Facebook
a indiqué vendredi avoir mis fin à deux opérations séparées de
manipulation de l’opinion, dont un réseau piloté au Vietnam et aux
États-Unis qui ciblait les Américains avec des messages en faveur de Donald Trump.
Le géant d’internet a retiré plus de 600 comptes sur Facebook et Instagram.
Ces
pages, groupes et profils partageaient principalement des contenus du
groupe de médias Epoch Times (lié au mouvement spirituel Falun Gong,
interdit en Chine) et de BL, un média américain favorable au président
américain.
Les personnes impliquées dans cette campagne «avaient
largement recours à des faux profils - dont beaucoup avaient été
automatiquement bloqués par nos systèmes - pour gérer leurs pages et
groupes, poster de façon automatisée à très haute fréquence et rediriger
des utilisateurs vers d’autres sites», a détaillé Nathaniel Gleicher,
responsable de la cybersécurité chez Facebook.
La plateforme s’est aussi aperçue que certains profils affichaient des photos générées par des technologies d’intelligence artificielle, pour se faire passer pour des Américains.
Ils partageaient des textes, des images et des montages sur des sujets de politique américaine, de la procédure de destitution engagée contre Donald Trump aux élections, en passant par la religion, le commerce et les valeurs familiales.
L’autre
opération démantelée par Facebook était menée depuis la Géorgie et
ciblait des habitants de ce pays du Caucase, secoué ces dernières
semaines par une profonde crise politique.
En octobre, le réseau
social avait annoncé avoir bloqué quatre opérations de manipulation de
l’opinion, menées par des groupes qui se faisaient passer pour des
utilisateurs et étaient soutenus par l’Iran et la Russie, ainsi qu’une
opération de désinformation menée à partir de la Russie dans plusieurs
pays d’Afrique.
À l’approche de l’élection présidentielle de 2020
aux États-Unis, Facebook multiplie les efforts pour lutter contre les
tentatives de manipulation sur ses différentes plateformes.
Le
groupe californien avait été fortement critiqué pour ne pas avoir bloqué
des campagnes de désinformation majeures lors de scrutins en 2016, dont
l’élection présidentielle américaine.
Conçu pour les développeurs qui utilisent Windows 10, Windows
Terminal est une application d'interprétation dédiée aux langages cmd,
powershell ou encore bash. Annoncée en mai lors de la conférence Build
2019 de Microsoft, cette dernière est disponible en preview depuis juin.
D'après Microsoft, elle sera lancée en version définitive pendant la
première moitié de l'année 2020.
Depuis le lancement de sa preview en juin, Windows Terminal évolue à
grands pas grâce au suivi de Microsoft et à l'apport mensuel
d'améliorations et de nouvelles fonctionnalités. Parmi celles ajoutées
par Microsoft depuis la version 0.2 de l'application : le support
respectif des options d'accessibilité, du code Cascadia ainsi que des
profils dynamiques, et l'ajout d'un mode plein-écran. Un peaufinage
régulier qui tend doucement mais surement vers l'arrivée d'une première
version stable pour le nouveau terminal de Microsoft.
Les mises à jour mensuelles vont continuer
Microsoft
indique pour l'heure s'en tenir à son rythme de mises à jour
mensuelles, mais l'objectif du groupe serait d'avoir en stock une
première version entièrement finalisée de l'application courant février
ou mars.
En d'autre termes, et comme l'explique Softpedia News,
l'intégralité des fonctionnalités prévues pour la version définitive de
Windows Terminal seraient finalisées d'ici deux à trois mois. Compte
tenu du rythme adopté par Microsoft jusqu'à présent, on imagine que le
lancement final de l'application interviendrait peu de temps après,
potentiellement au printemps.
Un lancement public sur le premier trimestre 2020
Microsoft
n'évoque pourtant pas officiellement le second trimestre 2020. Le
groupe se contente pour l'heure d'évoquer une sortie de la première
version de Windows Terminal pour le premier semestre 2020 sans plus de
détails. Le géant de Redmond explique surtout que le temps restant après
la finalisation de l'application, en février ou mars, sera consacré à
la correction des derniers bugs et à l'amélioration des performances de
l'outil.
« L'équipe Terminal continuera de publier des mises à jour de la
preview selon une cadence mensuelle. Nous estimons que cette phase sera
terminée vers février/mars. Par la suite, nous nous concentrerons sur le
peaufinage et l'amélioration des performances pour nous assurer que
Windows Terminal est prêt à être un produit v1.0. La sortie de Windows
Terminal v1.0 est prévue pour le premier semestre de 2020 ». précise Microsoft sur son blog.
En attendant, Windows Terminal est toujours téléchargeable en preview à cette adresse.
Attention par contre, version non définitive oblige, l'application
recèle encore des bugs et ne dispose pas de toutes les fonctionnalités
annoncées en mai. Il vous faudra également vous prémunir de la dernière
version de Windows 10 pour l'installer.
Les données sont désormais disponibles sur un forum de hackers à télécharger.
Un autre jour, une autre violation de données met en danger la vie privée de centaines de millions d'utilisateurs de Facebook. Tout a commencé avec une base de données qui stockait une mine d'informations personnelles de plus de 267 millions (267 140 436) d'utilisateurs.
La base de données a été découverte à l'origine le 4 décembre par le chercheur en sécurité informatique Bob Diachenko qui s'est associé à la société de sécurité Comparitech pour une analyse détaillée. Selon les chercheurs, la base de données était hébergée sur un serveur Elasticsearch et laissée exposée pour accès public sans mot de passe ni protocole de sécurité.
Voir: Volé: disques durs non chiffrés avec les données de 29 000 employés de Facebook
Bien que la base de données ne contienne pas les adresses e-mail ou les mots de passe des utilisateurs de Facebook, elle fournit un accès absolu aux numéros de téléphone associés aux profils Facebook, aux noms complets, à un identifiant unique pour chaque compte et à l'horodatage.
Selon le blog de l'entreprise, la plupart des données exposées appartenaient à des utilisateurs aux États-Unis, ce qui ne devrait pas surprendre puisque 70% des citoyens américains sont actifs sur Facebook, ce qui signifie que sur une population totale de 327,2 millions d'habitants, environ 232,6 millions de personnes sont sur Facebook. Noms et numéros de téléphone de 267 millions d'utilisateurs de Facebook exposés.
L'aspect le plus problématique de cette violation est que le 14 décembre, Diachenko a alerté le fournisseur d'accès Internet (FAI) gérant l'adresse IP du serveur, mais elle est restée exposée pendant près de deux semaines.
Diachenko a en outre révélé que la réponse tardive du FAI permettait aux acteurs malveillants d'accéder à la base de données et de la publier sur un forum de hackers pour téléchargement.
On ne sait pas à qui appartient la base de données et comment ont-ils obtenu les numéros de téléphone de millions d'utilisateurs de Facebook. Mais, les preuves vues par Diachenko suggèrent l'implication de cybercriminels vietnamiens dans l'opération visant l'API Facebook.
L'API de Facebook pourrait également avoir une faille de sécurité qui permettrait aux criminels d'accéder aux identifiants d'utilisateur et aux numéros de téléphone même après que l'accès a été restreint. Une autre possibilité est que les données ont été volées sans utiliser du tout l'API Facebook, et au lieu de cela extraites des pages de profil publiquement visibles, a déclaré Diachenko.
Anurag Kahol, CTO chez Bitglass, a commenté l'incident et a déclaré à HackRead que «les plateformes de médias sociaux sont des cibles lucratives pour les cybercriminels en raison des quantités massives d'informations personnelles identifiables (PII) qu'elles collectent et stockent auprès des utilisateurs. En fait, les données exposées dans cet incident ont été trouvées sur un forum Web sombre, laissant les consommateurs concernés très vulnérables aux attaques ciblées de phishing et de bourrage d'informations d'identification, au détournement de compte, etc.
«L'impact durable est inconnu et 59% des consommateurs admettent avoir réutilisé le même mot de passe sur plusieurs sites, même en connaissant les risques associés. Cela pourrait donner aux cybercriminels un accès à divers comptes pour la même personne sur plusieurs services, ce qui rendrait leur empreinte numérique incroyablement vulnérable. Tous les consommateurs, et pas seulement les utilisateurs touchés par cet incident, doivent prendre l'habitude de diversifier leurs identifiants de connexion sur différents comptes afin d'atténuer les risques de piratage de leur compte », a expliqué Anurag..
De plus, toutes les entreprises peuvent apprendre qu'il est essentiel d'avoir une visibilité et un contrôle complets sur les données de leurs clients afin d'éviter une violation. Pour ce faire, les organisations doivent mettre en œuvre des solutions de sécurité qui corrigent les erreurs de configuration, appliquent un contrôle d'accès en temps réel, chiffrent les données sensibles au repos, gèrent le partage des données avec des parties externes et empêchent la fuite d'informations sensibles », a conseillé Anurag.
Ce n’est cependant pas la première fois qu’une telle masse de données des utilisateurs de Facebook est exposée au public. En fait, le mois dernier, Diachenko a découvert une base de données avec 1,2 milliard de données de personnes extraites des plateformes de médias sociaux, notamment Twitter, Facebook, LinkedIn et GitHub, un service d'hébergement de référentiel Git.
Les serveurs Elasticsearch, en revanche, ont l'habitude d'être exposés au public et de mettre en danger les données personnelles d'utilisateurs et d'entreprises peu méfiants. Plus tôt cette année, des informations personnelles sur plus de 20 millions de citoyens russes ont été dévoilées sur le serveur Elasticsearch.
En mai de cette année encore, des données personnelles et de cartes de paiement avec des codes CVV de millions de Canadiens ont été exposées après la fuite en ligne de la base de données Elasticsearch détenue par Freedom Mobile.
Voir: Une base de données non sécurisée divulgue les numéros de téléphone de 419 millions d'utilisateurs de Facebook
En décembre de l'année dernière, une autre base de données contenant des informations personnelles de 82 millions d'Américains a été dévoilée en ligne. Il existe plusieurs autres incidents liés aux fuites de données impliquant des serveurs Elasticsearch qui peuvent être lus ici. Elasticsearch est un serveur utilisant Lucene pour l'indexation et la recherche des données. Il fournit un moteur de recherche distribué et multi-entité à travers une interface REST. C'est un logiciel libre écrit en Java et publié en open source sous licence Apache.
Elasticsearch est le serveur de recherche d'entreprise le plus populaire, suivi par Apache Solr qui utilise aussi Lucene2. Il est associé à deux autres produits libres, Kibana et Logstash, qui sont respectivement un visualiseur de données et un ETL (initialement destiné aux logs).
La Sécurité qu'il offre: Dans le cadre du processus d'amorçage, ils utilisent le gestionnaire de sécurité Java pour restreindre les privilèges disponibles à tout module au minimum requis pour qu'il fasse son travail.Nous utilisons seccomp sur Linux pour fournir le sandboxing d'application.Nous vérifions JAR Hell, pour nous assurer qu'une seule version d'une bibliothèque est présente dans votre chemin de classe - essayer de déboguer un problème causé par l'utilisation d'une version incorrecte d'une bibliothèque dont vous n'êtes même pas au courant est un enfer! Ces serveurs sont:
Facebook travaille au développement d’un système d’exploitation qui
lui permettrait de se passer d’Android pour ses différents appareils.
Pour cela, la firme a embauché Mark Lucovsky, coauteur de Windows NT.
Si Facebook a commencé comme un réseau social, l’entreprise est devenue un empire qui fait son chemin dans de nombreux domaines. L’un d’entre eux concerne le matériel avec sa gamme d’écrans connectés Portal et la réalité virtuelle avec les casques Oculus.
Facebook ne veut plus dépendre de Google et Android
Facebook se considère comme trop dépendant des systèmes d’exploitation disponibles,
particulièrement quand ils sont issus d’entreprises concurrentes.
« Nous voulons vraiment être sûrs que la prochaine génération a de la
place pour nous » explique ainsi Andrew Bosworth, le vice-président de
la branche matériel de Facebook. Il ajoute « Nous ne pensons pas que nous puissions croire le marché ou nos concurrents pour nous en assurer. Alors nous devons le faire nous-même ».
Les meilleurs jeux gratuits pour android
Cette petite phrase est clairement orientée contre Google, dont les mises à jour d’Android pourraient mettre à mal l’écosystème du matériel Facebook, particulièrement les écrans connectés Portal. En ce moment, le réseau social étudie différentes options pour son prochain grand projet, la réalité augmentée, y compris la création d’un système d’exploitation dédié.
Cela permettrait à Facebook d’avoir le contrôle complet de
l’environnement et même de le diffuser au sein de ses autres entreprises
comme Instagram.
Facebook croit fort en l’AR et la VR
Par le passé, Facebook a été très critiqué, particulièrement par Tim Cook, le PDG d’Apple, pour son manque derespect pour la vie privée de ses utilisateurs et la trop grande collecte de données, comme celles concernant leur vie sexuelle.
Là encore, Facebook aurait un intérêt à avoir son propre OS. Cela lui
permettrait d’orienter, on l’espère, vers une protection plus importante
des données personnelles, comme l’a annoncé Mark Zuckerberg avec son « futur privé ».
Facebook croit que son avenir est dans la réalité virtuelle et la réalité augmentée, on l’a encore vu récemment avec son projet de lunettes connectées. L’entreprise va d’ailleurs ouvrir un centre dédié à Burlingame, près de San Francisco. 4000 employés viendront
s’y installer dès le second semestre 2020. Il permettra aux employés
d’avoir accès à des laboratoires de développement et de test, et au
public de découvrir les produits de la marque, comme le casque Oculus Quest dont le suivi de la main vient d’arriver.
Source. : Techcrunch
Tout d'abord, cette couche de sécurité supplémentaire implique de bloquer toutes les adresses IP, à l'exception de quelques-unes. Si votre IP est dynamique, ce n'est peut-être pas la meilleure option pour vous. Si vous autorisez un grand nombre d'utilisateurs à accéder à votre blog, cela peut prendre du temps. Si vous êtes le seul auteur du blog et que vous n’autorisez pas les inscriptions de toute façon, ce sera assez simple. Création de .htaccess
Commençons par obtenir votre adresse IP. Accédez à IPChicken et notez votre adresse IP. Ensuite, téléchargez les fichiers .htaccess qui ont été créés pour cette publication.
Une fois que vous avez extrait l'archive, vous devriez voir un fichier .htaccess et un dossier wp-admin contenant un fichier .htaccess. Ouvrez le fichier .htaccess principal et vous devriez voir:
Order Deny,Allow Deny from all Allow from xx.xx.xx.xx
Modifiez la ligne “Allow from” pour refléter votre adresse IP. Pour ajouter d'autres adresses IP, ajoutez une nouvelle ligne avec “Allow from” et la prochaine adresse IP, etc. Maintenant, il est probable que vous ayez déjà un fichier .htaccess dans votre dossier racine WordPress. Si tel est le cas, modifiez le fichier et copiez-collez le contenu de votre fichier .htaccess modifié à partir du zip, puis enregistrez / réimportez.
Ouvrez maintenant le fichier .htaccess dans le dossier wp-admin à partir du zip. Vous devriez voir quelque chose comme:
Order Deny,Allow Deny from all Allow from xx.xx.xx.xx
Faites comme vous l'avez fait ci-dessus. Et ajoutez toutes les adresses IP supplémentaires que vous souhaitez autoriser dans la zone wp-admin. Il est probable que vous n'ayez pas de fichier .htaccess dans votre dossier wp-admin, alors téléchargez simplement le fichier .htaccess modifié depuis le zip dans votre dossier wp-admin.
Alors que la plupart des gens savent maintenant qu’ils doivent
télécharger un anti-virus sur leurs ordinateurs pour se protéger contre
les logiciels malveillants, les hackers se renouvellent et se tournent
vers la fraude par SMS.
C’est un peu le jeu du chat et de la souris. La lutte contre la
cyber-criminalité est apparemment sans fin. L’agence UK Finance affirme
que rien que dans le domaine de la fraude bancaire, nous perdons plus
d’un million d’euros par jour en Europe. Une grande partie de la fraude
se produit via une technique d’escroquerie qu’on appelle le
« phishing », très connu aujourd’hui, ou le « push payment ». Il s’agit
d’une escroquerie où le client est incité à révéler des informations
personnelles ou poussé à effectuer un paiement d’urgence.
Mais nous observons maintenant un phénomène nouveau : le
« smishing », qui est la pratique d’envoyer des SMS, censés provenir
d’entreprises réputées, afin de demander des numéros de carte de crédit.
Ce système, qui se fait passer pour votre banque, est plus efficace que
le « phishing », car le taux d’ouverture d’un SMS est de 98%, contre
65% pour un e-mail.
Qui est responsable de la lutte contre le smishing ?
Les clients sont aujourd’hui plus exigeants et s’attendent à ce que
leurs banques les protègent contre ce type de problème. Les entreprises
devraient avoir une certaine responsabilité lorsque ces SMS les
mentionnent, car il s’agit en réalité d’usurpation d’identité.
En réaction, certains opérateurs téléphoniques développent des
discussions sécurisées, afin d’empêcher le phishing, le fishing et le
smishing. Dans ce cadre, tous les expéditeurs sont vérifiés à chaque
étape du processus de mise en contact, ce qui permet une expérience
client plus sûre.
Cette nouvelle technique que les opérateurs appellent
« Conversational Commerce » facilite les échanges téléphoniques entre
client et entreprise. Une intelligence artificielle analyse les prises
de décision passées du client afin de proposer un dialogue optimisé avec
la banque. Ce qui fait gagner du temps aux entreprises et garde les
fraudeurs à distance.
Le groupe de solutions de marketing et de médias numériques Pages Jaunes a été victime d'un important vol de données personnelles la semaine dernière.
Par courriel, l'entreprise établie à Montréal
indique qu'une erreur humaine a permis à une personne non autorisée
d'accéder, vendredi, à certains renseignements sur près de 88 000
clients à travers le Canada.
Le ou les pirates informatiques se sont emparés de leurs
coordonnées ainsi que de l'information au sujet de la somme qu'elles
doivent à Pages Jaunes.
Le voleur de données a envoyé un courriel aux clients leur demandant
de rediriger leur paiement vers un compte bancaire frauduleux.
Pages Jaunes assure que les données bancaires de ses clients n'ont
pas été compromises. L'entreprise a avisé les personnes concernées par
courriel lundi en fin de journée.
Le Commissariat à la protection de la vie privée du Canada a également été mis au fait de la situation.
Quand Microsoft décide de commercialiser une nouvelle version de Windows,
cela se fait en plusieurs étapes. Tout d’abord, l’OS abandonné n’est
plus proposé aux clients, mais les mises à jour perdurent pendant
quelques années. Ensuite, les mises à jour ne sont plus proposées SAUF
les mises à jour de sécurité importantes. Puis vient le jour où plus
aucune mise à jour n’est proposée… Snif.
Mais heureusement, les mises à jour de Windows, c’est comme le Paic
Citron, l’argent de l’Etat ou la poussière. Quand y’en a plus, y’en a
encore.
En effet, pour certains, Microsoft continue de proposer des mises à
jours malheureusement réservés à une poignée de clients payants. Ce qui
met évidemment de côté les utilisateurs qui ont quand même payé leur
licence plein pot et qui n’ont d’autres choix que de faire la mise à
jour vers l’OS supérieur ou rester avec un OS troué.
C’est le cas par exemple avec Windows 7 pour lequel Microsoft propose
à certaines sociétés un programme de mises à jour baptisé ESU pour
Extended Security Updates.
Mais par bonheur, des développeurs répondant au doux pseudo de Abbodi1406 et Mspaintmsi propose sur un Gitlab une boite à outils
qui permet de contourner le système de Microsoft qui vérifie si vous
avez le droit aux MAJ. Ainsi, vous pourrez mettre à jour toutes les
versions de Windows 7 jusqu’en 2023 voire plus… Sauf évidemment si
Microsoft publie une MAJ pour contrer ce contournement lors de la mise
en place de ESU en février 2020. On verra bien.
Si vous décidez de jouer avec cet utilitaire parfaitement illégal, pensez quand même à faire une sauvegarde avant.
Notez que les développeurs à l’initiative de ce patch ont prévu de faire la même chose pour Vista. Source.:
Si vous êtes fâché avec Facebook, voici un outil qui devrait vous intéresser. DeleteFB est un script Selenium qui va supprimer un par un tous les trucs que vous avez postés sur votre mur Facebook.
De quoi faire un bon ménage. Pour fonctionner, DeleteFB a besoin de la dernière version de Chrome et du driver pour Selenium.
Installez ensuite le script comme ceci :
pip3 install --user delete-facebook-posts
Puis lancez le script comme ceci en indiquant vos identifiants Facebook :
Le script va alors se connecter à votre compte Facebook au travers de
Chrome, comme si c’était vous et supprimera vos messages un à un. Cela
peut prendre un bon moment si vous avez été productif sur le réseau
social, mais pas de panique, vous pouvez réduire la fenêtre Chrome et
continuer vos activités pendant que ça mouline.
Bon ménage à tous ! source.:
Dans la série « Les DRM sont l’une des pires inventions de l’Humanité« , je vais vous conter la dernière blagounette qui est arrivée dans le secteur du jeu vidéo.
Si vous êtes gamer, vous connaissez sans doute le jeu Tron: Evolution sorti en février 2011. Peut-être, même l’avez-vous acheté ?
Et j’imagine que depuis 9 ans, vous l’avez délaissé et êtes passé à
autre chose. Mais pourquoi ne pas y rejouer pour retrouver un peu de
nostalgie ?
Et bien vous ne pourrez pas ! Cheh !
C’est qu’ont découvert des joueurs qui en voulant réinstaller ce jeu,
ont eu la désagréable surprise de tomber sur une popup leur annonçant
que leur numéro de série avait expiré.
Et peu importe que la version du jeu soit une version Steam ou une version vendue en boite, le message est sans équivoque.
Après prise de renseignements, l’explication est pourtant toute simple.
L’éditeur du jeu qui n’est autre que Disney n’a pas prolongé son abonnement au système d’activation proposé par la société SecuROM.
Ces derniers ont donc coupé le service d’activation qu’ils louaient à
Disney sous la forme d’un abonnement. Hé oui, toi pas payer, toi pas de
service.
Sauf qu’évidemment, ça retombe sur tous les acheteurs du jeu.
La balle est donc dans le camp de Disney. Que vont-ils faire ?
Reprolonger leur abonnement SecuROM ? Sortir le jeu sans DRM ? Ignorer
les joueurs ?
Bon, apparemment, ils bossent sur un patch mais on ne sait rien de plus.
On verra bien, mais en tout cas c’est un bon rappel sur ce qu’est
vraiment un DRM. Un DRM c’est tout simplement un « kill switch » que
l’éditeur d’un contenu place sur une oeuvre que vous payez. Et grâce à
ce kill switch, il peut vous en retirer l’accès à tout moment, mais
aussi, pourquoi pas, vous faire repasser à la caisse s’il en a envie.
Même si on l’oublie, on ne sait jamais quand ce kill switch sera
activé. Toutefois il est bien là et un jour, comme dans le cas de Tron: Evolution, il se déclenchera au grand détriment des acheteurs.
En ce qui me concerne, j’essaye toujours de prendre des choses sans
DRM, mais quand je ne peux pas, je fais sauter le verrou numérique.
Parce qu’on ne sait jamais d’abord et ensuite parce que j’ai un fort
esprit de liberté ;-).
À vous de voir maintenant, mais si vous aimez jouer
intellectuellement, demandez-vous toujours comment retirer un DRM
lorsque vous en voyez passer un ! (Et passez-moi l’info, je ferai des
tutos ;-)))
À l'occasion du Black Friday, le FBI a publié sur son site, le 26 novembre, des recommandations à suivre au sujet des Smart TV.
Les téléviseurs étant aujourd'hui connectés à Internet, le célèbre
bureau fédéral d'investigation estime qu'ils présentent des
vulnérabilités. Ces défauts de sécurité pourraient notamment permettre à
des pirates d'espionner leurs propriétaires.
Dans son communiqué, l'organisme déclare que « Les
Smart TV sont appelées ainsi parce qu'elles se connectent à Internet.
Elles vous permettent d'utiliser des services de streaming et des
applications populaires. Beaucoup ont aussi des microphones, pour ceux
d'entre nous qui sommes trop paresseux pour prendre la télécommande [
... ]. Un certain nombre de téléviseurs récents ont également des
appareils photo intégrés. Dans certains cas, les caméras sont utilisées
pour la reconnaissance faciale afin que le téléviseur sache qui regarde
et puisse suggérer un programme approprié. Il existe également des
appareils sur le marché qui vous permettent de communiquer avec votre
grand-mère dans en 42 pouces ».
Et de poursuivre : « Outre le risque que votre fabricant de
télévision et vos développeurs d'applications vous écoutent et vous
regardent, la télévision peut également être une passerelle pour que les
pirates pénètrent dans votre maison. Un cyberacteur malveillant peut ne
pas être en mesure d'accéder directement à votre ordinateur, mais il
est possible qu'un téléviseur non sécurisé lui permette d'emprunter plus
facilement la porte dérobée de votre routeur ».
Selon le
FBI, les Smart TV peuvent ainsi permettre aux pirates de suivre
l'activité des propriétaires, d'activer la caméra ou le microphone de
l'appareil et même d'en prendre le contrôle pour diffuser leurs propres
vidéos.
Le bureau fédéral donne ainsi des conseils pour éviter que ce type de
scénario ne se produise. Avant l'achat, il invite à se renseigner sur
les fonctionnalités de la télévision (caméra, microphone...). Le FBI
recommande de chercher sur le Net des informations concernant la
confidentialité des équipements de la marque.
Il suggère aussi de modifier les mots de passe de la Smart TV,
d'apprendre comment désactiver les différents équipements et empêcher la
collecte d'informations personnelles. Le communiqué précise : « Si
vous ne pouvez pas les désactiver, demandez-vous si vous êtes prêt à
prendre le risque d'acheter ce modèle ou d'utiliser ce service ». Et d'ajouter : « un simple morceau de ruban noir sur l'œil de la caméra est une option ».
Le communiqué recommande finalement de se renseigner sur les mises à
jour de sécurité incluses à l'appareil et à ses services de streaming.
Disposer
d’informations sensibles et privées sur un disque dur non chiffré est
un risque à ne plus prendre. C’est du moins ce que doit penser le
propriétaire de disques durs volés contenant les informations
personnelles et privées de 29 000 employés Facebook.
Facebook a perdu une copie
des données personnelles appartenant à 29 000 de ses employés après que
des disques durs contenant des informations de paie non chiffrées ont
été volées dans la voiture d’un employé.
Le réseau social a déclaré être en train d’informer les salariés impactés par ce vol. « Nous n’avons vu aucune preuve d’utilisation de ces informations,indique le service communication de Facebook. Nous pensons qu’il s’agit d’un vol de matériel plutôt que d’une tentative de vol d’informations sur les employés« .
Les informations concernent les employés américains.
La disparition des disques durs a été détectée le 20 novembre 2019.
L’employé les avait pris avec lui, alors que cela semble être interdit,
trois jours auparavant. Le 29 novembre, une enquête était lancée.
Facebook a commencé à alerter les employés concernés le vendredi 13
décembre.
Le voleur a en sa possession les noms
des employés, les numéros de compte bancaire et les numéros « partiels »
de sécurité sociale. Les disques durs comprenaient également des
informations sur la rémunération, notamment les salaires et les primes.
Facebook a offert une assurance aux salariés afin d’agir en cas d’utilisation frauduleuse de leurs données.
Le fautif, un employé du service de paie. Il a été sanctionné. Faut-il comprendre « viré » ?
La question est de savoir pourquoi cette personne se baladait avec des supports de sauvegarde qui ne lui appartenaient pas !!?
Damien
Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste -
Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité
depuis 1989. En savoir plus : https://www.damienbancal.fr
Enseignante à la retraite, Céline Leblanc-Barsalo vient de publier Ne me parlez pas des lapins, son troisième roman jeunesse. Destiné aux enfants de 8 à 11 ans, le livre de 177 pages traite notamment d’intimidation.
Ayant deux dents avant proéminentes, le personnage principal de
Coralie, une élève de 5e année, est malmenée par certains camarades de
classe qui l’appellent «lapin» ou «dents de lapin».
«Comme j’ai été enseignante, il y a toujours du vécu qui se mélange à
la fiction dans mes romans. Ce sont un peu des choses que j’ai vues et
entendues», indique la résidente de Kirkland.
Coralie vit des hauts et des bas alors qu’elle tente de trouver des
moyens pour que son année se passe bien. Elle reçoit l’aide de sa
meilleure amie et d’un garçon qu’elle trouve beau, d’une technicienne en
éducation spécialisée, mais aussi de sa mère et sa grand-mère.
«C’est une histoire touchante. Elle va utiliser des mantras positifs
pour essayer de passer à travers et elle va arriver à s’impliquer de
plus en plus à l’école», souligne Mme Leblanc-Barsalo.
Malgré tous ses efforts, l’intimidation aura laissé des traces.
«Les paroles que les enfants, ou n’importe qui, profèrent, ça attaque
les personnes et font des cicatrices, explique l’auteure. C’est un peu
le message du livre.» Témoignages
Avec la promotion de son livre, notamment dans les marchés de Noël, Mme
Leblanc-Barsalo est surprise par le nombre important de gens qui lui
confient avoir vécu de l’intimidation ou du harcèlement.
«Souvent, on me raconte que ce sont des enfants très jeunes qui sont
affectés. On parle de jeunes en deuxième année qui sont parfois obligés
de changer d’école», dit-elle.
C’est à la suite de la naissance de son petit-fils que Mme
Leblanc-Barsalo a eu la piqûre de l’écriture. Il était d’ailleurs le
héros de ses premières histoires.
«À un moment donné, on m’a demandé pourquoi je n’écrirais pas un
livre. Quand tu travailles comme enseignante, tu n’as pas beaucoup de
temps pour écrire. Mais j’ai commencé quand même tranquillement»,
précise-t-elle.
Son premier livre a été publié en 2015.
Celle qui portait jusqu'à il y a encore quelques heures le nom de
Project Scarlett vient enfin de dévoiler son nom officiel : XBOX Series X
(à ne pas confondre avec l'actuelle XBOX One X).
Microsoft indique que les jeux XBOX 360 et XBOX One seront
compatibles sur ce monstre de guerre disposant de 4 fois la puissance de
calcul de la XBOX One X et de manière silencieuse.
Malgré son aspect de tour, la console pourra être aussi disposée à
l’horizontale si les joueurs le souhaitent ou bien à la verticale comme
indiqué sur le visuel.
Une nouvelle manette sans fil accompagne la sortie de la XBOX Series X
avec un nouveau bouton : Share pour rendre la capture d’écran et vidéo
simple et pratique. Elle sera compatible avec les PC Windows 10 et la
XBOX One X également.
Une première exclu a été dévoilée pour la console avec Senua’s Saga:
Hellblade II exploitant pleinement la puissance de la console.
D’un point de vue technique, cela se traduira par des effets visuels
en 4K à 60 fps, avec la possibilité d’atteindre 120 fps, y compris pour
la prise en charge de la VRR, et incluant la capacité d’atteindre 8K. La
Xbox Series X offrira un hardware « ray tracing accelerated »
et un nouveau niveau de performance jamais vu auparavant pour une
console et le SSD nouvelle génération éliminera virtuellement les temps
de chargement et amènera les joueurs dans leur univers plus vite que
jamais.
La Xbox Series X est également conçu pour un avenir dans le Cloud, avec des capacités uniques intégrées côté hardware et côté software pour
faciliter au maximum la possibilité de profiter des plus grands jeux
sur console et ailleurs. Xbox Series X offrira un niveau de fidélité et
d’immersion inégalé par rapport à tout ce qui a été réalisé avec les
précédentes générations de consoles.
Sortie prévue pour la fin d’année 2020.
Xbox Series X
PlayStation 5
CPU
AMD Zen 2 (Custom) (8 coeurs à 3,8 GHz, 3,6 GHz avec SMT)
3rd-Gen AMD Ryzen (8 core à 3,5 GHz)
GPU
AMD Radeon RDNA2 12 TFlops 52 unités de calcul à 1,83 GHz Support du Ray Tracing
AMD Radeon RDNA 2 10,28 TFlops 36 unités de calcul à 2,23 GHz Ray-tracing
IoT, Hackers, vol de donné, vol d'identité, WiFi, Bluetooth,
De nombreux parents succombent à la tentation d'offrir des jouets
connectés à leurs enfants. Sauf que ces objets collectent souvent de
nombreuses données, un détail auquel on ne pense pas forcément.
Alors que Noël approche et que le Père Noël s'active avec son armée de
lutin, quelque part au Pôle Nord, la CNIL a décidé d'offrir un coup de
main à la section « jouets connectés » en sensibilisant les parents sur
les données collectées auprès des enfants, et en les guidant pour les
sécuriser. Car bien qu'ils prennent une forme souvent anodine (console,
robot, poupée, montre connectée...), les jouets connectés collectent des
informations et les font transiter vers Internet grâce aux ondes radio
comme le Wi-Fi ou le Bluetooth.
Le jouet connecté, un objet de tentation pour les cybercriminels
Méconnaître
le jouet connecté ou mal l'utiliser, surtout lorsqu'il n'est pas
sécurisé, peut conduire l'enfant et ses parents à subir des conséquences
pouvant être fâcheuses. Les données collectées via l'objet peuvent en
effet être utilisées à des fins commerciales, pour notamment procéder à
du ciblage publicitaire. Bien plus grave, elles peuvent aussi être
détournées par une personne malveillante, qui cherche à escroquer,
harceler ou usurper l'identité d'un membre du foyer.
Le jouet connecté peut aussi s'avérer problématique au sein même de son
propre lieu de vie. Certains jouets permettent aux parents « d'écouter »
les interactions de leurs enfants avec ces derniers, grâce à des
applications par exemple. Certes, cela permet de davantage protéger les
jeunes utilisateurs et de contrôler les données stockées en ligne. Mais
la pratique peut aussi nuire à la vie privée de l'enfant, qui voit, sans
forcément le savoir, son jardin secret disparaître.
La CNIL mise sur la prudence, avant et après l'achat
Sur
un plan purement sécuritaire, la CNIL propose, avant de donner le jouet
connecté à l'enfant, de vérifier que celui-ci ne permette pas à
n'importe qui de s'y connecter. Si le jouet dispose d'un mot de passe ou
de tout autre moyen d'identification, mieux vaut le changer
immédiatement après l'achat ou avant la première utilisation. Avant
l'achat toujours, il est aussi très utile de se renseigner sur les
caractéristiques du produit et ses interactions avec les autres
appareils électroniques.
Les actions antérieures à l'utilisation sont primordiales, vous l'aurez
compris. Si tant est que vous deviez procéder à une inscription en ligne
pour utiliser le jouet ou bénéficier de certaines fonctionnalités,
mieux vaut créer une adresse mail dédiée, avec un mot de passe sécurisé,
que vous contrôlerez en utilisant des pseudonymes, plutôt que les
prénom(s) et nom(s) de l'enfant.
Lorsque l'enfant n'utilise pas le jouet, il est préférable de l'éteindre
afin de limiter les risques de collecte de données sauvage. Il est
important aussi d'avoir accès aux données et de pouvoir les supprimer.
Le partage automatique sur les réseaux sociaux doit enfin être
désactivé.
Il est conseillé de s'informer avant même d'acheter le jouet connecté,
en se méfiant par exemple des objets à trop bas coût, ou en jugeant de
la transparence du fabricant (qui y est théoriquement obligé par la loi)
sur les données collectées et leur hébergement.
Aaaaaah Youtube… C’est vraiment un monde à part où se côtoient
vidéastes bosseurs et requins du copyright. Vous le savez sans doute,
quand un youtubeur intègre des extraits vidéos d’un film, d’un jeu,
d’un clip ou que sais-je encore, il y a tout de suite des tas d’ayants
droit qui arrivent tels des charognards pour réclamer les droits de la
vidéo. Cela arrive même parfois sur des vidéos 100% originales et il
faut alors faire une réclamation.
Mais c’est la seule chose qu’a trouvée Google pour faire plaisir aux
uns et permettre aux autres de continuer à alimenter sa machine à cash
avec leurs créations vidéos.
Concrètement, si un ayant droit réclame des droits sur votre vidéo
(Content ID), il peut vous interdire de la monétiser, ou pire, la
monétiser de force pour son propre compte. En gros, tu bosses sur une
vidéo, et même si tu ne mets pas de publicité, et bien l’ayant droit
arrive et se fait de l’argent avec ta vidéo. C’est moche.
Toutefois il existe une parade que le youtubeur gaming Jim Sterling
a mise en place dernièrement et qui fonctionne bien. L’idée est simple :
Reprendre des extraits de ses précédentes vidéos flaggés par le système
de Content ID et en mettre plusieurs dans sa vidéo. Ainsi, plusieurs
ayants droit se disputeront les droits sur la vidéo, certains bloquant
la monétisation, d’autres voulant la forcer… Et à la fin, ça fait une
vidéo non monétisée, donc sans pub.
Dans l’une de ses dernières vidéos consacrée à Nintendo, Jim Sterling
savait que Nintendo viendrait mettre sa pub partout. Il y a donc
intégré des extraits de GTA 5 et d’un clip du groupe de musique Erasure,
en plus du contenu tout frais de Nintendo.
Comme prévu, les requins se sont battus et la vidéo a été simplement démonétisée.
Fallait y penser. J’imagine que YouTube trouvera la parade à un
moment, en proposant aux ayants droit du partage de revenus, mais cela
va diminuer sévèrement les revenus de certains requins marteaux
maquereaux accro au Content ID. Source.:
Au mois de février dernier, revenu Canada a perdu des
renseignements confidentiels de plusieurs contribuables et c'est
seulement maintenant que cette information est révélée au grand public.
C'est
Radio-Canada qui rapporte cette nouvelle qui risque de faire beaucoup
de bruit. En effet, l'Agence du revenu du Canada a perdu des
renseignements confidentiels de plusieurs contribuables en février
dernier. La chaîne de télévision explique que cet événement malheureux
est intervenu à la suite d'un accident de la route au nord de Toronto
impliquant un camion de livraison de l'entreprise Purolator qui devait
transporter ces fameux documents dans un site d'entreposage. Ainsi, le
camion a perdu une boîte des huit qu'il transportait ce jour-là.
Radio-Canada
indique que cette boîte contenait 18 dossiers susceptibles de contenir
des numéros d'assurance sociale et des avis de cotisation. La chaîne de
télévision parle d'informations sensibles. Il faut dire que les numéros
d'assurance sociale sont très précieux et l'un d'entre eux peut
permettre d'usurper une identité. La police de l'Ontario et l'Agence du
revenu du Canada collaborent depuis plusieurs mois pour remettre la main
sur ces fameux dossiers, mais pour le moment sans-succès.
Toujours
selon les informations relayées par Canada, cet événement fait parti
des 150 cas de violation de confidentialité qui ont eu lieu lors des 6
premiers mois de l'année 2019.
Je ne sais pas pour vous, mais quand j’ai envie de me détendre, je
peux me mettre à cuisiner, à écrire sur le blog, à faire un peu de
musique sur FL Studio ou jouer à reverser quelques crackmes.
Je faisais pas mal de reverse engineering quand j’étais ado, ça
remonte un peu, et j’étais clairement rouillé. Et en septembre, je m’y
suis remis un peu. Les outils ont changé, les crackmes se sont
complexifiés, mais la démarche intellectuelle reste la même. Et c’est
clairement un gros kiffe de comprendre comment fonctionne un algo et
essayer de l’apprivoiser, le détourner ou le contourner.
Alors évidemment, pour apprendre il existe de nombreuses ressources
un peu partout sur la toile et principalement en anglais et surtout, il y
a Root Me qui permet de se lancer directement sur des challenges avec un niveau de difficulté croissant.
Et si le sujet vous intéresse et que vous voulez vous y mettre, il existe un livre au format PDF, qui s’appelle « Reverse Engineering for Beginners« , disponible dans plusieurs langues dont le FRANÇAIS
et qui vous permettra d’apprendre les bases du reverse engineering.
Comprendre le code assembleur, savoir chercher les trucs qui comptent
dans le code, les bons outils pour bosser et pas mal d’exemples et
d’études de cas.
C’est un contenu assez long (+1000 pages) mais les vacances de Noël
arrivent dont vous allez bientôt avoir un peu de temps devant vous.
Bonne lecture !
Hackers, failles, banque, vol de donné, vol d'identité,
photo jean-françois desgagnésPascal Desgagnés a
comparu jeudi au palais de justice de Québec pour faire face à de
multiples accusations dont vol et fraude à l’identité.
Les maîtres de l’informatique comme Pascal Desgagnés, qui
sont « dangereux » pour les organisations selon certains experts,
continueront de nuire à la vie privée des citoyens et des vedettes qui
protègent mal leurs informations sensibles.
« Les victimes, comme la majorité du monde, ont de mauvais mots de
passe et ils n’ont pas un deuxième facteur d’authentification », assure
le créateur du Hackfest et expert reconnu en sécurité informatique,
Patrick Mathieu.
Pour le moment, la méthode précise utilisée par Desgagnés pour
pirater les cellulaires des personnalités comme Véronique Cloutier reste
nébuleuse.
Cependant, tout porte à croire qu’il s’agit d’une fuite de photos
similaire à celle vécue par des vedettes américaines en 2014, de type « fappening ».
Il s’agit d’un pirate qui trouve facilement les mots de passe des
iCloud des vedettes. « Ils ont ensuite accès à la sauvegarde de leurs
cellulaires », explique M. Mathieu. Organisations à risque
De son côté, le président du Groupe Vigiteck, une firme en
informatique judiciaire, estime que les individus considérés comme des
génies de l’informatique comme Desgagnés peuvent être dangereux pour
toutes organisations privées et gouvernementales.
« Ces gens ont des expertises de niche et ils sont en demande. Ils
font leur travail et si le gestionnaire n’est pas alerte, il peut avoir
de lourds impacts », prévient Paul Laurier, également ex-policier à la
Sûreté du Québec.
Selon l’expert, les entreprises et les ministères ne supervisent
pas assez l’évolution du travail de leurs informaticiens. Il estime que
l’incident avec Pascal Desgagnés n’est que « la pointe de l’iceberg
».
« Je fais des dossiers dans le privé et 80 % du temps l’entreprise
et l’informaticien règlent à l’amiable. De cette manière, il peut aller
travailler ailleurs. Il n’est pas le seul. Il y en a d’autres »,
assure-t-il.
Le PDG d’EVA-Technologies, une firme en cybersécurité, est
également d’avis que les entreprises n’encadrent pas assez leurs
experts.
« Les informaticiens ont souvent des droits plus élevés que la
moyenne au sein d’une organisation. C’est certain qu’il y a un risque
plus élevé s’il n’y a pas une bonne supervision », souligne Éric
Parent. Desjardins, victime
Le Mouvement Desjardins est un bel exemple où l’organisation n’a peut-être pas suivi d’assez près Pascal Desgagnés.
Selon notre Bureau d’enquête, il a ruiné un logiciel de gestion de
projets et fait perdre des milliers de dollars à la coopérative. À partir d’un logiciel Microsoft, il devait créer un outil personnalisé selon les besoins de la coopérative financière. Or, il a tellement modifié l’outil de gestion pour répondre au
besoin du client, qu’une fois parti, plus personne ne pouvait entretenir
le logiciel chez Desjardins. Il avait ajouté des « bouts de code », il a « joué dans les bases
de données du produit » même s’il n’en avait pas l’autorisation. (C'est non éthique aux produits Microsoft, a la limite de reverseingenering)
En raison de son improvisation, Desjardins a dû faire table rase du
projet. Précisons que cet incident n’a pas de lien avec la fuite de
données. « Pas gérable »
Ce n’était « pas gérable », nous a confirmé une source bien au fait
du dossier. Pourtant, Desjardins y avait injecté plusieurs centaines de
milliers de dollars.
Par ailleurs, après avoir réalisé une enquête interne, Revenu
Québec a assuré hier qu’aucune donnée n’a été compromise dans le cadre
de son contrat avec Pascal Desgagnés.
Le suspect agissait comme consultant au fisc depuis deux ans pour la firme R3D Conseil.
Il travaillait comme « pigiste » pour R3D Conseil depuis 2015.
Les trois victimes identifiées
Seulement trois des 32 victimes alléguées de Pascal Desgagnés sont connues jusqu’ici. Véronique Cloutier
Photo Stevens LeBlanc
Animatrice
Jessica Harnois
Photo Pierre-Paul Poulin
Sommelière
Martine Forget
Photo Ghyslain Lavoie
Mannequin et épouse du gardien des Red Wings Jonathan Bernier
Les initiales des 29 autres
A.N.
J. M-T.
F.B.
J.M.
C.M.
J.R.
M.C.
L.M.
A.G.
K.K.
I.V.
E.F.
C.P.
K.R.
A.B.
M.B.
E.F.
A.L.
G.O.C.
M.-P.D.
M.-M.B.
A.A.
B.C.-M.
B.H.
C.L.
F.S.
K.T.
M.-O.P.
N.G.-V.
Revenu Québec met un terme à son contrat avec l’homme
soupçonné d’avoir espionné les cellulaires de personnalités publiques.
Il avait aussi accès au système informatique de l'Assemblée nationale.
Selon son profil LinkedIn, Pascal Desgagnés avait un mandat d’un
an comme consultant avec le fisc. Il a également collaboré avec le
Mouvement Desjardins et la Ville de Québec sur des projets
informatiques.
Jeudi, Revenu Québec n’a pas voulu dire le rôle de l’homme de 45
ans dans son organisation. Il n’a également pas été possible d’obtenir
plus d’information sur les accès qu’il avait dans les systèmes de
l’agence.
«Revenu Québec a mis fin au lien contractuel qu’il entretenait
avec Pascal Desgagnés, à la suite de son arrestation et de sa mise en
accusation par le Service de police de l’agglomération de Longueuil,
hier», a indiqué au Journal la porte-parole, Geneviève Laurier,
ajoutant qu’aucun autre commentaire ne sera émis afin de ne pas nuire
au processus judiciaire. Consultation des dossiers
Selon l’expert en sécurité informatique, Éric Parent, en raison de
son profil, le suspect pourrait effectivement «par curiosité» avoir pu
consulter des dossiers de gens chez Revenu Québec. Actuellement,
précisons qu’aucune des victimes n’aurait subi de dommages financiers.
«Tout dépendamment de ses accès, c’est quasiment une certitude
qu’il a jeté un coup d’œil. Il ne s’est pas gêné pour le faire avec les
cellulaires», indique le PDG d’EVA-Technologies, une firme en
cybersécurité.
Photo Jean-François Desgagnés
Le suspect était aussi consultant externe en informatique à
l'Assemblée nationale. Son accès au système lui a été retiré hier soir.
«J’ai comme information que ses accès informatiques étaient très
limités. Nous effectuons actuellement des vérifications», note la
porte-parole de l'Assemblée nationale, Julie Champagne.
Cette dernière n’était pas en mesure de dire, jeudi, si l’homme a écouté ou non des conversations de députés.
Du côté de la Ville de Québec, la direction confirme que Pascal
Desgagnés a collaboré avec la municipalité comme consultant notamment
avec la firme Fujitsu de 2011 à 2012.
«Il était mandaté sur des systèmes de gestion de projet à titre de
spécialiste Sharepoint.Il n'avait pas accès aux systèmes et données
sensibles de la Ville», a souligné le porte-parole, David O’Brien.
Jeudi, Pascal Desgagnés, qui aurait commencé à sévir le 20
décembre 2013, a comparu au palais de justice de Québec. L’homme qui
fait notamment face à des accusations pour vol d’identité et de fraude à
l’identité a été libéré et reviendra devant le tribunal le 31 mars.
Pascal Desgagnés est le président de la firme Conseil TI Newcolorz.
