LeBriefdu 6 avril 2021
Facebook : des informations personnelles de 533 millions de comptes en libre circulationCrédits : ymgerman/iStock

Ces données ont été mises à disposition gratuitement sur un forum pour pirates. Elles ne sont en fait pas nouvelles : elles étaient initialement apparues en juin 2020, lorsqu’un des membres essaya de les vendre. 

Les informations sont issues précisément de 533 313 128 comptes et contiennent les numéros de téléphone portable, l’identifiant Facebook, le nom, le genre, la ville, le statut marital, le métier, la date de naissance ainsi que, dans de rares cas, l’adresse email. Presque toutes les entrées contiennent au moins le nom et le numéro de téléphone.

Alon Gal, directeur technique de la société de sécurité Hudson Rock, a indiqué dans une série de tweets que tout semblait pointer vers l’exploitation en 2019 d’une faille dans la fonction « Ajouter un ami ». Une brèche qui serait apparue dès 2016, si l’on en croit Motherboard, qui avertissait déjà en janvier de la revente des données.

La faille a depuis été corrigée, et on ne sait pas si elle a permis la récupération de toutes les informations, ou uniquement des numéros de téléphone auxquels auraient été ajoutées d’autres données provenant de l’analyse des profils publics.

La première revente des informations a été proposée pour 30 000 dollars l’année dernière. Peu après, un canal Telegram a été ouvert par un autre pirate pour rendre l’utilisation de la base de données payante. Mais, comme souvent, la « commercialisation » de ces informations a été proposée pour des prix de plus en bas plus bas, jusqu’à ce que les données soient proposées gratuitement, pour le gain de notoriété.

Parmi les informations, on trouve notamment les numéros de téléphone de trois des fondateurs du réseau social : Mark Zuckerberg, Chris Hughes et Dustin Moskovitz, respectivement les 4e, 5e et 6e membres inscrits sur la plateforme. Sur les 533 millions de comptes, 19 848 559 proviennent de Français, soit environ la moitié des utilisateurs dans l’Hexagone.

Bien que les données datent de 2019, il est probable que la plupart des informations soient encore valables, le numéro de téléphone changeant rarement, de même que l’adresse email, sans parler du nom, du genre ou du pays de résidence. 

Ces informations peuvent servir – et ont sans doute déjà servi – à des campagnes de phishing, voire de smishing (phishing par SMS). La récupération des numéros de téléphone peut éventuellement permettre des attaques de type SIM swap scam pour récupérer des codes d’authentification multi-facteurs envoyés par SMS.

Maintenant que les informations sont publiques, la vigilance est de mise. Attention donc à certains emails ou SMS reçus, car les données personnelles augmentent le risque d’ingénierie sociale, quand bien même la personnalisation des attaques se fait davantage pour des cibles à potentiel spécifique. 

Du côté de l’Electronic Frontier Foundation, on pointe une nouvelle fois un scandale lié à la vie privée sur le réseau social. Surtout, on prévoit d’avance que la faille risque de servir à nouveau d’excuse à Facebook pour renforcer les mesures retenant les utilisateurs captifs, alors que les demandes d’ouverture abondent.

La question de savoir si vous êtes concernés par la fuite est complexe. En France, mieux vaut partir du principe que c’est le cas. La base Have I Been Pwned, habituellement une référence, n’est dans le cas présent pas un indicateur fiable, car sur plus d’un demi-milliard de comptes, seuls 2,54 millions d’adresses email ont été récupérées. 

Facebook n’a pas communiqué spécifiquement autour de cet incident, la plupart des porte-paroles rappelant que les informations datent de 2019 et que la fuite a été corrigée depuis. 

À l’aune du RGPD, Facebook doit en principe prévenir les autorités de contrôle dans les 72 heures suivant la découverte de la fuite, à ceci près que la fuite a eu lieu avant l’entrée en application du règlement.

Ce point a été confirmé par la CNIL irlandaise, la DPC (Data Protection Commission) qui est ici autorité chef de file, l’établissement principal de Facebook en Europe étant à Dublin.

Elle a annoncé qu’elle se penchait sur cette fuite, notamment pour vérifier si les données sont identiques à celles de 2019, et s’il doit y avoir procédure. 

Selon les résultats, elle pourra imposer à Facebook d’alerter l’ensemble des utilisateurs concernés, en application de l’article 33 du RGPD

Marvel : de nouvelles bandes-annonces pour Loki et Black Widow

Dans le premier cas, il s’agit d’une série qui sera disponible à partir du 11 juin sur Disney+. L’histoire – qui semble très animée – se déroule après Avengers: Endgame et on y découvre le… « variant Loki ».

Dans le cas de Black Widow, une sortie au cinéma est programmée pour le 7 juillet. On y retrouve évidemment l'héroïne appartenant aux Avengers, mais avant qu’elle ne fasse partie du groupe de justiciers. Elle sera pour rappel aux prises avec Taskmaster.

API Java : victoire du fair use et de Google face à Oracle devant la Cour SuprêmeCrédits : hundreddays/iStock

En 2016, Google gagnait un important procès contre Oracle à la suite d’une plainte de ce dernier. L’éditeur avait en effet attaqué Google pour violation de copyright sur 37 API, utilisées pour la conception de sa machine virtuelle Dalvik qui était au cœur d’Android jusqu’en 2014.

Au cœur du litige, on retrouvait la notion de « fair use ». En clair, pour Google, les technologies universellement utilisées comme l’étaient ces fameuses 37 API ne devraient faire l’objet que d’une rémunération symbolique. En outre, Dalvik n’était plus utilisée depuis Android 5.0.

Au fil des ans, les rebondissements ont été nombreux. En 2012 par exemple, un juge avait déclaré que Google ne pouvait être tenu responsable, puisque seuls les noms des méthodes avaient été gardés. En 2014, une cour d’appel statuait cependant que les API Java pouvaient bel et bien bénéficier du copyright. À nouveau victoire pour Google en 2016, Oracle faisant appel dans la foulée et gagnant à son tour une nouvelle manche en 2018.

Aujourd’hui, la question est définitivement réglée, car la Cour Suprême américaine a tranché : l’utilisation des API Java par Google était bien un cas de fair use. Cette « utilisation juste » a été largement encensée par le juge Stephen Bryer, qui a rappelé que le principe permet d’éviter « une application rigide des statuts du copyright quand, à l’occasion, ils étouffent la créativité même que la loi est censée encourager ».

L’utilisation faite par Google entre donc dans un cadre d’innovation favorisée par une utilisation raisonnable d’une technologie. En outre, les juges ont considéré que la copie était plus que limitée : les fameuses 11 500 lignes de code reprises par Google représentaient moins de 1 % de Java SE. En outre, ce code servait aux développeurs tiers pour le développement d’applications Android.

Enfin, les juges n’ont pas considéré qu’Oracle était financièrement perdante par cette reprise de code. Selon la Cour Suprême, la société n’était pas en capacité de concevoir un projet viable de smartphone et n’avait donc rien à perdre dans ce domaine.

La victoire est donc totale pour Google, même si la Cour Suprême n’a finalement pas répondu à une question centrale, et pour laquelle l’EFF et Mozilla attendaient une réponse avec impatience : peut-on apposer un copyright sur une API ?

LG arrête les smartphones

La société confirme dans un communiqué son intention de se retirer de ce marché « incroyablement concurrentiel » afin de se concentrer sur d’autres secteurs d’activités comme les véhicules électriques, les objets connectés, la domotique, la robotique, l’IA, la 6G, etc.

La liquidation de cette branche interviendra le 31 juillet de cette année. Le constructeur affirme qu’il continuera de proposer des mises à jour pour une durée… « qui dépendra de la région ». On a vu plus précis. 

Le Sénat adopte la prétranscription du DSACrédits : Sénat (CC BY-NC-ND 2.0)

Les sénateurs ont adopté l’article 19 bis du projet de loi Respect des principes de la République, disposition qui veut « prétranscrire » en France le futur règlement du Digital Services Act

Ce nouveau régime de responsabilité des plateformes, dévoilé le 15 décembre dernier par la Commission européenne, est toujours en cours d’examen dans l’Union, mais la France a décidé de mettre la charrue avant les bœufs.  

À partir du texte aiguisé en commission des lois, plusieurs amendements ont été adoptés en séance, contrairement à celui des socialistes qui tentaient de réintroduire la loi Avia

Le 438, inspiré par les observations de Reporters sans frontières, note que les plateformes devront évaluer chaque année les « risques systémiques liés au fonctionnement et à l’utilisation de leurs services en matière de diffusion des contenus illicites et en matière d’atteinte aux droits fondamentaux, notamment à la liberté d’expression ».

L’amendement remplace « en matière de… » par « en favorisant la… ». Cédric O s’y est opposé, en vain. Il craint que cette rédaction ne soit trop restrictive, conduisant « à un contrôle plus restreint des outils des plateformes ». 

L’article 19 bis donne compétence au CSA pour « mettre en œuvre des méthodes proportionnées de collecte automatisée de données publiquement accessibles », afin de jauger les pratiques des opérateurs de plateforme dans la lutte contre les contenus haineux.

Un autre amendement adopté prévient que cet accès sera possible « y compris lorsque l’accès à ces données nécessite la connexion à un compte ». Une manière d’échapper à la jurisprudence du Conseil constitutionnel sur les données que peut traiter Bercy

« De nombreux acteurs visés par le champ du dispositif ne présentent rien sur l'internet ouvert, puisqu'il faut avoir un compte soumis à mot de passe pour accéder à leurs contenus » a relevé en séance Julien Bargeton

D’autres amendements ont passés victorieusement ce cap, comme celui visant « à ne soumettre les moteurs de recherche qu’aux obligations visant les plateformes en ligne les plus importantes et qui consistent à procéder à une évaluation des risques systémiques liés à leurs services ».

Les moteurs devront néanmoins rendre des comptes au CSA. 

Ils « resteraient en revanche exclus, [...] des obligations relatives aux conditions générales d’utilisation du service, à la notification de contenus, au traitement de ces notifications, aux mécanismes de recours des utilisateurs contre les décisions prises par les plateformes ou à l’utilisation abusive du service ».

Ma thèse en 180 secondes : les 16 finalistes s’affronteront le 10 juin

« Ils étaient 58 demi-finalistes, 1er et 2e prix du jury lors de la finale de leur regroupement universitaire, à participer à la demi-finale qui s’est déroulée à distance hier, le 1er avril 2021 », explique le CNRS.

16 candidats ont été sélectionnés pour présenter leur sujet de thèse durant la grande finale programmée pour le 10 juin. Dans le lot, on retrouve notamment Gaël Mahfoudi qui travaille sur l’« automatisation de la détection de la falsification d'image », James Larrouy sur des « outils avancés en analyse multivoque et leurs applications », Peter Stephen Assaglhe sur la « vulnérabilité des femmes et violences dans la région des Grands Lacs africains : cas des femmes du Grand Kivu », etc.

Internet n'a pas été inventé en FranceCrédits : jessekarjalainen/iStock

« La France aurait-elle vraiment pu inventer Internet ? » s'interroge faussement Damien Leloup dans un article paru dans Le Monde. La publication du roman « Comédies françaises », d’Eric Reinhardt, a en effet ravivé des querelles mémorielles quant aux apports des informaticiens français à la création d’Internet. Et réveillé des débats très gaulliens entre anciens ingénieurs et chercheurs de l’époque sur le rôle de l’Etat et les apports de la recherche française à la création d’Internet.

« L’idée que les Américains auraient, en intégrant du datagramme, repris un truc totalement inventé en France, est fausse », précise Valérie Schafer, professeure d’histoire contemporaine à l’université du Luxembourg et autrice d’une thèse de référence sur la création des réseaux français. « Dès le début de Cyclades, il y avait des échanges avec les Américains. Gérard Le Lann, de Cyclades, va dès 1973, un an après le lancement du projet, travailler à Stanford avec l’équipe Arpanet. »

« Les Nord-Américains à l’origine d’Arpanet connaissaient, depuis le début, le concept du datagramme. Si la première version d’Arpanet n’utilisait pas de datagramme pur, ce n’est pas par ignorance, mais parce qu’ils ont fait face à une opposition majeure de la part des constructeurs, IBM, General Electric ou Univac, qui à l’époque avaient un monopole de fait sur les ordinateurs. Ils n’avaient aucune envie de mettre à jour les logiciels de leurs machines, un travail coûteux », se souvient de son côté Gérard Le Lann.

Au passage, il explique avoir fait une découverte étonnante : « Nous nous sommes tous trompés, moi le premier, en faisant remonter l’histoire d’Internet au lancement d’Arpanet en 1969, estime M. Le Lann. Il faut remonter au moins à 1962 et à 1965. Des précurseurs nord-américains et britanniques présentent alors dans des thèses, des publications, des conférences, pratiquement tous les concepts et principes qui vont permettre les travaux d’ingénierie qui donneront Internet. Tout est là. Le rôle de ces précurseurs a été très largement négligé, en partie parce que les documents, anciens, ne sont pas toujours disponibles ou facilement trouvables en ligne. »

Sur certains points, tous les acteurs de l’époque sont d’accord, reconnaît Leloup. Si Arpanet a gagné la bataille, et si Internet s’est finalement développé aux États-Unis, c’est grâce à la conjonction de trois éléments : des financements constants, une alliance réussie entre universités, armée et entreprises et, surtout, une volonté politique incarnée plus tard par la figure du vice-président Al Gore (1993-2001), qui fera une promotion sans faille d’Internet.

A contrario, la France n’a pas su faire la jonction entre l’armée, le secteur privé et les jeunes ingénieurs des universités, souvent pacifistes et idéalistes. « Les deux tiers des managers d’Internet sont sortis du Lincoln Lab du MIT. Personne là-bas ne s’est jamais inquiété du fait qu’on y trouve aussi bien la Rand Corporation [think-tank de recherche militaire] que des idéalistes », estime M. Le Lann. 

SolarWinds : les pirates ont aussi tenté d'espionner les responsables cybersécurité

Non content d'avoir réussi à infiltrer des réseaux informatiques du gouvernement et de l'administration américaine, les pirates russes à l'origine de la cyberattaque SolarWinds ont également identifié une poignée de responsables et d'analystes qui étaient précisément chargés d'y remédier, et tenté de pirater leurs messageries, révèle CNN.

« Cela pourrait signifier que les réseaux ont été pénétrés bien plus profondément que nous le croyions auparavant. Si c'est avéré, nous aurions besoin d'un nettoyage complet de toutes nos cyberdéfenses », explique Cedric Leighton, ancien responsable de la NSA et analyste militaire de CNN.

Après le piratage, les cadres supérieurs du siège du DHS ont reçu de nouveaux téléphones, a déclaré un ancien responsable du département à CNN, indiquant que l'impact était significatif au DHS.

QNAP : deux failles 0-day corrigées dans QTS 4.5, des mises à jour arrivent pour les autres NAS

Elles portent les références CVE-2020-2509 et CVE-2021-36195, comme l'indique Threat Post. Les chercheurs les ont signalées au fabricant en octobre et novembre dernier, mais elles n’ont visiblement toujours pas été bouchées sur tous les modèles concernés.

Elles permettent de prendre possession d’un NAS à distance (via le Web Server et/ou le DNLA Server), avec tous les ravages que cela peut entraîner. Quelques détails techniques sont donnés par ici.

Les NAS avec QTS en version 4.5 ont droit à une mise à jour (pensez à vérifier que la dernière mouture est bien installée sur votre machine), mais pas encore les anciens modèles comme le TS-231.

Devant la dangerosité des failles, QNAP précise qu’il proposera un correctif dans les prochaines semaines, sans plus de précisions.

Qwant n'est toujours pas à l'équilibre, mais l'espère pour 2021

Guillaume Champeau indique que c'est la trajectoire actuelle, évoquant un « chiffre d'affaires en hausse de 28 % malgré le Covid qui plombe le marché publicitaire [et des] pertes divisées par deux en un an ».

La société sort d'une année de réorganisation suite à la mise en place d'une nouvelle équipe, devant faire le ménage dans les pratiques passées et les projets en cours, et surtout constituer un index utilisé plus régulièrement que celui de Bing.

Si la société s'exprime encore assez peu sur ses évolutions techniques et stratégiques, elle vient d'annoncer un chiffre d'affaires de 7,5 millions d'euros pour 2020, avec toujours 13 millions d'euros de pertes, contre 23,5 millions d'euros l'année précédente.

Un montant qui reste élevé, en raison de « charges "non récurrentes" de restructuration » selon l'AFP à qui l'entreprise a indiqué qu'elle pensait être proche de l'équilibre cette année, notamment à travers ses évolutions publicitaires et son développement en Allemagne. 

« En octobre et novembre 2020, nous avons délivré plus d'un million d'euros de chiffre d'affaires brut, ce qui nous rapproche très sensiblement » du point d'équilibre a précisé Jean-Claude Ghinozzi, actuel PDG, sans livrer de chiffres sur ces derniers mois.

Des nouvelles qui se veulent rassurantes, et pour cause : Qwant cherche à lever au moins 20 millions d'euros pour continuer à se développer.

Zen 3 : AMD détaille une faille du Predictive Store Forwarding (PSF)

Comme le rapporte Wccftech, le fabricant a publié un document détaillant cette vulnérabilité de type « side channel », qui n’est donc pas sans rappeler Meltdown/Spectre et leurs nombreux variants. 

Dans son document, AMD précise qu’il « ne connaît actuellement aucun code qui serait considéré comme vulnérable en raison du comportement de la PSF », mais il détaille néanmoins les risques et explique comment désactiver cette fonctionnalité. 

Enfin, « AMD estime que pour la plupart des applications, le risque de sécurité lié à la PSF est probablement faible », en conséquence de quoi le constructeur recommande de laisser la fonction Predictive Store Forwarding activée par défaut. 

Responsabilité : les sénateurs transforment les hébergeurs en éditeursCrédits : metamorworks/iStock

« Il y avait peu de monde dans l’hémicycle. La gauche et les centristes ont voté pour, quelques républicains aussi. Le vote était à main levée », nous a indiqué samedi le sénateur Pierre Ouzoulias, qui a voté « pour » .

Cet amendement adopté dans le cadre de l’examen sur le Respect des principes de la République (ou « Séparatisme ») revoit considérablement le régime de responsabilité des hébergeurs. 

Aujourd’hui, leur responsabilité est conditionnée à la démonstration de leur passivité alors qu’ils viennent d’avoir connaissance d’un contenu manifestement illicite.

Avec ce texte porté par Claude Malhuret (Indépendants, République et Territoires), les hébergeurs deviennent civilement et pénalement responsables lorsqu’ils effectuent sur les contenus « un traitement par algorithme, modélisation ou tout autre procédé informatique, afin de classer, ordonner, promouvoir, recommander, amplifier, ou modifier de manière similaire la diffusion ou l’affichage de ces informations »

Deux critères donc : un critère matériel (un procédé informatique), un critère de finalité (« afin de… »).

Le texte épargne simplement les classements chronologiques, alphabétiques, aléatoires, ou ceux fondés « sur la quantité ou la qualité des évaluations attribuées par les utilisateurs. »

Le modèle économique des plateformes « les conduit à sélectionner et promouvoir les contenus les plus extrêmes, les plus polémiques, ceux qui génèrent le plus de vues, de messages, donc de fric. Les algorithmes dégradent la visibilité des contenus normaux, mettent en avant les plus dangereux » a commenté le sénateur en séance.  

« Cette sélection est bien un choix de contenus. Je souhaite maintenir l'exonération de responsabilité pour les purs hébergeurs, mais rendre les autres responsables devant le juge pour les contenus qu'elles diffusent ». Message adressé à Facebook, Twitter, YouTube et les autres. 

« Il faut approfondir la régulation » a concédé Cédric O, les yeux tournés sur le Digital Services Act et l’article 19 bis du projet de loi qui veut le prétranscrire.

Toutefois, « il serait abusif de les considérer comme des éditeurs - ce serait tuer le modèle ». Et le secrétaire d’État au numérique d’insister : « Rendre les plateformes responsables de chaque contenu n'est pas une approche juridique sensée ».

L’amendement a donc été adopté, à ceci près que le régime qu’il met en place n’a aucune chance de survivre en commission mixte paritaire, le texte n’étant pas vraiment dans les clous de la directive de 2000 sur le commerce électronique, encore en vigueur. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !