LeBriefdu 11 juin 2021
RockYou2021 : pourquoi il ne faut pas avoir peur de la prétendue fuite de mots de passeCrédits : Mehmet Cay/iStock

De nombreux sites web se sont fait l'écho de la mise en ligne d'un gigantesque fichier baptisé RockYou2021, pesant près de 100 Go, présenté comme « la plus grosse compilation de mots de passe de tous les temps », regroupant 8,4 milliards d'entrées. Ce n'est pas la première fois, de telles publications apparaissant régulièrement dans la presse. 

Or, et comme l'expliquent Troy Hunt, le créateur d'HaveIBeenPwned, et Chris Partridge, en charge de la sécurité du cloud chez Amazon, le fichier en question n'est qu'un nouvel agrégat de vieux mots de passe piratés par le passé, mais aussi et surtout de bases de données de simples « mots » (i.e. pas « de passe ») répertoriés par Wikipédia ou encore l'encyclopédie de livres du Projet Gutenberg, ou qui en ont été dérivés par permutations... Inutile, donc, de paniquer. 

Alors qu'on dénombre environ 4,7 milliards d'internautes, que nombreux sont ceux à utiliser les mêmes mots de passe, et que ces derniers sont de plus en plus stockés sous forme de hashs, HaveIBeenPwned ne répertorie d'ailleurs qu'un peu plus de 615 millions (soit 14 fois moins) de mots de passe.

« Toujours vraiment surpris que cela ait fait les gros titres et ait été autant partagé, c'est comme si les gens ne lisaient pas les histoires avant de les partager », déplore de son côté Troy Hunt. 

Guerre des prix sur le mobile : 20 Go de 4G dès 5 euros par mois

Il y a à peine plus d’un mois, B&You et RED by SFR relançaient la guerre des prix sur les forfaits de téléphonie mobile. 20 Go de 4G étaient ainsi proposés à 5 euros par mois seulement, une offre que nous n’avions pas vue depuis des années.

RED by SFR a remis une pièce dans la machine, avec de nouveau 20 Go pour 5 euros par mois (6 Go en roaming depuis l’Union européenne et les DOM). L’opérateur propose aussi 60 Go pour 8 euros et 130 Go pour 12 euros.

Sans attendre, Bouygues Telecom a répliqué (comme il le fait à chaque fois dans ce genre de cas), mais avec un petit changement : les 20 Go sont désormais à 5,99 euros par mois, avec 12 Go de roaming, soit un euro de plus qu’en mai. Les 80 Go sont à 8,99 euros et les 140 Go à 12,99 euros par mois.

Sosh aussi se lance dans cette guerre, avec un forfait à 4,99 euros par mois, avec 20 Go de data et 8 Go en roaming. L’opérateur propose aussi 60 Go à 13,99 euros par mois et 100 Go à 15,99 euros par mois.

Europe : feu vert du Parlement pour le certificat Covid numérique

Il a été approuvé en session plénière : 546 votes pour, 93 contre et 51 abstentions (pour les citoyens européens), et 553 votes pour, 91 contre et 46 abstentions (pour les ressortissants de pays tiers).

« Ce certificat sera délivré gratuitement par les autorités nationales: il sera disponible au format numérique ou papier et contiendra un code QR. Il attestera que son détenteur a été vacciné contre le coronavirus, qu’il a reçu récemment le résultat d’un test de dépistage négatif, ou qu’il s’est remis de l’infection », explique le Parlement.

En France, des QR-Code sont déjà disponibles pour les personnes vaccinées, qui peuvent l’importer dans l’application TousAntiCovid. Il sera remplacé par le système européen à partir du 23 juin, en prévision du lancement du pass européen le 1er juillet.

« Le texte devra à présent être formellement adopté par le Conseil et publié au Journal officiel, en vue de son entrée en vigueur immédiate et de son application à partir du 1er juillet 2021 », rappelle le Parlement.

Projet européen Trex : des supercalculateurs pour « percer les secrets de la matière »Crédits : Maxiphoto/iStock

Le CNRS explique que, « à condition de mettre au point des logiciels adaptés, l’exascale, nouvelle génération de supercalculateurs, offrira une puissance de calcul colossale capable de modéliser les propriétés des molécules et des matériaux, en prenant en compte leurs interactions fondamentales et la mécanique quantique ».

« Une course internationale est donc en cours non seulement pour fabriquer ces impressionnantes machines, mais aussi pour profiter au maximum de leurs capacités », ajoute le Centre national pour la recherche scientifique dans son Journal. 

Un exemple des avancées attendues : « Mieux modéliser l’eau permettra par exemple de simuler plus efficacement le comportement des protéines. Ainsi, les applications menées dans le cadre du projet Trex pourraient avoir d’excellentes répercussions sur la recherche en biologie et en pharmacie ».

Anticipant des questions sur la consommation, le CNRS affirme que, « bien configurée, une machine exascale va peut-être consommer trente fois plus qu’un supercalculateur classique, mais elle va fournir en retour mille fois plus de puissance de calcul ». Pour rappel, l’Europe travaille depuis des années au développement d’un processeur permettant d’atteindre l’exascale – ExaNoDe –, c’est-à-dire un milliard de milliards d’opérations à la seconde (1018).

Mobiles Samsung : des failles de sécurité dans les applications mobiles préinstallées

Le pot aux roses a été découvert par Oversecured, comme le rapporte TechCrunch. Les analyses ont été menées sur un Galaxy S10+, mais tous les smartphones et tablettes sont potentiellement concernés puisqu'il s’agit d’applications intégrées qui sont responsables du fonctionnement du système.

En détournant les autorisations accordées aux applications, une personne mal intentionnée pourrait récupérer les photos, contacts, enregistrement d’appels et messages. Des failles étaient en lien avec le Secure Folder de Samsung et le Knox Core, qui disposent tous les deux de droits élevés.

Les vulnérabilités ont été signalées en amont à Samsung, qui a déployé des correctifs en avril et en mai. Le fabricant ajoute qu’il n’y a eu, à sa connaissance, aucune exploitation de ces brèches.

Tous les détails techniques se trouvent dans ce billet de blog d’Oversecured.

Patrick Drahi rachète 12,1 % de l’opérateur BT et devient ainsi le premier actionnaire

« Une société nommée Altice UK, détenue à 100 % par M. Drahi, a été créée spécialement dans le but de détenir les 1,2 million d'actions de BT », explique l’AFP en se basant sur un communiqué de l’homme d’affaires.

Le montant de la transaction est de 2,4 milliards d’euros. Avec 12,1 %, il se place juste devant Deutsche Telekom (12,06 %), précise Bloomberg. Cette annonce a fait grimper le cours de BT de plus de 7 % en bourse. Patrick Drahi indique ne pas avoir l’intention de lancer une offre publique d’achat.

De son côté, l’opérateur historique britannique « prend note » de cet investissement et du soutien à sa « gestion et [sa] stratégie ». « Nous souhaitons la bienvenue à tous les investisseurs qui reconnaissent la valeur à long terme de notre entreprise et le rôle important qu'elle joue au Royaume-Uni », ajoute-t-elle dans un communiqué des plus succincts.

Une prise de participation qui intervient alors que le groupe pourrait se désengager de Meo au Portugal et a mis en place un plan de départs volontaires en France, critiqué par les syndicats.

RGPD : la Commission européenne ouvre une procédure d'infraction contre la BelgiqueCrédits : MicroStockHub/iStock

Elle lui reproche le manque d'indépendance de son autorité nationale chargée de la protection des données personnelles, en « violation » du RGPD, rapporte l'AFP. « Les informations fournies dans la réponse apportée par les autorités belges en avril 2021 n’ont pas dissipé les préoccupations », indique l’exécutif européen dans un communiqué.

En mars 2021, Didier Reynders, commissaire à la justice, avait en effet envoyé une lettre aux autorités belges dans laquelle il faisait part de ses préoccupations quant au fait que l'autorité chargée de la protection des données « n'était pas indépendante ». 

Certains de ses membres « ne peuvent être considérés comme étant à l'abri de toute influence extérieure parce qu'ils rendent compte à un comité de gestion dépendant du gouvernement belge, participent à des projets gouvernementaux sur la recherche des contacts dans le cadre de la COVID-19 ou sont membres du Comité de la sécurité de l'information », précise le communiqué. 

« La Belgique dispose à présent d’un délai de deux mois pour garantir la pleine indépendance de son autorité chargée de la protection des données, faute de quoi la Commission pourrait décider de lui adresser un avis motivé » (l’étape suivante de la procédure, ndlr), est-il souligné.

Toujours selon l’AFP (s’appuyant sur des informations de Politico), la plainte dont la Commission s’est saisie ciblait au moins trois membres de l’Autorité de protection des données (APD) exerçant parallèlement un mandat public et enfreignant donc l’exigence d’indépendance dans leurs fonctions au sein de l’autorité. Deux ont déjà démissionné car ces deux chefs d’administration, placés « sous l’autorité directe d’un ministre, ne pouvaient légalement pas siéger » au sein de l’APD, précise de son côté le quotidien Le Soir.

Mais un autre membre est toujours en fonction, relèvent nos confrères. Il s’agit de Frank Robben, qui siège au « Centre des Connaissances » de l’APD (émettant avis et recommandations sur le traitement des données), mais qui est aussi un haut fonctionnaire connu en Belgique comme le concepteur d’un vaste système de centralisation des informations personnelles sur la carte d’identité électronique.

« C’est un personnage clé dans la construction des bases de données en Belgique, il a contribué à une meilleure numérisation », mais « il est souvent juge et partie dans toutes les décisions de l’APD », a indiqué une députée belge sous couvert de l’anonymat. Une ONG flamande, Ministry of Privacy, avait ainsi décerné en mars à Frank Robben le titre de « Big Brother » de l’année 2021.

L'ONG expliquait que le choix de Frank Robben était principalement dû au manque de transparence sur ses nombreuses fonctions, et au fait qu'il « décide souvent seul les fournisseurs de services qui conçoivent des projets importants (et le fonctionnement de ces projets), avec un impact particulièrement important sur notre vie privée ».

LDLC VR Expérience : une salle de jeux de 300 m² pour la réalité virtuelle

Elle se situe à Dardilly, tout près de Lyon, et elle est « 100 % dédié à la détente et au divertissement ». L’occasion pour le revendeur de rappeler qu’il dispose d’un studio de VR, qui sera d’ailleurs rattaché à cette salle.

On y trouvera notamment « de la réalité virtuelle statique, dites en "Pod" [solo ou pour quatre joueurs, ndlr], et en mouvement, dites "Free Roaming" ». Dans ce dernier cas, 4 à 6 joueurs peuvent évoluer dans 180 m². Au total, une dizaine de jeux sont disponibles. Les tarifs oscillent entre 16 euros (30 minutes de Pod) et 35 euros (1h de Free Roaming).

« L’ensemble du complexe LDLC VR EXPERIENCE est privatisable afin d’organiser Team Building, afterworks et autres événements BtoB », ajoute le groupe. Il faudra par contre attendre septembre 2021.

De plus amples informations sont disponibles dans ce communiqué.

TikTok, WeChat : Biden annule les mesures de Trump, mais diligente une vaste enquête

Il a révoqué les décrets de son prédécesseur, mais les services ne sont pas tirés d’affaire pour autant : une enquête sur les risques a été annoncée. Le nouveau décret présidentiel veut identifier toutes les « applications logicielles connectées qui peuvent présenter un risque inacceptable pour la sécurité nationale des États-Unis et le peuple américain ».

Il est bien précisé que cela concerne « les applications détenues, contrôlées ou gérées par des personnes qui soutiennent les activités militaires ou de renseignement d’un autre pays, ou sont impliquées dans des cyberactivités malveillantes, ou impliquent des applications qui collectent des données personnelles sensibles », explique l’AFP.

Les administrations ont quatre mois pour établir leur rapport et formuler des recommandations. Il faudra alors voir quelle sera la décision de Joe Biden une fois qu’il en aura pris connaissance.

La CNIL canadienne veut recadrer l'utilisation policière de la reconnaissance facialeCrédits : daoleduc/iStock

L’utilisation par la gendarmerie royale canadienne de la reconnaissance faciale pour effectuer des centaines de recherches dans « une base de données compilée illégalement par une entreprise commerciale » (Clearview AI, en l'occurrence) constitue une « violation de la Loi sur la protection des renseignements personnels », estime la CNIL canadienne.

« Une institution fédérale ne peut recueillir de renseignements personnels auprès d’un tiers si celui-ci les a recueillis illégalement », a déclaré le commissaire Daniel Therrien. « Les activités des institutions fédérales doivent se limiter à celles que la loi leur permet de mener et elles doivent respecter le principe de la primauté du droit, dit-il. Nous incitons le Parlement à modifier la Loi sur la protection des renseignements personnels afin de préciser que les institutions fédérales sont tenues de s’assurer que les tiers auprès desquels elles recueillent des renseignements personnels ont agi conformément à la loi. »

Le Commissariat à la protection de la vie privée du Canada (CPVP) et ses homologues provinciaux et territoriaux ont en outre annoncé le lancement d’une consultation publique visant à établir des règles plus claires et à déterminer si de nouvelles lois seraient souhaitables, afin de s’assurer que l’utilisation de la technologie de reconnaissance faciale soit conforme aux lois actuelles et limite les risques d’atteintes à la vie privée.

« Elle peut fournir des résultats biaisés sur le plan de la race et miner les droits et libertés, dont le droit à la vie privée et la liberté de réunion pacifique. Cette technologie doit être utilisée de manière responsable et très prudente », a déclaré le commissaire Therrien.

En Europe, Privacy International a déposé des plaintes contre Clearview AI dans cinq pays il y a quelques semaines seulement. « Les résidents de l'Union européenne peuvent demander à Clearview si leurs visages sont inclus dans leur base de données, et demander qu'ils soient retirés des résultats de recherches performées par les clients de Clearview » précise l'ONG qui a publié des conseils pratiques sur l'exercice des droits d'accès aux données.

Pistage en ligne : Mozilla critique les FloC de Google

La fondation avait indiqué qu'elle se pencherait sur les différentes solutions promettant un meilleur respect de la vie privée, elle vient de rendre son avis sur les Federated Learning of Cohorts (FLoC) récemment intégrées à Chrome, et il est plutôt sévère.

Comme d'autres avant elle, Mozilla y voit des possibilités de suivi et de réidentification, indiquant que les FloC sont parfois contre-productif au regard du traitement des données et ce qu'il permet à des tiers d'apprendre de nous via notre navigation en ligne. 

L'idée est jugée intéressante mais l'exécution ratée, avec des contre-mesures insuffisantes. Le rapport complet est disponible ici, la fondation appelant à une correction des problèmes qu'elle a pointés. 

RGPD : Amazon pourrait écoper d’une amende de 425 millions de dollars en Europe

C’est en tout cas l’annonce faite par le Wall Street Journal en se basant sur des sources proches du dossier. La Commission Nationale pour la Protection des Données (CNPD) du Luxembourg aurait préparé un brouillon qu’elle fait circuler auprès des 26 autres membres.

Le fond du problème serait lié à la collecte et l’utilisation de données personnelles par Amazon qui ne respecteraient pas le RGPD. Amazon Web Services ne serait pas concerné, toujours selon des sources. 

« Avant que le projet de décision ne devienne définitif, il doit être approuvé par d'autres régulateurs de la vie privée dans l'UE, un processus qui pourrait prendre des mois et conduire à des changements substantiels », expliquent nos confrères. Le montant de l’amende pourrait aussi être ajusté.

Le Conseil d’État juge illégale la technique de la nasse et l’obligation d’identification ou de dispersion des journalistesCrédits : wellphoto/iStock

Gérald Darmanin avait indiqué en novembre 2020 que « si des journalistes couvrent des manifestations, conformément au schéma de maintien de l’ordre (…), ils doivent se rapprocher des autorités, en l'occurrence les préfets de département, singulièrement ici le préfet de police de Paris, pour se signaler, pour être protégés également par les forces de l'ordre, pour pouvoir rendre compte, faire son travail de journaliste dans les manifestations ».

6 mois plus tard, le Conseil d’État vient de juger illégal que les journalistes aient à obéir aux ordres de dispersion de la police ou de la gendarmerie « en se positionnant en dehors des manifestants appelés à se disperser ». Il annule également le régime d’accréditation prévu par le schéma de maintien de l’ordre, au motif que ce document de l’Intérieur n’a précisé ni la portée, ni les conditions et pas d’avantage les modalités d’une telle « accréditation ». 

Faute de précision, un tel régime permet au ministère « un choix discrétionnaire des journalistes accrédités parmi tous ceux titulaires de la carte de presse en faisant la demande, portent une atteinte disproportionnée à la liberté de la presse et à la liberté de communication ».

Enfin, la juridiction administrative annule la technique dite de la nasse, prévue par le même schéma. « L’encerclement d’un groupe de manifestants est prévu par le schéma national pour contrôler, interpeller ou prévenir la poursuite de troubles à l’ordre public », résument les services de la juridiction

« Si cette technique peut s’avérer nécessaire dans certaines circonstances précises, elle est susceptible d’affecter significativement la liberté de manifester et de porter atteinte à la liberté d’aller et venir. Le texte ne précise toutefois pas les cas où il serait recommandé de l’utiliser. Le Conseil d’État annule ce point, car rien ne garantit que son utilisation soit adaptée, nécessaire et proportionnée aux circonstances ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !