Powered By Blogger

Rechercher sur ce blogue

dimanche 5 avril 2015

Votre employeur peut espionner vos communications car le déchiffrement HTTPS est parfaitement « légitime »



Votre employeur peut espionner vos communications chiffrées, et la CNIL est d’accord

La Commission nationale informatique et libertés donne sa bénédiction au déchiffrement des flux HTTPS des salariés, à condition que cette pratique soit encadrée. Il reste néanmoins une zone de flou juridique côté pénal...

 

 

Saviez-vous que certains employeurs déchiffrent systématiquement les flux HTTPS de leurs salariés lorsqu’ils surfent sur Internet ? Ils disposent pour cela d’un équipement appelé « SSL Proxy » qui se place entre l’utilisateur et le serveur Web. Cette boîte magique déchiffre tous les échanges en usurpant l’identité du service interrogé (google.com, par exemple), par l’utilisation d’un certificat bidon. La pratique n’est pas du tout récente, mais se fait de manière un peu cachée en raison d'incertitudes juridiques et de l'impopularité de cette mesure auprès des salariés. Les directeurs informatiques n’ont, par conséquent, pas une folle envie d’en faire la publicité.

Mais l’employeur peut se rassurer : la CNIL vient de publier une note qui clarifie les choses. Ainsi, la Commission estime que le déchiffrement des flux HTTPS est parfaitement « légitime », car elle permet à l’employeur d’assurer « la sécurité de son système d’information », en bloquant les éventuels malwares qui s’y trouveraient. Evidemment, ce n’est pas la seule raison : ces équipements sont également utilisés pour prévenir les fuites d’informations. Un salarié qui enverrait des documents confidentiels à un concurrent pourrait, ainsi, être facilement repéré.

Infraction pénale ou pas ?

Toutefois, la CNIL met un (petit) bémol. L’utilisation de cette technique de surveillance doit être « encadrée ». Ainsi, les salariés doivent être informés en amont et de manière « précise » sur cette mesure : raisons invoquées, personnes impactées, nature de l’analyse effectuée, données conservées, modalités d’investigation, etc. L’employeur doit également mettre en place une « gestion stricte des droits d’accès des administrateurs aux courriers électroniques ». Autrement dit : éviter que tous les membres du service informatique puissent fouiller dans les messageries. Par ailleurs, les « traces conservées » doivent être réduites au minimum.

Il reste néanmoins une petite zone de flou juridique, nous explique la CNIL. En effet, le Code pénal interdit théoriquement « d’entraver ou de fausser le fonctionnement d’un système de traitements automatisés de données (STAD) ». Or, quand l’entreprise déchiffre les flux Gmail de ses salariés, on peut estimer que cela fausse le fonctionnement du STAD d’un tiers, à savoir Google. Cela pourrait donc constituer une infraction. Conclusion de la CNIL : il faudrait peut-être modifier le Code pénal pour que l’employeur puisse réellement surveiller ces flux chiffrés en toute tranquillité. Décidément, la situation n'est pas encore totalement claire... 

A lire aussi :
Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS - 18/03/2015

Source :
CNIL

vendredi 3 avril 2015

Les Cookies Monster sont Google et FB

Facebook, comme Google, traque les utilisateurs passifs sans consentement...

Analyse : Que vous soyez utilisateur Facebook ou non, le réseau social suit votre activité sur le Web. Pour cela, il dispose d'un très efficace outil de collecte : les boutons "J'aime" disséminés partout. Mais Facebook est tenu en principe d'obtenir un consentement, sauf à enfreindre le droit européen.

En début d'année, Facebook a mis à jour ses conditions d'utilisation et sa politique de confidentialité. Seule option pour les utilisateurs : approuver ces changements ou renoncer aux services de la plateforme.
Si le réseau social a à cette occasion vanté les avancées dont bénéficieraient les internautes, l'Article 29 a ouvert une enquête à l'encontre de Facebook. Et dans ce cadre, l'équivalent belge de la Cnil a commandé une étude à des chercheurs.

Le bouton J'aime est partout et il collecte

Une première version du rapport a été publiée en février. Le document a été mis à jour le 31 mars, et il enfonce le clou. La BBC relève notamment l'intérêt porté par Facebook aux utilisateurs passifs du réseau social qui font eux aussi l'objet d'une collecte de données.
Non connectés ou tout simplement pas inscrits sur Facebook, ces utilisateurs n'échappent pas pour autant au réseau social. Comment ? Grâce aux plugins sociaux, comme le bouton "Like", disséminés partout sur le Web.
En tout, rappellent les chercheurs belges, ce sont plus de 13 millions de sites, y compris gouvernementaux ou de santé, qui intégreraient sur leurs pages de tels boutons. Et ceux-ci permettent donc, en les couplant à des cookies, à Facebook de collecter des données personnelles - ce même si l'internaute n'interagit pas directement avec ces plugins.
Problème : l'internaute, en particulier lorsque celui-ci n'est pas même membre de Facebook, a-t-il connaissance de ce fait ? Son consentement est-il recueilli par la firme ? L'information figure dans la politique de confidentialité de Facebook, version 2015. La référence à la durée de conservation de 90 jours, autrefois présente, a en revanche été retirée.
Facebook peut-il légalement, de cette façon, collecter les données personnelles des utilisateurs passifs ? Pour les responsables de l'étude belge, la réponse est tout simplement non car le service viole ainsi un point de la législation européenne, et plus précisément l'article 5(3) de la Directive relative à la vie privée.

Pas sur Facebook ? Tant pis pour vous 

En effet, avant de placer tout cookie en lien avec des plugins de cette nature, Facebook devrait en principe obtenir au préalable le consentement de l'internaute. Il n'en est rien. Et pour un non-utilisateur, sauf à lire malgré tout la politique de confidentialité de Facebook, l'information relative à cette collecte ne lui est pas communiquée.
L'analyse juridique de ces chercheurs fait-elle consensus ? Elle est au moins partagée par le gendarme français des données personnelles, la Cnil. Cette dernière, comme le G29, a déjà été amenée à se prononcer sur le sujet des plugins sociaux, mais concernant un autre acteur : Google.
Et cet examen était alors intervenu à l'occasion d'un changement de politique de confidentialité. Ainsi dans le document établi en octobre 2012, la Cnil parvenait à la conclusion suivante : "Pour les utilisateurs passifs, Google ne respecte par l'article 5(3) de la Directive […] concernant les cookies envoyés par DoubleClick, les boutons "+1" ou les services Google Analytics sur des sites Web tiers. Un consentement informé est nécessaire avant que ces cookies puissent être utilisés à des fins de combinaison de données entre services".
Et l'exigence d'un consentement informé s'applique également à une utilisation à des fins de publicité puisque seules deux exceptions sont tolérées. La publicité n'en est pas une. C'est pourtant justement une des finalités déclarées par Facebook de ces cookies. Or les données collectées hors du réseau social grâce à ces plugins sont de plus en plus importantes pour celui-ci alors qu'il développe ses activités et recettes publicitaires en-dehors de ses seuls services et applications.
L'Article 29 avait ainsi considéré en 2012 qu'aucune base légale ne permettait par le biais des cookies associés aux plugins de collecter les données personnelles de non-membres. Et cette base légale fait tout autant défaut pour les membres dès lors qu'ils sont déconnectés. Une analyse que ne partage donc pas, entre autres, Facebook qui dans la version 2015 de sa politique de confidentialité fait état de cette collecte et de son usage à des fins publicitaires, notamment.

Source.:

5 applications pour découper des fichiers PDF en plusieurs morceaux



Pratique : Vous voulez scinder un fichier PDF en deux ou plusieurs parties, expurger un document d'informations confidentielles avant de le diffuser ? Voici cinq solutions efficaces pour créer rapidement, à partir d'un PDF original, le PDF allégé qui vous convient.
Format incontournable pour échanger des documents à l'intérieur comme à l'extérieur de l'entreprise, le PDF est souvent à l'origine de petites interrogations pratiques. Dans la série « on doit sûrement pouvoir le faire, mais comment ? », voici l'un des problèmes star associé aux documents PDF : la découpe.
Un document PDF trop lourd, que vous souhaitez diviser en plusieurs parties afin de pouvoir l'envoyer par email ; un PDF à transmettre à un client, si seulement vous pouviez supprimer les pages qui contiennent des données confidentielles ; ce manuel PDF trop long, dont il serait utile de n'archiver que certaines pages.
Pour tout cela, ce qu'il vous faut, c'est un outil logiciel spécialisé dans la manipulation des documents PDF. Et il faut aussi que cet outil propose cette fonction précise de découpe. Voici cinq des meilleures applications du genre, qui vous permettront de façonner vos PDF à la carte.

PDF Studio Standard

Avec PDF Studio Standard, vous disposez d'un outil vraiment complet pour manipuler vos fichiers PDF comme vous le souhaitez. Pour extraire plusieurs pages d'un PDF original, PDF Studio Standard se révèle efficace, mais il faut "jongler" un peu si les pages à extraire ne sont pas consécutives.
PDF Studio Standard
Ce défaut est compensé par la richesse des fonctions et options proposées pour d'autres manipulations : vous pouvez supprimer des pages, en insérer de nouvelles, fusionner des PDF, remplacer, tourner, recadrer... Le logiciel permet aussi d'ajouter des filigranes, d'insérer en-têtes et pieds de page, d'extraire du texte ou encore d'exporter des pages en fichiers image (JPG, PNG, TIFF, GIF). La totale.
PDF Studio Standard coûte environ 70 euros. La version d'essai proposée au téléchargement permet d'utiliser toutes les fonctions, mais un marquage est apposé sur les documents créés. À noter que la découpe sélective de pages isolées, qui fait défaut à PDF Studio Standard, est proposée dans une version Pro qui coûte un peu plus cher (environ 100 euros).

PDF Architect

Logiciel à l'interface élégante et agréable, PDF Architect est une suite modulaire dédiée au format PDF. Dans la version de base gratuite, PDF Architect ne propose qu'un nombre limité de fonctions, mais cela suffit pour l'objectif recherché ici.
PDF Architect
Pour être plus précis, cela suffit en fait "tout juste", car les fonctions d'édition se limitent à la suppression de page unique (une par une). Ainsi, il faudra procéder manuellement à la suppression de chaque page que l'on ne souhaite pas conserver dans le PDF allégé. S'il y en a beaucoup, cela peut être un peu rébarbatif, mais ça fonctionne bien.
Toujours avec cette version gratuite, vous pourrez vous amuser à faire pivoter des pages, et à réorganiser des documents PDF en déplaçant certaines pages. C'est amusant, voire peut-être utile dans certains cas.

7-PDF Split & Merge

Alors que PDF Studio Standard et PDF Architect sont des généralistes du format PDF, 7-PDF Split & Merge, lui, est un spécialiste. Il s'intéresse bien sûr aux documents PDF, mais uniquement pour la découpe (son côté split) et la fusion (son côté merge). Deux choses uniquement, donc, et qu'il fait d'ailleurs très bien.
7-PDF Split & Merge
L'interface est en anglais, un peu technique, mais on trouve toutes les options nécessaires pour contrôler efficacement la découpe d'un fichier PDF. Notamment, ou plutôt surtout, la sélection possible d'intervalles de pages et de pages isolées.
7-PDF Split & Merge est un logiciel gratuit pour une utilisation privée uniquement. Pour une utilisation commerciale, il faut acquérir une licence (environ 30 dollars). Notez qu'en version gratuite, il y a aussi des limitations à l'usage pour le découpage (50 pages possibles maximum à la fois) et pour la fusion (5 documents maximum à la fois).

CutePDF Editor

Contrairement aux applications présentées ci-dessus, CutePDF Editor n'a pas besoin d'être installé : c'est un service qui s'exécute directement dans votre navigateur Web, pourvu que la technologie Flash soit installée (et activée). Et pas besoin de s'inscrire ou d'activer un compte, cela fonctionne directement.
CutePDF Editor
S'agissant d'un service Web, l'inconvénient principal, c'est la confidentialité (même si le service est sécurisé). Il faut aussi compter sur le temps de chargement de votre fichier PDF original. Mais pour le reste, l'efficacité est au rendez-vous.
L'interface est en anglais, ce qui n'est pas vraiment gênant. Un clic sur le bouton Open File pour ouvrir le document PDF original, un autre clic ensuite sur Extract Pages (sur la gauche) pour afficher les options d'extraction. C'est clair, c'est bien fait, et ça fonctionne très bien.

Google Chrome

Et si le roi de la découpe PDF était... Google Chrome ? Ce navigateur dispose en effet de deux fonctions PDF qui, combinées, rendent l'opération simplissime. L'astuce, c'est que Google Chrome sait non seulement ouvrir et afficher les documents PDF, mais aussi enregistrer ce qu'il affiche au format PDF. Il suffit donc d'exploiter ces deux possibilités.
Google Chrome
En pratique, après avoir ouvert le document PDF dans Google Chrome (avec un glisser-déplacer), lancez une impression avec le raccourci Ctrl + P. Cliquez sur le bouton Modifier de la section Destination pour changer d'imprimante, et choisissez Enregistrer au format PDF.
Ensuite, indiquez les pages à extraire dans la zone de saisie de la section Pages, par exemple 1,5,8-12 pour les pages 1, 5 et 8 à 12. Cliquez sur le bouton Enregistrer, et c'est tout !
Bien sûr, vous n'êtes absolument pas obligé d'utiliser Google Chrome pour surfer sur Internet. Mais il faudra tout de même installer le logiciel pour utiliser cet usage surprenant de découpe PDF.

jeudi 2 avril 2015

Vie privée : « Votre position a été partagée 5398 fois en 14 jours »


Des chercheurs se sont rendus compte que non seulement les données personnelles étaient largement partagées par les applis mobiles mais aussi que les utilisateurs n’en avaient pas la moindre idée. Un assistant de vie privée pourrait être une solution.



La surprise. L’incrédulité. « 4 182 fois – Vous plaisantez ? ». « 356 fois, c’est énorme, inattendu. » Voici pour un petit florilège des réactions d’utilisateurs de smartphones qui ont été les cobayes d’une étude de la Carnegie Mellon University, financée notamment par Samsung et Google... La palme revenant à cette notification envoyée par l’application AppOps : « Votre position a été partagé 5 398 fois avec Facebook, Groupon, Go Launcher EX et sept autres applications au cours des 14 derniers jours ».
AppOps est une application, disponible sur Android, qui permet de surveiller les accès des autres applications à vos données personnelles. Informations de géolocalisation, contacts, historique d’appels, etc. C’est cet outil que des chercheurs de l’université américaine ont installé sur les smartphones de 23 personnes pour leur faire prendre conscience de l’étendu du mal. Il leur a donc été demandé d’utiliser leur téléphone comme si de rien n’était la première semaine.
Les chercheurs ont ainsi pu constater que certaines applications sous Android accèdent à la fonction de géolocalisation toutes les trois minutes. Ils ont également noté que de nombreuses applis collectent plus d’informations que ce dont elles ont besoin. Ainsi, l’appli Groupon, qui n’a pas forcément besoin de savoir où se trouve l’utilisateur, a demandé la position d’une des personnes suivies par l’étude 1 062 fois en deux semaines.

Un manque de clarté

« La grande majorité des personnes n’a pas idée de ce qui se passe », explique ainsi Norman Sadeh, le professeur en charge de l’étude. Sans doute parce que la plupart des utilisateurs n’ont aucun moyen de savoir ce qui se passe dans leur smartphone, une fois une application installée. En revanche, une fois alertés, les propriétaires d’un smartphone tendent à limiter ces fuites d’informations non désirées.
Si les applications Android fraîchement installées demandent l’autorisation d’accéder à certaines informations, les utilisateurs ne comprennent pas forcément les implications de leurs autorisations. Autrement dit, le discours n’est pas assez clair et le système d’exploitation ne prévient pas assez des données exposées.

Vers un accompagnement

« Les gestionnaires de permissions pour les applications sont mieux que rien, explique Norman Sadeh, mais ils ne sont pas suffisants ». Les alertes sur les violations de la vie privée sont un peu meilleures, quand elles sont quotidiennes, sans pour autant représenter une panacée, car il y a désormais trop de critères à maîtriser pour s’assurer du respect de sa vie privée.
Pour l’universitaire, la solution pourrait être dans la mise en place d’assistants personnalisés chargés de veiller à la vie privée des utilisateurs. Il s’agirait d’un logiciel qui apprendrait au fil du temps les préférences d’une personne et qui engagerait une sorte de dialogue sélectif avec cette dernière pour l’aider à établir des configurations semi-automatiques. C’est dans cette direction que Norman Sadeh mène actuellement des recherches. Ses modèles et tests ont démontré qu’il est possible de déterminer avec une précision de 90% les réponses à un questionnaire de vie privée que fournirait un utilisateur.
Simplifier ou « externaliser » les choix touchant à la vie privée… Une solution dans un monde où les réglages sont de plus en plus complexes, mais qui laisse un étrange goût en bouche, comme si on délaissait ou sous-traitait un combat essentiel : la vie privée ? Il y a une application pour ça...

A lire aussi :

Tim Cook : « la vie privée ne doit pas être sacrifiée pour lutter contre le terrorisme »
- 28/02/2015

Source :

Communiqué Carnegie Mellon University

mercredi 1 avril 2015

Comment Facebook collecte illégalement des données sur tous les internautes ?


Des chercheurs ont décortiqué la surveillance induite par les fameux boutons «Like». Résultat : il est presque impossible de ne pas se faire piéger par les filets publicitaires du réseau social. Et bien sûr, tout ceci est strictement illégal en Europe.


Chargés de réaliser un rapport approfondi sur la collecte de données personnelles de Facebook, les chercheurs de l’université de Leuven (Belgique) viennent de publier une mise à jour (version 1.2), accompagnée d’un rapport technique édifiant sur l’usage du fameux bouton « Like ». Ces deux nouveaux documents montrent les efforts de Facebook pour capter la moindre petite donnée non seulement de ses utilisateurs, mais aussi de tous les autres internautes.
Les premiers - on peut s’en douter - n’ont pratiquement aucune chance d’échapper à l’œil inquisiteur de la firme de Mark Zuckerberg. A chaque fois qu’un utilisateur se connecte à une page qui intègre un bouton « Like », une dizaine de cookies - ces petits fichiers mouchards - sont déposés ou mis à jour sur son ordinateur, que le fameux bouton social soit activé ou non. De cette manière, le réseau sait quels utilisateurs visitent quelles pages, et avec quels navigateurs. Et le fait de se déconnecter de Facebook avant de visiter une page ne change rien : les cookies sont toujours actifs.  Pire : un utilisateur qui décide de désactiver son compte pour sortir de l’univers Facebook a intérêt à bien effacer ses cookies, car Facebook ne le fera pas pour lui et continuera de les utiliser pour le suivre à la trace.

Des cookies qui collent automatiquement aux baskets

Pas grave, me direz-vous, vous faites partie des rares personnes qui n’ont jamais eu de compte Facebook. Vous n’avez donc rien à craindre. Grave erreur ! Il suffit de visiter une page du domaine facebook.com pour recevoir - sans rien n’avoir demandé - une palanquée de cookies qui colleront désormais à vos baskets. Evidemment, le réseau social ne saura pas exactement qui vous êtes, mais il vous assignera un identifiant unique qui sera utilisé dans toutes les analyses marketing futures, et cela, pendant au moins deux ans. Super pratique pour recevoir des publicités sur mesure !
Pour échapper à la pieuvre Facebook, certains d’entre vous auront peut-être le réflexe d’effacer tous les cookies, de vider tous les fichiers temporaires, de réinstaller Windows et de ne plus jamais se connecter sur une page Facebook. Eh bien, ils pourront quand même récupérer des cookies Facebook, grâce à des partenariats noués avec des sites tiers. Une connexion sur les sites myspace.com, okcupid.com, mtv.com, prenatal.es,  digitalnest.in ou kateleong.com, par exemple, va générer un cookie à identifiant unique. Là encore, le code déclencheur est le bouton « Like », voire même le bouton « Connect ».  
Donnez-moi des cookies!!
© Michelle O'Connell (CC)
Donnez-moi des cookies!!

Même le mécanisme d’ « opt-out » est douteux

Mais qu’en est-il alors des utilisateurs qui choisissent volontairement de ne plus être suivis ? Facebook, avec une série d’autres sites, propose en effet un mécanisme de « opt-out » au travers du site European Interactive Digital Advertising Alliance. Mais désactiver le suivi publicitaire de Facebook ne va pas effacer pour autant les cookies déjà présents dans l’ordinateur, et ces derniers continueront d’être utilisés lors de la navigation. Pire : dans le cas d’un profil totalement vierge, un cookie de suivi Facebook est même créé. Certes, dans les deux cas, Facebook rajoute également un cookie qui indique le « opt out » de l’utilisateur. On peut donc supposer que cela signifie que les données récoltées ne seront pas utilisées pour des analyses marketing. Mais le réseau social continue néanmoins sa surveillance. 
Conclusion cinglante des chercheurs : Facebook est clairement hors la loi en Europe. « La législation européenne est vraiment claire sur ce point. Pour être licite, la publicité basée sur le suivi comportemental doit être choisie par l’utilisateur (opt-in). Facebook ne peut pas s’appuyer sur l’inaction de ses utilisateurs pour en déduire un quelconque consentement. Quant aux non-utilisateurs, il n’y a aucune base légale qui pourrait justifier une telle pratique de surveillance », explique Brendan Van Alsenoy, l’un des auteurs de ces rapports, auprès du journal The Guardian. Pour sa part, Facebook estime que ce rapport contient des « imprécisions factuelles  » et souligne que les auteurs ne l’ont « jamais » contacté pour vérifier les hypothèses faites. En même temps, les expériences décrites dans le rapport technique sont suffisamment parlantes...

Comment se protéger ?

Pour ceux qui ne veulent plus se faire suivre à la trace, sachez qu’il existe des extensions de navigateurs qui permettent de bloquer les mouchards publicitaires tels que le bouton Facebook, par exemple Ghostery, Privacy Badger et Disconnect. La configuration est un peu laborieuse, mais ça fonctionne.   
 
 
Source.: