Wikipedia : le droit à l’oubli est une « censure de l’information véridique »

L’encyclopédie en ligne prend position contre la décision de la Cour de justice européenne qui nuirait à liberté de l’information. Une réaction qui intervient après que Google a supprimé des liens pointant vers elle.

Wikipedia aura mis du temps à réagir mais prend aujourd’hui la parole avec force contre le droit à l’oubli, reconnu le 13 mai dernier par la Cour de justice européenne. Lors d’une conférence de presse qui s’est tenue ce matin à Londres, trois membres de la fondation Wikimedia ont déclaré que cette disposition constituait une « menace » contre l’encyclopédie en ligne et une « censure de l’information véridique ». Un communiqué envoyé dans la foulée parle, lui, d’un « impact direct et critique » sur Wikipedia.

Depuis l’instauration du droit à l’oubli, n’importe quel internaute peut demander à faire supprimer par un moteur de recherche les liens qui pointent vers des contenus ayant trait à sa vie privée. Le souci pour l’encyclopédie en ligne, c’est que Google lui a notifié la semaine dernière avoir accepté cinq demandes la concernant et supprimé 50 URL pointant vers elle. Selon le site Techcrunch, l’une des requêtes concernerait un article sur une mafia italienne, et une autre porterait un individu ayant passé du temps en prison.

Des suppressions de liens opaques et sans possibilité de recours

« Le projet Wikimedia, y compris Wikipedia, est fondé sur la croyance que n’importe qui n’importe où est en mesure d’avoir accès à la somme de toutes les connaissances. Mais cela n’est possible que si des gens peuvent contribuer et participer à ces projets sans réserve- c’est-à-dire que leur droit à créer du contenu, y compris controversé, doit être protégé », a déclaré le cofondateur de Wikipedia Jimmy Wales lors de la conférence de presse.

Par ailleurs, les membres de la fondation Wikimedia ont souligné le fait que tous les moteurs de recherche n’avertissaient pas les éditeurs de contenus de la suppression des liens. La procédure reste donc opaque et sans possibilité de recours. Dans le communiqué de presse diffusé sur son blog américain, Wikipedia précise : « Les résultats de recherches précises sont en train de disparaître en Europe sans aucune explication publique, aucune preuve réelle, pas de contrôle judiciaire, et aucun processus d'appel. Le résultat est un internet criblé de trous de mémoire, des lieux où les informations gênantes disparaissent tout simplement. »

Une prise de position qui va ravir Google, obligé malgré lui d’appliquer le droit à l’oubli. Rappelons que la société a prié Jimmy Wales d’entrer à son conseil consultatif chargé de réfléchir à la façon de gérer cette question. Mais Wales se défend de tout conflit d’intérêt.

Source :

Wikimedia US

whistleblower: Edward Snowden a fait des émules : il y a bien une seconde taupe à la NSA

L'hypothèse d’un second lanceur d'alerte au sein de la NSA se confirme. Des officiels américains ont avoué son existence et le fait qu’elle ait fourni de nouveaux documents secrets au site The Intercept.

Au début du mois de juillet, les médias allemands révélaient que la NSA cherchait à tracer tous ceux qui s’intéressent aux logiciels Tor et Tails Linux. Encore un coup d’Edward Snowden ? Pas vraiment, selon plusieurs experts en sécurité avançant l’hypothèse d’un nouveau lanceur d’alerte. C’est ce qu’ont confirmé hier des officiels américains à la chaîne CNN. Cette mystérieuse taupe serait même à l’origine des dernières révélations ce 7 août de The Intercept. 

Le site affirme que plus de 40% des personnes suspectées de terrorisme par le gouvernement américain n’auraient aucun lien avec une organisation de ce type. La base de données des individus soupçonnés aurait en effet particulièrement augmenté sous la présidence du président Obama et compterait maintenant 680 000 noms. The Intercept s'appuierait sur une source de « la communauté du renseignement ». Une source qui a eu accès à des documents classifiés, tout de même. En réponse à un tweet sur une seconde taupe, le collaborateur de Snowden et patron de The Intercept Glenn Greenwald a d'ailleurs répondu laconiquement : « Cela me semble clair ».

Source :

CNN

The Verge

Les objets connectés sont des passoires en matière de sécurité

Connexions Bluetooth bavardes, chiffrement de piètre qualité, politiques de protection des données personnelles inexistantes… Les accessoires connectés ont tendance à vous mettre à nu.

Votre dernière course en forêt, vos déplacements à l’étranger, vos phases de sommeil, votre consommation en nicotine ou alcool, vos cycles de menstruations (si vous êtes une femme), votre pression artérielle, votre activité sexuelle… Pour toute activité personnelle, il y a désormais une application mobile et un accessoire connecté pour capter ces informations, comme par exemple le Nike Fuel Band. Et les utilisateurs en raffolent, si l’on croit les analystes. Selon Pew Research Center, plus de 60 % des Américains utilisent ces outils pour améliorer leur performances sportives ou préserver leur bonne santé. D’ici à 2018, le nombre de ces accessoires connectés devrait dépasser les 485 millions d’unités. Un marché en plein boom que tous les grands acteurs cherchent à accaparer, à commencer par Google et Apple.

Mais ce marché est encore très balbutiant, et notamment en matière de protection de données personnelles. Symantec vient de publier, il y a quelques jours, un rapport d’analyse qui évalue le niveau de sécurité de tous ces engins. Résultat: la plupart des applications révèlent des failles flagrantes permettant à des tiers de récupérer des données à l’insu des utilisateurs. Une majorité des bracelets peuvent être localisés grâces à leurs puces Bluetooth. Activés en permanence, ils sont plutôt bavards et émettent une adresse physique de type MAC, ainsi que des identifiants divers et variés, qu’il est aisé de capter dans un rayon de 100 mètres.

C’est d’ailleurs ce que les analystes de Symantec ont fait: ils ont créé des sniffeurs Bluetooth basés sur une carte Raspberry Pi, qu’ils ont disséminés aux abords d’une compétition sportive, ou trimballés dans un sac à dos en plein milieu d’un centre commercial. Certes, ces données ne permettent pas d’identifier une personne, mais c’est un premier pas…

Des mots de passe transmis en clair

Autre problème: parmi les applications qui utilisent des services cloud pour stocker ou traiter les données captées, 20 % transmettent les identifiants en clair, sans aucun chiffrement. Parmi les 80 % restantes, certaines appliquent aux identifiants des fonctions de hachage de faible protection comme MD5, qui peut facilement être craqué par les cybercriminels. Dans un certain nombre de cas, la gestion de sessions laisse également à désirer, permettant par exemple de deviner ou de calculer des identifiants et ainsi d’accéder à des comptes utilisateurs. Enfin, plus de la moitié des applications (52 %) n’apportent aucune information sur la manière dont toutes ces données sont traitées et stockées, alors que c’est obligatoire dans bon nombre de pays. Et quand il existe un document d’information, celui-ci est souvent très vague. On peut donc douter du sérieux de ces fournisseurs en matière de protection des données personnelles. 

En somme: si toutes ces nouveaux appareils et applications semblent bien pratiques, il est conseillé de regarder en détail leur fonctionnement, histoire de pas se faire avoir !

REF.:

Black Hat 2014 : peut-on hacker un avion ?

Un expert affirme pouvoir pirater les systèmes de navigation et de sécurité à bord des avions et des navires qui utilisent des communications satellites. Il en fera la démonstration le 7 août prochain à la conférence Black Hat.

C’est l’une des interventions les plus attendues de la conférence Black Hat qui s’est ouverte dimanche dernier à Las Vegas. Ruben Santamarta, un expert en sécurité de 32 ans, devrait démontrer ce jeudi 6 août que l’on peut pirater… un avion !

Sur le site officiel de la conférence, le titre de son intervention est laconique : « Terminaux Satellites de communication : pirater par air, mer et terre. » En fait, il s’agit de démontrer que les solutions matérielles et logicielles d’aide à la communication et au pilotage qui utilisent les communications satellites dans l’aérospatiale et la navigation sont hautement vulnérables.

Concrètement, il a fonctionné par rétroingénierie. Il s’est procuré le matériel commercialisé par des sociétés comme Harris, Hugues, Cobham, Thuraya, JRC et Iridium. Après de multiples simulations en laboratoire à Madrid, il est en mesure d’affirmer aujourd’hui que 100% de ces dispositifs pourraient être hackés. Leurs points faibles ? Des algorithmes de cryptage insuffisants, des protocoles non protégés, des portes dérobées et parfois des mots de passe codés en dur dans l'appareil...

Des services d'urgence et des sites industriels stratégiques concernés

Ainsi, il est imaginable selon lui qu’une personne malveillante puisse enclencher ou arrêter le pilotage automatique d’un avion en utilisant le signal wi-fi à bord ou en s’introduisant à partir des systèmes de divertissement. Santamarta n'a toutefois pas pour l'instant détaillé sa technique d'attaque...

Mais ce n’est pas tout. Il estime que les navires, aéronefs, militaires, services d'urgence, services de médias et installations industrielles (plates-formes pétrolières, gazoducs, usines de traitement de l'eau, éoliennes, etc) qui utilisent également des communications satellites seraient concernés pour les mêmes raisons. Il affirme même pouvoir modifier le firmware de certains dispositifs en leur envoyant partir un simple SMS de configuration malveillant.

De l’aveu de Santamarta, ses expériences théoriques seraient cependant difficiles à reproduire dans la réalité. Mais il souhaite faire prendre conscience de la situation aux acteurs du marché. « Ces dispositifs sont complètement ouverts. L'objectif de cet exposé est de contribuer à changer cette situation », a déclaré l’expert à Reuters.

L’un des constructeurs mis en cause, le britannique Cobham, affirme que l’accès des dispositifs est restreint au personnel autorisé et qu’il faut intervenir physiquement sur le matériel pour le détourner. Faux, répond Santamarta qui promet des révélations ce jeudi. A suivre !

Source :

Le site de Black Hat

Comment une firme en sécurité peut s'enrichire facilement ?

 

Comment un gang de pirates a-t-il pu voler plus d’un milliard de mots de passe ?

Un petit groupe de cybercriminels a employé un botnet pour infiltrer des dizaines des milliers de sites web et récupérer une quantité gigantesque de données sensibles. Mais la firme qui a fait cette découverte en profite pour faire un formidable coup de com’ et vendre un service derrière. Bizarre.

La page d'accueil alarmiste de Hold Security, entreprise qui a révélé le piratage… Et qui propose une solution payante pour tenter d’y remédier.

Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille  ». Voilà le discours flippant de Hold Security pour décrire la gigantesque collection de données personnelles volées que cette entreprise de sécurité a mis au jour.

Les chiffres présentés donnent en effet le tournis : d’après Hold Security, un gang d’une douzaine de hackers russes baptisé CyberVor aurait donc récupéré pas moins de 4,5 milliards de combinaisons de mots de passe et de noms d’utilisateurs. En omettant les doublons, CyberVor aurait accès à plus d’un milliard de comptes sur des milliers de sites différents, qui seraient rattachés à 500 millions d’adresses e-mail. Le hack du siècle, en somme.  

Pour voler autant d’informations sensibles, CyberVor aurait usé de multiples sources et techniques, mais aurait surtout profité des services d’un botnet (un réseau de PC infectés par un logiciel malveillant) « qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient. » Les membres de CyberVor auraient de cette manière identifié plus de 400 000 sites web vulnérables, qu’ils ont ensuite attaqué pour voler leur bases de données d’utilisateurs. 

Des détails qui clochent

Sauf qu’il y a quelques petits détails qui clochent dans cette histoire. A commencer par le fait que Hold Security profite de cette annonce hallucinante pour tenter de s’enrichir immédiatement, en misant sur la peur du hacker qu’il a généré. En gros, la firme propose aux entreprises et aux particuliers de se préinscrire à un service –payant même s’il y a un essai gratuit- qui leur permettra notamment de savoir si oui ou non ils sont concernés par cette fuite de données. Et ce n’est pas donné : comptez 120 dollars par mois si vous êtes une entreprise.

D’autre part, Hold Security se refuse à donner le moindre nom de site dont la base a été piratée. Ce peut être compréhensible : son patron Alex Holden l’explique dans le New York Times, il ne souhaite pas révéler le nom des victimes pour des raisons de confidentialité. Il y aurait pourtant des entreprises du Fortune 500 selon lui dans le lot.

Mais comme le fait remarquer Forbes, il semble pour le moins étonnant (mais pas totalement impossible) que de si grandes entreprises se soient fait berner par une injection SQL, une technique très connue des hackers… et des experts en sécurité qui protègent les sites importants de telles attaques.

Des infos de piètre qualité ?

Il y a aussi de nombreuses informations qui manquent, dans la description de Hold Security. Quels botnets ont été utilisés ? Comment le malware a-t-il été inoculé dans la machine des victimes ? Et surtout pourquoi, comme l’indique le New York Times, le gang se contente-t-il d’utiliser pour l’instant leur fabuleuse base de données pour… envoyer du spam sur les réseaux sociaux, alors qu’ils pourraient à priori faire bien plus de mal ?

En réalité, il se peut que les milliards de mots de passe collectés par CyberVor étaient déjà disponibles sur le web underground depuis bien longtemps. Hold Security l’avoue sur son site : « Au départ, le gang a acquis des bases de données d’identifiants sur le marché noir ». Une pratique fort courante chez les cybercriminels, mais qui ne repose pas sur le moindre hack : il suffit de payer. Il est fort possible que ces « collectionneurs » aient au fil du temps accumulé un nombre de données incroyable, mais pas forcément « fraîches » et donc de piètre qualité. Il se peut aussi que la technique de l’audit d’un site par un botnet ait été fructueuse… Sur des sites de moindre envergure, voire des sites perso, mal sécurisés, qui n’ont pas fourni à Cybervor de quoi faire autre chose que du spam sur Twitter.

Quoiqu’il en soit, l’annonce de Hold Security vous donne une excellente excuse pour changer dès aujourd’hui vos mots de passe, ça ne fait jamais de mal !

Source : Hold Security