avast AVG : l’antivirus gratuit serait-il un spyware déguisé ?

La solution antivirus gratuite surveille toute votre activité sur Internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».

L’enquête de PCMag et de de Motherboard démontre que la collecte est loin d’être anonyme. Bien qu’elle ne soit pas liée à une adresse IP ou à un email, Avast l’associe à ce qu’ils appellent un « device ID ». Cet identifiant unique et persistant est censé garantir votre anonymat, pourtant il trahit votre identité. Si le device ID 1234 s’est rendu sur Amazon pour acheter un iPad Pro à partir de Safari v. 13.0.4 le 25/12/20 à 14 h 34 min 33 s et 72 ms, Amazon n’a aucun mal à savoir de qui il s’agit. Si vous tenez à rester anonyme, désactivez la collecte de données ou choisissez un meilleur antivirus gratuit.
Mise à jour du 29 janvier 2020 à 12h30
Suite à la publication de notre article, Avast a fait valoir son droit de réponse. Le spécialiste en sécurité y assure « comprendre et prendre au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité ». Voici le communiqué dans son intégralité :
« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.
Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelles, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.
Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.
Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité ».


Nota: Déja le 010220, Avast a décidé de renoncer complètement à la collecte et à la revente de données personnelles. C’est pourquoi la société vient de fermer la filiale marketing Jumpshot, qui revendait les données utilisateurs à de grandes entreprises depuis plusieurs années.

REF.:

lundi 27 janvier 2020

PsiPhon : un VPN gratuit et libre



vpn, TOR, anonymat,


PsiPhon : un VPN gratuit et libre

PsiPhon est un VPN gratuit et libre très simple à installer et utiliser.
Il permet de cacher son adresse IP mais aussi de masquer ses activités sur internet.
PsiPhon a l’avantage de fonctionner sans inscription.
Ainsi aucun compte utilisateur n’est à créer.
Cet article vous explique comment installer et utiliser PsiPhon pour Windows.
PsiPhon : un VPN gratuit et libre

Qu’est-ce que le VPN PsiPhon ?

C’est un projet libre né à 2004 dans une Université à Toroton au Canada.
Le but étant de proposer un système afin de contourner la censure sur internet.
Depuis il est édité par une société Canadienne.
Il propose un service VPN gratuits avec des serveurs répartis dans le monde.
La solution fonctionne sur Windows, Linux, IOS et Android.
Pour rappel, il existe un article complet sur les VPN :
PsiPhon fonctionne sans inscription.
Vous n’avez aucun compte utilisateur à créer.

Journal du VPN PsiPhon et confidentialité

Quelques rappels concernant les VPN.
Lorsque vous utilisez un VPN, votre trafic internet est redirigé vers ce dernier.
Ainsi, ce dernier peut aussi voir vos activités.
Utiliser un VPN revient à déporter la problématique de confidentialité de votre FAI vers le service VPN.
Ces aspects sont abordés sur la page suivante : VPN et anonymisation : les limites.
Le site de PsiPhon possède une page avec les conditions de confidentialité assez claires.
Il explique que le service récupère certaines données comme :
  • L’activité des utilisateurs comme les sites visités et la quantité de données
  • L’adresse IP de l’utilisateur
  • Le pays et le FAI utilisé
Rien de vraiment nouveau, ce sont des données habituelles recueillies par les services VPN.
Enfin la société indique ne pas partager ses données.
Ils les agrègent à des fins statistiques pour améliorer le service.

Installer et utiliser le VPN PsiPhon

L’installation et l’utilisation de PsiPhon est très simple.
Vous pouvez télécharger l’application depuis ce lien : Télécharger le client VPN PsiPhon
Une fois démarré, on arrive sur la page suivante avec le client PsiPhon.
Celle-ci vous indique que vous n’êtes pas connecté.
Le client VPN gratuit Psiphon
En bas, on choisit le Pays où se connecter.
Se connecter au VPN gratuit Psiphon
Puis on lance la connexion sur le pays désiré.
Ce s’établit assez rapidement.
Ci-dessous, on voit bien que l’adresse IP est masquée et changée.
Par contre, il semble y avoir un leak des serveurs DNS.
Cela permet d’établir votre emplacement géographique réelle.
L'adresse IP masquée avec le VPN Psiphon

Le VPN et les pays de connexion

Le service VPN Psiphon supporte beaucoup de pays différents.
Voici la liste.
Les pays de connexion du VPN
Les pays de connexion du VPN
Cela permet de se connecter dans les pays les plus importants du monde.
Cela peut s’avérer pratique si vous êtes à l’étranger et que certaines services internet sont bloqués comme un site de streaming.
Toutefois, il est aisé de le bloquer.
Par exemple le site de streaming de M6 bloque PsiPhon.
Pour plus de détails, vous pouvez lire cet article : VPN bloqué sur streaming : comment le débloquer ?
Les sites de streaming bloquent le VPN

Les options de PsiPhon

Enfin les paramètres et options du VPN PsiPhon.
De ce côté là, on trouve les options habituelles liées au mode de connexion.
Vous pouvez configurer un proxy ou socks.
On trouve aussi le type de transport (L2TP, etc).
Enfin deux options intéressante :
  • Tunnel scindé : Les sites de votre pays ne passe pas par le VPN. Interressant lorsqu’un service est bloqué.
  • Désactiver les réseaux lents : Le VPN ne fonctionne pas pour sur les réseaux lents.
Les options de PsiPhon
Les options de Psiphon

Conclusion

PsiPhon reste un VPN très sommaire mais gratuit.
On peut donc l’utiliser dans certains cas précis.
Le client n’est pas aussi aboutit que certains VPN Commerciaux.
Il manque beaucoup options comparés à CyberGhost ou NordVPN (Kill Switch, filtrage des trackers, etc).
Si vous cherchez des VPN gratuits, suivre notre guide :
Enfin rappelons que pour l’anonymat, confidentialité, il y a aussi la solution TOR : Tutoriel Tor : fonctionnement et anonymisation

REF.:

lundi 13 janvier 2020

Noms et numéros de téléphone de 267 millions d'utilisateurs de Facebook exposés




Noms et numéros de téléphone de 267 millions d'utilisateurs de Facebook exposés
 





FB, vol d'identité, vol de donné, anonymat,


Les données sont désormais disponibles sur un forum de hackers à télécharger.

Un autre jour, une autre violation de données met en danger la vie privée de centaines de millions d'utilisateurs de Facebook. Tout a commencé avec une base de données qui stockait une mine d'informations personnelles de plus de 267 millions (267 140 436) d'utilisateurs.

La base de données a été découverte à l'origine le 4 décembre par le chercheur en sécurité informatique Bob Diachenko qui s'est associé à la société de sécurité Comparitech pour une analyse détaillée. Selon les chercheurs, la base de données était hébergée sur un serveur Elasticsearch et laissée exposée pour accès public sans mot de passe ni protocole de sécurité.

Voir: Volé: disques durs non chiffrés avec les données de 29 000 employés de Facebook

Bien que la base de données ne contienne pas les adresses e-mail ou les mots de passe des utilisateurs de Facebook, elle fournit un accès absolu aux numéros de téléphone associés aux profils Facebook, aux noms complets, à un identifiant unique pour chaque compte et à l'horodatage.

Selon le blog de l'entreprise, la plupart des données exposées appartenaient à des utilisateurs aux États-Unis, ce qui ne devrait pas surprendre puisque 70% des citoyens américains sont actifs sur Facebook, ce qui signifie que sur une population totale de 327,2 millions d'habitants, environ 232,6 millions de personnes sont sur Facebook.
Noms et numéros de téléphone de 267 millions d'utilisateurs de Facebook exposés.


 L'aspect le plus problématique de cette violation est que le 14 décembre, Diachenko a alerté le fournisseur d'accès Internet (FAI) gérant l'adresse IP du serveur, mais elle est restée exposée pendant près de deux semaines.

Diachenko a en outre révélé que la réponse tardive du FAI permettait aux acteurs malveillants d'accéder à la base de données et de la publier sur un forum de hackers pour téléchargement.

On ne sait pas à qui appartient la base de données et comment ont-ils obtenu les numéros de téléphone de millions d'utilisateurs de Facebook. Mais, les preuves vues par Diachenko suggèrent l'implication de cybercriminels vietnamiens dans l'opération visant l'API Facebook.

    L'API de Facebook pourrait également avoir une faille de sécurité qui permettrait aux criminels d'accéder aux identifiants d'utilisateur et aux numéros de téléphone même après que l'accès a été restreint. Une autre possibilité est que les données ont été volées sans utiliser du tout l'API Facebook, et au lieu de cela extraites des pages de profil publiquement visibles, a déclaré Diachenko.


 Anurag Kahol, CTO chez Bitglass, a commenté l'incident et a déclaré à HackRead que «les plateformes de médias sociaux sont des cibles lucratives pour les cybercriminels en raison des quantités massives d'informations personnelles identifiables (PII) qu'elles collectent et stockent auprès des utilisateurs. En fait, les données exposées dans cet incident ont été trouvées sur un forum Web sombre, laissant les consommateurs concernés très vulnérables aux attaques ciblées de phishing et de bourrage d'informations d'identification, au détournement de compte, etc.

«L'impact durable est inconnu et 59% des consommateurs admettent avoir réutilisé le même mot de passe sur plusieurs sites, même en connaissant les risques associés. Cela pourrait donner aux cybercriminels un accès à divers comptes pour la même personne sur plusieurs services, ce qui rendrait leur empreinte numérique incroyablement vulnérable. Tous les consommateurs, et pas seulement les utilisateurs touchés par cet incident, doivent prendre l'habitude de diversifier leurs identifiants de connexion sur différents comptes afin d'atténuer les risques de piratage de leur compte », a expliqué Anurag..


 De plus, toutes les entreprises peuvent apprendre qu'il est essentiel d'avoir une visibilité et un contrôle complets sur les données de leurs clients afin d'éviter une violation. Pour ce faire, les organisations doivent mettre en œuvre des solutions de sécurité qui corrigent les erreurs de configuration, appliquent un contrôle d'accès en temps réel, chiffrent les données sensibles au repos, gèrent le partage des données avec des parties externes et empêchent la fuite d'informations sensibles », a conseillé Anurag.

Ce n’est cependant pas la première fois qu’une telle masse de données des utilisateurs de Facebook est exposée au public. En fait, le mois dernier, Diachenko a découvert une base de données avec 1,2 milliard de données de personnes extraites des plateformes de médias sociaux, notamment Twitter, Facebook, LinkedIn et GitHub, un service d'hébergement de référentiel Git.

Les serveurs Elasticsearch, en revanche, ont l'habitude d'être exposés au public et de mettre en danger les données personnelles d'utilisateurs et d'entreprises peu méfiants. Plus tôt cette année, des informations personnelles sur plus de 20 millions de citoyens russes ont été dévoilées sur le serveur Elasticsearch.

En mai de cette année encore, des données personnelles et de cartes de paiement avec des codes CVV de millions de Canadiens ont été exposées après la fuite en ligne de la base de données Elasticsearch détenue par Freedom Mobile.



 Voir: Une base de données non sécurisée divulgue les numéros de téléphone de 419 millions d'utilisateurs de Facebook

En décembre de l'année dernière, une autre base de données contenant des informations personnelles de 82 millions d'Américains a été dévoilée en ligne. Il existe plusieurs autres incidents liés aux fuites de données impliquant des serveurs Elasticsearch qui peuvent être lus ici.

Elasticsearch est un serveur utilisant Lucene pour l'indexation et la recherche des données. Il fournit un moteur de recherche distribué et multi-entité à travers une interface REST. C'est un logiciel libre écrit en Java et publié en open source sous licence Apache.
Elasticsearch est le serveur de recherche d'entreprise le plus populaire, suivi par Apache Solr qui utilise aussi Lucene2. Il est associé à deux autres produits libres, Kibana et Logstash, qui sont respectivement un visualiseur de données et un ETL (initialement destiné aux logs).
La  Sécurité qu'il offre:
Dans le cadre du processus d'amorçage, ils utilisent le gestionnaire de sécurité Java pour restreindre les privilèges disponibles à tout module au minimum requis pour qu'il fasse son travail. Nous utilisons seccomp sur Linux pour fournir le sandboxing d'application. Nous vérifions JAR Hell, pour nous assurer qu'une seule version d'une bibliothèque est présente dans votre chemin de classe - essayer de déboguer un problème causé par l'utilisation d'une version incorrecte d'une bibliothèque dont vous n'êtes même pas au courant est un enfer!

Ces serveurs sont:
 
  • ns-339.awsdns-42.com
  • ns-785.awsdns-34.net
  • ns-1168.awsdns-18.org
  • ns-1737.awsdns-25.co.uk



REF.:

lundi 28 octobre 2019

Apple partage vos données de navigation avec le géant chinois Tencent

Apple partage vos données de navigation avec le géant chinois Tencent



apple, confidentialité, anonymat,
 
 
Le service Tencent Safe Browsing pourrait être utilisé par Safari en dehors de Chine. C’est ce qu’indique Apple dans la rubrique « Safari et Confidentialité » d’iOS. Vos données de navigation, notamment votre adresse IP, sont peut-être partagées avec le géant chinois connu pour collaborer activement avec les autorités de son pays.

Lorsque nous activons une option sur notre smartphone ou que nous acceptons les conditions générales d’utilisation d’un service, nous donnons notre consentement, mais à quoi exactement ? Rares sont ceux qui prennent la peine de découvrir à quoi nous nous engageons. C’est ainsi que les utilisateurs d’Android ont donné la permission à Google d’écouter les commandes vocales envoyées à Google Assistant sans le savoir.
Ici c’est la fonctionnalité « Safe Browsing » dans le navigateur Safari d’iOS qui est en cause. Elle est activée par défaut, et doit vous protéger des tentatives d’hameçonnage, et des sites web frauduleux lorsque vous naviguez avec Safari.
Si vous vous rendez dans les réglages de Safari sur votre iPhone, vous remarquerez un petit lien « Safari et confidentialité… ». Il mène vers un document dans lequel on peut lire que des données peuvent être envoyées aux services Google Safe Browsing et Tencent Dafe Browsing, notamment votre adresse IP.
Image 2 : Apple partage vos données de navigation avec le géant chinois Tencent

Rien n’indique si le partage se limite aux utilisateurs chinois

La mise en place d’un service de protection implique bien évidemment de partager des données, au moins l’adresse du site web qu’on souhaite visiter. Et sur ce point, le mode de fonctionnement de Google Safe Browsing garantit relativement bien votre anonymat. Votre historique de navigation n’est pas stocké, et il se base sur des empreintes SHA-256 pour identifier les sites frauduleux plutôt que sur des URL.

En ce qui concerne Tencent, on ne sait rien si ce n’est que l’entreprise collabore activement avec les autorités chinoises. En Chine, Google Safe Browsing n’est pas accessible, tous ses résidents passent donc par Tencent, mais rien n’indique qu’il n’est jamais utilisé en Europe ou ailleurs.
De son côté, Apple n’a pas communiqué sur le sujet, alors que la firme fait déjà l’objet de vives critiques à la suite du retrait de l’application HKMap de l’App Store. Pour rappel, les autorités chinoises reprochaient à l’application d’être utilisée par les manifestants hongkongais pour mener des actions violentes contre les forces de l’ordre.

REF.:

dimanche 27 octobre 2019

A qui les géants de la tech envoient-ils vos données ?



A qui les géants de la tech envoient-ils vos données ?

Technologie : Bien que nous trouvions notre vie numérique de plus en plus pratique avec les notifications, le streaming musical, les messages et les courriels, n'oubliez pas que les fournisseurs de ces services qui régissent nos vies.
A qui les géants de la tech envoient-ils vos données ?
Votre téléphone émet de plus en plus d'alertes de notifications Instagram et WhatsApp. Vous écoutez de la musique sur YouTube et envoyez des e-mails depuis Gmail. Plus tard ce jour, vous utiliserez Airbnb pour réserver un voyage à Rome afin de pouvoir enfin manger dans cet incroyable restaurant que vous avez découvert sur Twitter. Vos données sont saisies et stockées sur l'ensemble de ces services.

Mais que font exactement ces entreprises avec vos données ? Et plus important encore, où les envoient-elles ? Les récentes modifications apportées à la loi ont fait des données sur les utilisateurs un sujet d'actualité. De nouvelles lois sur la protection des données comme le RGPD ont forcé les entreprises de technologie à devenir beaucoup plus transparentes sur la façon dont elles utilisent vos données et dont elles les partagent avec les gouvernements et partenaires commerciaux.

Les sociétés de technologie publient des rapports de transparence qui indiquent où elles envoient leurs données et combien de demandes d'informations sur les données des utilisateurs elles accordent dans le monde entier.

Explosion du nombre de demandes

Le blog Addictive Tips a créé des visuels qui montrent l'endroit où les demandes sont accordées - et quelle entreprise a accordé le plus de demandes de 2010 à 2017. Les demandes sont passées de 27 625 en 2010 à 382 242 en 2017. Ce chiffre a diminué en 2018 en raison de l'introduction de nouvelles lois sur la protection des données.

Au fur et à mesure que notre utilisation d'Internet s'est accrue, le nombre de demandes d'information provenant de pays du monde entier a également augmenté. Mais les États-Unis restent en tête du peloton pour les demandes de données.


Plus du tiers (35,13 %) des demandes provenaient des États-Unis en 2017 - et 37,86 % du total des demandes en 2018. Les États-Unis ont demandé 151 047 relevés de données entre 2010 et 2018. Facebook a accordé 64 351 demandes au gouvernement américain, sur un total de 75 208 demandes à l'entreprise.

Les appareils dans nos poches ne sont pas vraiment les nôtres

Google a communiqué 70 908 extraits de données à divers pays, dont 30 332 demandes au gouvernement américain. Apple arrive en tête de la liste des demandes d'accès accordées aux données avec 80,13 %, suivie de Facebook à 74,34 % et de Google à 66,27 %. A l'autre extrémité de l'échelle se trouve Airbnb, qui ne répond qu'à 33,63 % des demandes de données, tandis que LinkedIn répond à 43,40 % des demandes.

Il peut sembler surprenant que ces entreprises envoient vos données de cette manière. Surtout que ces géants de la technologie en savent déjà beaucoup sur vous. Avec notre besoin d'intimité et de contrôle d'identité, nous oublions que les appareils dans nos poches ne sont pas vraiment "les nôtres". Les données que nous entrons dans chaque appareil sont stockées par les sociétés de technologie.

Elles connaissent votre nom, votre sexe et votre date de naissance. Elles connaissent votre localisation, votre lieu de travail, l'historique de votre navigateur, vos choix politiques, vos centres d'intérêt et tout ce que vous avez demandé à Siri, Alexa ou Google Assistant ces derniers temps. Voire ces derniers mois. Pas étonnant que d'autres s'intéressent autant à ce que vous faites en ligne. 

REF.: Article "Where do the tech giants send your data?" traduit et adapté par ZDNet.fr

jeudi 11 avril 2019

VPN et anonymisation : les limites

VPN et anonymisation : les limites;

vpn, anonymat,


Les services VPN promettent l’anonymisation en masquant votre adresse IP.
Comme c’est souvent le cas avec les services vendues, le discours marketing gonflent parfois la réalité.
Cet article tente d’expliquer les limites sur l’anonymat par ces services VPN.




Introduction

Le VPN à la base est un système qui permet de relier deux réseaux à travers un tunnel sécurisé.
Cela est notamment utile dans le cas d’une entreprise qui a des sites distants ou permettre à des employés de se connecter au réseau de l’entreprise depuis chez eux.
Des solutions sur internet proposent ces services pour masquer l’adresse IP.
Le principe était de rediriger l’intégralité du trafic internet ou à minima celui du WEB vers le serveur VPN.
Il faut donc bien comprendre que tout le trafic passe de votre FAI vers le serveur VPN pour terminer le serveur final (site WEB, serveur de jeux, etc).
Ce dernier sert d’intermédiaire et donc le serveur final ne voit que l’adresse IP du serveur.
Cela peut poser des problèmes de confidentialités.
Pour plus d’informations sur le fonctionnement des VPN, lire l’article suivant : Qu’est-ce-qu’un VPN : principe et fonctionnement

Les limites de l’anonymat des VPN

Cacher son adresse IP

Dans l’exemple suivant, le service VPN indique qu’il protège des regards indiscrets et notamment celui de votre FAI.
Cela est vrai puisque le trafic vu par le FAI sera chiffrée et ne pourra pas savoir ce que vous faites, si le service VPN est bien configuré.
Toutefois, au final, vous ne faites que déplacer la problématique puisque le trafic passe par les serveurs VPN.
Techniquement il est donc tout à fait possible que ce service soit capable de vous espionner.

Les limites de l'anonymat des VPN
Les limites de l’anonymat des VPN
Cela dépend de la politique du service VPN. Ce dernier pourrait très bien vous pister de manière anonyme pour effectuer de la publicité ciblée.
Vous déplacez votre non confiance envers votre FAI vers la confiance du fournisseur d’accès VPN.

A noter que le client VPN est une application qui tourne sur votre appareil qui peut collecter aussi des données anonymes lors des interactions avec le service VPN.
Là aussi c’est selon la politique du fournisseur VPN.
Par exemple CyberGhost enregistre vos connexions et le pays source mais pas votre adresse IP.

CyberGhost enregistre des informations lors des connexions
CyberGhost enregistre des informations lors des connexions
HideMyAss lui stocke votre adresse IP, donc oui durant le surf et autre activité sur la toile, ces derniers ne verront pas votre adresse IP.
Mais le service VPN lui les stocke comme ce serait le cas durant le surf.

HideMyAss stocke les IP des utilisateurs
HideMyAss stocke les IP des utilisateurs
Enfin le fournisseur VPN NordVPN promet aucun enregistrement, logs et journaux.
Là aussi, il faut se méfier des annonces. Le FBI ayant arrête un utilisateur de PureVPN grâce à des journaux alors que ce dernier promet ne pas en avoir.

Arrestation d'un utilisateur PureVPN grâce à ces journaux
Arrestation d’un utilisateur PureVPN grâce à ces journaux
D’après une étude de thebestvpn 26, 26 sur 115 VPN testés gardent des données collectées.
Voici la répartition des données collectées par type.

Données collectées par les VPN
Données collectées par les VPN

Bug de configuration et implémentation

Dans un autre article, nous avions expliqué que le bug WebRTC pouvait permettre de récupérer l’adresse IP réelle.

D’après une étude d’avril 2018 de VoidSec, 17 VPN sur 83 sont sensibles à cela et peuvent permettre de récupérer la vraie adresse IP.

bug Web RTC et leak de l'adresse IP réelle
bug Web RTC et leak de l’adresse IP réelle
Enfin, une étude de Migliano montre certains VPN présents sur Google Playstore contiennent des malwares.
5 VPN sur 27 sont sujets à la fuite de données DNS.

Fuites de DNS
Fuites de DNS

Les journaux des hébergeurs

Un aspect qui est souvent oublié : les services VPN utilisent des hébergeurs et fournisseurs de serveurs.
Même si le service VPN indique ne rien loguer, l’hébergeur lui logue les connexions effectuées vers ces plateformes.
Ce dernier peut notamment voir votre adresse IP source, celle de votre fournisseur d’accès et l’enregistrer dans un journal.
Il faut aussi penser que ces serveurs sont sous la loi du pays dans lequel ils résident.
Par exemple, un serveur aux USA sera soumis notamment aux lois américaines ainsi qu’à la surveillance de la NSA.

Le VPN ne protège pas complètement du pistage

Le VPN ne protège pas du pistage et collecte de données effectuées par des sites internet.
Lorsque vous utilisez des services, vous vous connectez avec des comptes internet.
Il est donc tout à fait possible de collecter et associer des données à ce compte avec ou sans utilisation d’un VPN.
De plus, le navigateur WEB utilisé peut aussi envoyer des données.
C’est notamment le cas de Google Chrome qui permet aussi de pister les internautes.
Enfin, il existe toute sorte de technique pour pister les internautes sans avoir recours au stockage de l’adresse IP.
De nos jours, les internautes ont plusieurs points d’accès, associer des données à des adresses IP n’est donc pas fiable.
Pour pister, il vaut mieux donc tenter de reconnaître l’appareil avec lequel vous vous connectez.
Plusieurs techniques sont notamment utilisées :
La page suivante énumère la plupart de ces techniques : Le pistage utilisateur (ou Web Tracking) sur internet
Le VPN ne protège pas du tout contre ces techniques qui pour certaines sont assez difficiles à contrer.

Conclusion

Les systèmes VPN ne protègent pas entièrement du pistage sur internet et ne donnent pas non plus d’anonymat.
Ils permettent seulement de masquer son adresse IP et éventuellement de cacher l’activité aux fournisseurs d’accès.
Ces aspects sont détaillés sur la page : Adresse IP et confidentialité : localisation, informations
Toutefois, cette activité est reportée vers les fournisseurs de VPN auxquels il faut avoir entièrement confiance.
Enfin le choix du VPN est crucial puisque vous redirigez tout le trafic internet vers ce dernier qui peut récupérer des informations.
Parfois, le VPN conduit finalement à plus de collectes de données que de protection.

REF.: