Des applications transforment Alexa et Google Assistant en espion

Libellés

Google Assistant d'Amazon, Alexa, apple,

 

 

 

SRLabs est parvenu sans difficulté à développer et à publier des applications malveillantes pour Alexa et Google Assistant. Sous la forme d’un banal service d’horoscope, elles vous espionnent et vous trompent pour collecter vos mots de passe et vos données personnelles.


Ces derniers temps, ce sont plutôt Amazon, Apple et Google qui ont été accusés d’espionner leurs usagers. Les assistants vocaux des trois firmes enregistraient des conversations au hasard jusqu’à ce que le scandale éclate au printemps. Les enregistrements n’étaient utilisés que pour être retranscrits manuellement, et ainsi vérifier le fonctionnement de leurs assistants, mais sans prévenir clairement leurs utilisateurs.
Ces comportements laissent place maintenant à une nouvelle menace : les applications malveillantes qui tirent parti du mode de fonctionnement des assistants pour vous espionner, et enregistrer des informations personnelles. Pour prouver à quel point il est simple de tromper Amazon, Google et leurs utilisateurs, SRLabs a publié 4 applications malveillantes sur chacune des plateformes, elles ont toutes passé le processus de validation pour devenir accessibles à tous.

Espionner sur Alexa et Google Assistant, rien de plus simple

Selon Fabian Bräulein, consultant principal en sécurité chez SRLabs, la démarche consistait à montrer que « non seulement les fabricants, mais aussi les pirates peuvent abuser de ces assistants vocaux pour s’immiscer dans la vie privée des gens ». Mais l’expérience va beaucoup plus loin que ça en mettant en évidence de graves failles de sécurité aussi bien dans le processus de validation des applications que dans le fonctionnement même des assistants vocaux.
Les applications malveillantes du laboratoire se présentent comme de banals services d’horoscope qui utilisent plusieurs méthodes pour obtenir des données personnelles, ou votre mot de passe. Après vous avoir donnée votre horoscope, elle reste silencieuse pour donner l’illusion de ne plus fonctionner, alors qu’elle enregistre votre voix pour la transmettre sur un serveur. Dans un deuxième cas, l’application vous répond par un message d’erreur qui indique que le service n’est pas disponible dans votre pays, puis reste silencieuse quelques minutes. Elle reproduit ensuite la voix habituelle des assistants pour vous inviter à effectuer une mise à jour qui nécessite votre mot de passe pour être installée.


Google et Amazon ont bien sûr retiré les applications et indiquent que le processus de validation est en cours de modification pour éviter que de tels programmes soient à nouveau disponibles. Les entreprises n’ont néanmoins pas donné plus de détails sur les changements à venir.
L’expérience de SRLabs a une fois encore montré le danger que représente cette technologie en termes de sécurité, et que sa mise à disposition doit être étroitement surveillée. Un argument que reprendra probablement Apple pour prendre le temps d’ouvrir entièrement Siri aux développeurs tiers. Pour rappel, Spotify aura du attendre iOS 13 pour être commandé via Siri.


Source : SRLabs

Google Alertes : Pour surveiller votre e-réputation et plein d’autres choses

Libellés

Google, achat, vente, E-commerce,

 

 

 

Internet se développe tellement vite qu’il est devenu impossible de suivre tout ce qui s’y passe. Il existe pourtant un outil qui peut vous aider à être informé en temps réel des sujets qui vous intéressent sans même que vous ayez à les chercher : Google Alertes. Peu connu et noyé au milieu de la galaxie des produits proposés par la firme américaine, cette solution pourrait grandement vous simplifier la vie. Comme nous allons le voir, il peut surveiller internet à votre place. C’est utile pour de nombreuses choses mais surtout pour surveiller votre e-réputation !

Google Alertes, qu’est-ce que c’est ?

Google Alertes est un service gratuit proposé par le célèbre moteur de recherche depuis 2004. Il permet de vous informer quand du contenu qui vous intéresse apparaît sur internet… C’est ce que l’on nomme communément un outil de veille.

Il se caractérise par un site internet accessible ici : https://www.google.fr/alerts

Vous pouvez donc configurer une sorte de « recherche automatique » : Vous indiquez à Google les sujets que vous affectionnez, dès qu’il trouve une nouvelle page internet qui en parle, il vous informe par mail.

Simplissime !

A quoi ça sert ?

Même si les possibilités offertes par ce service sont « infinies », quelques grands cas d’utilisation ressortent du lot :

• Suivre des actualités précises
• Réaliser une veille  : vous souhaitez vous tenir informé de l’évolution d’un produit, d’un marché ou plus largement d’un secteur d’activité, il suffit de lui dire.
• Surveiller les sites d’annonces : vous recherchez quelque chose de précis sur un site d’annonce ? Genre un objet qui ne se retrouve en vente que tous les 36 du mois… Configurez l’outil de manière à être informé rapidement ! Bref, le top pour éviter de louper les bonnes affaires
• Protéger son contenu : Vous êtes l’auteur d’une oeuvre (livre, article…) ? Saisissez quelques phrases clefs et surveillez qu’elles ne se retrouvent pas sur d’autres sites que le vôtre !
• Protéger sa E-réputation : On en parle après.

E-réputation et usurpation d’identité

Peut-être que vous n’avez-vous pas remarqué, mais nous sommes sur un site qui parlent d’arnaques. Du coup, intéressons-nous 2 secondes à ce que ce type d’outil pourrait nous apporter. Je ne vais probablement pas vous l’apprendre, mais il arrive que des arnaqueurs arrivent à vous voler des informations personnelles : facture EDF, carte d’identité, carte vitale…

S’ils font ça, ce n’est que très rarement pour le plaisir… Il y a fort à parier qu’ils utilisent rapidement vos documents pour usurper votre identité et arnaquer d’autres personnes. Eh bien, c’est ici que l’outil de Google peut être particulièrement pertinent : il suffit que vous lui demandiez de tracker l’apparition des informations vous concernant.

En fonction des documents transmis à l’arnaqueur, vous pouvez envisager de surveiller votre identité (prénom + nom), votre adresse postale, votre numéro de sécurité sociale… Si quelqu’un utilise vos documents frauduleusement et qu’il se retrouve référencé sur un site ou un forum d’arnaques, vous serez informé quasiment en temps réel !

De même, ce type d’outil est particulièrement utile pour les arnaques à la Webcam. Dans ce cas, l’escroc dispose d’une video compromettante et peut la mettre en ligne à tout moment. Vu que son objectif est de nuire, nul doute qu’il apposera votre nom à côté de la vidéo postée si vous êtes sa victime. Dans ce cas, Google vous informera rapidement ! Cool, non ?

Comment ça marche ?

En permanence, Google lance une armée de robots d’exploration (appelés Google Bots) pour découvrir le web et ses méandres. Dès qu’un d’entre eux à découvert une information en lien avec l’alerte que vous avez configuré, un mail vous est envoyé. Ce dernier contient des résultats de recherches personnalisés que vous pouvez étudier !

Au regard de l’explication de ce fonctionnement, on peut comprendre que le délai entre l’apparition du contenu surveillé et l’information est variable. Cela peut aller de quelques heures à quelques jours : cela dépend de nombreux critères comme la popularité du site exploré par exemple.

Pour aller plus loin

Peu de gens le savent, mais il existe des requêtes cachées dans Google. On parle de mots-clefs qui permettent de mieux ciblés vos requêtes. Celle qui est particulièrement intéressante dans notre cas est « site ».

En tapant par exemple site:leboncoin.fr en plus des mots clefs que vous surveillez, Google ne vous renverra que des résultats qui concernent ce site précis. Pratique pour affiner les résultats et orienter « votre caméra » dans la bonne direction !

Alternatives à Google alertes

Même s’il a largement été mis sur un piédestal dans cet article car il s’adresse à des particuliers, il faut savoir qu’il existe d’autres alternatives à Google Alertes (rien ne vous empêche de cumuler).

En voici quelques unes :

• Talkwalker : D’un fonctionnement proche à celui de Google Alertes, Talkwalker est essentiellement utilisé par les entreprises pour suivre leur e-réputation.
• Mention : Solution payante qui affiche un tableau de bord complet et une interface de type « messagerie mail »
• Alerti : Essentiellement orienté sur la surveillance des avis clients dans l’hostellerie, Alerti affiche une solution totalement payante.

J’espère que cet article vous a plu. Pour les moins attentifs qui ont loupé le lien, je le remets pour finir sur une bonne note : Google Alertes.

Par ailleurs, si ce genre de petite astuce du web attise votre curiosité, je me permets de vous redonner le lien vers mon article qui parle de la machine temporelle d’internet : Une machine à voyager dans le temps pour contrer les arnaques.

4.7

03

REF.:  Anthony Legros

Le dropshipping : une arnaque double-face !

par Jean-Baptiste Boisseau

Libellés

Dropshipping, achat, Hackers,

 

 

Vous ne le savez peut-être pas, mais si vous êtes un internaute moyen, vous avez déjà forcément été confronté au dropshipping. Non ? Mais si ! Lorsque vous avez vu une pub Facebook pour cette montre sympa à un prix incroyable ou encore cette trottinette électrique avec une belle promo… Vous n’avez pas cliqué ? Vous avez bien fait ! Mais comment reconnaître le dropshipping et éviter les risques qu’il vous fait courir ? En quoi s’agit-il souvent d’une arnaque « double face » ? Signal Arnaques vous dévoile les techniques à l’oeuvre pour mieux les déjouer…

Côté pile, vous avez des acheteurs qui pensent faire une bonne affaire en achetant un produit à un prix attractif. Côté face, vous avez des apprentis-marchands qui tentent de faire fortune sur internet en appliquant plus ou moins bien les recettes dépassées de quelques gourous douteux. Au final, vous n’avez presque que des perdants… si ce n’est quelques intermédiaires qui, eux, gagnent à tous les coups ! Mais alors comment ça marche ? C’est ce que nous allons voir.

Le Dropshipping expliqué à ma mère

Pour faire simple, le dropshipping consiste à vendre un produit que vous n’avez pas tout en vous faisant passer pour un vendeur parfaitement normal. Vous créez votre petite boutique en ligne avec quelques produits bien choisis chez quelques fabricants (9 fois sur 10 asiatiques) et lorsque vos clients passent commande, ce sont ces fameux fabricants qui leur livrent directement la marchandise chez eux.

Pour le client, le dropshipping est donc déjà quelque part en soi une arnaque puisqu’il y a tromperie sur la nature de la boutique en ligne : celle-ci n’est en fait qu’un paravent entre lui et le fabricant… ce qui, comme nous allons le voir, n’est pas sans conséquence !

Pourquoi absolument éviter d’acheter chez un dropshipper

Certains pourraient me dire : « où est le problème ? la plupart des boutiques ne fabriquent pas elles-mêmes ce qu’elles vendent ! » Certes, un commerçant « normal » ne fabrique pas les produits qu’il vend… mais il les achète, les stocke, contrôle leur qualité et assure le service après-vente en cas de problème. Cela veut donc dire qu’avec un dropshipper :

• Vous n’avez aucune garantie sur la qualité : les produits sont en général à très bas coût, ne respectent pas forcément les normes européennes et s’avèrent dans bien des cas être des contrefaçons d’autres produits. Les photos mises en avant par la boutique sont souvent trompeuses et embellissent beaucoup les produits par rapport à ce que vous recevrez. Le dropshipper ne gérant aucune logistique, réussir à retourner le produit au bon endroit et à obtenir un remboursement tient du miracle.
• Vous devez vous attendre à des délais importants ! Les produits viennent directement de l’autre bout de la Terre puisque le commerçant européen qui vous vend le produit n’en a aucun en stock.
• Le produit pourra ne jamais arriver : les dropshippers sont de petites sociétés qui n’ont qu’un faible contrôle sur des fabricants qui sont loin d’eux. Outre, les escroqueries et les incidents logistiques, les problèmes de réglementation ou une mauvaise gestion des taxes de leur part peuvent parfois aboutir à la disparition des produits avant qu’ils n’arrivent chez vous.
• Vous pouvez faire une croix sur le SAV : pour toutes les raisons évoquées au dessus, il n’y en aura pour ainsi dire pas
• Vous n’avez aucun recours en cas de problème : les dropshippers sont en général des toutes petites structures récentes qui n’ont pas d’image de marque à défendre. Même si elles veulent faire quelque chose, elles s’avèrent complètement désarmées face à un problème important d’un de leur fabricant et sont incapables d’indemniser qui que ce soit. Situées à l’étranger ou insolvables, elles sont d’une manière ou d’une autre à l’abri d’une éventuelle décision judiciaire défavorable.

Comment reconnaître le dropshipping à presque tous les coups

Les dropshippers ont quelques caractéristiques assez faciles à identifier :

• Ils ont une politique publicitaire très ciblée sur Facebook : de jolies photos, un prix attractif, des commentaires élogieux, et surtout la petite mention « publication sponsorisée »… vous avez là un bon candidat de lien sur lequel ne surtout pas cliquer !
• Leur site a une durée de vie en général limitée : étant donné qu’ils rencontrent souvent rapidement des problèmes, les sites de dropshipping encore actifs sont récents.
• La société qui est derrière le site est la plupart du temps petite, très jeune et n’a aucun élément qui puisse assurer sa pérennité (les auto-entreprises y sont extrêmement fréquentes). Dans certains cas, elle est carrément basée à l’étranger (au Royaume Uni, aux USA ou dans un paradis fiscal).
• Une petite recherche sur Internet à leur sujet aboutit souvent à des sites communautaires de défense des internautes comme Signal Arnaques

Bref, si vous suivez nos 5 techniques pour reconnaître un site d’arnaques, vous devriez assez vite les repérer !

Les « dropshippers » aussi perdants !

Le pire avec les dropshippers, c’est que la plupart d’entre eux sont aujourd’hui perdants : beaucoup ont été attirés vers ce modèle par quelques vendeurs de rêves qui leur ont promis qu’ils pourraient facilement faire fortune. Et oui ! D’après eux, en trouvant quelques fournisseurs sur Aliexpress, en montant une boutique avec Shopify, en calibrant quelques pubs Facebook et en automatisant le tout avec Zapier, on peut générer un petit pactole en travaillant peu comme dans la « semaine de 4 heures » de Tim Ferris.

Au final, ces nouveaux entrepreneurs s’aperçoivent rapidement que pour s’en sortir dans le dropshipping, il faut énormément d’effort pour un résultat au moins aussi aléatoire que dans n’importe quel nouveau business. La publicité Facebook se révèle être un gouffre, la gestion des fournisseurs un cauchemar et les marges une peau de chagrin. Entendons-nous bien : le dropshipping a pu fonctionner pour certains il y a quelques années quand la concurrence était moins féroce, le coût de la publicité moins élevé et l’internaute moyen plus naïf. Mais ce temps-là est fini… et si beaucoup de monde continue à vanter les mérites du dropshipping, ce n’est pas complètement innocent.

Les vrais gagnants de l’histoire…

Si vous faites une petite recherche personnelle sur le dropshipping, vous allez trouver une foule de sites vous expliquant que, oui, oui, c’est formidable et que vous aussi, vous pouvez-y mettre en cliquant ici. Soyons clairs : 99% d’entre eux ont quelque chose à y gagner. Vous y trouverez donc :

• Des gourous vous vendant des formations pour devenir riche. Honnêtement, ceux-là sont la pire espèce et ils auront un article rien que pour eux dans ces colonnes prochainement (avis à la population : nous cherchons des témoins sur le sujet).
• Des intermédiaires (plateformes d’e-commerce, places de marché, prestataires de paiement, prestataires web) qui toucheront quelque chose que votre business de dropshipping marche ou pas… et qu’il soit une arnaque ou pas !
• Des sites qui pratiquent l’affiliation et qui touchent des commissions pour vous faire cliquer sur des liens vers une des deux catégories citées au-dessus.

Vous n’êtes pas d’accord ? Vous avez un témoignage ou une question ? Laissez nous un commentaire et faites suivre l’article s’il vous a plu !

REF.:

Apple partage vos données de navigation avec le géant chinois Tencent

Libellés

apple, confidentialité, anonymat,

 

 

Le service Tencent Safe Browsing pourrait être utilisé par Safari en dehors de Chine. C’est ce qu’indique Apple dans la rubrique « Safari et Confidentialité » d’iOS. Vos données de navigation, notamment votre adresse IP, sont peut-être partagées avec le géant chinois connu pour collaborer activement avec les autorités de son pays.

Lorsque nous activons une option sur notre smartphone ou que nous acceptons les conditions générales d’utilisation d’un service, nous donnons notre consentement, mais à quoi exactement ? Rares sont ceux qui prennent la peine de découvrir à quoi nous nous engageons. C’est ainsi que les utilisateurs d’Android ont donné la permission à Google d’écouter les commandes vocales envoyées à Google Assistant sans le savoir.
Ici c’est la fonctionnalité « Safe Browsing » dans le navigateur Safari d’iOS qui est en cause. Elle est activée par défaut, et doit vous protéger des tentatives d’hameçonnage, et des sites web frauduleux lorsque vous naviguez avec Safari.
Si vous vous rendez dans les réglages de Safari sur votre iPhone, vous remarquerez un petit lien « Safari et confidentialité… ». Il mène vers un document dans lequel on peut lire que des données peuvent être envoyées aux services Google Safe Browsing et Tencent Dafe Browsing, notamment votre adresse IP.

Rien n’indique si le partage se limite aux utilisateurs chinois

La mise en place d’un service de protection implique bien évidemment de partager des données, au moins l’adresse du site web qu’on souhaite visiter. Et sur ce point, le mode de fonctionnement de Google Safe Browsing garantit relativement bien votre anonymat. Votre historique de navigation n’est pas stocké, et il se base sur des empreintes SHA-256 pour identifier les sites frauduleux plutôt que sur des URL.

En ce qui concerne Tencent, on ne sait rien si ce n’est que l’entreprise collabore activement avec les autorités chinoises. En Chine, Google Safe Browsing n’est pas accessible, tous ses résidents passent donc par Tencent, mais rien n’indique qu’il n’est jamais utilisé en Europe ou ailleurs.
De son côté, Apple n’a pas communiqué sur le sujet, alors que la firme fait déjà l’objet de vives critiques à la suite du retrait de l’application HKMap de l’App Store. Pour rappel, les autorités chinoises reprochaient à l’application d’être utilisée par les manifestants hongkongais pour mener des actions violentes contre les forces de l’ordre.

REF.:

Annoncée au top de la sécurité, l’Apple Card a ses failles

L’Apple Card connaît ses premiers cas de fraude, dont certains qui restent inexplicables.

Libellés

Apple Card, apple, banque, Hackers,

 

 

 

Nos confrères de 9to5Mac rapportent plusieurs cas d’utilisateurs d’Apple Card ayant été la cible d’un piratage de leur compte bancaire Apple. Dans l’un d’eux, le voleur a simplement opéré une copie de la carte bancaire Apple Card du porteur pour l’utiliser ailleurs et sans même l’accord de son propriétaire. Dans le second cas, plus surprenant, l’utilisateur a vu son compte Apple Card être débitée alors même qu’il ne dispose pas de la carte physique.

La copie de la carte, une stratégie déjà éprouvée

Copier les faces avant et arrière d’une carte bancaire est une fraude que subissent déjà les cartes bancaires antérieures à l’Apple Card. Le voleur dispose avec cette stratégie de toutes les informations utiles et nécessaires pour par exemple passer des commandes en ligne, sans avoir à connaître le code secret de paiement. Heureusement, pour contrer cela, les banques ont instauré l’identification à double facteur, avec la nécessité généralement de confirmer tout paiement via un code reçu sur le téléphone. Mais en ce qui concerne l’Apple Card, la protection contre ce type de stratégie semble avoir ses défauts. Un certain David, utilisateur de la carte d’Apple en a fait les frais. Il a raconté avoir enregistré des notifications d’achats réalisés via son Apple Card physique, alors même qu’il l’avait sur lui.
En outre, les achats ont été effectués à des centaines de kilomètres de sa propre position. Il est allé se plaindre de la situation auprès d’Apple. Un représentant de la firme californienne s’est alors dit surpris de voir deux Apple Card être utilisées en même temps, d’autant plus que la copie d’une Apple Card est rendue complexe de par l’absence de numéro en face avant, à l’inverse d’une CB classique.
L’investigation sur le cas rare de David suit toujours son cours.

Une fraude à l’Apple Card, même sans carte physique.

Mais la fraude peut devenir encore plus surprenante quand l’utilisateur du service bancaire d’Apple n’a même jamais commandé d’Apple Card. Un certain Larry raconte en effet avoir vu son compte Apple Card être débité pour des achats de l’autre côté des USA, alors qu’il promet n’avoir jamais utilisé d’Apple Card physique.
Dans ce cas, une hypothèse à envisager reste le cas d’une fuite des données de Larry à partir des serveurs de chez Apple ou Goldman Sachs, la banque partenaire pour Apple Card. Car pour le support du géant californien, le cas de Larry est extrêmement étonnant au vu du niveau de sécurité mis au point afin de protéger les utilisateurs d’Apple Card.


REF.: