Une vulnérabilité colossale et impossible à corriger touche tous les périphériques USB

Une faille de sécurité impossible à corriger a été découverte au niveau des puces des contrôleurs USB des périphériques. Leur firmware pourrait être reprogrammé pour contaminer des ordinateurs et d’autres accessoires USB afin d’être exploités par des cybercriminels.

Deux chercheurs en sécurité informatique du Security Research Lab de Berlin (Allemagne), ont mis en évidence une énorme vulnérabilité qui touche tous les périphériques dotés d’un connecteur USB. Qu’il s’agisse d’une souris, d’un clavier, d’une clé USB, ou de n’importe quel autre accessoire, ils ont réalisé que le firmware du contrôleur USB n’est pas sécurisé et peut être reprogrammé à tout moment.

Pour le prouver, ils ont créé un firmware dont le nom de mauvaise augure est BadUSB. Une fois injecté, il pourrait selon ses variantes transformer n’importe quel périphérique en boîte à outils pour cybercriminel. Le problème, c’est qu’il n’y a pas de moyen de renforcer la sécurité de ce firmware et qu’aucun logiciel antimalware n’est capable de détecter l’exploitation de cette faille.
Les chercheurs donneront plus de détails sur leur découverte lors de la conférence Black Hat USA qui se tient à actuellement à Las Vegas. (EP)


Source.:

Surveillance des activités de pédophiles avec le programme CyberTipline

Surveillance des photos dans Gmail : Google s'explique:

Google a apporté des précisions concernant la méthode qui lui a permis de détecter des activités illégales sur le compte Gmail du délinquant sexuel récemment arrêté à Houston. L'entreprise donne des détails sur sa démarche et sur l'obligation légale associée.

L'arrestation, le week-end dernier, d'un délinquant sexuel au Texas, réalisée avec le concours de Google, a partagé l'opinion. D'un côté, certains ont salué la démarche de l'entreprise, qui a permis d'arrêter un pédophile qui faisait du trafic de photos d'enfants via sa boîte Gmail. De l'autre, la situation a relancé le débat concernant la surveillance des données personnelles réalisée par Google auprès de ses utilisateurs.

L'entreprise a donné des précisions à l'AFP concernant ses pratiques : « Malheureusement, toutes les entreprises du Web doivent faire face à l'abus sexuel envers les enfants. C'est pourquoi Google supprime activement les images illégales de ses services, et les signale au National Center for Missing and Exploited Children (NCMEC) » explique le service. « Chaque image d'abus sexuel sur mineur est signée d'une empreinte numérique unique qui permet à nos systèmes d'identifier les photos, même au sein de Gmail. » Même si l'entreprise ne donne pas de détail concernant la technologie utilisée, elle en précise les limites : « Il est important de rappeler que nous n'utilisons ce procédé que pour identifier les photos liées aux abus sur les mineurs, et pas pour identifier du contenu électronique qui pourrait être associé à d'autres activités criminelles (par exemple, l'usage d'emails pour planifier un cambriolage). »

Expliqué ainsi, ce n'est pas forcément rassurant, mais l'idée est là : Google utilise des algorithmes qui lui permettent d'identifier un type de photos bien précis, uniquement dans le cadre de sa collaboration avec le NCMEC. L'organisme souligne de son côté que la loi fédérale exige que les fournisseurs de services Web signalent les contenus liés à des activités pédophiles dans le cadre du programme CyberTipline. La surveillance des contenus partagés sur les services de Google résulte donc, dans ce cadre, d'une obligation légale, et se limite à un unique type de contenu identifiable pour lequel l'entreprise confirme « une tolérance zéro ». De quoi éclaircir les intentions et surtout les obligations de l'entreprise face à ce type de contenu indéniablement condamnable.


Source.:

Dites pas "crowdsourcing", mais "production participative" !

La Commission générale de terminologie et de néologie a encore frappé en s'attaquant à un nouveau terme étranger à adapter en langue française. C'est donc le « crowdsourcing » qui était, cette fois-ci, au coeur de l'exercice.

Ne dites plus « crowdsourcing », mais « production participative » : la Commission générale de terminologie et de néologie a rendu son avis sur la question, et ce dernier a été publié dans le Journal officiel daté du 5 août.

Pour rappel le « crowdsourcing » désigne la démarche visant à faire produire et étoffer du contenu par la communauté : sur Internet, Wikipédia s'avère être un bon exemple de « production participative », puisque l'encyclopédie en ligne est entre les mains de ses contributeurs.

Le terme choisi s'avère assez adapté mais, une fois encore, on peut douter de son usage au quotidien, dans la mesure où le mot « crowdsourcing » est installé depuis longtemps dans le vocabulaire des internautes. La Commission s'est maintes fois distinguée ces dernières années pour valoriser la langue française dans le dédale des expressions du Web : en septembre 2013, « Community Manager » est ainsi devenu « Animateur de communauté en ligne ». Plus tôt dans l'année, le terme « hashtag » a été mis de côté au profit du « mot-dièse », ce qui n'a pas pas manqué de faire réagir les adeptes des réseaux sociaux. Ca n'a pas non plus empêché le Petit Robert de la langue française de faire entrer dans ses pages le mot anglais au détriment de son équivalent français cette année.


Source.:

Le Malware SynoLocker : les NAS de Synology visés par un ransomware

Des possesseurs de NAS de la marque Synology sont confrontés à un malware de type ransomware, qui cible les appareils du constructeur. Le logiciel malveillant chiffre le contenu du support de stockage, et réclame une rançon pour que l'utilisateur récupère l'accès à ses données.

Les ransomwares constituent une menace de plus en plus répandue dans le petit monde des logiciels malveillants. Après avoir pris le contrôle de la machine ciblée, ces malwares sont capables de chiffrer tout ou une partie des données, qui ne sont plus accessibles par l'utilisateur. Pour disposer de la clé de chiffrement permettant de résoudre le problème, ce dernier doit verser une rançon plus ou moins élevée. Une démarche qui ne garantit d'ailleurs pas que les pirates lui rendent l'accès aux fichiers au final.

Certains propriétaires d'un NAS Synology font actuellement l'amère expérience de ce type de menaces : un malware nommé Synolocker est en circulation, et les cible directement. Le logiciel malveillant n'est autre qu'une variante de Cryptolocker, l'un des ransomwares les plus en vogue. Une fois la machine contaminée - la démarche précise n'est pas encore connue - Synolocker réclame la somme de 0,6 bitcoin à l'utilisateur pour débloquer l'accès à ses fichiers. La somme en euros varie selon le cours de la crypto-monnaie mais il faut compter entre 250 et 300 euros à l'heure actuelle.

Synology a de son côté confirmé la menace, et indique travailler activement à son éradication en cherchant la faille liée au piratage, pour la combler au plus vite. L'entreprise promet de publier plus d'informations très rapidement. En attendant, il semble plus prudent pour les possesseurs d'un NAS de la marque de mettre hors-ligne leur machine en attendant un correctif.


REF.:

Vie privée : un étudiant autrichien lance une action collective mondiale contre Facebook

Max Schrems, un étudiant en droit autrichien, vient de lancer une action collective de grande ampleur à l'encontre de Facebook. Il invite tous les utilisateurs du réseau social qui se sentent lésés par les pratiques de la plateforme à le rejoindre pour une action en justice à l'échelle mondiale.

La croisade de Max Schrems contre Facebook continue : près de trois ans après avoir lancé l'initiative Europe vs Facebook, cet étudiant autrichien, qui a très tôt mis le doigt sur le stockage des données personnelles sur les serveurs du réseau social, a déjà déposé plus d'une vingtaine de plaintes à son nom contre l'entreprise américaine. Il vient de passer à la vitesse supérieure, en organisant une action collective à l'échelle mondiale.

Max Schrems a déposé une requête devant le tribunal de commerce de Vienne. La loi autrichienne permet à un groupe de plaignants de transférer à une seule personne, ici Max Schrems, ses demandes d'indemnisation. Sur son site, l'Autrichien de 26 ans explique qu'il compte réclamer 500 euros de dommages et intérêts pour chaque utilisateur de Facebook qui prendra part à cette class action. « Facebook a une longue liste de violations. Pour ce procès, nous avons choisi celles de bases, ou évidentes par rapport à la loi : la politique de confidentialité, la participation au programme PRISM, le Graph Search, les applications Facebook, le suivi sur d'autres pages Web (notamment via le bouton J'aime), les systèmes Big Data qui espionnent les utilisateurs ou encore le non-respect des demandes d'accès » explique Schrems.

L'initiative a le potentiel pour attirer un maximum de plaignants. Il est en effet possible d'y prendre part en 5 minutes, en remplissant un formulaire disponible en une multiplicité de langues, pour toucher un maximum des 1,30 milliard d'utilisateurs de Facebook. Quelques informations sont requises, et il faut donner une copie d'une pièce d'identité pour valider la demande. Pour les plaignants, l'action ne coûte rien : un organisme de financement allemand prendra en charge tous les frais en cas de défaite, mais gardera 20% des gains en cas de victoire. Il n'y a donc aucun risque à participer à cette action collective, qui recueille près de 40 000 plaignants à l'heure où ces lignes sont écrites.

Les informations liées à l'assignation, fournies après avoir rempli le formulaire.

 

 

Source.: