Zoom: Beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes:

Zoom: Beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes:

Est-ce que l'application Zoom est un malware ?

 

 

 

 

 

 

 

 

Libellés

zoom, Messenger, facetime, conférence, video,

 

 

 

 

Stan Joe, Tests et validation logiciel (2008-présent)

Ce qui est inquiétant, c'est que cette application ne permet pas de garantir la confidentialité des échanges :

• Utilisation d'une clé de 128bits quand le minimum de 256 est recommandé à l'heure actuelle.
• Utilisation du chiffrement AES en utilisant un algorithme ECB (Electronic Codebook) qui est considéré comme le pire des modes disponibles de l'AES.
• Certains des systèmes de gestion des clés de chiffrement (5 sur 73 d'après Citizen Lab) semblent être situés en Chine.
• De plus, Zoom n'utilise pas un cryptage de bout en bout de la chaîne.

Cela fait beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes et par des cabinets ministériels en cette période de crise[1].

Sécurité

Selon le site officiel, Zoom utilise le chiffrement Advanced Encryption Standard 256 bits (AES 256)⁴⁵.
En novembre 2018, une vulnérabilité de sécurité (CVE -2018-15715) a été découverte qui permet une attaque à distance qui permet d'usurper les messages d'un partIcipant à une réunion.
En juillet 2019, le chercheur en sécurité Jonathan Leitschuh a révélé⁴⁶ une vulnérabilité zero-day permettant à n'importe quel site Web de joindre de force un utilisateur macOS à un appel Zoom, avec sa caméra vidéo activée, sans l'autorisation de l'utilisateur. De plus, les tentatives de désinstallation du client Zoom sur macOS permettrait au logiciel de se réinstaller automatiquement en arrière-plan, en utilisant un serveur Web caché qui a été configuré sur la machine lors de la première installation et qui est resté actif même après avoir tenté de supprimer le client. Après avoir reçu des critiques publiques, Zoom a mis à jour son logiciel pour supprimer la vulnérabilité et le serveur Web caché, permettant ainsi une désinstallation complète⁴⁷.
En mars 2020, le New York Times révèle que le procureur général de New York examine les pratiques de confidentialité de Zoom et l'a sollicité sur certains points dont sa lenteur à résoudre des problèmes de sécurité (vulnérabilités pouvant permettre l'accès aux webcams) et sa politique de confidentialité des données (partage des données avec Facebook)⁴⁸. Ce cadre, lié à la confidentialité et la sécurité de l’application, entraînent plusieurs gouvernements et entreprises à interdire, en avril 2020, l’utilisation de l’application⁴⁹.
En raison de la popularité grandissante de Zoom due à l’épidémie de COVID-19, des cybercriminels ciblent les utilisateurs avec des attaques de phishing. 3 300 nouveaux noms de domaines contenant le mot zoom ont été enregistrés, dont 2 200 en mars¹⁷.

 REF.:

Notes de bas de page

[1] Zoom’s Encryption Is “Not Suited for Secrets” and Has Surprising Links To China, Researchers Discover

Les services pour faire des appels vidéos de groupe gratuitement

 

 

 

Libellés

video, appel, Messenger, FaceTime sur iOS,

 

 

 

Vous cherchez une alternative à Zoom, en raison de ses problèmes de sécurité? Vous êtes au bon endroit. Voici une dizaine de services (FaceTime, Skype, Jitsi, Zoho…) qui peuvent remplacer Zoom pour faire des appels vidéos de groupe, autant pour les conversations personnelles que professionnelles.

Zoom

Zoom a connu au cours des dernières semaines une croissance impressionnante en raison de son efficacité et de sa simplicité d’utilisation. Mais plusieurs failles de sécurité ont été découvertes. Il faudra en tenir compte si on veut utiliser le services pour des conversations confidentielles ou le travail. Toutefois, certains problèmes ont déjà été corrigés, et la compagnie promet de faire mieux et d’offrir des mises à jour régulières.
Avec Zoom, on peut faire des appels vidéos avec jusqu’à 100 personnes à la fois, gratuitement, pendant 40 minutes. Au-delà, un abonnement mensuel abordable est nécessaire pour l’organisateur de la réunion.
Ajout: pensez à changer votre mot de passe d’utilisateur, plusieurs circulent sur le web en raison d’une fuite de données.

FaceTime

FaceTime permet de faire des appels à plusieurs, gratuitement avec jusqu’à 32 personnes. On peut lire comment faire sur le site d’Apple. Énorme inconvénient: FaceTime ne fonctionne qu’avec les appareils Apple (Mac, iPad, iPhone).
Oui, il existe des émulateurs et des logiciels qui promettent la compatibilité Windows. Question de sécurité, je ne toucherais pas à ça, même avec un long bâton!
Est-ce qu’Apple va un jour ouvrir FaceTime aux autres plateformes, comme promis lors de son lancement?

Duo de Google

On peut aussi utiliser Duo de Google, qui permet de voir qui appelle avant de répondre, pour communiquer même à ceux qui n’ont pas d’iPhone; on peut aussi faire un appel de groupe (instructions de Google). Comme pour FaceTime, les appels Duo sont codés de bout en bout; personne ne peut écouter la conversation chez Google.

Messenger de Facebook

Tout le monde a un compte Facebook dans le groupe?

Tout le monde à un compte Facebook dans le groupe? On pourra faire un appel vidéo à plusieurs avec Messenger, gratuitement et sans limite de temps. Pour les ordinateurs Mac ou Windows, il faudra télécharger l’application. Les instructions sont ici. Mais l’option est un peu moins sécuritaire: elle n’est pas codée de bout en bout, même si Facebook y travaille.

Skype de Microsoft

Le bon vieux service Skype de Microsoft permet de faire appels vidéos avec jusqu’à 50 personnes gratuitement. Si on utilise le navigateur Chrome ou Edge, on pourra démarrer des réunions vidéos en un clic à partir d’une page web, sans inscription ni installer d’application. Pour les malentendants, on peut afficher des sous-titres – une transcription instantanée – de ses conversations dans l’écran, même une traduction! On peut utiliser Skype sur presque toutes les plateformes, incluant sa Xbox et Linux. Pour avoir une conversation codée de bout-en-bout, il faudra activer l’option « conversation privée ».
Le service fonctionne aussi très bien pour faire des appels téléphoniques à des prix ridiculement bas.

Google Meet

Le service de chat professionnel de Google, anciennement Google Hangouts. Il est sécuritaire, et maintenant offert gratuitement.

Houseparty

Houseparty, pour les appels vidéos… Et jouer en groupe!

Houseparty, du créateur de jeux vidéos Epic Games (le créateur de Fortnite), est un réseau social et une application de chat vidéo qui connaît aussi une hausse de popularité, particulièrement chez les jeunes. Elle permet de faire des appels vidéos avec jusqu’à 8 personnes, et de jouer en groupe a des jeux simples.
Pour jouer tranquille en famille ou entre amis, il faut penser à verrouiller notre salle de jeu si on ne veut pas que d’autres ne s’y invitent!

All Houseparty accounts are safe – the service is secure, has never been compromised, and doesn’t collect passwords for other sites.

— Houseparty (@houseparty) March 30, 2020

Epic Games offre une récompense d’un million de dollars pour trouver qui est derrière la campagne de salissage comme quoi le jeu avait été piraté.

Whatsapp

Très populaire en Europe et en Asie, on peut faire avec Whatsapp des appels vidéo avec 4 personnes. Les communications sont codées de bout en bout.

Zoho Meeting

Zoho Meeting se compare très favorablement à Zoom, mais avec une sécurité plus solide. Elle permet d’organiser des conférences vidéos, mais aussi des webinaires facilement. Il n’en coûte que 10 USD pour faire des appels allant jusqu’à 100 personnes sans limites de temps.
Si vous cherchez une alternative à Office pour travailler et collaborer à distance, prenez la peine d’explorer la suite de logiciels de Zoho, c’est impressionnant.

Jitsi Meet, à code ouvert

Jitsi Meet, une alternative libre et gratuite à Zoom

Une autre solution qui a le vent dans les voiles en ce moment: Jitsi Meet. C’est un logiciel à code ouvert, gratuit, sécuritaire, avec lequel on peut faire des conversations vidéos d’une durée illimitée à plusieurs (jusqu’à 75 pour l’instant). Et il n’est pas nécessaire de créer un compte! On peut utiliser le service avec une application iOS ou Android, avec Linux, et il est optimisé pour le navigateur Chrome.
Il est même possible d’installer son propre serveur Jitsi pour en avoir le plein contrôle.

Signal, le choix d’Edward Snowden

On peut faire des appels vidéo avec l’application Signal, axée sur la sécurité du transfert des données. La fonction ne permet pour l’instant que des appels un à un, et ne fonctionne que sur appareils mobiles.
Si la sécurité de Signal est suffisante pour le lanceur d’alerte Edward Snowden, elle doit être pas mal!

Des options à surveiller ou à découvrir

Je découvre chaque jour de nouveaux services d’appels vidéo et de réunions de groupe. En voici d’autres.

• Berrycast, une solution québécoise, dont le site n’est pour l’instant qu’en anglais.
• Around, un service en beta qui promet de faire des appels vidéo de nouvelle génération (next-gen video calling), avec cadrage intelligent et améliorations sonores.
• Whereby, une solution axée sur le télétravail
• Discord, conçue pour les gamers, avec une option pour détecter et diminuer les bruits de fond.

Solutions de chat vidéo pour un usage professionnel

Pour faire des appels vidéos de groupe professionnels, il peut être plus sécuritaire de considérer une solution pensée pour entreprise. Elles offriront plus de possibilités et de sécurité! En voici quelques-unes…

• Microsoft Teams
• Workplace, de Facebook
• Webex
• Reacts, spécialisé pour les professionnels de la santé
• Zoho Meeting (voir plus haut)
• BlueJeans (avec Dolby Voice)

Quel service d’appel vidéo choisir pour remplacer Zoom?

Dur à dire. L’important est de trouver un service compatible avec le maximum de gens qu’on veut intégrer à la réunion. Est-ce qu’ils utilisent un ordinateur? Leur téléphone? Est-ce qu’on veut faire des conversations à 10, 20, 150 personnes? Est-ce que la sécurité est une priorité? Il sera peut-être nécessaire d’essayer quelques services pour déterminer celui qui convient le mieux!
Si vous avez deux minutes, pensez à montrer à vos proches qui sont moins à l’aise avec la technologie comment faire des appels vidéos. C’est une belle façon de rester en contact pendant le confinement!

REF.:

PS5 : tout ce qu’il faut savoir sur la DualSense, la nouvelle manette de Sony

par Edouard le Ricque, le 8 avril 2020 02:39

Libellés

console, jeux, PS5, DualSense, manette,

Ne l’appelez plus Dualshock 5, mais DualSense. Sony vient de dévoiler la manette de sa PS5 ainsi que son nom. Ce nouveau périphérique ressemble à un croisement entre une DualShock 4 et une manette de Xbox One, mais c’est bien par ses fonctions qu’elle se différencie.

La DualSense intégrera une multitude de nouvelles fonctionnalités, incluant un retour haptique, des gâchettes améliorées, un micro intégré et un bouton mystérieux nommé « Create ».
Sony a dévoilé la manette de la PS5 dans une publication postée sur son blog. Hideaki Nishino, vice-président en charge du produit au niveau monde chez Sony Computer Entertainment, y explique ce qui distingue la DualSense des manettes des autres consoles Sony.

« Nous voulons que les joueurs ressentent la DualSense comme une extension d’eux-mêmes lorsqu’ils jouent, jusqu’à oublier qu’elle est dans leurs mains. »
Hideaki Nishino, vice-président en charge du produit chez SCE

A quoi ressemble le design de la manette PS5 ?

Tout d’abord, il y a le design qui ressemble plus à celui d’une manette de Xbox ou du Controller Pro de la Switch qu’aux lignes de la DualShock 4 de la PS4. La DualSense possède de larges poignées, ce qui augure une bonne prise en main. Son plateau semble allongé également, la distance entre la croix directionnelle et les boutons de tranche paraissant plus longue. Comme la DualShock 4, la DualSense arbore un pavé tactile en son centre haut, pile au-dessus des deux sticks analogiques.

PS5, PS5 Pro : date de sortie, prix, design, performances, on vous dit tout

Ceux-ci ne bougent pas non plus et demeurent parallèles. Marque de fabrique des manettes Sony, on adhère ou pas. Une construction décalée, comme les manettes Xbox, est à notre sens plus ergonomique. Cependant, Hideaki Nishino affirme être passé par de nombreux prototypes avant d’arriver à ce résultat. « La DualSense a été testée par un panel de gamers avec différentes tailles de main, afin d’atteindre le meilleur confort de prise en main et une bonne ergonomie. Nous voulons que les joueurs ressentent la DualSense comme une extension d’eux-mêmes lorsqu’ils jouent, jusqu’à oublier qu’elle est dans leurs mains. »

Sony PS4 Pro 1 To

399,99€ > Micromania

Mais outre ses formes nouvelles pour Sony, ce qui frappe en premier c’est sa finition. Habituellement, les DualShock sont sobrement noires pour le lancement d’une nouvelle PlayStation. Ici, Sony a fait le choix de la proposer en bi-ton, noir et blanc. Hideaki Nishino ne détaille pas ce point, précisant simplement que « nous avons pris une autre direction cette fois-ci ».

La PS5 est meilleure que la Xbox Series X selon un ingénieur de Crytek

La DualSense inaugure un bouton « Create »

Concernant la disposition des boutons, c’est à peu près la même chose que sur une DualShock 4. On s’aperçoit uniquement que le bouton « Share » a disparu, remplacé par le fameux bouton « Create » à gauche du touchpad. Sony explique qu’il le détaillera plus par la suite. Étant donné que la PS5 aura au moins autant d’options de partage de photos et vidéos que la PS4, on imagine que ce bouton Create aura le même usage que l’ancien Share, voire même plus.

Vibrations élaborées et gâchettes adaptatives

Plus intéressant encore, le retour haptique de la manette. Sur la DualShock 4, vous pouvez ressentir les vibrations en fonction des actions réalisées en jeu. Une fonctionnalité éculée dont on dispose depuis la DualShock 2 de la PS2. Sur ce point, Nintendo a innové avec les Joy-Cons de la Switch, lesquels renferment des moteurs qui peuvent vibrer de plein de manières différentes avec précision. Ces vibrations HD, c’est ce vers quoi on tend avec la DualSense si l’on comprend bien Sony. Hideaki Nishino promet en ce sens « une variété de sensations puissantes… telle que la granularité du terrain lorsque l’on conduit une voiture sur une route boueuse. »

Les gâchettes L2 et R2 ont aussi été retravaillées et sont qualifiées de « gâchettes adaptatives ». Elles seront en mesure d’ajuster la tension en fonction de l’action réalisée dans un jeu, comme encocher une flèche sur un arc. Plus on tendra l’arc dans le jeu et plus la course de la gâchette se durcira.
La note de Sony s’achève par une citation du patron de Sony Interactive Entertainment, maison-mère de PlayStation. Jim Ryan rappelle que le lancement de la PS5 est toujours prévu pour la fin de l’année. Il affirme également que le design de la PS5 sera dévoilé « dans les prochains mois ».
En ce sens, il balaie d’un revers de la main les allégations de surchauffe de la PS5 qui obligerait Sony à revoir le design de sa console à quelques mois de sa sortie. Un problème évoqué récemment par des développeurs relayés par Daniel Rubino de Windows Central. Mark Cerny, responsable du développement de la console, a aussi pris la parole suite à cet épisode afin de clarifier la situation et expliquer que la console ne surchauffait pas et que la température extérieure n’altèrerait pas les performances en jouant sur les fréquence variable de ses CPU et GPU.

Source. : SCE

Intel va diriger un nouveau programme de cybersécurité de la Défense américaine

Benoît Théry

13 avril 2020 à 15h33 

 

 

 

Libellés

cybersécurité, GARD, Hackers, cyberattaques, cyberespionnage, intel, armée,

 

 

 

 

Intel vient d'être choisi par la DARPA, le département américain de la Défense spécialisé dans les nouvelles technologies, pour diriger son programme de cybersécurité GARD.

Intel aura pour mission d'aider les États-Unis à se prémunir des attaques basées sur l'apprentissage machine.

Lire aussi :
Vous êtes un gamer ? La DARPA veut utiliser vos ondes cérébrales dans son armée

GARD en réponse aux piratages de l'apprentissage machine

L'apprentissage machine est une méthode visant à améliorer les services d'une intelligence artificielle. C'est un concept utilisé notamment dans la reconnaissance d'objets, où l'IA peut apprendre à force d'exemples et d'essais. Mais bien que ce soit encore assez rare, ces intelligences artificielles peuvent également être manipulées pour réaliser des piratages d'un nouveau genre. Il y a quelques semaines, McAfee a ainsi rendu un rapport affirmant que l'on pouvait tromper facilement une Tesla afin de la faire rouler à 135 km/h sur une route à 50 km/h.

La DARPA veut donc prendre les devants. L'année passée, l'agence a créé un nouveau programme appelé GARD, pour Guaranteeing AI Robustness against Deception. Des contre-mesures existent déjà contre les attaques se focalisant sur les appareils reposant sur l'apprentissage machine. Mais la DARPA espère que GARD lui fournira un système de défense plus développé et apte à répondre à un plus grand nombre d'attaques différentes.

Lire aussi :
Intel réaffirme sa position dans la 5G et dévoile de nouveaux produits à destination des entreprises

Intel placé à la tête du projet

Dans un communiqué publié jeudi 9 avril, Intel a annoncé que la DARPA lui avait confié la direction du projet, conjointement à l'institut de technologie de Géorgie. Les deux organismes se chargeront des travaux de GARD pendant quatre ans.

Jason Martin, ingénieur principal chez Intel Labs et chercheur principal du projet a déclaré : « Grâce à des recherches innovantes sur les techniques de cohérence, nous collaborerons à une approche visant à améliorer la détection d'objets et à améliorer la capacité de l'IA et du machine learning (ML) à répondre aux attaques ».

Le constructeur ajoute que « dans la première phase de GARD, Intel et Georgia Tech amélioreront les technologies de détection d'objets grâce à la cohérence spatiale, temporelle et sémantique des images fixes et des vidéos ». La DARPA, de son côté a déclaré que GARD pourrait être utilisé dans un certain nombre de contextes. Hava Siegelmann, gestionnaire de programme au bureau d'innovation de l'information de la DARPA compare le projet à un système immunitaire identifiant les attaques de virus pour mieux les comprendre et s'en prémunir par la suite. Elle ajoute : « Nous devons nous assurer que l'apprentissage automatique est sûr et qu'il ne peut pas être trompé ».

Source. : TechCrunch

Vieux problêmes toujours a la mode ,vol d'identité: Ça sent la marde !

Vieux problêmes toujours a la mode ,vol d'identité: Ça sent la marde !

-RSSing

-Yatedo,Yatedo est un moteur de recherche sémantique de personnes qui aide ses utilisateurs à retrouver et à contacter n’importe qui via le web¹.

-ProfileEngine

-vol de donné sensible,sur tout ce qui est blog,réseau social,Facebook,Google,moteur de recherche ... depuis 2012 et plus !

Libellés

vol d'identité, vol de donné, Google, facebook, rssing, RSS, Blogger, Blog, feedburner est mort, moteur de recherche,

La CNIL adresse un avertissement à Yatedo

Tu veux ma photo?  

Par Xavier Berne
le mardi 12 juin 2012 à 14:28

La CNIL a annoncé hier avoir adressé un avertissement à Yatedo, une société française proposant un moteur de recherche agrégeant des données personnelles rendues publiques par les internautes sur des réseaux sociaux comme Viadeo ou LinkedIn. Pour l'autorité administrative, Yatedo manquait à certaines obligations imposées par la loi Informatique et Libertés de 1978, concernant notamment le droit d'opposition des utilisateurs.

Comme l’explique la CNIL, les sites Yatedo.com et Yatedo.fr diffusent « des fiches nominatives sous la forme de curriculum vitae, contenant notamment l’identité, les expériences professionnelles, la formation et la photographie » d’internautes ayant mis publiquement à disposition certaines informations sur d’autres sites Internet. Entre février 2011 et mars 2012, l’autorité administrative reçoit plus d’une trentaine de plaintes s’agissant de cette société. Certaines de ces requêtes lui ont même été transmises par ses homologues britanniques et néerlandaises.

En cause : l’attitude de Yatedo, qui ne répondait pas à leurs demandes de suppression de données. Dans certains cas, certains individus s’alarmaient même de voir des informations « périmées » toujours mises en avant sur le site Yatedo. La CNIL relate ainsi la situation d’un plaignant qui indiquait « que les informations de son profil LinkedIn étaient mises en ligne sur le site " yatedo " alors que son profil était supprimé depuis plus de deux ans ». L’autorité administrative relève par ailleurs que ce problème est d’autant plus gênant que les informations diffusées par Yatedo se trouvent par la suite référencées « par répercussion (...) par les moteurs de recherche tels que Bing, Google et Yahoo ! ».

Le 22 novembre 2011, la CNIL décide d’ouvrir une mission de vérification auprès de la société, après que la grande majorité de ses propres courriers soient eux aussi restés lettre morte. Convoqués par la Commission, les responsables de la société ne se rendent pas non plus à l’audition. Au total, l’autorité aura envoyé plus de trente lettres, dont une vingtaine en recommandé avec accusé de réception.

Des manquements à la loi de 78 et un défaut de coopération avec la CNIL

Dans une délibération (disponible en PDF) en date du 1er juin, la Commission a décidé d’adresser un avertissement à Yatedo, dans la mesure où la société a méconnu la loi de 1978 sur plusieurs aspects.

En effet, la CNIL considère dans un premier temps que Yatedo a manqué à son obligation de mise à jour des données : « [Yatedo] a permis la diffusion de données périmées, provoquant des préjudices d’image et de réputation aux personnes concernées, susceptible d’être autant plus grands que les informations et images figurant sur des réseaux sociaux ou des blogs, par nature, évoluent très rapidement ».

Deuxièmement, la CNIL estime que Yatedo n’a pas respecté « le droit d’opposition des personnes [pourtant] garanti par la loi » de 1978. « Il n’est pas acceptable que le développement d’une activité commerciale reposant exclusivement sur l’indexation des données à caractère personnel de personne sur les réseaux sociaux ne prenne pas en compte (...) des procédures permettant à ces personnes de faire respecter leurs droits de manière effective, rapide, et durable ».

La CNIL s’est enfin attaquée à l’attitude de la société, qui n’a répondu que dans de faibles proportions à ses demandes. Le message est relativement clair : « Une telle attitude, si elle ne relève pas de la mauvaise foi, s’apparente à tout le moins à une forme de négligence inacceptable ».

L’autorité administrative relève néanmoins que la société n’a jamais nié les faits qui lui sont reprochés, et a annoncé qu’elle allait faire des efforts pour résoudre certains problèmes. Un salarié dédié à la gestion et aux « traitement[s] des demandes d’exercice du droit d’opposition » des utilisateurs aurait ainsi dû prendre ses fonctions au 1er juin. La société s’est également engagée à « supprimer les profils de l’ensemble des personnes ayant porté plainte auprès de la CNIL », ainsi qu’à « simplifier sa procédure d’opposition et de réduire les délais de traitement des demandes de suppression ».

Yatedo écope finalement d’un simple avertissement, la plus petite sanction que peut prononcer la CNIL. Ce dernier a toutefois été rendu public, ce qui marque la détermination de l'autorité administrative face à l'entreprise. Si les manquements condamnés par la Commission perduraient, d’autres sanctions plus importantes pourraient alors être envisagées.

Précisions : la société mise en cause nous a apporté de précieux éléments de réponses après la délibération de la CNIL. Si elle n'a pas répondu aux demandes de celle-ci c'est tout simplement parce que la start up n'avait aucune structure sociale ni adresse fixe : les courriers étaient adressés à l'ex employeur d'un des cofondateurs, qui se gardaient de les transmettre à ce dernier. Une fois alertés, les cofondateurs se sont bien rendus dans les locaux de la CNIL pour 2 heures et demi d'audience afin de s'expliquer sur ce faux pas de jeunesse. La société poursuit aujourd'hui son ascension en ayant encadré sa politique de données personnelles, conformément aux voeux de la CNIL. (M.R.)

REF.: