Dernières actualités : données personnelles

L’Usine digitale

Une faille de sécurité liée aux puces Qualcomm touche des millions de smartphones Android

Le géant américain des semi-conducteurs a annoncé qu’une vulnérabilité critique affectait ses processeurs et qu’elle était activement exploitée par des pirates informatiques. 64 modèles de la firme présentent des failles de sécurité, dont le Snapdragon 8 Gen 1. Qualcomm a depuis publié des correctifs, qui seront efficaces lorsque les équipementiers auront déployé une mise à jour. La faille 0-day, déjà décrite par l’agence américaine de cybersécurité (CISA) et par le NIST, présente un score de sévérité élevé (7,8). Elle est due à une faille “use-after-free”, un problème technique qui se traduit par une mauvaise réinitialisation d’un pointeur suite à une libération de la mémoire. Les pirates informatiques peuvent alors détourner la mémoire pour injecter du code, même s’ils disposent de faibles privilèges.

Disponible sur: usine-digitale.fr

L’Usine digitale

Internet Archive victime d’une cyberattaque, les données de 31 millions d’internautes dans la nature

Internet Archive, bibliothèque numérique consacrée à la sauvegarde du contenu d’Internet, a été victime ces derniers jours d’une fuite de données. Le 9 octobre, les internautes consultant le site piraté ont vu apparaître une fenêtre pop-up faisant état d’un incident de sécurité, ajoutant que les données de 31 millions d’utilisateurs étaient référencées sur “Have I Been Pwned”, ce site web permet à chacun de savoir, à partir de son adresse-mail, si des données ont été piratées et leur provenance. Troy Hunt, fondateur de “Have I Been Pwned”, a affirmé qu’un pirate informatique avait partagé la base de données d’identification d’Internet Archive le 1er octobre, sous la forme d’un fichier SQL de 6,4 gigaoctets intitulé “ia_users.sql”. Cette base de données renferme les adresses e-mail et pseudonymes de 31 millions d’utilisateurs, mais aussi certains mots de passe hachés avec l’algorithme Bcrypt. Les pirates disposent aussi des dates de changements de mots de passe.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Des étudiants de Harvard ont relié un programme d’intelligence artificielle à leurs lunettes Ray-Ban de Meta pour identifier les individus qu’ils croisent dans la rue

L’intelligence artificielle et les lunettes connectées, un cocktail risqué. Deux étudiants de Harvard, AnhPhu Nguyen et Caine Ardayfio, ont travaillé sur un projet, baptisé I-XRAY, combinant des lunettes connectées Ray-Ban de Meta avec des technologies de reconnaissance faciale. L’objectif étant d’identifier des individus dans les espaces publics et récupérer leurs données personnelles en temps réel. Les deux jeunes ingénieurs ont ainsi approché des personnes au hasard, en leur fournissant des infos sur leur emploi ou leurs activités sportives, après les avoir capturées quelques secondes auparavant avec les lunettes de Meta.
Ils ont ensuite détaillé leurs travaux sur le réseau social X, fin septembre 2024.

Disponible sur: numerama.com

Numerama – Cyberguerre

Les cybercriminels innovent en ajoutant des photos du domicile dans les mails de chantage

Les cybercriminels incorporent aujourd’hui des photos du domicile de leur cible dans les messages d’extorsion envoyés par mail. Ces adresses se trouvent rapidement aujourd’hui à cause des nombreuses fuites de données.
Une nouvelle campagne de sextorsion sévit aux États-Unis avec des méthodes encore inédites dans le milieu des cybercriminels. Plusieurs services de police à travers le pays ont alerté la population au sujet de ces messages envoyés courant septembre. L’entreprise The Record a pu récupérer une partie de ces e-mails, qui contiennent les numéros de téléphone ainsi que les photos de logement avec l’adresse personnelle des victimes.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cryptographie post-quantique : le gouvernement américain publie ses premières normes

Le National Institute of Standards and Technology (NIST), agence dépendant du ministère du Commerce américain, a publié le 13 août son premier ensemble de normes pour la cryptographie post-quantique. Ce type de cryptographie vise à assurer la sécurité d’un système d’information face à un cyberattaquant disposant d’un calculateur quantique.

“Certains experts prédisent qu’un appareil capable de briser les méthodes de chiffrement actuelles pourrait apparaître d’ici une décennie, menaçant la sécurité et la confidentialité des individus, des organisations et des nations entières”, affirme le NIST dans un communiqué. En 2019, des chercheurs de Google avaient mené une étude sur les capacités des ordinateurs quantiques par rapport aux ordinateurs traditionnels. Grâce à la superposition quantique, un calculateur quantique pourrait mettre 200 secondes à effectuer un calcul complexe prédéterminé, contre des milliers d’années pour un supercalculateur traditionnel.

Disponible sur: usine-digitale.fr

NOYB – None of your business

Les projets de Twitter en matière d’intelligence artificielle font l’objet de neuf nouvelles plaintes liées au GDPR

Récemment, Twitter International (aujourd’hui rebaptisé « X ») a commencé à utiliser illégalement les données personnelles de plus de 60 millions d’utilisateurs dans l’UE/EEE pour former ses technologies d’IA (comme « Grok ») sans leur consentement. Contrairement à Meta (qui a récemment dû mettre fin à l’entraînement à l’IA dans l’UE), Twitter n’a même pas informé ses utilisateurs à l’avance. La Commission irlandaise de protection des données (DPC) est allée trop loin : La semaine dernière, elle a entamé une procédure judiciaire contre Twitter pour mettre fin au traitement illégal, mais la DPC irlandaise semble s’être abstenue d’appliquer pleinement le GDPR. noyb a déposé neuf plaintes

Screen showing Twitter's Grok logo

Disponible sur: noyb.eu

Numerama – Cyberguerre

Des hackers font fuiter des millions de données d’un célèbre logiciel de contrôle parental

Des hackers ont publié une base de données contenant les données de millions d’utilisateurs du logiciel mSpy, mais aussi de personnes espionnées par l’intermédiaire de ce logiciel. Les fichiers ont été mis en ligne le 12 juillet 2024 sur un forum de hackers. En réalité, ils étaient déjà partagés par de nombreux hacktivistes, des pirates militants, depuis mai dernier. mSpy est une application d’origine américaine, aujourd’hui détenue par la société ukrainienne Brainstack. Elle est massivement utilisée pour le contrôle parental sur les smartphones, mais également détournée à des fins malveillantes.

Le service de notification de violation de données Have I Been Pwned affirme avoir ajouté 2 394 179 comptes concernés par la fuite à son site. La base de données mise en ligne contient des adresses e-mail, des adresses IP, des noms et des photos privées : capture d’écran, photos de cartes de crédit, voire des selfies nus. Les employés de la société sont aussi concernés par cette cyberattaque.

Disponible sur: numerama.com

Retour en haut