Facebook n’a pas aimé le documentaire de Netflix sur son réseau social (the Social Network), et le fait savoir. Les réseaux sociaux sont une plaie. Certes ils ont des vertus mais conduisent aussi à de trop nombreux vices, en particulier lorsqu’on les associe au politiquement correct, une plaie venue des universités américaines. Et pour mieux combattre son ennemi, il faut le connaître.
Continuer la lectureArchives par étiquette : facebook
BGP
BGP est un protocole méconnu mais structurant d’internet, Facebook1 ne dira pas le contraire (même si le DNS a aussi son rôle à jouer2). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet »3 selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps où tout le monde était gentil sur internet…
Continuer la lectureBrèves (juillet 2019)
Trop stylé
Une belle attaque, bien élégante : le canal intermédiaire. Que faire si on ne peut pas utiliser un canal que l’on souhaite espionner ou écouter ? Réponse : en utiliser un autre.
Rendons ça moins abscons : si vous souhaitez écouter le haut parleur d’un smartphone, via une application malveillante, mais que vous n’y avez pas droit, vous pouvez utiliser… l’accéléromètre1 !
Ce dernier ne demande pas d’autorisation particulière : toute application Android peut y accéder. Et des chercheurs ont réussi à s’en servir pour capter la réverbération du son. Moi, je trouve ça génial.
Pas assez cher, mon fils
La FTC (Federal Trade Commission) souhaite coller 5 milliards de $ à Facebook, suite à ses déboires concernant les données personnelles exploitées sans grande éthique.
Cela représente environ 9% de son misérable chiffre d’affaire, ce qui commence à faire beaucoup quand même, surtout que certaines voix s’élèvent pour dire que ça n’est pas assez.
En y repensant, c’est p’t’être pas assez, mais ça ne concerne que les Etats-Unis, cette affaire. Il y a aussi le RGPD qui rôde et qui va sans doute commencer à taper sur les doigts, comme avec British Airways ou Marriott.
Brèves (mai 2019)
Conteneurs Docker
Excellent : après la découverte d’une grosse boulette sur les distributions Alpine Linux, dont les images Docker permettaient l’accès root sans mot de passe (durant 3 ans !), les chercheurs ont poussé leur recherche dans les 1000 images les plus utilisées1. Au total 194 images (sur 1000) sont dans le même cas (root sans mot de passe).
Source
Responsabilité partagée
Bien que n’ayant pas tous les détails, voici un bel exemple d’illustration de ce qu’est la responsabilité partagée, quand on est dans le cloud.
Une base de données non protégée, hébergée chez AWS, a fait fuiter des millions d’informations sur des « influenceurs » d’Instagram2 (qui appartient à Facebook…) y compris des données privées. Or c’est au propriétaire de la base, une société nommée Chtrbox, qu’il appartient de sécuriser sa base de données.
Patch XP et Windows 7
Bien que le support de ces versions de Windows soit théoriquement terminé (au moins pour le grand public), Microsoft a sorti des patchs de sécurité sur ces produits en mai 20193456.
Pourquoi ?
En raison d’une faille de sécurité sur RDP (Remote Desktop Protocol) si grave qu’on redoute un nouveau WannaCry, rien de moins (à savoir un programme malveillant se propageant sous la forme de ver réseau).
Sources
- CVE-2019-0708 (Microsoft)
Big brother
Le thème n’est pas nouveau, mais entre les progrès techniques (technologiques), l’avènement du big data et autres joyeusetés, nous ne sommes pas près d’avoir la paix quant aux informations personnelles circulant en dehors de notre contrôle. En outre, les petits ruisseaux font les grandes rivières : avec la prolifération des données que nous produisons, il devient possible par inférence ou corrélation de déterminer une quantité énorme d’informations nouvelles et souvent inattendues.
Soyons anonymes
Et bien cela va être de plus en plus difficile. Dernier exemple que je viens de trouver : des chercheurs ont trouvé une technique permettant de déterminer la position d’un téléphone portable à partir d’informations a priori anonymes.
Conservons notre vie privée
Ça va devenir de plus en plus difficile (je me répète). Les applications les plus utilisées sont et seront la cible des autorités et des officines secrètes qui chercheront à savoir tout sur vous, pour des raisons commerciales, idéologiques, de sécurité1, etc.
Le cas Facebook
Voir aussi
Liens externes
- http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/vie-privee-protegez-vous-des-surveillants-08-09-2015-1962786_506
- http://wefightcensorship.org/fr/online-survival-kithtml.html
- https://ssd.eff.org/
- http://www.laquadrature.net/fr/Vie_privee et http://www.controle-tes-donnees.net/
- https://arxiv.org/abs/1802.01468
- https://www.theregister.co.uk/2018/02/07/boffins_crack_location_tracking_even_if_youve_turned_off_the_gps/
- https://www.01net.com/actualites/chine-une-faille-de-securite-donne-un-apercu-d-un-systeme-de-surveillance-digne-de-big-brother-1686365.html
Liens internes
- Appareils mobiles
- Rêvons un peu…
Facebook mérite à lui tout seul toute notre attention et toutes nos critiques. Vu la position dominante du réseau social, et son pouvoir d’influence, il devrait être irréprochable et il ne l’est pas. Un peu comme YouTube, d’ailleurs, quand on y pense.
Pire que les autres ?
La vie privée est (encore) un droit.
Je ne crois pas que FB soit pire que les autres, mais comme je le dis en introduction, vu sa position et la quantité de données personnelles qu’il charrie, la moindre erreur a des conséquences colossales. Cela dit, le business de FB est celui des données (très) personnelles, et pour attirer un maximum d’utilisateurs, il doit en collecter un maximum de façon à répondre à leur curiosité.
Un bug et ses conséquences
Prenons un exemple concret. En mai 20181, suite à une erreur lors d’un test interne, Facebook a modifié les paramètres de confidentialité de 14 millions d’utilisateurs. Le tir n’a été corrigé que plusieurs jours plus tard.
Trop tard
Comme souvent en informatique, Facebook a commis l’erreur inexcusable de ne penser aux conséquences de son activité que bien trop tard, alors que le site était déjà lancé et que le nombre d’utilisateurs dépassait l’imagination de ses concepteurs. Facebook a été créé en 2004, et ce n’est qu’en 2018 qu’il commence à se dire qu’il n’a peut-être pas bien pris en compte tous les enjeux de son activité, principalement sur la vie privée des utilisateurs, mais aussi sur l’influence qu’il peut avoir y compris sur des élections.
Notons.
- L’application Facebook sur Android récupère des SMS et des données sur les appels (ArsTechnica)
- Les données d’utilisateurs Facebook détournées (Digital Journal)
- Deux milliards de comptes compromis par Cambridge Analytica (Hacker News)
- Communiqué Facebook sur les données collectées (Facebook)
- Analyse NextInpact sur une fuite de données concernant 50 millions d’utilisaterus (NextInpact)
- Récupération de données sans même avoir de compte ! (The Register)
L’aveu
Je prends ça comme un aveu d’impuissance mais aussi d’incompétence : Mark Zuckerberg en appelle aux gouvernements pour l’aider à réguler le contenu des réseaux sociaux, dont le sien2. Trop fort : on fait des conneries, on a trop d’influence et on ne sait pas le gérer, donc faites-le pour nous.
Quelques fuites de données
Le coup du mot de passe
Un « incident » qui en dit long : mars 2019, on apprend que Facebook stockait des centaines de millions de mots de passe… en clair3 ! Il apparaît qu’il s’agit d’une erreur similaire à ce qu’ont pu connaître Twitter et Github4, à savoir des logs contenant le mot de passe en clair.
Est-ce volontaire ?
Je serai tenté de dire oui, mais sans aucune preuve. Il semble qu’ils aient déjà tellement de moyens de récupérer d’informations sur les utilisateurs qu’ils n’ont peut-être pas besoin de ça. Par contre, ça ne va pas les aider en cette période de tentative de reconquérir la confiance des utilisateurs…
Relativisons
Le problème ne touche que l’application Facebook Lite. Donc uniquement quelques centaines de millions d’utilisateurs, et non pas le milliard++ d’inscrits. Et ça ne date que de 2012. Et les logs n’étaient pas accessibles depuis l’extérieur.
La défense périmétrique est, on le sait, infranchissable…
146 Go
Rien de moins ! Et stocké sur des buckets s3 en clair ! Vu en avril 20195, on est presque dans un cas d’école. Ce qu’on comprend dans cette affaire, c’est que des tiers ont accès à une quantité impressionnantes de données sur les utilisateurs Facebook, et donc que pour espérer un peu de sécurité sur FB, il faudrait à la fois que FB réduise la quantité (et le type) de données accessibles aux tiers (ce qui serait contraire à leur modèle économique) et que les tiers en question soient eux aussi plus fiables. Autant dire que ça n’arrivera jamais.
Plus d’infos sur le site d’UpGuard.
Autres « bugs »
- Mai 2019 : une faille dans WhatsApp (= Facebook) permet l’installation de logiciel malveillant6 sans aucune action utilisateur.
- Fin 2019, pas de chance : un disque dur non chiffré contenant des données sur les employés de FB a été volé dans une voiture (à sourcer).
Au sujet de WhatsApp, zataz.com propose une analyse intéressante7 selon laquelle cette appli ne sera jamais vraiment sécurisée. Ce qui est surtout intéressant est de remarquer que Telegram est interdit en Iran ou en Russie, et pas WhatsApp qui reste autorisé. Une explication ?
Le coup de la panne
Sous surveillance
Il y avait déjà eu un précédent, a priori mal respecté8…