du 13 mai 2019
Date

Choisir une autre édition

Une faille béante dans des milliers de traceurs GPS permet d'obtenir la position et d'écouter les conversations

Les utilisations des produits du genre sont très nombreuses : alarmes connectées pour personnes âgées, suivi des déplacements pour les enfants et les véhicules, etc.

Problème, via l'envoi d'un simple SMS, un traceur GPS vendu en marque blanche par un fabricant chinois laisse fuiter des informations très sensibles, comme l'explique TechCrunch qui s'appuie sur une publication de Fidus. Nos confrères expliquent qu'il est utilisé par de nombreux fabricants : Pebbell, OwnFone Footprint et SureSafeGo pour ne citer qu'eux.

Les petits boîtiers utilisent la 2G pour se connecter aux réseaux mobiles et, même s'ils ne permettent pas d'accéder à Internet, l'envoi d'un SMS permet en retour d'obtenir la localisation avec des données sur l'altitude et la vitesse, le numéro IMEI et bien plus encore.

Il est aussi possible de désactiver les alarmes de mouvement, de chute ou de batterie faible, éteindre l'appareil et même… d'écouter à distance en appelant le numéro de téléphone. TechCrunch a pu tester ces vulnérabilités et confirme qu'elles sont réelles.

Un code PIN peut être ajouté pour protéger l'accès, mais il est désactivé par défaut. Pire, même s'il est présent, les commandes reboot et reset ne nécessitent pas le code PIN pour être utilisées. Cette dernière remet l'appareil dans sa configuration par défaut… sans code PIN.

Pour les chercheurs, réparer cette faille serait « trivial », par exemple en imprimant un code unique sur chaque appareil, nécessaire pour accéder à celui-ci à distance. Ils estiment par contre que rien ne peut être fait pour ceux déjà en circulation, notamment à cause de la commande reset accessible sans authentification.

Contactés en amont, certains constructeurs ont commencé à rappeler leurs produits, tandis que d'autres n'ont pas répondu.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'opérateur explique que « PEACE, pour "Pakistan and East Africa Connecting Europe", est un système de câble sous-marin ouvert et neutre financé par HENGTONG Optic-electric (HKT) ».

Il mesurera 12 000 km et reliera en 2021 « la France au Pakistan, à travers un unique point d’atterrissage dans la ville de Marseille, en passant par la route Europe-Asie, et la ville de Mombasa au Kenya, via un tracé court vers l’Océan Indien [...]. Il s’étendra par la suite jusqu’en Afrique du Sud, sur une longueur totale de 15 000 km ».

De son côté, Orange sera en charge de fournir et d'opérer la station d’atterrissage du câble dans le cité phocéenne. La société en profite pour acheter « 500 Gb/s de capacité sur le câble entre Marseille et le Kenya » afin de soutenir ses activités.

Copié dans le presse-papier !

Aux États-Unis, vous avez la possibilité de choisir parmi 11 voix pour Google Assistant (dont John Legend). Le reste du monde n'est pas (totalement) oublié : « aujourd’hui, nous lançons une nouvelle voix dans neuf autres langues : allemand, français, néerlandais, norvégien, italien, coréen, japonais, anglais au Royaume-Uni et anglais en Inde ». 

Elles seront déployées dans la semaine et ont été construites avec les algorithmes WaveNet de DeepMind afin de leur donner « un son naturel »… enfin dans la mesure du possible. Pour en profiter, il faudra se rendre dans l'application Assistant, puis dans Voix de l'Assistant.

Copié dans le presse-papier !

Facebook était le seul des GAFAM à ne pas avoir été inquiété jusqu’ici par des histoires d’écoutes humaines sur des enregistrements audios captés depuis les enceintes connectées. La boucle est maintenant bouclée.

Bloomberg avait déjà prévenu en août que des tiers travaillant pour Facebook avaient écouté et transcrit des conversations obtenues via la fonction d’appel de Messenger. Le réseau social a depuis confirmé qu’il faisait de même avec les enceintes connectées Portal.

L’information a été donnée par Andrew Bosworth, directeur de la branche matérielle chez Facebook : « Nous avons mis en pause les évaluations humaines des interactions vocales "Hey Portal" le mois dernier, pendant que nous travaillions sur un plan pour donner aux gens plus de transparence et de contrôle, dont un moyen de l’éteindre ».

Le responsable précise que les processus d’évaluation, d’analyse et de transcriptions n’étaient pas les mêmes que ceux de Messenger, eux aussi à l’arrêt.

Le problème pour Facebook est le même que pour Apple, Amazon, Google et Microsoft : les conditions d’utilisation ne mentionnent nulle part que des personnes tierces peuvent être amenées à écouter des morceaux de conversations privées.

Pas de chance pour le réseau social, qui lance justement… de nouveaux produits Portal, en plus d’une révision de la gamme existante. 

Aux côtés notamment d’une version modernisée de la Portal 10 pouces, on trouve désormais une variante Mini, avec un écran de 8 pouces. Facebook a également présenté sa Portal TV, une set-top box se servant de la télé comme écran.

L’objectif général de la gamme Portal n’a pas changé : la vidéoconférence avec les contacts Facebook. Ces produits embarquent des caméras capables – dans une certaine mesure – de suivre votre visage si vous faites autre chose en même temps, avec des fonctions d’amplification vocale.

Les nouveaux produits ne font que compléter l’offre existante, afin que les intéressés aient différentes tailles d’écran, en plus des moutures de 10 et 15,6 pouces qui existaient déjà, et dont les prix passent respectivement à 179 et 279 dollars (baisses de 20 et 70 dollars). Les modèles Mini et TV sont, eux, vendus 129 et 149 dollars.

Notez que même si ces produits sont tous commercialisés en France, les fonctions liées à Hey Portal ne sont disponibles qu'en anglais.

Facebook jure sur ses grands dieux que les appareils sont désormais tournés entièrement vers la vie privée. Les caméras et micros sont désactivés par défaut, et les appareils n’analysent ni n’enregistrent les conversations. Les appels sont chiffrés et les opérations de machine learning effectués pour améliorer la qualité audio ou vidéo sont effectuées sur l’appareil, pas sur les serveurs de Facebook.

Ce sont du moins les promesses de Facebook, face à une déferlante de problèmes liés à la vie privée depuis le scandale initial de Cambridge/Analytica. La stratégie de l’entreprise repose sur la confiance des utilisateurs dans ses services et l’ubiquité de ses produits et services. Face à une confiance ébranlée et une compétition féroce sur ce créneau, la société n’est pas au bout de ses peines.

Copié dans le presse-papier !

Le géant du Net revoit son offre, avec une baisse de 10 dollars à la clé. Cela fait maintenant plus de quatre ans que Projet Fi (qui est ensuite devenu Google Fi) a été lancé. 

Début 2018, un forfait « illimité » à 80 dollars par mois est arrivé. Il s'agissait surtout d'une limite de facturation, via un « fair use » (débit réduit au-delà d'une certaine limite).

Le nouveau « Unlimited » est désormais à 70 dollars par mois (hors taxes, comme toujours chez Google), avec 22 Go de data (débit réduit ensuite) y compris en roaming. Les appels et SMS sont toujours illimités vers de nombreux pays.

Ce n'est pas tout : 100 go de stockage sur Google One sont compris dans le prix (normalement facturés 1,99 euro par mois). 

L'offre de base à 20 dollars par mois est toujours disponible, avec 10 dollars par Go consommé, dans la limite de 80 dollars par mois. 

Copié dans le presse-papier !

Greenbone, société allemande spécialisée dans la cybersécurité, tire la sonnette d'alarme : des données médicales seraient librement et facilement « accessibles en raison de négligence au niveau de la configuration de ces systèmes. Beaucoup n'ont aucune protection, comme un mot de passe ou du chiffrement ».

Les serveurs censés être sécurisés laisseraient en fait fuiter des informations hautement confidentielles : « noms, les dates de naissance, dates et détails des examens, médecins traitants, cliniques et analyses médicales consultables et, dans certains cas, téléchargeables ». Aux États-Unis, des numéros de sécurité sociale sont également de la partie.

Au total, « plus de 24 millions d'enregistrements, combinés avec plus de 700 millions d'images » seraient accessible selon Greenbone. Tout le monde est concerné (ou presque) puisque les serveurs se trouvent dans 52 pays à travers le monde. 

Un rapport détaillé a été mis en ligne. On y découvre que la France ne serait pas épargnée avec des dossiers de 47 500 patients, pour 2,67 millions d'images accessibles.