L’inventeur des cookies plaide pour leur encadrement sur le Web

Lou Montulli, l'inventeur des témoins de connexion.

Agence France-Presse

le 27 janvier 2022

Les célèbres témoins de connexion (cookies), au cœur du débat sur la protection de la vie privée sur Internet, n'ont jamais été conçus comme des outils d'espionnage des activités numériques, selon ce qu'a affirmé leur inventeur dans une entrevue accordée à l'Agence France-Presse.

L'entrepreneur Lou Montulli explique que les témoins de connexion, qu'il a créés en 1994 alors qu'il était ingénieur pour Netscape, ont été conçus dans l'idée de faciliter le fonctionnement d'Internet en permettant aux sites de mémoriser les visites.

« Mon invention est désormais au centre des stratégies publicitaires en ligne, mais ce n'était pas le but, plaide-t-il. Il s'agit simplement d'une technologie de base qui permet au web de fonctionner. »

— Une citation de  Lou Montulli, ingénieur

Les témoins de connexion sont des fichiers grâce auxquels un site peut reconnaître un navigateur précis. Ils rendent possibles des opérations comme l'ouverture automatique de sessions, la publication de commentaires ou l'ajout d'articles dans un panier d'achats en ligne, selon M. Montulli.

Sans les témoins dits internes (first-party cookies, en anglais), utilisés par les sites pour interagir avec les internautes et mémoriser certaines données, chaque visite serait considérée comme la première.

Les témoins tiers dans la ligne de mire

Pour M. Montulli, les vrais coupables sont les témoins tiers (third-party cookies), créés par des sites externes et intégrés aux navigateurs et aux régies publicitaires sur Internet.

C'est seulement grâce à la collusion entre de nombreux sites et les régies publicitaires que les publicités ciblées sont possibles, explique-t-il.

Les sites partagent en effet des données sur les habitudes et les préférences des internautes avec des régies publicitaires, qui les utilisent ensuite pour faire du ciblage.

« Si vous faites une recherche sur un produit de niche un peu bizarre et que vous vous retrouvez bombardés de publicités pour ce produit sur différents sites, c'est une expérience étrange. »

— Une citation de  Lou Montulli, ingénieur

Il est naturel de se dire que si l'on sait que je cherche des chaussures en daim bleu, ça doit vouloir dire qu'on sait tout sur moi, et donc de vouloir sortir de ce système, mentionne-t-il.

Si un site collecte des informations personnelles, comme un nom ou une adresse courriel, il est possible que ces données fuitent et qu'un navigateur se retrouve associé à une personne.

C'est un effet de réseau par le biais duquel tous ces différents sites sont de mèche avec des outils de suivi publicitaire, résume M. Montulli.

À l'instar d'autres groupes technologiques, Google, qui tire la majeure partie de ses recettes de la publicité, a présenté cette semaine un nouveau projet pour bloquer les témoins de connexion tiers.

Amende salée en France

Une annonce faite peu après une amende de 150 millions d'euros (220 millions de dollars canadiens) infligée par la Commission nationale de l'informatique et des libertés (CNIL), gardienne de la vie privée en France, à Google, pour sa politique en matière de témoins de connexion. Facebook a pour sa part écopé d'une sanction de 60 millions d'euros (85,2 millions de dollars canadiens).

M. Montulli tient à rappeler que de nombreux services gratuits sur Internet, comme une recherche Google, sont en réalité payés par la publicité en ligne.

Les «cookies» sont sévèrement encadrés en Europe.

Photo : Getty Images / Leon Neal

Une option serait de cesser le ciblage publicitaire et de le remplacer par des abonnements payants.

L'inventeur n'a rien contre la suppression progressive des témoins tiers, mais prévient qu'une élimination totale de ces fichiers conduirait les publicitaires à recourir à des stratégies plus sournoises.

« La publicité trouvera une solution. Cela deviendra une course à l'armement technologique étant donné les milliards de dollars en jeu, et l'industrie publicitaire fera ce qui est nécessaire pour garder le navire à flot. »

— Une citation de  Lou Montulli, ingénieur

La suppression des témoins tiers, et donc de la publicité ciblée, pourrait par ailleurs pénaliser les sites les plus modestes en les privant de leur principale source de revenus tout en renforçant des géants comme Apple, Google et Meta, la maison mère de Facebook.

Pour M. Montulli, la seule solution viable à long terme est probablement une réglementation qui maintiendrait les témoins tout en instaurant des outils de contrôle, comme la possibilité d'accepter ou de refuser le partage de données.

Le web serait vraiment inutilisable sans les témoins, juge-t-il. Mais il va falloir faire évoluer la façon dont ils sont utilisés par les publicitaires.

 

 REF.:  https://ici.radio-canada.ca/nouvelle/1857793/inventeur-cookies-encadrement-lou-montulli?fbclid=IwAR165KzHeuYtCtCeKT25KInF3ayGs6xZlMu2qwcksryyc_hhLFbOZ4zG8lU

 

 

PwnKit, le bug Linux qui vous met à la root

@Korben  —  27 janvier 2022

Oyez, oyez jeunes et moins linuxiens ! Sachez-le, il y a sur votre Linux une faille de 12 ans d’âge qui permet à n’importe quel utilisateur lambda sans aucun droit, de devenir root.

Cette vulnérabilité se situe dans le composant pkexec de Polkit. Polkit est un framework qui gère les interactions entre les process avec privilèges et sans privilèges. À titre d’exemple, pkexec permet à un utilisateur de lancer des commandes en tant qu’un autre utilisateur, un peu comme avec sudo.

Référencée sous le doux nom de CVE-2021-4034 alias PwnKit, cette vulnérabilité fonctionne plutôt bien. Un proof of concept en C est même dispo ici. Et un autre en Python également téléchargeable là.

Je viens de le tester sur un Linux Mint et me voilà root.

Évidemment, l’heure est au patch, donc vous pouvez soit patcher directement Pkexec, soit mettre à jour votre système Linux. Debian, Ubuntu, Mint et dérivés ainsi que Red Hat ont déjà sorti les patchs. Mais si vous êtes sur un système un peu à la traine, vous pouvez en attendant utiliser cette commande pour neutraliser l’exploitation de pkexec :

chmod 0755 /usr/bin/pkexec

Également, si vous avez un doute concernant votre serveur et que vous voulez vérifier les logs afin d’être certain que la vuln n’a pas été exploitée, cherchez les chaines suivantes dedans :

The value for the SHELL variable was not found the /etc/shells file

The value for environment variable […] contains suspicious content.

Vous trouverez tous les détails techniques de cette vuln chez Qualys.

Bon courage !

Source  https://korben.info/pwnkit-exploit.html?fbclid=IwAR2n3pBpd8xRpe6exa3siMP6KfWYtx-cJAgXLyCb7p1tKnQ7Wcr3Ljuc9W4

Les Américains bombardés de milliards d'appels frauduleux en 2021

 

 Les Américains bombardés de milliards d'appels frauduleux en 2021 

- rapport
par
Vilius Petkauskas
21 décembre 2021
Caller-ID-inconnu

La double augmentation montre que les Américains reçoivent plus d'un milliard d'appels frauduleux chaque mois.

Les appels automatisés permettent aux criminels de cibler des millions de victimes avec une relative facilité d'automatisation. Même si quelques appels réussissent, les criminels voient des gains financiers.

Selon un récent rapport de T-Mobile, le nombre d'appels frauduleux a atteint un niveau record cette année avec 21 milliards d'appels frauduleux, une augmentation de 116 % par rapport aux 9,8 milliards enregistrés l'année dernière.

Le nombre d'appels frauduleux n'a cessé d'augmenter au cours de l'année, le mois le plus calme étant janvier (1,1 milliard) et novembre – le pire (2,5 milliards).

L'analyse montre que les escrocs, comme tout le monde, travaillent principalement en semaine, le volume d'appels frauduleux diminuant de 80 % du vendredi au dimanche.

Le nombre d'appels frauduleux cette année a été le plus bas vers Pâques et recommencera probablement à baisser le 23 décembre.

Plus de la moitié (51 %) des appels frauduleux interceptés étaient liés à de fausses garanties de véhicules, suivis de l'usurpation d'identité du bureau de la sécurité sociale (10 %), du fournisseur de services sans fil (9 %), de la compagnie d'assurance automobile (6 %) ou de la livraison de colis (4 % ).

Selon T-Mobile, tous les sites américains ne sont pas ciblés avec la même intensité. Par exemple, le Texas, la Floride, l'Arizona et la Géorgie ont enregistré le plus grand nombre d'appels frauduleux, tandis que la principale région métropolitaine était Dallas/Fort Worth.
Ne vous laissez pas berner : comment détecter les attaques d'ingénierie sociale

Il est essentiel de comprendre que les appels automatisés sont un outil de consentement des victimes d'ingénierie sociale pour donner des fonds, des données importantes ou des informations personnelles.

Avec tout cela à l'esprit, savoir comment repérer une tentative d'ingénierie sociale est toujours essentiel pour protéger votre argent et vos informations personnelles. Voici comment:

Ne répondez pas aux appels de numéros inconnus. Si vous le faites et que quelqu'un que vous ne connaissez pas commence à vous demander des informations personnelles, raccrochez immédiatement.

Ne divulguez jamais de données personnelles. Cela inclut des données telles que les noms, les noms d'utilisateur, les adresses e-mail, les mots de passe, les codes PIN ou toute information que les escrocs peuvent utiliser pour vous identifier.

Vas-y doucement. Les escrocs essaient souvent de créer un faux sentiment d'urgence pour vous inciter à divulguer vos informations. Si quelqu'un essaie de vous contraindre à prendre une décision, raccrochez ou dites-lui, vous rappellerez plus tard. Appelez ensuite le numéro officiel de l'entreprise qu'ils prétendent représenter.

Ne vous fiez pas à l'identification de l'appelant. Les escrocs peuvent imiter une entreprise ou quelqu'un de votre liste de contacts, en falsifiant des noms et des numéros de téléphone. En fait, les prestataires de services financiers n'appellent jamais leurs clients pour confirmer leurs informations personnelles. En cas d'activité suspecte, ils bloqueront simplement votre compte et s'attendront à ce que vous contactiez l'entreprise via les canaux officiels pour résoudre le problème. En tant que tel, restez toujours vigilant, même si l'identification de l'appelant sur l'écran de votre téléphone semble authentique.

 

REF.:   https://cybernews.com/news/americans-bombarded-with-billions-of-scam-calls-in-2021-report/?utm_source=newsletter&utm_medium=email&utm_campaign=CyberNewsLetter_47

Comment des gens normaux peuvent-ils trouver le "Dark Web" mais pas le FBI ?

 

 Comment des gens normaux peuvent-ils trouver le "Dark Web" mais pas le FBI ?  

Réponse originale :

Le FBI connaît le dark web. Le FBI gère une centaine de routeurs Tor et de nœuds de sortie. Le FBI a trouvé et exploité une vulnérabilité de sécurité (maintenant fermée) dans le navigateur Tor qu'ils ont utilisé pour planter des logiciels malveillants sur un serveur de pédopornographie Tor il y a quelques années. 

 Le FBI sait tout sur le dark web. 

 Le FBI a du mal à retrouver les personnes sur le dark web car Tor a été conçu dès le départ pour offrir un anonymat et un cryptage extrêmement robustes. Il utilise un cryptage de qualité militaire (littéralement, l'idée du routage de l'oignon a été conçue à la DARPA et mise en œuvre pour la première fois par le US Naval Research Laboratory).

 Par:

Franklin Veaux

Professional Writer

REF.: Quora.com 

DuckDuckGo développe un navigateur macOS respectueux de la vie privée

 

 

 
DuckDuckGo développe un navigateur macOS respectueux de la vie privée

Mickaël Bazoge | 21/12/2021 à 21:30

Après la version mobile, DuckDuckGo est en plein développement d'un navigateur de bureau tout entier dévolu à la protection de la vie privée. Le logiciel est développé pour macOS, avec une version Windows en préparation.

Gabriel Weinberg, fondateur et CEO de la société éditrice du moteur de recherche, promet dans un billet que ce navigateur n'aura « aucun réglage compliqué, pas d'avertissements trompeurs, pas de "niveaux" de protection de la vie privée », mais qu'il offrira une protection de la vie privée « robuste » activée par défaut, pour la recherche, la navigation, la messagerie électronique, etc.

Techniquement parlant, ce DuckDuckGo pour Mac s'appuiera sur les technologies de rendu fournies par le système d'exploitation. Pas de Chromium donc, mais du WebKit certainement. Un choix qui permet à l'éditeur de ne pas s'embarrasser du superflu. Le logiciel aura une interface « simple et propre » intégrant le bouton « Feu » qui ferme tous les onglets, purge l'historique et supprime les cookies stockés par le navigateur.

Le navigateur DuckDuckGo de bureau sera beaucoup plus respectueux de la vie privée par rapport à Chrome, annonce Weinberg qui ajoute que les premiers tests démontrent qu'il est aussi plus rapide. Le logiciel est en bêta fermée à l'heure actuelle, on ignore quand il sera disponible mais de ce qu'on entend cela parait très prometteur.

 

REF.:   https://www.macg.co/logiciels/2021/12/duckduckgo-developpe-un-navigateur-macos-respectueux-de-la-vie-privee-126173