Alexa, Cortana, Google et Siri vous écoutent

Libellés

Alexa, Cortana, Google, Siri, espionnage, IoT, Hackers,

Technologie : Vous êtes-vous déjà demandé combien de fois votre enceinte intelligente s'active sans le vouloir ? Une étude de la Northeastern University a tenté de le découvrir.

Personne n'aime que des étrangers s'immiscent dans une conversation. Surtout lorsqu'ils ont tendance à interrompre sans prévenir.
Une étude estime que les enceintes intelligentes s'activent, alors même que vous ne les avez pas appelées, entre 1,5 et 19 fois par jour. Le temps moyen d'activation est de 43 secondes, ce qui signifie que 43 secondes de vos conversations peuvent être enregistrées et transmises au siège du fabricant.
Les chercheurs sont arrivés à ces conclusions en utilisant des séries pour étudier lesquelles – sans raison évidente – ont activé Alexa (et d'autres) de manière aléatoire.

publicité

19 séries et 125 heures de diffusion

L'étude aurait pu être menée en utilisant simplement du vocabulaire varié pour parler aux enceintes. Mais cela aurait pris beaucoup de temps, et aurait été probablement incomplet. D'où l'idée d'utiliser des séries télévisées très populaires aux Etats-Unis, appartenant à des domaines très différents, comme Grey's Anatonmy, The Big Band Theory ou encore Narcos, qui contiennent un très large choix de vocabulaire.
Les chercheurs ont diffusé 125 heures de programmation télévisée pour mener cette étude, et ont bien sûr pris soin d'écarter les moments où l'enceinte s'est réveillée parce que le mot d'activation était effectivement prononcé. Ils ont examiné cinq enceintes intelligentes : Google Home Mini première génération, Apple HomePod première génération, Harman Kardon Invoke de Microsoft, quelques haut-parleurs Amazon Echo Dot deuxième génération, et quelques haut-parleurs Amazon Echo Dot troisième génération.

Dis Siri, tu nous écoutes ?

La pire d'entre elles ? Siri, bien sûr. Siri n'est pas très douée pour comprendre la plupart des choses. Qui peut s'étonner que des mots choisis au hasard à la télévision la fasse réagir ? Et nous parlons vraiment de mots aléatoires. Siri s'active en entendant "Faith's funeral" ("l'enterrement de Faith") et Alexa croit qu'on l'appelle quand elle entend "congresswoman" ("membre du Congrès"). L'assistant de Google Home Mini réagit à la phrase "I don't like the cold" ("je n'aime pas le froid"). Quant à Cortona, elle confond son nom avec "Colorado".
Que sommes-nous censés faire face à cela ? Espérer que nos conversations susceptibles d'être enregistrées par inadvertance soient si banales que personne ne pourra les utiliser contre nous ? La semaine dernière, Robert Frederick, un ancien directeur d'Amazon Web Services, a déclaré à la BBC que pour avoir une vie privée, il a la solution : il éteint simplement Alexa.

Source : ZDNet.com

Piratage : le couple PayPal / Google Pay dans la tourmente

Libellés

Paypal, Google Pay, Hackers,

Sécurité : Des pirates ont trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire des achats en ligne.

Depuis vendredi dernier, des utilisateurs déclarent avoir vu des transactions mystérieuses apparaître dans leur historique PayPal, provenant de Google Pay. Ces problèmes ont été signalés sur de nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google Pay sur des achats qui utilisent leur compte PayPal lié. D'après les captures d'écran et divers témoignages, la plupart des transactions illégales ont lieu dans des magasins américains, et notamment dans les magasins Target. La plupart des victimes semblent être des utilisateurs allemands. Les dommages sont estimés à plusieurs dizaines de milliers d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de commentaire au moment où cet article est publié.

publicité

La théorie d'un chercheur en sécurité allemand

Sur Twitter, un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce mardi que les transactions illégales signalées ce week-end semblent être liées à une faille de sécurité qu'il a signalé, avec son collègue Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le problème vient du fait que lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte virtuelle, avec son propre numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un utilisateur de Google Pay choisit d'effectuer un paiement sans contact en utilisant les fonds de son compte PayPal, la transaction est facturée via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur les paiements en point de vente physique, il n'y aurait aucun problème. Mais PayPal permet d'utiliser cette carte virtuelle pour les transactions en ligne également », détaille-t-il à ZDNet lors d'une interview. Il pense que les pirates ont trouvé un moyen de trouver les informations de ces cartes virtuelles et qu'ils les utilisent pour effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les informations d'une carte virtuelle. La première, c'est de les lire depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant un malware infectant l'appareil de la victime. Et la troisième, en les devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le numéro de la carte et la date de validité prendra environ un an, ce qui fait un espace de recherche plutôt restreint », précise Markus Fenske. Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est accepté ».

PayPal enquête

Malgré tout, Markus Fenske est le premier à dire que son collègue Andreas Mayer ne font que des suppositions sur les réelles causes de l'attaque – bien que les détails semblent bien correspondre au bug qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une enquête sur les transactions non autorisées dès que ZDNet les a contacté il y a quelques heures. Les équipes envisagent plusieurs scénarios, et ils ont pris en compte notamment celui de l'attaque décrite par les chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet. « Nous vérifions cette information et nous prendrons toutes les mesures appropriées et nécessaires pour protéger davantage nos clients. »

Source : ZDNet.com

Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave

Libellés

DNS, DoH, Firefox, Chrome, Brave browser,

Hello la compagnie,
je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.

Activer DoH sous Firefox

Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».

Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».

Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over HTTPS (DoH), je vous en ai compilé plusieurs ici.

• AdGuard – https://dns.adguard.com/dns-query
• BlahDNS – https://doh-fi.blahdns.com/dns-query
• Cloudflare –  https://cloudflare-dns.com/dns-query
• CZ.NIC
• dnswarden – https://doh.dnswarden.com/uncensored
• Foundation for Applied Privacy – https://doh.applied-privacy.net/query
• NextDNS – https://dns.nextdns.io/
• NixNet
• PowerDNS – https://doh.powerdns.org
• Quad9 – https://dns.quad9.net/dns-query
• SecureDNS – https://doh.securedns.eu/dns-query
• Snopyta
• UncensoredDNS

Il existe aussi une grosse liste détaillée ici mais il y a des DNS tenus par des particuliers donc je ne vous l’ai pas mise.

Puis faites OK.
Et voilà. Ensuite, rendez-vous sur cette page de test pour valider que tout fonctionne.

Et si la section Encrypted SNI est rouge, voici un article qui explique comment activer la fonctionnalité de chiffrement SNI.

Activer DoH sous Chrome / Brave

Pour cela, entrez la ligne suivante dans le champs d’adresse du navigateur :

chrome://flags/

Cherchez ensuite quelque chose qui s’appelle Secure DNS ou DNS over HTTPS et activez l’option

Pensez ensuite à configurer votre réseau Windows / Linux ou macOS pour utiliser des DNS compatibles DoH comme ceux de Cloudflare : 1.1.1.1. Mais si, vous savez, ici dans Windows (c’est pour vous rafraichir la mémoire) :

Puis allez sur ce site pour valider que tout fonctionne pour vous.

Et voilà !


REF.:

Les easter eggs et astuces cachées de Windows 10

Libellés

Easter Eggs, windows,

Microsoft Windows fait partie de ces logiciels qui trainent derrière eux une longue liste d’astuces et autres easter eggs (fonctionnalités cachées) plus ou moins marrantes et utiles. J’ai toujours été fan de ces petites pépites cachées, ces petits secrets, alors je me suis amusé à faire cette vidéo pour vous montrer toutes celles que vous pouvez retrouver dans Windows 10.
Il y a bien sûr le Mode God dont voici le code au passage :

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Mais aussi des astuces avec Cortana, la calculatrice, l’explorateur Windows, les émojis, la visionneuse 3D, des clins d’oeil à StarWars, au Seigneur des Anneaux, au jeu Doom sans oublier quelques astuces pour ajouter de la transparence à l’invite de commande MS DOS ou encore activer le mode sombre ou y voir plus clair lorsque votre bureau est surchargé en fenêtres.

J’étais parti avec comme idée de vous montrer uniquement des easter eggs, mais de fil en aiguille, je suis aussi tombé sur quelques astuces pratiques donc je vous ai tout mis. J’espère que cela vous apprendra quelques trucs.
Amusez-vous bien !


REF.:

Vous partagez les avis de disparition d'enfants sur Facebook? Attention, dit la GRC

Ces publications peuvent provenir de personnes mal intentionnées.

 

 

Libellés

facebook, Hackers, GRC, partage, disparition

 

En parcourant votre fil d'actualités Facebook, vous apercevez une publication sur un enfant porté disparu. Naturellement, votre premier réflexe est de partager la publication. Ça peut contribuer à ramener un enfant sain et sauf à la maison, alors pourquoi pas?

Pas si vite, répond la Gendarmerie royale du Canada (GRC).
Dans une publication Facebook, le détachement de Kindersley, en Saskatchewan, rappelle les dangers de partager ce type de publications sans d'abord faire quelques vérifications.
Souvent, explique la GRC, ces publications proviennent de personnes mal intentionnées. Parfois, l'enfant dont la photo est largement partagée ne manque même pas à l'appel.

Même si l'on souhaite bien faire en partageant la publication, on ne connaît pas toujours tous les faits.
«Par exemple, un parent qui se voit refuser l'accès à ses enfants par un ordre de la cour pourrait mettre leurs photos sur Facebook et affirmer qu'ils ont disparu», écrit le corps de police.
Parfois - dans les cas de violence domestique, par exemple -, l'autre parent et l'enfant peuvent se cacher pour leur propre protection.
En partageant une telle photo, vous pourriez mettre des vies en danger, avertit la GRC.

Cliquer sur «Partager» pourrait faire plus de tort que de bien. (Photo: Getty Images)
La GRC recommande de toujours vérifier la source d'une photo avant de la partager.
«Si la publication ne provient pas d'une source policière officielle et ne contient pas de lien vers un article publié par un média sérieux confirmant la disparition, elle n'est probablement pas légitime.»


REF.: