USA

L’Usine digitale

Une faille de sécurité liée aux puces Qualcomm touche des millions de smartphones Android

Le géant américain des semi-conducteurs a annoncé qu’une vulnérabilité critique affectait ses processeurs et qu’elle était activement exploitée par des pirates informatiques. 64 modèles de la firme présentent des failles de sécurité, dont le Snapdragon 8 Gen 1. Qualcomm a depuis publié des correctifs, qui seront efficaces lorsque les équipementiers auront déployé une mise à jour. La faille 0-day, déjà décrite par l’agence américaine de cybersécurité (CISA) et par le NIST, présente un score de sévérité élevé (7,8). Elle est due à une faille “use-after-free”, un problème technique qui se traduit par une mauvaise réinitialisation d’un pointeur suite à une libération de la mémoire. Les pirates informatiques peuvent alors détourner la mémoire pour injecter du code, même s’ils disposent de faibles privilèges.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Un citoyen chinois a dérobé des infos à la NASA en se faisant passer pour un collègue par mail

Un citoyen chinois a dérobé des documents sensibles de la NASA et l’armée américaine en bernant ses cibles avec de simples mails. Outre-Atlantique, le ministère de la Justice poursuit, depuis le 16 septembre, un certain Song Wu pour « fraude électronique » et « vol d’identité aggravé », avec à chaque fois 14 chefs d’accusation. L’homme, âgé de 39 ans, serait ingénieur au sein de l’Aviation Industry Corporation of China (AVIC), un conglomérat chinois spécialisé dans la défense et l’aérospatiale. En parallèle, Song Wu aurait lancé son opération de mailing dès janvier 2017 et l’aurait discrètement poursuivie jusqu’en décembre 2021. Plusieurs fichiers contenant des informations sur les logiciels de la NASA ont terminé en Chine, selon le ministère de la Justice.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courthousenews

Google devra bien répondre en justice d’accusations de violation de la loi fédérale américaine protégeant les données des enfants

Google doit répondre à des accusations de violation de la loi fédérale sur la protection des enfants en ligne, ainsi que des lois sur l’enrichissement sans cause et la concurrence déloyale en vigueur dans plusieurs États, en permettant aux développeurs de suivre et de collecter des données sur les enfants sans leur autorisation. Le juge de district P. Casey Pitts a rejeté dans son intégralité la demande de Google de rejeter les plaintes déposées par un groupe d’enfants qui accusent l’entreprise technologique d’avoir violé la loi fédérale sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act), qui vise à protéger les enfants contre la collecte de leurs informations personnelles sans le consentement de leurs parents.

« Les plaintes des plaignants, qui portent notamment sur la concurrence déloyale, l’enrichissement sans cause et les violations de la vie privée en Californie, ne sont pas emportées par la loi fédérale », a déclaré M. Pitts.

Dans une ordonnance de 16 pages déposée mardi en fin de journée, le juge a rejeté chacune des tentatives de Google d’esquiver le procès. En ce qui concerne la plainte californienne pour atteinte à la vie privée, par exemple, le géant de la technologie a fait valoir en partie que l’intrusion dans la vie privée n’était pas, comme l’exige la loi de l’État, « hautement offensante ». M. Pitts, estime néanmoins que « aussi peu sensibles ou intimes que soient les informations personnelles collectées ici, écrit-il, l’allégation selon laquelle les défendeurs ont collecté les données en violation de la loi fédérale bien qu’ils aient affirmé que leurs applications de programme [conçues pour les familles] ne faisaient pas de publicité basée sur les intérêts suffit à montrer que l’intrusion des défendeurs dans les attentes des plaignants en matière de respect de la vie privée était très choquante ».

Disponible (en anglais) sur: courthousenews.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta et le procureur de la ville de Los Angeles annoncent un règlement de 500 000 dollars avec Tilting Point Media pour avoir collecté et partagé illégalement des données sur les enfants

OAKLAND – Le procureur général de Californie, Rob Bonta, et le procureur de Los Angeles, Hydee Feldstein Soto, ont annoncé un règlement de 500 000 dollars avec Tilting Point Media LLC (Tilting Point), qui met fin aux allégations selon lesquelles l’entreprise aurait violé la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi fédérale sur la protection de la vie privée des enfants en ligne (COPPA) en collectant et en partageant les données des enfants sans le consentement de leurs parents dans leur jeu mobile populaire « Bob l’éponge : Krusty Cook-Off ». Outre une amende civile de 500 000 dollars, Tilting Point doit se conformer à des injonctions garantissant une collecte et une divulgation légales des données, notamment en obtenant le consentement des parents et en faisant preuve de diligence lors de la configuration de logiciels tiers dans ses jeux mobiles.

« Les entreprises ont l’obligation légale de protéger les données des enfants et de se conformer aux lois fédérales et étatiques importantes en matière de protection de la vie privée, conçues pour protéger les enfants en ligne. Si elles ne le font pas, elles mettent nos enfants en danger et les rendent vulnérables à la collecte, au suivi et à la vente de leurs données personnelles », a déclaré le procureur général Bonta. « Comme les enfants passent de plus en plus de temps en ligne, que ce soit sur des sites web ou des applications mobiles, nous utiliserons tous les outils d’application de la loi pour nous assurer que la loi est respectée et que les entreprises font preuve de diligence en ce qui concerne les exigences de la loi sur la protection de la vie privée. Je remercie le bureau du procureur de la ville de Los Angeles pour son travail sur cette question et je me réjouis de continuer à collaborer avec les partenaires locaux, étatiques et fédéraux pour protéger la vie privée des enfants. »

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta annonce un règlement à l’amiable contre Adventist concernant la divulgation non autorisée de renseignements sur les patients aux forces de l’ordre

SACRAMENTO – Le procureur général de Californie, Rob Bonta, a annoncé aujourd’hui un accord avec Adventist Health Hanford (Adventist) qui résout les violations de la loi sur la concurrence déloyale, de la loi sur la confidentialité des informations médicales (CMIA) et de la règle de confidentialité de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) liées aux divulgations non autorisées aux forces de l’ordre des informations médicales de deux patientes, Adora Perez et Chelsea Becker. Dans les deux cas, les femmes enceintes se sont rendues à l’hôpital Adventist pour obtenir une assistance médicale et y ont accouché d’un enfant mort-né. Le personnel de l’hôpital Adventist a fourni aux forces de l’ordre des informations médicales non autorisées, y compris des informations de santé protégées (PHI). À la suite de ces divulgations illégales, les deux patientes ont été poursuivies pour meurtre et incarcérées. L’accord conclu aujourd’hui prévoit des sanctions civiles d’un montant de 10 000 dollars et des mesures d’injonction qui obligent Adventist à protéger les données de santé des patients contre toute communication et exploitation illicites.

« Aucune femme ne devrait être pénalisée pour la perte de sa grossesse« , a déclaré le procureur général Bonta. « Comme nous l’avons dit à plusieurs reprises, l’emprisonnement injustifié des deux femmes en raison de la divulgation non autorisée de données de santé aux forces de l’ordre était illégal. C’est pourquoi le règlement conclu aujourd’hui garantit que les informations de santé personnelles des patients d’Adventist sont traitées avec le plus grand soin et dans le respect de la loi, ce qui rétablira et renforcera la confiance des patients« .

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Association EPIC

L’état de la protection de la vie privée : comment les lois des États américains ne protègent pas la vie privée et ce qu’elles peuvent faire pour l’améliorer

L’association EPIC (Electronic Privacy Information Center) a récemment sorti un rapport sur l’état de la protection de la vie privée aux Etats-Unis. En introduction, l’association note que plus les entreprises détiennent vos données, plus il y a de chances qu’elles soient exposées lors d’une violation ou d’un piratage et qu’elles se retrouvent entre les mains d’usurpateurs d’identité, d’escrocs ou de sociétés obscures connues sous le nom de « courtiers en données » qui achètent et vendent une grande quantité de données sur les Américains. Or, et bien que la collecte et la vente de données constituent une industrie de plusieurs milliards de dollars propagée par certaines des entreprises les plus puissantes du monde, les États-Unis ne disposent d’aucune loi fédérale sur la protection de la vie privée. Par conséquent, un nombre croissant d’États adoptent des lois qui visent prétendument à protéger la vie privée et la sécurité des personnes. Toutefois, ces lois ne protègent pas suffisamment les consommateurs. Dans notre évaluation des 14 États qui ont adopté une législation sur la protection de la vie privée des consommateurs, près de la moitié d’entre eux ont reçu une note d’échec, et aucun n’a obtenu un A.

L’association dénonce également le fait que « les grandes entreprises technologiques ont joué un rôle important dans l’adoption de projets de loi peu contraignants sur la protection de la vie privée. Sur les 14 lois adoptées à ce jour par les États, toutes, à l’exception de celle de la Californie, suivent de près un modèle initialement élaboré par des géants de l’industrie tels qu’Amazon. Dans une analyse des dossiers de lobbying dans les 31 États qui ont examiné des projets de loi sur la protection de la vie privée en 2021 et 2022, le Markup a identifié 445 lobbyistes actifs et entreprises représentant Amazon, Meta, Microsoft, Google, Apple et des groupes de façade de l’industrie. Ce chiffre est probablement sous-estimé. Permettre aux grandes entreprises technologiques de façonner nos règles en matière de protection de la vie privée leur permet de consolider leur pouvoir déjà considérable dans l’économie et dans nos vies. Les règles en matière de protection de la vie privée devraient être équilibrées en faveur des milliards de personnes qui dépendent d’Internet dans leur vie quotidienne.

Toujours selon l’association, une loi forte et complète sur la protection de la vie privée des consommateurs devrait:
* imposer des obligations de minimisation des données aux entreprises  ;
* réglementer strictement toutes les utilisations de données sensibles, y compris les données de santé, les données biométriques et les données de localisation ;
* établir des garanties solides en matière de droits civils en ligne et freiner le profilage préjudiciable des consommateurs ;
* fournir de solides pouvoirs d’exécution et de réglementation pour garantir le respect des règles ; et
* permettre aux consommateurs de tenir les entreprises responsables des violations devant les tribunaux.

EPIC conclut « qu’à l’heure où nous écrivons ces lignes, des États comme l’Illinois, le Maine, le Massachusetts et le Maryland envisagent de se doter d’une législation solide qui obligerait à modifier les pratiques abusives en matière de données à l’origine de la surveillance commerciale et de la discrimination en ligne, tout en permettant aux entreprises de continuer à innover. Nous pouvons avoir un secteur technologique fort tout en protégeant la vie privée.  »

Disponible (en anglais) sur: epic.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

Retour en haut