La Federal Trade Commission (FTC) des États-Unis a accusé cette semaine les divisions Ring et Alexa d’Amazon d’un nombre impressionnant de violations liées à la vie privée. Amazon est accusé d’avoir permis aux employés des divisions Ring et Alexa d’espionner les clients, de créer une atmosphère propice aux intrusions des pirates informatiques et de conserver illégalement les enregistrements de voix d’enfants effectués par son assistant vocal. Amazon est condamné à payer plus de 30 millions de dollars d’amendes.
Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d’ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.
Un service VPN gratuit bien connu, SuperVPN , fait l’objet de graves allégations concernant la fuite de plus de 360 millions d’enregistrements de données d’utilisateurs en ligne. La faille a exposé une grande quantité d’informations sensibles, notamment des adresses électroniques, des adresses IP d’origine, des enregistrements de géolocalisation, des identifiants uniques d’utilisateurs et des références à des sites web visités.
Le Sénat a adopté en première lecture, mercredi 7 juin 2023, une proposition de loi visant à renforcer les moyens de lutte contre le terrorisme et le cyberespionnage. Ce texte, porté par le groupe Les Républicains, autorise notamment les services de renseignement à activer à distance les caméras ou les micros des téléphones portables ou des ordinateurs des personnes suspectées de menacer la sécurité nationale.
Des centaines de perquisitions aux domiciles des militants et interpellations dans toute l’Allemagne, ordonnées par l’Office Fédéral Allemand de la police criminelle, ont conduit à l’arrestation de 15 militants, de « Dernière génération », mouvement qui œuvre pour une désobéissance civile et pacifique face à la catastrophe climatique.
Le site Web « Die letzte Generation » a été confisqué (hacké) par la police criminelle allemande sur demande du Procureur de la République Fédérale.
On pouvait y voir ceci sur la page d’accueil :
Le porte-parole du ZET (Office central de lutte contre l’extrémisme et le terrorisme) a déclaré que ce mouvement écologiste représente une organisation criminelle, conformément au §129 du code pénal.
Le mouvement écologiste a ouvert, depuis, un nouveau site web – letztegeneration.org – et mets en garde les citoyens contre les nouvelles mesures prises, par l’État allemand, visant à intimider tout citoyen ayant effectué un don à cette organisation pacifique.
La CNCTR relève que, pour la première fois depuis 2015, le nombre de personnes surveillées par des techniques de renseignement a diminué, passant de 22 958 personnes en 2021 à 20 958 en 2022, alors même que le recours à ces techniques a, lui, continué de progresser, pour atteindre 89 502 demandes d’autorisation de surveillance cette année, soit son plus haut niveau de constaté depuis l’installation de la commission. Si, comme les années précédentes, les techniques les moins intrusives, consistant à recueillir des métadonnées, restent les plus utilisées, les services ont davantage recouru en 2022 à des techniques affectant le plus la vie privée : ensemble, les demandes de sonorisation, de captation d’images dans un lieu privé ou de recueil de données informatiques affichent une progression de près de 30% sur un an.
D’après plusieurs documents consultés par Investigate Europe, plusieurs pays dont la France et l’Allemagne, font pression sur les négociations européennes concernant la liberté des médias. Le risque : donner la possibilité aux États de surveiller les communications des journalistes.
La Privacy Sandbox est officiellement entrée en action hier. Tandis que d’un côté Google vante un meilleur respect de la vie privée, elle prépare de l’autre une nouvelle API déjà entourée d’une aura sulfureuse. Nommée Web Environment Integrity, elle aurait la capacité de mettre en échec les bloqueurs de publicité.
La saisie de données biométriques est devenue courante dans les contextes de migration, où la numérisation de l’iris est une condition préalable à l’obtention d’un aide humanitaire. En 2019, le Programme alimentaire mondial des Nations unies s’est associé à la société Palantir pour optimiser ces opérations, qui touchent aujourd’hui 160 millions de personnes dans 120 pays. Worldcoin a adopté une rhétorique similaire à celle de ces organisations. En effet, dans les deux cas, la numérisation de l’iris est présentée comme un outil important qui assurera une distribution équitable des ressources, qu’il s’agisse de cryptomonnaie ou d’aide et de nourriture.
Selon des rapports d’organe de presse à l’instar du Washington Post ou du New York Times, X utilise son raccourcisseur de liens t[dot]co pour appliquer ce ralentissement. Lorsqu’on clique sur un lien vers l’un des sites web affectés sur X, il y a un délai de cinq secondes avant que l’URL du site web ne commence à se charger. Ce délai a été remarqué par des utilisateurs sur des forums spécialisés et confirmé par des analyses des journalistes
Tout est parti d’une publication sur le forum Hacker News le 6 août 2023, qui indique que les conditions d’utilisation de Zoom permettent désormais au logiciel de s’entraîner avec de l’IA avec le contenu des utilisateurs — sans qu’il soit possible de refuser. Peu après la publication de l’article, les conditions d’utilisation de Zoom sont d’ailleurs amendées, afin de rajouter en gras une nouvelle ligne : « nonobstant ce qui précède, Zoom n’utilisera pas le Contenu Client audio, vidéo ou de chat pour entraîner nos modèles d’intelligence artificielle sans votre consentement ». Le texte de Smita Hashim tente de rassurer les utilisateurs. Mais dans les faits, les choses sont légèrement différentes. Numerama a fouillé tous les réglages disponibles sur Zoom, et il n’y a pas d’option possible pour faire en sorte que ses données ne soient jamais utilisées pour de l’entraînement d’IA.
Noyés dans les rapports officiels et les interventions des autorités policières, les chiffres exhumés par l’auteur montrent que des milliers d’individus ont fait l’objet d’une surveillance étroite, une vaste entreprise de « renseignement » décidée au plus haut sommet de l’Etat lors de la crise des « gilets jaunes » et prolongée depuis. La pérennisation de ces techniques fait craindre une extension du domaine panoptique, rendue probable par le test grandeur nature des Jeux olympiques et paralympiques de Paris en 2024. « Il est assez vraisemblable, prévient Vincent Nouzille, que les enseignements qui en seront tirés inciteront ses promoteurs, notamment toute la filière de la sécurité qui piaffe d’impatience, à vouloir en tirer parti pour passer à la vitesse supérieure. » Et accélérer un mouvement, manifestement déjà bien engagé, de surveillance généralisée.
Le livre débute par des révélations sur les écoutes téléphoniques massives qui ont été décidées en secret pendant la crise des Gilets jaunes fin 2018. J’ai recueilli à ce sujet des témoignages importants et des confirmations officielles, y compris du ministre de l’Intérieur de l’époque, Christophe Castaner, qui dit avoir du « taper du poing sur la table » pour forcer les services de renseignement à pratiquer ces écoutes massives. Je révèle aussi que cette surveillance n’a pas cessé depuis lors. Au contraire, elle s’est même élargie à d’autres cibles, comme des membres de l’écologie radicale au début de l’année 2023…
Vos données personnelles sont devenues l’une des ressources les plus précieuses du vaste monde numérique. Mastercard, l’un des leaders mondiaux du paiement, a su capitaliser sur cette tendance en vendant les données de transaction de ses titulaires de carte à des entreprises tierces. L’entreprise a ainsi ouvert la porte à des questions de sécurité et de confidentialité des données pour vos opérations bancaires du quotidien.
Emetteur de millions de cartes de débit et de crédit, MasterCard collecte de nombreuses données, potentiellement riches en renseignements pour différents acteurs économiques dont la grande distribution.
We trust companies with our information every day. But many companies—even those that hold our most revealing information—are using it not just to provide the services we ask for, but to amp up their profits at the cost of our privacy.
L’attaque invite les utilisateurs de la plateforme américaine d’analyse ADN à effacer leur profil. Il vient de publier des données personnelles de plus de 4 millions d’entre eux.
Lorsque la police retrouve une trace ADN qui ne correspond à aucune dans son fichier génétique, elle est dans l’impasse. Les policiers californiens sont restés ainsi bloqués sur l’identité du Golden State Killer (12 meurtres), jusqu’à ce qu’elle ait eu l’idée de télécharger son ADN sur GEDmatch.
Ce site gratuit permet à chacun d’ajouter une fiche ADN, au format texte. En retour, il produit une liste de personnes ayant des génomes proches, classées du plus proche au plus lointain. Avec un nom et une adresse email.
Selon Mozilla, c’est la dernière chance de corriger eIDAS car la loi secrète de l’UE menace la sécurité de l’internet. Plus de 300 experts et chercheurs en cybersécurité du monde entier ont signé une lettre ouverte appelant l’UE à abandonner ces projets et à protéger le web.
Après des années de procédure législative, le texte quasi définitif du règlement eIDAS a été approuvé par les négociateurs du trilogue représentant les principaux organes de l’UE et sera présenté au public et au Parlement pour approbation avant la fin de l’année. De nouveaux articles législatifs, introduits lors de récentes réunions à huis clos et non encore rendus publics, prévoient que tous les navigateurs web distribués en Europe devront faire confiance aux autorités de certification et aux clés cryptographiques sélectionnées par les gouvernements de l’UE.
Ces changements élargissent radicalement la capacité des gouvernements de l’UE à surveiller leurs citoyens en garantissant que les clés cryptographiques contrôlées par le gouvernement peuvent être utilisées pour intercepter le trafic web crypté à travers l’UE. Tout État membre de l’UE a la possibilité de désigner des clés cryptographiques à distribuer dans les navigateurs web et il est interdit aux navigateurs de révoquer la confiance dans ces clés sans l’autorisation du gouvernement.
Complément d’infos et suite
"Sur ce blog, nous transposons régulièrement différents points de vue concernant les luttes pour les libertés numériques. Dans ce domaine, on constate souvent que les mouvements sociaux (solidariste, durabilistes, préfiguratifs, etc.) ne prennent que trop rarement en compte les implications directes sur leurs propres luttes que peuvent avoir les outils de surveillance des États et des entreprises monopolistes. Cela rend toujours plus nécessaire une éducation populaire d’auto-défense numérique… Du côté des mouvements autonomes et anti-autoritaires, on ressent peu ou prou les mêmes choses. Dans les groupes européens, le sujet du capitalisme de surveillance est trop peu pris en compte. C’est du moins l’avis du groupe allemand Autonomie und Solidarität qui, à l’occasion du travail en cours au Parlement Européen sur l’effrayant et imminent projet Chat Control (voir ici ou là), propose un appel général à la résistance. L’heure est grave face à un tel projet autoritaire (totalitaire !) de surveillance de masse.
Cet appel a été publié originellement en allemand sur Kontrapolis et en anglais sur Indymedia. (Trad. Fr. par Framatophe)."
Dans un article publié aujourd’hui, le média d’investigation Disclose révèle que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale a recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui serait, d’après Disclose, « activement utilisée ».
La fondation Mozilla tire la sonnette d’alarme au sujet des politiques de protection de données personnelles des constructeurs automobiles. 25 marques ont été analysées et pas une n’a satisfait aux exigences de Mozilla.
Nos critiques portent tant sur la nature de cette surveillance prédictive aux accents dystopiques que sur le fait que l’algorithme cible délibérément les plus précaires. Face à la montée de la contestation, les dirigeant·es de la CAF se sont réfugié·es derrière l’opacité entourant l’algorithme pour minimiser tant cet état de fait que leur responsabilité dans l’établissement d’une politique de contrôle délibérément discriminatoire. Un directeur de la CAF est allé jusqu’à avancer que « l’algorithme est neutre »* et serait même *« l’inverse d’une discrimination » puisque *« nul ne peut expliquer pourquoi un dossier est ciblé »
L’Assurance maladie, l’Assurance vieillesse, les Mutualités Sociales Agricoles ou dans une moindre mesure Pôle Emploi : toutes utilisent ou développent des algorithmes en tout point similaires. À l’heure où ces pratiques de notation se généralisent, il apparaît nécessaire de penser une lutte à grande échelle.
Selon 23andMe, moins de 0,1% de ses clients sont directement concernés : jusqu’à 14.000 personnes dont les tests ADN sont dans la nature, mais les pirates ont aussi récupéré « un nombre significatif de fichiers » contenant les liens de parenté d’autres utilisateurs. Et ceux-là sont beaucoup plus nombreux : 6,9 millions. Parmi les données volées : le nom, l’année de naissance, le pourcentage d’ADN en commun avec leurs proches, et pour certains, une partie de l’arbre généalogique et de la localisation géographique qu’une partie d’entre eux avaient accepté de partager.
Presque 7 millions de clients touchés, donc, sur 14 millions de clients en tout. Et pourtant, le business continue, presque comme si de rien n’était.
Les fonctionnaires ont créé des groupes WhatsApp où ils partagent et archivent des centaines de documents sensibles: images extraites de la vidéosurveillance, photos des personnes contrôlées, plaques d’immatriculation, pièces d’identité…
Par ailleurs, la FTC estime qu’Avast a berné les internautes avec ses promesses. L’antivirus s’était en effet engagé à protéger ses utilisateurs contre le pistage publicitaire en ligne… alors qu’Avast s’emparait de leurs données de navigation pour les revendre aux annonceurs.
DocuSign est une société informatique américaine basée à San Francisco créée en 2003. L’entreprise est spécialisée dans la signature électronique des documents et la gestion des transactions numériques. Notamment, DocuSign développe et distribue eSignature, une solution de signature électronique qui permet aux particuliers et aux entreprises de signer et de gérer des documents par voie électronique. L’entreprise a étendu ses activités au domaine de l’IA, ce qui signifie qu’elle a besoin de données pour former ses modèles. Mais ses ambitions en matière d’IA suscitent des inquiétudes quant à la protection de la vie privée.
Les conducteurs sont préoccupés après qu’un nouveau rapport a révélé que les constructeurs automobiles partagent leurs données de conduite avec les compagnies d’assurance sans leur consentement explicite. Ces informations comprennent les cas d’excès de vitesse, de freinage brusque ou d’accélération rapide au cours de chaque trajet. Elles sont ensuite utilisées pour générer des profils de risque pour les assureurs. Cette pratique aurait entraîné des changements significatifs dans les primes d’assurance de certains conducteurs.
Le 8 mars, France Travail (anciennement Pôle emploi) et Cap emploi ont informé la CNIL avoir été victime d’une intrusion dans leurs systèmes d’information. Cette attaque aurait potentiellement permis l’extraction de données de 43 millions d’usagers. Ce nombre, à confirmer, concerne les personnes actuellement inscrites sur la liste des demandeurs d’emploi ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr.
