lundi 21 mai 2018

Carte de fidélité et réduction des magasins et pistage des clients

Un article qui sort un peu de l’informatique mais pas tant que cela =)
Pour faire suite à l’article le pistage des internautes, voici un article autour des aspects de pistage des cartes de réduction et de fidélité.
Les cartes de réduction sont devenues très courantes, il suffit qu’un magasin en sorte une pour que les autres suivent.
Ces cartes de fidélités sont proposées pour obtenir des réductions (qui sert de carottes) ou des articles en avant-première.
Le but des grandes surfaces est de fidéliser les clients à un magasin en proposant des réductions mais pas que cela.
Voici quelques utilisations peu connues de ces cartes de réduction afin notamment de pister les clients.

Table des matières [masquer]

Carte de réduction grande surface et pistage des clients

Constituer un profil consommateur

Comme dans beaucoup de secteur, les nouvelles technologies et Big Data vont bouleverser le fonctionnement de la grande distribution et des chaînes de magasins.
Les cartes réduction commencent déjà à utiliser ces nouvelles technologies.
Savez-vous que les cartes de réduction sont utilisées pour constituer des profils consommateur ?
Lorsque vous souscrivez à une carte de réduction, vous donnez au magasin toute sorte d’informations d’identification (nom, prénom, adresse postale, adresse email, etc).
Au moment de passer à la caisse, vos achats sont reliés à votre carte de réduction. Le magasin est alors capable de savoir quels articles vous avez acheté et constituer un profil utilisateur.
Cela va plus loin avec le Libre scannage, l’utilisateur dispose d’une carte de fidélité et doit s’identifier avec à l’entrée du magasin.
Au fur et à mesure de ses achats, les produits sont scannés un par un et ainsi enregistrés sur la mémoire de la douchette.
A la fin du circuit, le client rejoint une caisse spécialisée (ou une caisse automatique, dans certains cas).
Ici aussi cela permet de constituer un profil consommateur mais surtout, le magasin sait dans quel ordre et le circuit parcouru par le client grâce au borne libre scannage.
Ces dernières servent en fait à baliser le parcours du client et permet au magasin de connaître les habitudes des consommateurs.

Au final, le but recherche est d’effectuer des campagnes de publicités personnalisées pour chaque client.
Les grandes surfaces sont aussi capables de connaître les articles les plus populaires. Ainsi, ces dernières peuvent faire monter les prix de ces dernières et baisser les articles moins populaires.

Carte de réduction 2.0

Cela ne va pas s’arrêter là avec vos Smartphones.
En proposant des applications de réductions sur ces derniers, il sera possible de tracer les clients dans le magasin.
Les clients qui n’ont pas de cartes de fidélités peuvent être suivi anonymement, en traçant les adresses MAC des Smartphone à partir de la connexion Wifi.

Carte de réduction grande surface et pistage des clients

Il sera alors possible de créer un historique des visites et articles achetés.
Le chemin parcouru dans le magasin, le temps passer dans un rayon, etc.
La société Euclid est déjà dans les clous pour proposer ce type d’analyses.

Données privées et utilisation abusive

Les données peuvent ensuite être traitées pour personnaliser l’offre. Par exemple, le magasin connaît votre date d’anniversaire et peut vous envoyer un SMS avec un cadeau à gagner pour vous flatter.
Mais cela ne s’arrête pas là, avec ces données, on peut imaginer toute sorte de choses….
Si du jour au lendemain, un couple se met à acheter des couches, c’est qu’un heureux événement a eu lieu… et le magasin le saura.
Si une femme se met à acheter des couches pour adultes, le magasin le saura aussi.
Bref, les données permettent aussi de déduire de certaines informations assez privées.
Il y a aussi des pratiques parfois abusives ou dommages collatéraux.
En 2014, la CNIL a épinglé quelques grandes surfaces sur l’utilisation de ces données qui dépassent le cadre légal : Données personnelles : les grandes surfaces épinglées
Comme c’est souvent le cas avec ce type de pratiques et comme sur internet, vous ne savez pas quelles données sont enregistrées, stockées, utilisées voire même revendues.
Les conditions d’utilisation des cartes sont en ligne mais souvent sans aucune information sur ces données.
Sur Google, vous pouvez effectuer une recherche « conditions utilisation carte » pour vérifier.
Et puis, il y a les données mal sécurisées qui sont parfois en libre de téléchargement sur la toile.

2015 : Ricard condamné par la CNIL par les données des clients étaient libre téléchargement sur la toile et même indexées. (source : http://www.elkrief-avocats.com/condamnation-de-la-societe-ricard-par-la-cnil-pour-manquement-a-lobligation-de-securite-et-confidentialite-des-donnees-nominatives/ )
2017 : Les données du site de fidélisation d’Hertz sont en ligne à cause d’une erreur du prestataire : http://www.lepoint.fr/automobile/actualites/la-cnil-inflige-une-sanction-de-40-000-euros-a-hertz-27-07-2017-2146371_683.php
2018 : les données des clients de Darty sont en libre téléchargement (source : http://www.lemonde.fr/pixels/article/2018/01/09/darty-sanctionne-par-la-cnil-pour-atteinte-a-la-securite-des-donnees-clients_5239344_4408996.html)
Sur la page Facebook du programme, plusieurs membres se plaignent du manque d'informations au sujet de ce nouveau pépin. L'automne dernier, Air Miles a causé la fureur de ses adhérents, puisqu'elle ne réussissait pas à répondre à la demande monstre de ses clients qui voulaient se servir de leurs points avant leur expiration, prévue à la fin de 2016.
Des membres du programme de récompenses Air Miles désirant utiliser leurs points pour payer des achats dans les commerces participants ont frappé un mur en Mars 2017: en raison d'un vol de milles, l'entreprise a suspendu le service d'échange de points dans les magasins.
http://www.lapresse.ca/actualites/justice-et-affaires-criminelles/affaires-criminelles/201703/23/01-5081655-suspension-des-echanges-dair-miles-en-raison-dune-fraude.php

Conclusion

Comme c’est souvent le cas avec des cartes ou autres éléments qui permettent d’identifier : il faut penser au pistage et suivi.
Les grandes surfaces l’ont bien compris et prennent le virage des nouvelles technologies. Le but est d’obtenir et collecter des informations statistiques et personnelles précieuses pour cibler au mieux les clients.
Ici ce sont les grandes suffaces qui sont évoqués, mais cela est pareil pour tourte sorte de carte.
Par exemple, les cartes des transports RATP en île-de-France pistent aussi les mouvements des usagers : Le passe Navigo “anonyme” n’existe pas

De nombreuses informations sont mises à notre disposition, notamment sur les sites Web de la Commission d’accès à l’information du Québec (www.cai.qc.ca) et du Commissariat à la protection de la vie privée du Canada (www.privcom.gc.ca), organismes responsables du respect des lois régissant l’accès à la vie privée.

REF.:

dimanche 20 mai 2018

Double authentification : pourquoi il faut s’y mettre et comment

Le mot de passe est une technique archaïque qu’il faudrait supprimer, car bien trop vulnérable. En attendant d’avoir une nouvelle technologie à disposition, la meilleure solution est d’activer un second facteur d’authentification.

Si vous passez la moitié de votre vie sur Internet, certains vous l’auront peut-être déjà dit, mais il faut A-B-S-O-L-U-M-E-N-T passer à la double authentification, cette technique qui consiste à valider un mot de passe par exemple par l’envoi d’un code par SMS ou par une clé de sécurité. Pourquoi ? Parce que de nos jours, un mot de passe n’est plus suffisant pour sécuriser l’accès à un service en ligne.
Les pirates ont des dizaines de techniques à leur disposition pour pénétrer dans vos comptes personnels. Ils peuvent vous envoyer des faux emails pour vous inciter à saisir vos identifiants dans de faux formulaires. Ils peuvent aussi tenter de les intercepter quand vous êtes connectés au travers d’un hotspot Wi-Fi public mal sécurisé. Ou alors, ils vont peut-être vous envoyer un cheval de Troie planqué dans une application Android.

Fuites de données à gogo

Les pirates peuvent aussi voler votre mot de passe directement dans les serveurs mal protégés de votre fournisseur de service. Les utilisateurs de Yahoo le savent bien. L’année dernière, le portail a révélé qu’il s’est fait subtiliser l’ensemble des 3 milliards de comptes qu’il gérait en 2013. Et il suffit de consulter le site haveibeenpwned.com pour constater que le vol d’identifiants est devenu une pratique courante. Le site référence presque 5 milliards d’identifiants volés sur 277 sites, celui de Yahoo n’étant pas compris. Ça donne le vertige.

Cette faiblesse intrinsèque du mot de passe est bien connue. Les industriels vont peut-être réussir un jour à remplacer cette méthode d’authentification archaïque. La technologie FIDO2, qui a récemment obtenu la consécration du W3C, est un candidat crédible. Mais son adoption risque de prendre encore du temps. En attendant, la seule solution pour ne pas se retrouver dans les griffes des pirates, c’est la double authentification. En effet, même si votre mot de passe tombe entre leurs mains, il ne leur servira à rien car il n’est pas suffisant pour se connecter.
Certains vous diront probablement que la double authentification est compliquée et pas très pratique. C’est vrai, car utiliser un second facteur ralentit nécessairement le processus de connexion. Mais ce que l’on perd en confort, on le gagne largement en sécurité. Par ailleurs, vous n’êtes pas obligé d’avoir la double authentification du sol au plafond. Vous pouvez vous contenter de la mettre en œuvre pour les services les plus critiques.

La messagerie, le cloud et les réseaux sociaux en priorité

Les premiers comptes à protéger sont les comptes email qui sont généralement utilisés en dernier recours pour réinitialiser les mots de passe sur vos autres services. Un pirate qui arrive à compromettre un compte email peut, du coup, accéder à d’autres ressources. Parmi les comptes qu’il faut également protéger en priorité figurent les comptes de réseaux sociaux et les comptes cloud, pour éviter respectivement l’usurpation d’identité et la fuite de données. Enfin, il serait également bien d’activer la double authentification pour les services bancaires en ligne, quand cela est possible.
Mais alors comment faire ? Cela dépend du fournisseur, car c’est à lui de rendre son service interopérable avec les différentes solutions du marché. Un bon conseil : si votre fournisseur de messagerie ne propose pas ce type d’option, allez voir ailleurs. Les grandes marques du web, de leur côté, proposent toutes une ou plusieurs méthodes de double authentification. L’une des plus simples à mettre en œuvre est celle du code à usage unique. A chaque connexion, l’utilisateur rentre son mot de passe et reçoit ensuite, par un autre moyen, un code qui fonctionnera qu’une seule fois.
Pour les services Google, il faut utiliser l’application mobile Google Authenticator. Pour les services Microsoft, c’est – vous avez deviné ? – Microsoft Authenticator. Ces applis doivent au préalable être associées au compte, par le scan d’un QR code par exemple. Elles génèrent ensuite à intervalles réguliers des codes à utiliser. Ce système est appelé « TOTP », pour « time-based one time password ».

Google Authenticator (à gauche) et Microsoft Authenticator (à droite) -

L’avantage, c’est que ces applications peuvent également être utilisées pour d’autres services en ligne. Ainsi, il est tout à fait possible d’utiliser Google Authenticator pour protéger son accès sur LastPass, Slack, Amazon Web Services, Facebook et ProtonMail, par exemple. D’autres applis le font aussi telles que Authy ou Duo Mobile.
Chez Apple, en revanche, pas besoin d’application, l’appareil mobile suffit (iPhone, iPad). A chaque tentative de connexion sur iCloud ou Apple ID, l’utilisateur reçoit directement par le système iOS un code à usage unique.
De son côté, Twitter s’appuie sur son application mobile pour envoyer à l’utilisateur un code de ce type. Et chez Facebook, plusieurs options de double authentification sont à disposition. Outre l’application de codes à usage unique, le réseau social propose de recevoir un code par SMS ou de connecter une clé de sécurité.
Ce dernier cas est un peu la méthode ultime de la double authentification. L’acteur le plus connu dans ce domaine est Yubico qui dispose de toute une gamme de clés de sécurité. Elles proposent plusieurs méthodes comme les codes à usage unique TOTP ou le standard U2F. Mais il y a aussi d’autres fournisseurs comme Neowave ou Key-ID. A vous de choisir.

REF.:

PS5 : ce qu'on sait de la prochaine console de Sony

Certaines rumeurs prédisaient que la PlayStation 4 serait la dernière console de Sony. Il n'en sera rien. Et les dernières informations qui ont fuité au sujet de la PlayStation 5 laissent présager le meilleur pour cette nouvelle console de salon.

Mark Cerny, l'architecte de la PS4 et de la PS Vita, bien connu de l'industrie du jeu vidéo, est de nouveaux aux commandes du futur flashgip de Sony.

Les rumeurs vont bon train sur la future console phare de chez Sony

La succession de la PS4, qui va fêter ses 5 ans en novembre prochain, est désormais assurée par le célèbre Mark Cerny, créateur entre autres de la licence Knack et l'un des collaborateurs de sagas telles que Crash Bandicoot, Ratchet & Clank ou encore The Last Guardian.

Cette nouvelle console de salon devrait intégrer des composants plus puissants que la précédente : un processeur plus performant (gravure 7 nanomètres contre 16 nanomètres pour la PS4 Pro et 24 nanomètres pour la PS4) et une mémoire vive plus robuste et moins énergivore (mémoire GDDR6 au lieu de la GDDR5 de la PS4, qui avait malgré tout ravi les développeurs à l'époque) tout en conservant la même architecture x86.

Reste à espérer que la rétrocompatibilité sera bien assurée pour la PS5 !

Sony compte bien garder l'avance sur son principal concurrent

Les dernières fuites semblent indiquer que l'architecte en chef de la PlayStation 5 s'appuie beaucoup sur les desiderata des développeurs de jeux vidéo qui ont été mis dans la confidence. Cette méthode a très bien fonctionné lors de la création de la PS4, qui a été le succès technologique qu'on connaît au moment de sa sortie.

Toujours est-il qu'au vu de l'avance de Sony face à Microsoft et sa Xbox One, tant du point de vue de la puissance technique que des ventes, le constructeur japonais semble bien décidé à conserver cette avance, voire à creuser l'écart.

D'après certaines rumeurs, la PlayStation 5 de Sony ne devrait pas sortir avant mi-2019 ou 2020, le temps pour le constructeur d'intégrer les composants les plus récents sans faire bondir les tarifs. Probablement pour éviter de reproduire ce qui avait valu de nombreuses critiques à la PS3 au moment de sa sortie : son prix exorbitant.

Sources.: : Eurogamer, wccftech, Wikipédia.

Une liste noire des sites de streaming,par la Hadopi

Elle est de retour : une liste noire officielle des sites illégaux de streaming serait en cours de préparation.

(CCM) — Bloquer plus rapidement les sites pirates. C'est l'objectif d'une liste noire en cours de rédaction par la Hadopi. Elle recenserait les principaux sites illégaux de streaming, pour être transmise aux FAI et aux moteurs de recherche.

La ministre de la Culture – Françoise Nyssen – a affirmé que la Hadopi travaille actuellement à une liste noire des sites de streaming illégaux. Ce concept était apparu en 2014, sans être mis en place concrètement. Désormais, la volonté politique semble plus précise. L'objectif est d'adapter la législation au streaming illégal. Il représente 80 % des cas de piratage en France, selon le ministère de la Culture, alors que la Hadopi concentre ses efforts uniquement sur le peer-to-peer.

Avec une liste officielle des sites de streaming illégal, les ayants-droit pourront plus facilement faire valoir leurs droits. Ils pourront rapidement demander le déréférencement des sites dans les moteurs de recherche – avec Google et YouTube en première ligne – et leur blocage pur et simple par les fournisseurs d’accès Internet. Le mécanisme de riposte graduée pourrait donc être remis aux oubliettes, remplacée par une chasse aux éditeurs de sites pirates. En ligne de mire : les revenus publicitaires. La liste noire servirait ainsi à blacklister les sites de streaming illégaux dans toutes les régies de publicité sur Internet. Reste maintenant à voir si cette liste voit réellement le jour...

Nota: Ce qui forcera plus rapidement les gens a utiliser,des logiciels clef en main comme sur sourforge.net,des moteurs de recherche sans tracking comme Duck duck Go,le fureteur Firefox et ses add-on,le système d'exploitation Linux,et bien sûre le DarkNet et le réseau Tor pour rendre l'accès a ces sites,sinon le Lobby du VPN a le vent dans les voile$ ;-)

REF.:

Hybrid Analysis : Analyser le comportement d’un exécutable

Lorsque vous avez un doute sur un fichier ou vous souhaitez connaître les modifications effectués par un malware, il est possible d’utiliser des systèmes automatisées qui analyse le comportement d’un exécutable.
Il existe plusieurs services gratuits dont Hybrid Analysis qui permettent de jouer l’exécutables et proposer un rapport d’analyses du comportement et modifications effectuées sur le système d’exploitation.
Voici une présentation du fonctionnement de Hybrid Analysis.

Table des matières [masquer]

Hybrid Analysis : Analyser le comportement et modifications d’un exécutable

Principe de fonctionnement

Le principe de fonctionnement est assez simple.
Vous envoyez un exécutable, ce dernier va être joué dans un environnement virtualisé.
Le système va analyser et enregistrer les opérations effectuées par le fichier durant son exécution comme les créations de fichiers, les connexions réseaux établies etc.
En outre, une analyse statistiques du fichier est faites (langage, import, etc).
Un rapport est généré avec l’analyse complète consultable depuis le site Hybrid Analysis.
Il est aussi possible de rendre l’analyse publique et trouver d’autres analyses de fichiers notamment à travers le hash d’un fichier.
Enfin, sachez que la plupart des malwares sont envoyés de manière automatisés à ce service, comme c’est le cas notamment de VirusTotal.

Présentation d’Hybrid Analysis

La page du site d’hybrid Analysis est : https://www.hybrid-analysis.com
En haut à droite, vous pouvez régler la langue en français.
Ce dernier se présente sous la forme d’un formulaire où vous devez téléverser le fichier à examiner.

Hybrid Analysis : Analyser le comportement et modifications d'un exécutable

Remplissez le captcha et indiquer la version de Windows, par défaut Windows 7 32-bits
Indiquez votre mail, si vous souhaitez être averti quand l’analyse est terminée.
Cochez la case pour accepter les conditions d’utilisation : I consent to the Terms & Conditions and Data Protection Policy.
Enfin pour lancer l’analyse cliquez sur Genérer un rapport public

L’analyse débute alors, le fichier est soumis à d’autre service dont VirusTotal avec les résultats.
Une roue crantée tourne pendant que l’analyse comportementale s’effectue.

Certains services peuvent être visualisés depuis le site sinon à ouvrir dans un nouvel onglet.

Lorsque l’analyse comportementale est terminée, vous obtenez alors l’encart ci-dessous.
Des notes de malwares, suspicion ou informative sont indiquées.
Au final, un score est donné (Threat Score) qui peut indiquer s’il s’agit d’un malware ou non.

Le contenu de l’analyse

Voici le contenu de l’analyse qui se présente avec des indicateurs puis les informations sur le comportement.
Le sommaire se trouve à droite.
La première partie indicateurs classés en trois : des indicateurs de comportements de malwares, des indicateurs suspicieux et enfin informatifs.

puis les détails du fichier avec les informations basiques du fichier (tailles, hash, etc), les ressources embarquées dans le fichier et des analyses TrInfo.
La seconde partie concernant les imports effectuées par le fichier.
On retrouve la plupart de ces informations dans VirusTotal aussi.

Ensuite des captures d’écran sont données dans le cas où le fichier ouvre des fenêtres, changent le fond d’écran etc.
Une partie analyses avec les actions au niveau processus est donnée.
En cliquant sur le processus, on peut récupérer les mutex, les appels API, fichiers ouverts, etc.

A noter que ci-dessous la chaîne d’exécution est incomplète, l’exécution se coupe très tôt alors qu’on affaire à un installeur PUP.

Enfin une analyses réseaux avec les connexions effectuées et notamment les URLs, DNS contactées et ensuite donnée.
L’analyse réseau fournit aussi une carte avec les pays contactés.

puis les strings (textes) en mémoire sont énumérées.
Par exemple, ci-dessous, on voit qu’il s’agit d’un ransomware.

Limites et alternatives

Ces systèmes d’analyses possèdent toutefois des limites.
Le malware est exécuté dans un environnement virtualisé, cet environnement peut-être détecté au début de l’exécution.
Un test peut faire stopper l’exécution du malware lorsque cet environnement est détecté (exit).
A partir de là, impossible d(obtenir une analyse complète des actions effectuées par le malware.
On peut aussi facilement empếcher l’exécution du malware en demandant un paramètre particulier lors de l’appel de celui-ci.
Par exemple, les malwares en DLL qui se lancent avec rundll32.exe ou regsrv32.exe ont souvent besoin d’un paramètre.
Or lors de l’exécution dans Hybrid Analyses, vous ne pouvez pas spécifier ce dernier (encore faut-il le connaître), ainsi donc le malware ne s’exécutera pas entièrement.
Enfin, on peut aussi demander une action comme cliquer sur un bouton, ce que le système risque de ne pas savoir faire de manière automatique.
Enfin il existe d’autres alternative comme malwr.com ou encore VirusTotal qui fournit une analyse comportementale, on en parle sur ce lien : VirusTotal : Comment visualiser le comportement et activité d’un malware

REF.:

Blogue a T30du113 !

Rechercher sur ce blogue