Ces applications bien connues sont soupçonnées d’espionnage sur iOS
Plusieurs
applications collectent des données sensibles sans en avertir les
utilisateurs, et il n’existe pour le moment aucune solution pour y
remédier si ce n’est de les supprimer.
S’il était jusqu’à aujourd’hui simplement supposé que certaines apps
se servent de cette faille, c’est désormais confirmé. Et vous allez
être surpris : il est très probable que l’un des logiciels installés sur
votre appareil soit concerné. Car la liste des développeurs accusés est
déjà très longue.
Des médias aux réseaux sociaux
Parmi ceux qui profiteraient notamment de cette brèche, qu’Apple a déjà annoncé ne pas souhaiter combler, on retrouve :
8 Ball Pool
TikTok
Hotels.com
Fox News
The Wall Street Journal
ABC News
CBS News
CNBC
New York Timess
Reuters
Russia Today
The Economist
The Huffington Post
Vice News
Bejeweled
Fruit Ninja
Golfmasters
Plants vs. Zombies Heroes
PUBG Mobile
Viber
Weibo
Accuweather
Hotel Tonight
AliExpress
The Weather Network
La
liste complète, que vous pouvez retrouver en source de cet article, est
en réalité encore plus longue, et tous les services disponibles sur l’App Store n’ont pas été passés au crible. Elle pourrait donc se rallonger.
Même si vous êtes sûrement déjà nombreux à avoir désinstallé l’application chinoise de ByteDance à cause des risques qu’elle présente pour la confidentialité, retrouver le fournisseur de données météo officiel de Siri dans ce nouveau scandale risque de poser problème à Apple. La firme fait en effet de la protection de la vie privée son cheval de bataille.
Il est parfois frustrant de récupérer une image de qualité moyenne et donc inexploitable, car trop petite.
Heureusement, l’intelligence artificielle de Skynet peut venir à notre secours avec ImgLarger,
un service qui n’agrandira pas votre minuscule pénis ou petite
poitrine, mais uniquement les photos de ceux-ci (ou de n’importe quoi
d’autre d’ailleurs).
Le service est gratuit, mais si vous voulez du plus grand et du plus
souvent, il faudra payer. Néanmoins pour un petit agrandissement de
temps en temps, ça vaut le coup.
J’ai par exemple récupéré cette vieille photo de moi sur Google
Images : 256px de côté, 72 dpi… bof quoi… Surtout que je suis beaucoup
plus sexy aujourd’hui qu’à l’époque (2013 / 2014).
Et bien en la donnant à manger à ImgLarger, et en sélectionnant « Face » comme option, j’ai obtenu un résultat vraiment bluffant ! Vive le Deep Learning !
Et voici le résultat en grand (bon, j’imagine un poil recompressé par les moulinettes d’optimisation de mon site donc bon…) : Enlarge your Korben !
Vous noterez la qualité un peu floue, mais globalement, c’est pas
mal. (oui j’ai survendu un peu le truc au niveau du titre de cet
article, mais ne m’en veuillez pas, autrement vous n’auriez pas cliqué
et vous seriez resté dans l’ignorance, donc je vous ai rendu service.
Pensez à me remercier évidemment ^^).
On pourrait presque reconnaitre l’épisode de Jacquie et Michel qu’on
peut apercevoir dans l’écran qui se reflète dans les verres de mes
lunettes de soleil ! Je sens que cet outil va aider à révéler
prochainement les secrets et les détails intimes des grand(e)s de ce
monde.
Bref, super service ! Une application macOS / Windows est également disponible ici pour ceux qui veulent.
Notez aussi que la même société propose également outil nommé AI BG Eraser capable de détourer les photos automatiquement, sans rien lui indiquer.
Regardez-moi cette perfection. Et contrairement à ce qu’indique le
nom de cet outil, ça n’a pas « érasé » le « BG » de la photo a.k.a. moi !
Ouf ! L’app est également proposé pour macOS et Windows.
Allez, amusez-vous bien ! Et arrêtez de vous prendre pour Horatio
Caine dans les experts à agrandir la moindre plaque d’immatriculation
prise en photo à plus de 5 km…
ps: Un autre outil d’agrandissement est également dispo ici.
Les célèbres marques de synthétiseur Korg
et Moog ont décidé d’offrir gratuitement leurs applications de synthé,
afin d’aider les musiciens confinés à passer le temps. Profitez-en, car
l’offre est limitée.
Bonne nouvelle pour les joueurs de clavier et amateurs de musique. En
plus de pouvoir écouter autant d’albums que vous voulez à la maison,
vous pouvez cette semaine profiter gratuitement des applis de synthétiseur de Korg et Moog. Crédits : Moog
Les constructeurs de synthétiseurs Korg et Moog ont décidé tour à tour ce week-end de publier gratuitement leurs applications The Minimoog Model D et Kaossilator. La première, uniquement disponible sur iOS, peut être téléchargée gratuitement sur l’App Store, pour l’instant sans date limite. Les deux apps Kaossilator et iKaossilator sont quant à elles toutes les deux offertes jusqu’au 20 mars seulement.
Profitez de la quarantaine pour créer de la musique
Korg a annoncé ce « cadeau » sur son compte Twitter, en déclarant
dans son message vouloir aider les gens en quarantaine à occuper leur
temps. Moog a fait de même et invité les utilisateurs à profiter de
cette application pour « ralentir, apprécier sa force intérieure & expérimenter le pouvoir exaltant du son. ».
Minimoog Model D est une application sur laquelle on peut jouer sur le célèbre synthétiseur portable des années 70 Minimoog.
Kaossilator propose tout une panoplie de sons et de fonctionnalités
pour pouvoir créer des morceaux complets comme sur un vrai synthétiseur.
Mot de passe Windows perdu ou oublié – Comment récupérer un accès à la machine ?
@Korben
—
Si vous avez oublié ou perdu le mot de passe d’un ordinateur sous Windows
10, sachez qu’il est possible d’en mettre un nouveau ou de vous faire
un compte Administrateur sans aucun problème. Et pas besoin de pirater
quoi que ce soit, il suffit d’avoir un accès physique à la machine et
une ISO de Windows 10 proposée par Microsoft.
Alors comme je le disais, il vous faudra une ISO de Windows 10 bootable, que vous graverez sur DVD / CD ou que vous mettrez sur clé USB.
Étape 2 : Premier boot
La seconde étape consiste à démarrer sur le DVD de Windows et quand vous voyez l’écran ci-dessous,
utilisez la combinaison de touches suivantes s’il n’y a pas Bitlocker sur la machine :
MAJ + F10
Cela aura pour effet d’ouvrir une invite de commande (un terminal quoi) en mode Administrateur.
Si le disque est chiffré avec Bitlocker, avancez un peu dans
l’install et choisissez l’option « Réparer ». Le programme vous
demandera alors votre clé de récupération Bitlocker et vous donnera
ensuite accès à un terminal.
Étape 3 : Les commandes
Une fois sur l’invite de commande, placez vous dans le dossier D:\windows\system32
d:
cd windows\system32
Puis faites une copie de sauvegarde de sethc.exe qui est le programme
permettant d’utiliser les « Sticky Keys » ou en français les touches
rémanentes.
copy sethc.exe ..
Ensuite, il faut écraser sethc.exe avec le programme cmd.exe (l’invite de commande).
copy cmd.exe sethc.exe
Étape 4 : Second boot
Ensuite, il faut rebooter mais ne pas démarrer sur le DVD. Laissez
votre ordinateur démarrer normalement, jusqu’à ce que vous vous
retrouviez sur l’écran de login.
Ensuite, maintenez la touche MAJ enfoncée et cliquez sur le bouton Redémarrer en bas à droite
Cela aura pour effet de vous envoyer sur un écran utilisé pour le dépannage de Windows.
Cliquez sur « Dépannage » puis sur « Options avancées » et enfin « Paramètres ».
Quand vous verrez cet écran, cliquez ensuite sur « Redémarrer ».
Étape 5 : Démarrage en mode sans échec
Nouveau reboot, et vous devriez tomber sur l’écran suivant :
Appuyez sur F4 pour choisir l’option 4 de redémarrage en mode sans
échec et vous devriez ensuite vous retrouver sur l’écran de login une
fois encore..
A cette étape, appuyez rapidement 5 fois de suite sur la touche
majuscule. En temps normal, cela lance l’utilitaire des touches
rémanentes mais dans notre cas, cela aura pour effet d’ouvrir une invite
de commande.
Étape 6 : Changer le mot de passe du compte
A partir de là, vous allez pouvoir entrer les commandes NET USER qui
vont bien pour manipuler les comptes utilisateurs de la machine.
Remplacez nouvelutilisateur / nomutilisateur par le login de votre utilisateur et motdepasse par le mot de passe de votre choix.
Pour changer le mot de passe d’un utilisateur existant :
NET USER nomdutilisateur motdepasse
Pour activer un compte Administrateur
NET USER Administrateur /ACTIVE:YES
Pour changer le mot de passe du compte Admin
NET USER Administrateur motdepasse
Pour créer un nouvel utilisateur
NET USER nouvelutilisateur motdepasse /add
Et pour mettre cet utilisateur dans le groupe Administrateur
NET LOCALGROUP Administrateurs nouvelutilisateur /add
Étape 7 : On remet tout en état
Ensuite, fermez le terminal, et loggez-vous avec votre nouveau mot de
passe ou votre nouveau compte. Vous verrez alors que vous êtes bien en
mode sans échec.
Avant de rebooter en mode normal, lancez à nouveau une invite de
commande, mais en mode Administrateur. Pour cela, recherchez cmd puis
faites un clic droit sur le résultat pour le lancer en mode Admin.
Nous allons remettre le programme sethc.exe en état pour éviter que
ce soit le terminal qui s’ouvre à nouveau lorsque vous appuierez 5 fois
de suite sur la touche majuscule. Pour cela, dans l’invite de commande,
entrez la commande de restauration suivante :
L’utilitaire sethc.exe propre aux touches rémanentes sera à nouveau fonctionnel.
Étape 8 – On reboot et c’est terminé
Et voilà, ensuite il suffit de redémarrer en mode normal et vous
aurez accès à nouveau à Windows avec votre nouveau mot de passe ou le
nouvel utilisateur que vous venez de créer ! Bravo à vous !
Pour ceux que ça intéresse, j’ai fait aussi une vidéo tuto qui reprend toutes les étapes de cet article.
Un groupe de hackers a lancé une campagne qui vise spécialement les
autres black hats. En infectant leurs outils de hacking, ils ont pu
prendre le contrôle de leurs machines, mais aussi des ordinateurs de
leurs victimes.
Malware, phishing, ransomware, attaque DDoS, les cyberattaques
de toutes sortes progressent d’année en année. Elles ne visent plus
uniquement les ordinateurs des particuliers et quelques grandes
entreprises, mais s’étendent aux objets connectés, et sont même parfois d’origine étatique.
Cybereason, une firme spécialisée dans la détection et la protection
contre les cyberattaques, a identifié un nouveau type de campagne qui cible les hackers en particulier pour profiter de leurs activités criminelles et contaminer d’autres machines.
Des hackers en contaminent d’autres avec des outils de hacking infectés
Amit Serper de Cybereason a enquêté sur le mode opératoire d’un
groupe de pirates qui a profité de sa communauté et de l’imprudence des
internautes qui cherchent à cracker un logiciel ou obtenir un numéro de
série. Pendant près d’une année, ils se sont procurés des logiciels
allant du simple générateur de numéro de licences de logiciels à des
outils de hacking pour les infecter avec un puissant cheval de Troie.
Ils ont ensuite appâté leurs cibles en les mettant en ligne, notamment
sur des forums spécialisés. Ceux qui les ont ouverts ont immédiatement
été contaminés par njRat. Le trojan leur offre alors un accès distant et
total à la machine de la victime, y compris à ses fichiers, ses mots de
passe, mais aussi au microphone et à la webcam.
Amit Serper explique que la technique permet non seulement d’infecter
une machine, mais qu’elle offre également un accès à toutes celles que
la victime a pu pirater. Les outils de hacking étant eux-mêmes
contaminés, ils infectent automatiquement les machines qu’ils ciblent
lorsqu’ils en prennent le contrôle. Plus surprenant, son étude suggère
que le cheval de Troie a infecté plusieurs serveurs et que la procédure
d’infection des logiciels et leur publication seraient entièrement automatisées. La méthode pourrait ainsi fonctionner à grande échelle sans intervention humaine.
Sécurité : Apparu en 2012, Necurs est considéré comme le plus important botnet de spam et de diffusion de malwares.
Par
L'agence EP
En coordination avec des partenaires dans 35 pays (FAI,
éditeurs de cybersécurité, registrars, CERT, forces de l’ordre), Microsoft a
orchestré le démantèlement de Necurs, considéré comme l’un des plus importants
botnets de spam et de logiciels malveillants connus à ce jour, dont on pense
qu'il a infecté plus de neuf millions d'ordinateurs dans le monde depuis son
apparition en 2012.
La manoeuvre a pu aboutir après que l’équipe a réussi à
casser l'algorithme de génération de domaines du botnet, le composant qui
génère des noms de domaines aléatoires. Cet outil au coeur du dispositif sert à
enregistrer les domaines plusieurs semaines ou mois à l’avance pour y héberger
les serveurs de commande et de contrôle qui peuvent ainsi migrer et échapper
aux interceptions.
publicité
Microsoft et ses partenaires ont pu créer une liste complète
des futurs domaines de serveurs Necurs et les bloquer préventivement. “Nous avons
alors pu prévoir avec précision plus de six millions de domaines uniques qui
seraient créés au cours des 25 prochains mois", a expliqué Tom Burt, vice-président de Microsoft chargé de la
sécurité et de la confiance clients.
Dernière étape de cette opération, Microsoft est en train de
travailler avec les FAI et les équipes CERT dans les pays concernés pour
avertir les utilisateurs dont les ordinateurs ont été infectés par le
malware. (Eureka Presse)
DuckDuckGo publie une liste de trackers qui pistent vos données personnelles
par
Guillaume Pigeard,
Le moteur de recherche DuckDuckGo centre sa mission autour de la
protection des données personnelles de ses visiteurs. Aujourd’hui,
l’entreprise fournit une liste de 5326 domaines charger de tracer les
internautes.
Depuis des mois, DuckDuckGo parcourt le Web à la recherche des sites internet dont le seul but est de suivre les internautes et collecter leurs habitudes de navigation. Aujourd’hui, le moteur de recherche en publie la liste.
1727 entreprises cherchent à vous pister en ligne
Tracker Radar est le projet mis en place par
DuckDuckGo via son site dédié à la protection de la vie privée
SpreadPrivacy. Il s’agit d’un algorithme qu’a mis au point l’entreprise
et qui va parcourir le Web à la recherche de sites internet qui collectent les informations de navigation des internautes. Les gigantesques bases de données ainsi constituées sont ensuite vendues aux annonceurs pour leur permettre l’affichage de publicités ciblées.
Aujourd’hui, DuckDuckGo a rendu publique l’intégralité de ses découvertes. Ce ne sont pas moins de 5326 noms de domaines qui ont ainsi été identifiés. Ils appartiennent à 1727 entreprises différentes. Parmi les 50 000 sites les plus visités, 85,6 % utilisent un trackeur appartenant à Google, probablement Google Analytics, Adsense ou Doubleclick. On comprend alors pourquoi Edge est plus efficace que Chrome dans la protection de la vie privée. On retrouve ensuite Facebook, Adobe, Amazon, Oracle puis d’autres sociétés de marketing.
Remplacer son PC par le boîtier Ghost de Shadow, ça donne quoi ?
En plus de cette liste, DuckDuckGo a également passé son moteur Tracker Radar en open-source, ouvrant ainsi la porte à la détection de sites supplémentaires. Les domaines détectés sont dorénavant bloqués par l’extension Privacy Essentials fonctionnant sur Chrome, Firefox et Safari, et par le navigateur mobile DuckDuckGo Privacy Browser. Le navigateur Vivaldi peut aussi être une solution intéressante, ainsi que Brave Browser. Une fois votre navigation protégée, il vous restera à vous assurer, grâce à cette application, que vous n’êtes pas physiquement tracé.
Source : Engadget
Alors aujourd’hui, on va regarder comment hacker son propre ordinateur afin de faire sauter le mot de passe root d’une machine Linux.
On va donc apprendre à changer, comme un champion, le mot de passe de
n’importe quel compte, y compris le mot de passe root, d’une machine
sous Ubuntu.
Pratique si vous êtes bloqué à l’extérieur de votre ordinateur parce que vous avez oublié votre mot de passe.
Alors tout d’abord, au lancement de la machine, vous devriez voir un
menu qu’on appelle le menu GRUB. Il permet de choisir la méthode
utilisée pour booter. Parfois il se peut que GRUB soit masqué. Dans ce
cas, au moment du boot, appuyez sur la touche MAJ pour le voir
apparaitre.
Une fois sur le menu Grub, appuyez sur la touche ‘e‘.
Cela vous permettra d’éditer le script de bootloader utilisé par Grub.
Cherchez la ligne qui commence par linux et ajoutez à la fin de cette ligne
rw init=/bin/bash
Puis faites un CTRL X pour booter. Vous allez tomber sur un shell bash en root.
Entrez alors la commande en remplaçant USER par le nom de l’utilisateur dont vous voulez changer le mot de passe.
passwd USER
Et voilà ! Mot de passe changé !
Rebootez ensuite la machine et le tour est joué !
Pour ceux qui veulent voir la procédure en vidéo, la voici :
Gamestop confirme par erreur certaines caractéristiques de la
PlayStation 5 et tease sa nouvelle manette, le DualShock 5. La console
next-gen de Sony sera bien équipée d’un lecteur Blu-Ray et prendra en
charge les écrans 8k ainsi que le ray tracing. Elle sera également
compatible avec les jeux PS4 et le PSVR.
L’épidémie de Covid-19 tombe au plus mauvais moment pour le secteur du jeu vidéo. Alors que la sortie des consoles next-gen se rapproche, les principaux acteurs annulent leur participation aux salons les plus importants. La GDC 2020 se privera notamment de Microsoft, de Sony et d’Electronic Arts. La firme de Redmond parvient néanmoins à occuper la scène médiatique en distillant quelques informations sur sa console. Sony reste dans l’ombre, et si on se doute des caractéristiques de la PlayStation 5, elles restent à prouver. Gamestop vient justement de donner un peu de visibilité à Sony en confirmant certaines d’entre elles. PlayStation 5 Concept – Steel DrakeGamestop a mis en ligne une nouvelle page dédiée à la PlayStation 5,
et dévoilé une partie de ses caractéristiques. On ignore s’il s’agit
d’une erreur ou si le site s’est fait tirer les oreilles par Sony, mais elle n’est restée en ligne que quelques heures avant d’être retirée. La console supporte les écrans TV 8k et sera doté d’un lecteur Blu-Ray,
probablement compatible 4K Ultra HD. Elle prend donc en charge les
contenus digitaux stockés sur son disque SSD, mais aussi ceux sur
support physique. Le site confirme également la présence d’un CPU AMD Zen 2 personnalisé à 8 cœurs et 16 threads, mais rien à propos de son GPU si ce n’est le support du ray tracing et de l’audio 3D. Enfin, la PS5 sera compatible avec les jeux PS4, y compris les titres PSVR.
Les médias sociaux écoutent-ils nos conversations
pour nous cibler avec des publicités? Ou sommes-nous simplement victimes
de nos peurs? On fait le test!
espionnage, cell, Smartphones, le produit c'est vous, gratuit, réseaux sociaux, Hackers, vol d'identité, vol de donné,
Nous avons tous entendu dire que nos téléphones pouvaient écouter nos
conversations quotidiennes pour ensuite nous bombarder de publicités
ciblées. Mais y a-t-il une part de vérité dans cette affaire? Avez-vous
déjà mis cette théorie à l’épreuve, par exemple avoir parlé d’un produit
obscur avec des amis, avant d’attendre pour voir si une publicité pour
l’aspirateur ou la passoire parfumée que vous avez mentionnée
apparaissait dans vos flux d’actualité sur les médias sociaux? Si le
test n’a pas été concluant, c’est peut-être simplement que vous avez
oublié à propos de votre expérience. En revanche, si la publicité en
question est effectivement apparue, vous vous êtes probablement dit que
votre téléphone écoutait vos moindres mots et empiète désormais sur votre vie privée.
La question de savoir si les applications de médias sociaux sont
capables d’écouter a fait l’objet de nombreuses discussions. De
nombreuses personnes ont même remarqué que des publicités ciblées
obscures apparaissaient dans leurs flux après avoir parlé d’elles dans
une conversation quotidienne. Cependant, cela serait illégal dans la
plupart des pays sans que l’utilisateur en soit totalement conscient,
sans parler des difficultés que cela pose aux entreprises.
J’ai donc décidé de savoir ce que les utilisateurs de Twitter pensent
du sujet et j’ai créé un sondage pour savoir si les gens croient que
leur téléphone ou leurs applications les écoutent. J’ai reçu 234 votes.
Les résultats: 80% des gens affirment que leur téléphone les écoute.
C’est un résultat très intéressant, surtout considérant que la majorité
de mes abonnés et de mes retweets proviennent de la communauté de la
cybersécurité.
Prenons un moment pour nous pencher sur la question. Tout d’abord,
nous devons reconnaître que ceci constituerait un scandale énorme prêt à
éclater à chaque moment. En effet, si jamais cela venait à se savoir,
les services en ligne concernés seraient poursuivis en justice, ce qui
pourrait les conduire à la faillite et à ne plus jamais être revus.
Les chiffres
Parlons du volume de données nécessaires pour écouter nos
conversations. Lors d’un enregistrement audio, la consommation de la
conversation générale serait d’environ 115 mégaoctets par heure
(profondeur de 15 bits, en mono, calculée ici).
Donc, pour une journée normale, disons que nous sommes éveillés pendant
environ 15 heures en moyenne (sans compter les conversations et les
pensées intérieures de votre sommeil – bien que cela soit intéressant!)
Cependant, nous ne parlons pas tous pendant toute la journée, alors
ne considérons qu’un quart de cette durée. Nous nous attendons
maintenant à environ 430 mégaoctets d’audio par jour et par personne. Il
y a 800 millions de personnes sur Instagram, donc si elles
enregistraient nos conversations de chacun d’entre nous sur Instagram,
elles auraient besoin de stocker environ 344 pétaoctets (1015 octets) de
données par jour. Pour mettre cela en perspective, il y a environ 2500 pétaoctets
(ou 2,5 exabytes, ou 1018 octets) de données créées chaque jour dans le
monde entier à notre rythme actuel. Les plateformes de médias sociaux
seraient-elles vraiment capables de traiter une telle quantité de
données par jour, même si elles étaient compressées?
La théorie la plus probable est que les médias sociaux ne seraient
pas en mesure de traiter de façon réaliste cette quantité de données qui
affluent chaque jour, sans parler de les examiner et de les utiliser.
Il est beaucoup plus facile d’analyser les données des individus d’une
autre manière et de les profiler à partir de données qui sont déjà en
ligne. Ces profils comprennent : votre âge (soit à partir de la date de
naissance que vous avez saisie ou via un logiciel de détermination de
l’âge), votre sexe, une analyse de photos pour déterminer vos centres
d’intérêt, la lecture de légendes et de hashtags dans les posts et les
informations que vous donnez – même le temps que vous passez sur des
posts que vous ne fréquentez pas par ailleurs.
Leurs algorithmes sont ensuite capables de déterminer si vous êtes
célibataire, si vous avez un emploi, des enfants, un animal domestique,
si vous possédez une voiture, votre style vestimentaire, vos loisirs,
vos futurs centres d’intérêt…, la liste est pratiquement infinie. Ils
sont même capables de deviner en toute connaissance de cause quel sera
votre prochain achat avant même que vous n’y ayez réfléchi.
La théorie entourant l’écoute des médias sociaux suggère que si vous
ne voulez pas que vos conversations soient surveillées, vous devez alors
éteindre le microphone de l’application. Vous avez peut-être remarqué
que lorsque vous éteignez le microphone dans Instagram, vous ne pouvez
pas poster dans Stories. Ce ne serait pas la fin du monde pour moi,
alors j’ai décidé de le tester.
Le test: première partie
Pour essayer de séduire des publicités intéressantes et faire de ce
test un test sérieux, j’ai laissé le microphone de mon téléphone allumé
pendant 2 semaines et j’ai eu des conversations claires très aléatoires
(et hilarantes) sur 3 sujets aléatoires dont je n’avais pas parlé
auparavant :
Que je suis devenu végétalien;
Que je veux acheter des talons hauts;
Et je pense à construire une piscine dans mon jardin arrière.
Ce sont les annonces que j’ai effectivement reçues sur Instagram :
Des lunettes de snowboard;
Chaussures imperméables;
Un skateboard électrique;
Un médicament contre la toux;
Du gin;
Des voitures Volkswagen.
Je n’ai rien eu à faire avec la nourriture végétalienne, les talons
hauts ou la construction d’une piscine dans mon jardin arrière, dont je
suis dégoûtée car j’aurais aimé manger des avocats sur des toasts dans
ma piscine gonflable tout en portant une paire de talons Gucci.
Bref, je n’ai reçu aucune publicité concernant les sujets dont j’ai
parlé. En revanche, j’étais quand même intéressé par les annonces que je
recevais. Il ne faut pas être un génie pour déduire que je suis
intéressé par les produits ci-dessus et que je suis susceptible de les
acheter à un moment donné. D’après mon Instagram, vous remarquerez assez
facilement que j’ai la fin de la trentaine, que je suis marié, que je
suis père de famille, que je m’intéresse aux activités de plein air et
en particulier aux sports extrêmes.
Mais voici la partie intéressante. Ai-je parlé récemment de quelque
chose en rapport avec la liste ci-dessus? Il y a peut-être une bonne
raison pour que chacun soit là. Voici ma théorie pour expliquer chacune
de ces annonces : Des lunettes de snowboard : J’ai mentionné à plusieurs
personnes que je vais bientôt faire du snowboard, mais les applications
m’écoutent-elles? Non. Je suis un fan de plusieurs compagnies de
snowboard et j’aime régulièrement leurs annonces. De plus, j’ai rédigé
ce blog en décembre. C’est donc la haute saison pour les sports d’hiver
dans l’hémisphère nord – et grâce aux données de localisation de mon
téléphone et aux informations d’adresse de mon profil, Instagram sait
bien que j’y réside. Des médicaments contre la toux : J’ai fait ce test en décembre
2019. Effectivement, je toussais un peu. Ceci dit, c’était aussi le cas
de bien des gens. Encore une fois, c’était la haute saison pour ce type
de médicaments. D’ailleurs, on pouvait également voir des publicités
pour les médicaments contre la toux à la télévision durant la même
période. Je ne pense pas que les publicités télévisées nous ciblent en
fonction de ce que nous disons en ligne. Pour l’instant, du moins. Les voitures Volkswagen : J’ai 38 ans, j’ai une jeune famille
et j’aime le plein air. Je corresponds au profil démographique de la
clientèle potentielle de VW.
Le test : Deuxième partie
J’ai ensuite éteint mon microphone pendant deux semaines dans
Instagram et j’ai reçu des publicités de la part des personnes
suivantes :
A bière HopHouse;
Des sacs de voyage pour le snowboard;
Une sélection de plateaux de fromage du supermarché Morrisons;
Des chaussures Nike;
Du chocolat Cadbury.
Les sacs de voyage pour le snowboard sont similaires à ceux que
j’avais avant. La bière Hophouse, le plateau de fromage du supermarché
et le chocolat Cadbury sont plus probablement explicables par le fait
que ce test a été effectué deux semaines avant Noël. Le cas des
chaussures Nike est intéressant, car j’ai récemment acheté des
chaussures Nike en ligne. J’imagine donc que ces données ont été
recueillies sur les différents appareils avec lesquels j’ai consulté les
pages de chaussures Nike tout en étant connecté à Facebook
Ce dont nous sommes conscients, c’est que ces entreprises en savent
beaucoup sur nous. Leurs algorithmes sont le moteur de leur activité et
les rendent rentables. Les algorithmes ne sont pas là pour nous
rassembler; ils existent simplement pour faire de l’argent et développer
des cibles qui se manifestent par de la publicité micro ciblée. Ils ne sont pas légalement autorisés à nous écouter à notre insu,
mais cela peut sembler être le cas avec d’innombrables exemples de
personnes essayant de « démontrer » que nous sommes sous écoute.
Certaines personnes prétendent que cela ne les dérange pas, mais
d’autres y voient une atteinte à leur vie privée.
Soulignons qu’Amazon propose aux usagers de choisir de faire écouter
leurs conversations par son service Alexa afin de leur offrir des
publicités plus adaptées.
Qui a accès à quelles données?
Mais selon moi, la question centrale demeure : Les géants des médias
sociaux sont-ils capables de lire ce que nous écrivons dans les
applications de messagerie WhatsApp, Facebook Messenger et Instagram
Direct Messages? Ces applications appartiennent toutes à Facebook, la
question pourrait donc être soulevée. Bien que les messages transmis par
ces services soient chiffrées, afin de protéger les utilisateurs contre
l’écoute par des tiers (tels que les forces de l’ordre ou les
gouvernements autoritaires), les opérateurs de services peuvent-ils
quant à eux lire le contenu des messages pour mieux cibler les
publicités sur leurs utilisateurs?
Quoi qu’il en soit, on se doit de reconnaître que chacun de ces
algorithmes ont des capacités exceptionnelles. Personne ne sait
exactement comment ils fonctionnent, ni ce qu’ils savent vraiment sur
nous. Une chose est sûre : ils capturent une tonne de données
pertinentes, clés et personnalisées, et cela représente des millions de dollars pour eux. N’oubliez pas que si vous obtenez tous ces produits gratuitement, c’est que le produit est probablement vous.
L’un des arguments de vente majeurs d’Apple est le respect de votre confidentialité
: la firme aime le rappeler dans ses campagnes marketing, et de
nombreux utilisateurs lui font confiance en faveur de ce positionnement.
Bien que discuté par l’Europe et les États-Unis, ce point positif est en effet crucial à l’heure où la vie privée est de plus en plus bafouée par les GAFAM.
Malgré
tout, les risques existent toujours, et même Cupertino se retrouve
parfois face à des menaces sérieuses qui pourraient être à l’origine de
fuites de données sensibles chez certains consommateurs. En témoignent
notamment les brèches qui ont touché Safari et Mail il y a quelques semaines.
Quels appareils sont concernés ?
C’est
lors d’une conférence RSA que la nouvelle a été annoncée. Pendant
l’événement qui se tenait ce mercredi, des chercheurs en cybersécurité
ont ainsi précisé que des puces Wi-Fi venant de chez Broadcom et
Cypress Semiconductor ont été mises en cause dans un incident, qui lui
date de l’an dernier. Il a depuis été résolu, lors des mises à jour 13.2
d’iOS et 10.15.1 de macOS, toutes les deux sorties en octobre. Parmi
les produits Apple qui étaient alors vulnérables, car faisant appel à
ces sous-traitants, on compte :
les iPhone 6, 6s, 8 et XR
l’iPad mini 2
le MacBook Air de 2018
Ces
composants ont de toute manière été abandonnés depuis par le fabricant.
On suppose par ailleurs que l’iPhone 12, prévu pour le troisième
trimestre à en croire les rumeurs les plus persistantes, ait adopté un autre modem issu des usines de Qualcomm, un des fondeurs les plus prolifiques de la génération smartphone.
Pourquoi le passage des futurs Mac sur ARM pourrait changer la donne
Technologie : Certaines
rumeurs indiquent qu'Apple pourrait bientôt commercialiser un Mac basé
sur un chipset ARM. Voilà pourquoi cela pourrait intéresser les
aficionados de la marque à la pomme.
Par
Charles McLellan
|
Modifié le
Libellés
apple, ARM, intel, TSMC, cpu, chipset,
Un faisceau de rumeurs diffusées par la presse fait actuellement état d'un projet d'Apple qui pourrait commencer à utiliser des processeurs ARM
dans ses Mac à partir du premier semestre 2021. La transition des
processeurs n'est pas nouvelle pour Apple. En 1994, le géant américain a
fait passer le Mac de sa plateforme originale Motorola série 68000 à
des puces PowerPC de l'alliance AIM (Apple-IBM-Motorola). Puis, en 2006,
le Mac a de nouveau changé de plateforme, passant de PowerPC à Intel,
une situation qui prévaut encore aujourd'hui.
Des rumeurs font état depuis un certain temps d'une adoption des
chipsets ARM par les futurs Mac d'Apple. Celles-ci ont encore pris
davantage de corps avec l'embauche l'an dernier du concepteur de puces
de pointe de ARM, Mike Filippo, qui a également travaillé pour Intel et
AMD.
Apple conçoit et fabrique actuellement (via TSMC) ses propres puces
basées sur l'ARM pour les iPhone et les iPad, les dernières étant le A13
Bionic 7 nm (iPhone 11, 11 Pro, 11 Pro Max) et le A12X Bionic (iPad Pro
11 pouces, iPad Pro 12,9 pouces de troisième génération). La prochaine
génération de puces 5 nm de TSMC devrait être produite en série en 2020.
Les puces Apple T-series à base d'ARM sont déjà utilisées dans les Mac.
publicité
Un ensemble applicatif plus large
Du côté des logiciels, Apple s'efforce de faciliter le portage des
applications iPad sur MacOS grâce à son projet Catalyst, annoncé l'année
dernière lors du WWDC. Actuellement, ce projet propose un nouveau
SDK Xcode qui permet de sélectionner une case à cocher "Mac" pour
convertir une application iPad existante en une application MacOS native
avec des fonctions de bureau et de fenêtrage et des commandes tactiles
adaptées à la saisie au clavier et à la souris.
L'objectif final est de prendre en charge les transitions de MacOS à
iOS également, en créant des applications "universelles" qui peuvent
fonctionner sur les deux systèmes d'exploitation avec un minimum de
tracas pour les développeurs et les utilisateurs.
Des fuites font aujourd'hui état d'un « nouvel iPhone 2H20 5G, un
nouvel iPad 2H20 équipé de mini LED, et un nouveau Mac 1H21 équipé du
processeur de conception propre ». Ce nouveau Mac basé sur la
technologie ARM sera probablement un appareil relativement bas de gamme
– peut-être un MacBook Air mis à jour – tandis que les Mac haut de gamme
de niveau professionnel resteront basés sur Intel pendant un certain
temps. Personne ne s'attend à ce qu'un processeur Arm conçu par Apple
puisse offrir des performances équivalentes à celles du Xeon W à
28 cœurs du nouveau Mac Pro.
Microsoft, bien sûr, a déjà fait le choix du x86 d'ARM – d'abord avec
Windows RT, et maintenant avec Windows 10 ARM. Windows RT a échoué
parce qu'il ne pouvait exécuter qu'une sélection limitée d'applications
Windows Store natives – ce que Windows 10 basé sur ARM a partiellement
corrigé en prenant également en charge les applications de bureau x86
32 bits (mais pas 64 bits) sous émulation.
Une violation de données au ministère de la Défense américain
Sécurité : La DISA a révélé
que les informations personnelles de ces employés ont été exposés
pendant plusieurs mois l'an dernier, sans donner plus de détails.
La DISA (Agence de défense des systèmes d'information), une agence du
ministère de la Défense chargée de fournir des télécommunications
sécurisées et un soutien informatique à la Maison Blanche, aux
diplomates américains et aux troupes militaires, a révélé une violation
de données.
Les employés de la DISA ont reçu la semaine dernière des lettres les
notifiant de cet incident de sécurité, révélant qu'il a eu lieu entre
mai et juillet 2019, à cause d'un système de la DISA qui « a pu être
compromis ». La DISA affirme que les informations personnelles des
employés, y compris les numéros de sécurité sociale, ont été exposées
pendant cette période, mais n'a pas précisé combien d'entre eux ont été
touchés.
publicité
L'agence n'a pas fourni d'autres détails sur cet incident, mais elle
avait déjà prévenu avant même l'envoi de la lettre qu'aucune preuve ne
suggérait que les données personnelles des employés avaient été
utilisées de manière abusive. D'après Reuters,
qui a eu vent de cette lettre ce jeudi, la DISA emploie environ
8 000 employés, militaires et civils. La DISA offre désormais une
surveillance gratuite à tous ceux qui ont été touchés, conformément à la
législation américaine.
C'est la deuxième violation de données révélée par le ministère de la
Défense américain ces deux dernières années. En octobre 2018, plus de
30 000 membres du personnel militaire et civil du ministère avaient vu
leurs données personnelles et financières exposées, à cause d'une faille
de sécurité chez un prestataire externe.
En 2018, quatre des plus grands éditeurs de mangas du Japon ont déposé une requête auprès d'un tribunal de Tokyo exigeant que Cloudflare cesse de fournir des services à plusieurs sites `` pirates '', y compris Hoshinoromi, le remplaçant de Mangamura. Les sociétés révèlent désormais qu'un accord a été conclu avec Cloudflare pour "arrêter la réplication" des sites sur ses serveurs basés au Japon, si un tribunal les déclare illégaux.
En tant que plus grand service d'atténuation CDN et DDoS de la planète, Cloudflare fournit des services à des millions de sites Web.
Une infime proportion de ces sites se trouvent dans les radars des sociétés de divertissement et d'édition, car ils proposent directement des liens vers des copies non autorisées d'œuvres protégées par le droit d'auteur ou y sont liées. En conséquence, Cloudflare subit une pression presque continue de cesser de faire affaire avec ces entités.
Comme indiqué pour la première fois ici sur TF en septembre 2019, les éditeurs japonais Shueisha, Kadowaka, Kodansha et Shogakukan ont poursuivi le site `` pirate '' Hoshinoromi devant un tribunal fédéral de New York. La plate-forme, qui s'est positionnée en remplacement du site pirate auto-fermé Mangamura, a été accusée de "violation délibérée et massive" des droits d'auteur des éditeurs.
Cette affaire est toujours en cours et selon un dossier déposé la semaine dernière (pdf), les éditeurs ont beaucoup de mal à identifier et à servir les accusés, ont donc besoin d'une prolongation. Cloudflare a également été mentionné dans cette action en justice et il s'avère maintenant que les mêmes éditeurs avaient précédemment ciblé la société CDN devant un tribunal japonais en 2018.
Comme pour d'autres poursuites au Japon, les détails sont flous. Cependant, selon une déclaration conjointe publiée à la fin de la semaine dernière, Shueisha, Kadowaka, Kodansha et Shogakukan ont déposé une requête auprès du tribunal de district de Tokyo en août 2018, exigeant que Cloudflare cesse de fournir des services à plusieurs plates-formes `` pirates '', Hoshinoromi inclus. En raison de la mise en cache, cela équivalait à Cloudflare fournissant au public du contenu contrefait, ont-ils soutenu.
Pour des raisons qui semblent liées au cas en cours aux États-Unis, ils ont attendu jusqu'à présent pour révéler une sorte de règlement avec Cloudflare. Il aurait été atteint en juin 2019 et semble dépendre de la question de savoir si un tribunal détermine que les sites «pirates» en question portent atteinte au droit d'auteur et sont donc illégaux.
La déclaration des éditeurs indique que lorsque les sites "pirates" utilisant Cloudflare sont consultés par des utilisateurs au Japon, la plupart de ces utilisateurs y accèdent via les serveurs situés au Japon sur Cloudflare. Donc, si le tribunal de district de Tokyo décide que les sites sont illégaux, Cloudflare aurait accepté d’arrêter la réplication des sites sur les serveurs de Cloudflare au Japon.
Au moins en partie, l'annonce est conçue pour être un avertissement aux autres sites "pirates" qui pourraient envisager d'utiliser les services de Cloudflare pour améliorer la disponibilité et l'accessibilité générale. Reste à savoir si cela fera une grande différence sur le terrain.
Alors que cette question particulière semble être réglée, Cloudflare a été poursuivi en décembre dernier par Takeshobo, un autre éditeur majeur basé au Japon qui distribue des dizaines de publications de mangas, dont beaucoup sous le label Bamboo Comics.
L'éditeur a déclaré qu'il avait été contraint de poursuivre Cloudflare parce que les avis de retrait envoyés à la société CDN concernant un site "pirate" sans nom avaient été ignorés, permettant au matériel contrefait de rester en ligne via les services de Cloudflare. Les progrès dans ce cas particulier sont inconnus, mais le règlement avec Shueisha, Kadowaka, Kodansha et Shogakukan pourrait fournir une solution possible pour Takeshobo.
Cloudflare est évidemment extrêmement prudent face à des poursuites similaires, insistant toujours sur le fait qu'en tant que fournisseur de services, il n'est pas responsable des activités de ses utilisateurs. La semaine dernière, cependant, les effets d'une décision rendue en décembre par un tribunal allemand ont vu Cloudflare déconnecter la plate-forme musicale pirate DDL-Music sous la menace de lourdes amendes.
Technologie : Une récente
étude met en lumière une nouvelle faille de sécurité sur les réseaux 4G.
Celle-ci faciliterait l'usurpation d'identité des possesseurs de
smartphones ou d'objets
Nouveau signal d'alarme pour les réseaux 4G/LTE. Selon une nouvelle étude publiée récemment par l'université allemande de Bochum,
une faille de sécurité sur ces réseaux pourrait être exploitée pour
souscrire des abonnements ou des services de site web payants aux frais
de quelqu'un d'autre.
Cette faille permettrait de fait l'usurpation d'identité des
utilisateurs de smartphone, en donnant aux attaquants le pouvoir de
« démarrer un abonnement aux frais d'autrui ou de publier des documents
secrets de l'entreprise sous l'identité de quelqu'un d'autre ».
Cette attaque, baptisée IMP4GT,
toucherait « tous les appareils qui communiquent avec le LTE », ce qui
inclut « pratiquement tous » les smartphones, les tablettes et certains
appareils connectés. Les systèmes radio reposant sur une architecture
logicielle sont un élément déterminant de cette attaque. Celle-ci serait
ainsi capable de lire les canaux de communication entre un appareil
mobile et une station de base et donc de tromper un smartphone en lui
faisant considérer que la radio est la station de base pour mieux duper
le réseau en traitant la radio comme le téléphone mobile.
publicité
La voie ouverte à l'usurpation d'identité
Une fois que ce canal de communication est compromis, il est temps de
commencer à manipuler les paquets de données envoyés entre un appareil
4G et une station de base. « Le problème est le manque de protection de
l'intégrité : les paquets de données sont transmis chiffrés entre le
téléphone mobile et la station de base, ce qui protège les données
contre les écoutes », expliquent les chercheurs à l'origine de cette
étude.
Pour eux, « il est possible de modifier les paquets de données
échangés. Nous ne savons pas ce qui se trouve où dans le paquet de
données, mais nous pouvons déclencher des erreurs en changeant les bits
de 0 à 1 ou de 1 à 0 ». Autant d'erreurs qui peuvent alors forcer un
téléphone mobile et une station de base à décrypter ou chiffrer les
messages, en convertissant les informations en texte clair ou en créant
une situation dans laquelle un attaquant est capable d'envoyer des
commandes sans autorisation. Seul bémol : les attaquants doivent se
trouver à proximité de leur victime pour être capable d'utiliser cette
technique.
Reste que le jeu en vaut la chandelle : la faille permettrait en
effet à ceux qui l'exploitent d'acheter des abonnements ou de réserver
des services en adressant simplement la facture à leur victime. Elle
pourrait même avoir des conséquences beaucoup plus dommageables pour les
forces de l'ordre en ouvrant la porte à des faits d'usurpation
d'identité. « Par exemple, un attaquant pourrait télécharger des
documents classés d'une entreprise en faisant reposer la faute de cette
intrusion sur la victime, qui serait auteure de l'infraction aux yeux de
son opérateur comme des autorités », précisent les auteurs de cette
étude.
Des réseaux 4G faillibles
Seule défense connue à ce jour : changer purement et simplement
d'équipement radio, ce qui devrait se révéler compliqué alors que les
opérateurs commencent tout juste à déployer leurs réseaux, dont une
grande part repose encore sur les réseaux 4G existants.
« Les opérateurs de réseaux mobiles devraient accepter des coûts plus
élevés, car la protection supplémentaire génère plus de données pendant
la transmission », explique l'un des auteurs de l'étude, qui sera présentée lors du Network Distributed System Security Symposium
qui se tiendra ce mardi à San Diego. De la même façon, « ;tous les
téléphones mobiles devraient être remplacés et la station de base
élargie », notent les auteurs de cette étude, qui doutent fortement de
la probabilité d'une telle débauche de moyens dans le contexte actuel.
Rappelons que d'autres failles ont été découvertes ces dernières
années sur les réseaux 4G. Il y a quelques années, une étude menée par
la même université allemande avait ainsi mis en évidence les faiblesses
de la sécurité de la 4G, en démontrant que celle-ci pourrait être
utilisée de manière abusive pour suivre les visites de sites web et pour
réaliser des attaques de type "Man-in-The-Middle" (MiTM) afin de
rediriger les victimes vers des domaines malveillants. Autant de failles
causées par l'incapacité de la 4G à vérifier les charges utiles
chiffrées transmises par les flux de données, relevaient déjà les
auteurs de l'étude.
Technologie : Vous êtes-vous
déjà demandé combien de fois votre enceinte intelligente s'active sans
le vouloir ? Une étude de la Northeastern University a tenté de le
découvrir.
Personne n'aime que des étrangers s'immiscent dans une conversation.
Surtout lorsqu'ils ont tendance à interrompre sans prévenir. Une étude
estime que les enceintes intelligentes s'activent, alors même que vous
ne les avez pas appelées, entre 1,5 et 19 fois par jour. Le temps moyen
d'activation est de 43 secondes, ce qui signifie que 43 secondes de vos
conversations peuvent être enregistrées et transmises au siège du
fabricant.
Les chercheurs sont arrivés à ces conclusions en utilisant des séries
pour étudier lesquelles – sans raison évidente – ont activé Alexa (et
d'autres) de manière aléatoire.
publicité
19 séries et 125 heures de diffusion
L'étude aurait pu être menée en utilisant simplement du vocabulaire
varié pour parler aux enceintes. Mais cela aurait pris beaucoup de
temps, et aurait été probablement incomplet. D'où l'idée d'utiliser des
séries télévisées très populaires aux Etats-Unis, appartenant à des
domaines très différents, comme Grey's Anatonmy, The Big Band Theory ou
encore Narcos, qui contiennent un très large choix de vocabulaire.
Les chercheurs ont diffusé 125 heures de programmation télévisée pour
mener cette étude, et ont bien sûr pris soin d'écarter les moments où
l'enceinte s'est réveillée parce que le mot d'activation était
effectivement prononcé. Ils ont examiné cinq enceintes intelligentes :
Google Home Mini première génération, Apple HomePod première génération,
Harman Kardon Invoke de Microsoft, quelques haut-parleurs Amazon Echo
Dot deuxième génération, et quelques haut-parleurs Amazon Echo Dot
troisième génération.
Dis Siri, tu nous écoutes ?
La pire d'entre elles ? Siri, bien sûr.
Siri n'est pas très douée pour comprendre la plupart des choses. Qui
peut s'étonner que des mots choisis au hasard à la télévision la fasse
réagir ? Et nous parlons vraiment de mots aléatoires. Siri s'active en
entendant "Faith's funeral" ("l'enterrement de Faith") et Alexa croit
qu'on l'appelle quand elle entend "congresswoman" ("membre du Congrès").
L'assistant de Google Home Mini réagit à la phrase "I don't like the
cold" ("je n'aime pas le froid"). Quant à Cortona, elle confond son nom
avec "Colorado".
Que sommes-nous censés faire face à cela ? Espérer que nos
conversations susceptibles d'être enregistrées par inadvertance soient
si banales que personne ne pourra les utiliser contre nous ? La semaine
dernière, Robert Frederick, un ancien directeur d'Amazon Web Services, a déclaré à la BBC que pour avoir une vie privée, il a la solution : il éteint simplement Alexa.
Sécurité : Des pirates ont
trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette
faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire
des achats en ligne.
Depuis vendredi dernier, des utilisateurs déclarent avoir vu des
transactions mystérieuses apparaître dans leur historique PayPal,
provenant de Google Pay. Ces problèmes ont été signalés sur de
nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des
forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google
Pay sur des achats qui utilisent leur compte PayPal lié. D'après les
captures d'écran et divers témoignages, la plupart des transactions
illégales ont lieu dans des magasins américains, et notamment dans les
magasins Target. La plupart des victimes semblent être des utilisateurs
allemands. Les dommages sont estimés à plusieurs dizaines de milliers
d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal
a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de
commentaire au moment où cet article est publié.
publicité
La théorie d'un chercheur en sécurité allemand
Sur Twitter,
un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce
mardi que les transactions illégales signalées ce week-end semblent être
liées à une faille de sécurité qu'il a signalé, avec son collègue
Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé
prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le
problème vient du fait que lorsque vous liez un compte PayPal à un
compte Google Pay, PayPal crée une carte virtuelle, avec son propre
numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un
utilisateur de Google Pay choisit d'effectuer un paiement sans contact
en utilisant les fonds de son compte PayPal, la transaction est facturée
via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur
les paiements en point de vente physique, il n'y aurait aucun problème.
Mais PayPal permet d'utiliser cette carte virtuelle pour les
transactions en ligne également », détaille-t-il à ZDNet lors d'une
interview. Il pense que les pirates ont trouvé un moyen de trouver les
informations de ces cartes virtuelles et qu'ils les utilisent pour
effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les
informations d'une carte virtuelle. La première, c'est de les lire
depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant
un malware infectant l'appareil de la victime. Et la troisième, en les
devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le
numéro de la carte et la date de validité prendra environ un an, ce qui
fait un espace de recherche plutôt restreint », précise Markus Fenske.
Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est
accepté ».
PayPal enquête
Malgré tout, Markus Fenske est le premier à dire que son collègue
Andreas Mayer ne font que des suppositions sur les réelles causes de
l'attaque – bien que les détails semblent bien correspondre au bug
qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une
enquête sur les transactions non autorisées dès que ZDNet les a contacté
il y a quelques heures. Les équipes envisagent plusieurs scénarios, et
ils ont pris en compte notamment celui de l'attaque décrite par les
chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue
dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet.
« Nous vérifions cette information et nous prendrons toutes les mesures
appropriées et nécessaires pour protéger davantage nos clients. »
