Voici une info qui va vous faire voir les VPN sous un autre angle. Bah oui, parce que si vous pensiez que votre petit tunnel chiffré préféré vous mettait à l’abri des regards indiscrets quand vous surfez depuis un réseau public, désolé de casser vos rêves, mais c’est loin d’être le cas !

Une équipe de chercheurs de Leviathan Security a découvert une faille qu’ils ont baptisée TunnelVision qui permet de court-circuiter la protection des VPN à l’aiiise, grâce à une fonctionnalité bien pratique du protocole DHCP, ce bon vieux serviteur qui distribue des adresses IP à tout va.

En gros, quand vous vous connectez à un réseau, votre machine demande gentiment une adresse IP au serveur DHCP local. Jusque là, tout va bien. Sauf que ce protocole a plus d’un tour dans son sac. Il peut notamment pousser des règles de routage sur votre bécane, via une option peu connue appelée « Classless Static Route » ou option 121.

Concrètement, un attaquant qui contrôle le serveur DHCP peut installer des routes par défaut sur votre machine, ce qui lui permet de rediriger tout votre trafic vers sa propre passerelle, même si vous êtes connecté via un VPN ! Et là, c’est le drame, car il peut intercepter toutes vos données en clair. 😱

Bon, rassurez-vous, il y a quand même quelques conditions pour que cette attaque fonctionne :

L’attaquant doit avoir un accès physique au réseau local ou être en mesure de compromettre un équipement sur ce réseau. Le client VPN ne doit pas bloquer les sorties de trafic vers les interfaces réseau locales.

Mais quand même, ça fait froid dans le dos, d’autant que cette faille touche potentiellement tous les réseaux, des petits réseaux domestiques aux gros réseaux d’entreprise. Les chercheurs ont d’ailleurs réussi à l’exploiter sur Windows, macOS, iOS, Android, et même sur des distributions Linux.

Heureusement, il existe des parades pour se prémunir contre TunnelVision :

Activer les fonctions de DHCP snooping et d’ARP protection sur les commutateurs réseau pour empêcher l’installation de serveurs DHCP non autorisés. Configurer des règles de pare-feu strictes pour bloquer le trafic non autorisé. Utiliser des protocoles de chiffrement comme HTTPS pour sécuriser les ressources internes. Implémenter une isolation réseau robuste via des fonctionnalités comme les espaces de noms réseau (network namespaces) sous Linux.

Les fournisseurs de VPN ont évidemment aussi un rôle à jouer en documentant publiquement les mesures d’atténuation contre TunnelVision et en avertissant leurs utilisateurs des risques.

Bref, en attendant un éventuel correctif, la prudence reste de mise. Mais en appliquant les bonnes pratiques et en restant vigilants, on peut quand même limiter les dégâts ! Si le sujet vous intéresse et que vous voulez aller plus loin, je vous invite à consulter le papier de recherche complet qui détaille le fonctionnement technique de TunnelVision. C’est un peu ardu, mais ça vaut le coup d’œil pour les plus motivés d’entre vous.

– Sources :

https://krebsonsecurity.com/2024/05/why-your-vpn-may-not-be-as-secure-as-it-claims/

https://korben.info/tunnelvision-faille-vpn-fuites-donnees.html

https://www.it-connect.fr/la-vulnerabilite-tunnelvision-affecte-tous-les-vpn-et-permet-de-detourner-le-trafic/

–> TunnelVision affecte tout les VPN, et tout les OS sauf Android. Pourquoi ? Et bien parce que l’option 121 du DHCP n’est pas prise en charge ! TunnelVision ne dépend pas du protocole VPN utilisé, donc il n’y a pas un protocole à prioriser plus qu’un autre (OpenVPN, IPsec, WireGuard, etc.)

Article intéressant de Korben sur le sujet :

https://korben.info/ztdns-microsoft-securite-dns-windows.html

Et le Techcommunity de Microsoft :

https://techcommunity.microsoft.com/t5/networking-blog/deployment-considerations-for-windows-ztdns-client/ba-p/4113372

Dans le cadre d’une enquête sur les technologies de police prédictive dont nous vous reparlerons très bientôt, La Quadrature s’est intéressée de près à Edicia. Cette startup est peu connue du grand public. Elle joue pourtant un rôle central puisqu’elle équipe des centaines de polices municipales à travers le pays. Son logiciel Smart Police, dont nous avons obtenu le manuel d’utilisation, permet de faire un peu tout et n’importe quoi. Loin de tout contrôle de la CNIL, Smart Police encourage notamment le fichage illégal, une pratique policière en vogue…

L’entreprise Edicia a été créée en 2013 et a son siège à Nantes. Cette année-là, Vincent Loubert, un ancien consultant de Cap Gemini, rachète, avec le soutien du fonds d’investissement Newfund, une société de logiciels du nom d’Access, lancée à l’origine par un policier à la retraite qui cherchait à développer une application simplifiant le travail des policiers. Sous l’égide d’Edicia, ce logiciel va prendre le nom de Smart Police.

En 2019, après une expansion rapide en France (Edicia prétend alors équiper près de 600 villes à travers le pays)(1), la startup s’internationalise en développant ses activités aux États-Unis, vendant notamment son logiciel à la police de Denver, dans le Colorado, où elle ouvre même une antenne avec une trentaine de salariés. En France, cette année-là, la startup emploie une quarantaine de personnes et réalise des bénéfices pour la première fois depuis son lancement. Loubert affirme alors avoir consacré près de 10 millions d’euros à la R&D.

Depuis, il est possible que l’entreprise ait connu quelques difficultés financières. Le site d’Edicia comme ses comptes sur les réseaux sociaux sont globalement inactifs. Elle semble également embaucher moins de salariés. Pour autant, son logiciel Smart Police continue d’être utilisé au quotidien par des milliers de policier municipaux à travers le pays.

Aperçu de Smart Police

À quoi sert Smart Police ? À un peu tout et n’importe quoi. Il permet aux agents de police d’utiliser leur téléphone ou tablette pour rédiger leurs rapports directement depuis le terrain, d’ajouter à une base de donnée des clichés photographiques, de rapporter des évènements ou encore d’établir des procès-verbaux (voir les captures d’écran du logiciel à la fin de cet article, ou explorer le manuel d’utilisation au format HTML) (2). Smart Police est aussi utilisé par les officiers pour suivre depuis leurs bureaux les équipes sur le terrain, cartographier les incidents, consulter leurs rapports et recevoir divers indicateurs statistiques en temps réel, de même que les photographies prises en intervention (par exemple lors d’une manifestation).

Les villes de Marseille, Nice, Élancourt, Antony, Le Pré-Saint-Gervais, Libourne, Chinon, Coignères, Maurepas, ou encore la communauté de communes Grand Paris Sud- Seine Essonne Sénart comptent parmi les clientes d’Edicia (avec en tout 350 villes clientes d’après les derniers chiffres fournis sur le site d’Edicia). Mais bien évidemment, en dehors des affirmations péremptoires des patrons d’Edicia ou de quelques édiles relayés dans la presse, aucune étude disponible ne permet de démontrer le prétendu surcroît d’efficacité policière induit par Smart Police. Par ailleurs, une demande CADA nous a appris qu’une ville comme Cannes avait été cliente d’Edicia, avant de décommissionner le logiciel sans qu’on sache exactement pourquoi. Il est possible qu’à l’image de certains logiciels utilisés aux États-Unis puis abandonnés, le rapport coût-efficacité ait été jugé trop faible.

Fichage en mode YOLO ?

L’une des composantes les plus importantes de Smart Police, dont le manuel d’utilisation nous a été communiqué via une demande CADA et est désormais disponible, réside dans son menu « Activités de terrain », que les agents utilisateurs manient quotidiennement. Il leur permet de créer de nouvelles « mains courantes », d’écrire et de référencer des rapports de police (procès-verbaux) documentant diverses infractions que les agents de la police municipale sont autorisés à constater. Lorsqu’ils créent ces fiches, les agents doivent fournir des informations générales, la localisation géographique de l’événement, le type d’infraction, l’identité et les coordonnées du suspect ou des témoins (qui peuvent être enregistrées facilement en scannant une carte d’identité), etc. En tant que telles, ces fiches de signalement peuvent être détournées pour des finalités qui dépassent les prérogatives de la police municipale – lesquelles sont limitées, notamment en matière de contrôle d’identité (3) –, et devraient être soumises à un contrôle étroit.

Un autre module présente un risque encore plus important de fichage illégal : il s’agit du module « Demande administré », qui comme son nom l’indique, permet d’enregistrer les signalements faits par des administrés à la police municipale (bruit, dégradation, présence d’un animal dangereux, etc.). Là encore, l’interface rend possible l’ajout de données géolocalisées et de photographies.

Enfin, Smart Police comporte un module « Vigilance active », au sein duquel les agents peuvent rassembler des informations non officielles sur des événements passés ou futurs. Par exemple, si un agent de police a rapporté une rumeur entendue dans la rue ou repérée sur les réseaux sociaux (par exemple concernant un « rassemblement non autorisé », ainsi que l’illustre le manuel), une fiche peut être créée pour la consigner. Celle-ci peut très bien comporter toutes sortes de données dont le traitement par la police est, dans un tel cadre, totalement illégal (identité des personnes suspectées d’organiser ce rassemblement, des photographies extraites des réseaux sociaux, etc.). Ces fiches de renseignement peuvent ensuite être transformées en « missions » assignées aux agents depuis l’interface à disposition des managers, conduire à la création de nouvelles fiches « mains courantes », mais aussi alimenter le module « Analyse prédictive » si la ville cliente d’Edicia y a souscrit (nous y reviendrons dans un prochain article).

On le comprend au regard de ces descriptions, Smart Police comporte un risque important de voir consignées des données identifiantes, et donc là encore de conduire à des opérations de fichage illégal. Notamment, il ne semble pas respecter le cadre réglementaire s’agissant des traitements automatisés utilisés par les polices municipales pour gérer les mains courantes, puisque ce dernier exclut la prise de photographies (4).

Loin de tout contrôle

Par deux fois, nous avons interrogé la CNIL via des demandes CADA pour savoir si elle s’était penchée sur l’utilisation de Smart Police en France. Par deux fois, la même réponse nous a été faite :

en dehors de quelques formalités préalables réalisées par une demi-douzaine de communes avant l’entrée en vigueur du RGPD, nada (voir ici pour la dernière réponse en date). Nous avons bien mis la main sur l’attestation de conformité RGPD, délivrée à Edicia par le cabinet Olivier Iteanu et obtenue via une demande CADA à la ville de Libourne, ainsi qu’un document relatif à la politique de gestion des données d’Edicia, mais celles-ci n’offrent aucun élément réellement rassurant s’agissant du risque de voir Smart Police servir à des opérations de fichage illégal. Enfin, aucune des dizaines de demandes CADA envoyées aux mairies s’agissant d’Edicia n’a mis en évidence de contrôle réalisé par les personnes déléguées à la protection des données au sein des villes.

Nos inquiétudes à ce sujet sont évidemment renforcées par des révélations récentes. La presse locale s’est récemment faite l’écho de pratiques de policiers municipaux dans une commune de la région PACA consistant à échanger, sur des boucles WhatsApp privées et à partir de leurs smartphones personnels, des données sensibles relatives à des personnes : images extraites de la vidéosurveillance, photos des personnes contrôlées, plaques d’immatriculation, pièces d’identité, etc (5). Des pratiques totalement illégales mais dont on peut supposer qu’elles sont monnaie courante, non seulement au sein des polices municipales mais aussi au sein de la police nationale.

Quant au dernier rapport de l’Inspection générale de la police nationale (IGPN) (6), il note une hausse sensible des faits de détournements de fichiers (56 enquêtes, contre 38 en 2021 et 27 en 2020), une évolution qu’elle qualifie de « préoccupante » :

Ces faits sont de gravité très inégale selon qu’ils procèdent de la curiosité « malsaine » (passage aux fichiers d’une ex-compagne ou d’un nouveau compagnon, de membres de sa famille, d’une personne connue, d’un chef de service, sans argent versé ou contrepartie) ou du commerce des informations récoltées. Ces cas sont les plus sensibles, lorsque les informations confidentielles issues des fichiers de police sont remises à des tiers, avec ou sans but lucratif. Si la preuve de la consultation illégale est assez simple à rapporter par les enquêteurs, il en va différemment pour la preuve éventuelle d’une rétribution à titre de contrepartie.

Pour l’institution, « cette situation tient à la fois à la multiplication du nombre de fichiers de police et une meilleure accessibilité », notamment du fait d’un déploiement croissant des tablettes et smartphones Neo, lesquelles permettent un accès plus aisé aux fichiers de police pour les agents de la police nationale et de la gendarmerie nationale. L’IGPN estime que l’intelligence artificielle pourrait permettre de détecter plus aisément ces consultations illégales.

Et maintenant ?

Pour notre part, plutôt qu’un solutionnisme technologique abscons, la réponse tiendrait plutôt à une désescalade techno-sécuritaire, à savoir le fait de battre en brèche l’augmentation exponentielle du fichage de la population, le recul constant des garanties concrètes apportées aux droits fondamentaux (recul auquel le RGPD et les textes associés ont participé par de nombreux aspects). Au minimum, les contre-pouvoirs institutionnels, comme la CNIL, devraient faire leur travail, à savoir lutter contre les illégalismes policiers, plutôt que d’instaurer une impunité de fait par leur coupable laisser-faire.

De ce point de vue, un premier pas dans la bonne direction consisterait à procéder à un contrôle résolu des polices municipales clientes d’Edicia, en n’hésitant pas à prononcer de vraies sanctions contre les responsables hiérarchiques dès lors que des infractions seront constatées.

– Page d’accueil personnalisée du logiciel Smart Police (version 2020).

– Page d’accueil personnalisée du module « Supervision » montrant la distribution géographique des équipes (voiture en patrouille, agents piétons, deux-roues).

– Enregistrement d’un nouvel « événement » dans le module « Vigilance active ».

– Liste des indicateurs disponibles dans le module « observatoire » et, à droite, une liste des infractions pour lesquelles des indicateurs peuvent être affichés.

– Vue d’une fonctionnalité disponible dans le menu « Activités de terrain » : la liste des derniers rapports de mains courantes (avec leur origine, l’horodatage, etc.).

– Une vue d’une autre fonctionnalité disponible dans le champ « Activités de terrain » : la liste de tous les rapports inclus dans Smart Police (y compris les mains courantes, les procès-verbaux, les « demandes administrés », etc.).

– Images extraites du menu « Suivi en images » qui présente sous forme de vignettes « les dernières photos prises par les agents » via le menu « Mains courantes ». Dans l’exemple présenté, la visualisation « détail du suivi » révèle qu’il s’agit d’une photo prise lors d’une manifestation de Gilets jaunes.

Pour soutenir notre travail, vous pouvez faire un don à La Quadrature du Net.

(1) À noter : sur son site web, Edicia se targue également de compter parmi ses clients quelques services du ministère de l’Intérieur, mais nos demandes CADA envoyées au ministère sur ces collaborations sont restées infructueuses, le ministère prétendant qu’il n’existe aucun lien avec Edicia.

(2) Le manuel d’utilisation de Smart Police est disponible à l’adresse suivante : https://technopolice.fr/police-predictive/manuel-edicia/Edicia.html.

(3) Lorsqu’ils créent des procès-verbaux dans Edicia, les agents sont invités à choisir parmi une liste d’infractions présélectionnées et tirées d’une base de données nationale catégorisant tous les types d’infractions (la base de données NATINF). Rappelons que les types d’infractions que les agents de police municipale peuvent constater sont très limités. Ils peuvent par exemple sanctionner les propriétaires de chiens dangereux qui ne respectent pas la loi, inspecter visuellement et fouiller (avec l’autorisation du propriétaire) les sacs et bagages lors de manifestations publiques ou à l’entrée d’un bâtiment municipal, délivrer des amendes en cas d’incivilités telles que le dépôt d’ordures dans la nature, le tapage nocturne, le fait de laisser des animaux dangereux en liberté, et constater la plupart des infractions au code de la route commises sur le territoire communal dès lors qu’elles ne nécessitent pas d’enquête. Cependant, les agents de la police municipale disposent de pouvoirs beaucoup plus étendus que ne le laisse supposer le code pénal : arrestation en flagrant délit d’une personne ayant commis un crime ou un délit passible de prison pour l’amener au poste de police nationale ou de gendarmerie le plus proche, établissement de rapports et procès-verbaux concernant tout crime, délit ou contravention dont les agents municipaux seraient témoins, documents qui peuvent soit être directement transmis à la police nationale ou à la gendarmerie, soit au maire. Celui-ci, ayant qualité d’officier de police judiciaire, transmet alors l’information au procureur de la république. Bien que la loi ne les autorise pas à procéder à des contrôles d’identité, les agents de police municipaux peuvent collecter l’identité d’une personne, tant qu’ils ne demandent pas de produire une pièce attestant de celle-ci, et sont autorisés à demander une preuve d’identité dans le cas des quelques délits qui rentrent dans leurs prérogatives. Le logiciel d’Edicia semble donc offrir des fonctionnalités qui vont bien au-delà du cadre juridique. Voir « Mémento policiers municipaux et gardes champêtres ». Ministère de l’Intérieur, 10 novembre 2021. https://www.interieur.gouv.fr/content/download/129786/1033871/file/memento-polices-muni-gardes-champetres.pdf.

(4) Arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales par leurs fonctionnaires et agents habilités, consulté le 9 décembre 2023, https://www.legifrance.gouv.fr/loda/id/JORFTEXT000020692173.

(5) Éric Galliano, « Saint-Laurent-du-Var : Les policiers municipaux ont constitué leurs propres fichiers de délinquants », Nice Matin, 20 novembre 2023, https://www.nicematin.com/justice/a-saint-laurent-du-var-les-policiers-municipaux-ont-constitue-leurs-propres-fichiers-de-delinquants-886441.

(6) Voir le rapport d’activité de l’Inspection générale de la Police nationale pour l’année 2022, disponible à l’adresse : https://www.interieur.gouv.fr/Publications/Rapports-de-l-IGPN/Rapport-annuel-d-activite-de-l-IGPN-2022

– Source :

https://www.laquadrature.net/2024/01/10/smart-police-dedicia-le-logiciel-a-tout-faire-des-polices-municipales/

Vivement l’évolution en mode Usain Bolt (pour l’instant on dirait Papy Mougeot qui fait un footing 😁) mais c’est quand même impressionnant

Ha les amerloques décidément ils n’aiment pas tout ce qu’ils ne peuvent pas contrôler ou espionner

Plic, ploc, plic, ploc… Vous entendez ce bruit ? C’est celui de nos libertés qui s’érodent, goutte après goutte, sous les assauts répétés de la surveillance généralisée. Et le dernier tsunami en date n’est autre que la vidéosurveillance algorithmique (VSA), ce monstre tentaculaire qui s’apprête à transformer nos rues en un gigantesque panoptique à ciel ouvert. Mais heureusement, tel un David numérique face au Goliath de la Technopolice, La Quadrature du Net sort sa fronde et ses plus belles pierres pour contre-attaquer !

Première salve

Le lancement d’une grande campagne de sensibilisation et de mobilisation citoyenne. L’idée est d’informer le grand public sur les dangers de ce 1984 à la sauce 2024 et donner des outils concrets pour riposter. Au menu : une brochure détaillée à diffuser sans modération, des affiches choc à placarder sur tous les murs, et même un compte Mastodon dédié, Attrap’Surveillance, pour suivre l’évolution de la menace et organiser la résistance. Ce compte analyse les recueils des actes administratifs des préfectures pour détecter les premières expérimentations de vidéosurveillance algorithmique, autorisées localement par des arrêtés préfectoraux dans le cadre de la loi du 24 janvier 2023. Parce que face à la prolifération des caméras biométriques, il va falloir plus que quelques bouts de scotchs ou coups de peinture sur les objectifs des caméras pour sauver notre vie privée !

Deuxième salve

Le dépôt d’une plainte contre le projet Prevent PCP devant la CNIL. C’est quoi encore ce truc ? Et bien c’est une expérimentation grandeur nature de la reconnaissance biométrique dans les gares, présentée comme un outil miraculeux pour détecter les bagages abandonnés. Ce dispositif suit les personnes qui ont déposé un bagage à travers l’ensemble des caméras en utilisant de la reconnaissance de caractéristiques physiques. Sauf que derrière cette jolie vitrine se cache un véritable cheval de Troie sécuritaire, mené en catimini par un consortium d’entreprises et d’institutions publiques (dont ces chères SNCF et RATP). Un projet totalement illégal, en somme, que La Quadrature entend bien renvoyer sur les rails de l’État de droit.

Car ne nous y trompons pas, derrière les jolis slogans sur la « sécurité augmentée » et la « smart city » notamment survendue dans le cadre des Jeux Olympiques, c’est bien de contrôle social qu’il s’agit. Ces dispositifs de vidéosurveillance « intelligents » sont en réalité programmés pour repérer automatiquement certaines catégories d’événements, comme le franchissement ou la présence d’une personne dans une zone interdite ou sensible, une densité trop élevée de personnes, un mouvement de foule ou encore la présence d’objets abandonnés.

Autant d’informations précieuses pour ficher, tracer et réprimer toute personne ou comportement jugé « anormal » ou « à risque » par les autorités. Sans oublier les inévitables biais, bugs et détournements inhérents à ces technologies opaques et faillibles, qui risquent de transformer nos villes en véritables usines à discrimination et à exclusion.

Face à cette dystopie qui n’a plus rien de fictive, il est donc urgent de se mobiliser et de résister au contrôle permanent de nos faits et gestes. Et c’est précisément ce que propose La Quadrature avec sa campagne percutante et ses actions juridiques ciblées.

Bref n’attendez plus et rejoignez le combat, diffusez l’information, et montrez à Big Brother que la liberté n’est pas soluble dans ses algorithmes.

– Sources :

https://www.laquadrature.net/2024/05/02/contre-lempire-de-la-videosurveillance-algorithmique-la-quadrature-du-net-contre-attaque/

https://korben.info/quadrature-du-net-contre-attaque-surveillance-algorithmique.html

https://planete-warez.net/topic/5442/expérimentation-vsa-sncf-ratp-vous-serez-surveillé-et-analysé-par-une-ia-tout-le-week-end

Tiens ! Une bonne idée chez microsoft 🙂

Ces dernières années ont été difficiles pour les efforts de Microsoft en matière de sécurité et de confidentialité. Des points de terminaison mal configurés , des certificats de sécurité malveillants et des mots de passe faibles ont tous provoqué ou risqué l’exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des agences de réglementation pour la manière dont il a répondu à ces menaces et les a divulguées.

La plus médiatisée de ces violations impliquait un groupe de piratage basé en Chine nommé Storm-0558, qui a violé le service Azure de Microsoft et collecté des données pendant plus d’un mois à la mi-2023 avant d’être découvert et chassé. Après des mois d’ambiguïté , Microsoft a révélé qu’une série de failles de sécurité ont donné à Storm-0558 l’accès au compte d’un ingénieur, ce qui a permis à Storm-0558 de collecter des données auprès de 25 des clients Azure de Microsoft, y compris des agences fédérales américaines.

En janvier, Microsoft a révélé qu’il avait de nouveau été piraté , cette fois par le groupe de piratage parrainé par l’État russe, Midnight Blizzard. Le groupe a pu « compromettre un ancien compte de locataire de test hors production » pour accéder aux systèmes de Microsoft pendant « jusqu’à deux mois ».

Tout cela a abouti à un rapport ( PDF ) du Cyber ​​Safety Review Board des États-Unis, qui a fustigé Microsoft pour sa culture de sécurité « inadéquate », ses « déclarations publiques inexactes » et sa réponse aux failles de sécurité « évitables ».

Pour tenter de renverser la situation, Microsoft a annoncé ce qu’il a appelé la « Secure Future Initiative » en novembre 2023. Dans le cadre de cette initiative, Microsoft a annoncé aujourd’hui une série de plans et de changements à ses pratiques de sécurité, y compris quelques changements qui ont déjà été fait.

“Nous faisons de la sécurité notre priorité absolue chez Microsoft, avant tout, avant toutes les autres fonctionnalités”, a écrit Charlie Bell, vice-président exécutif de la sécurité de Microsoft. « Nous élargissons la portée de SFI, en intégrant les récentes recommandations du CSRB ainsi que nos enseignements de Midnight Blizzard pour garantir que notre approche de cybersécurité reste robuste et adaptable à l’évolution du paysage des menaces.

Dans le cadre de ces changements, Microsoft fera également dépendre en partie la rémunération de son équipe de direction du fait que l’entreprise « respecte ses plans et ses objectifs de sécurité », bien que Bell n’ait pas précisé dans quelle mesure la rémunération des dirigeants dépendrait de la réalisation de ces objectifs de sécurité.

Le message de Microsoft décrit trois principes de sécurité (« sécurisé dès la conception », « sécurisé par défaut » et « opérations sécurisées ») et six « piliers de sécurité » destinés à remédier aux différentes faiblesses des systèmes et des pratiques de développement de Microsoft. La société affirme qu’elle prévoit de sécuriser 100 % de tous ses comptes d’utilisateurs avec « une authentification multifacteur gérée de manière sécurisée et résistante au phishing », d’appliquer le moindre privilège à toutes les applications et à tous les comptes d’utilisateurs, d’améliorer la surveillance et l’isolation du réseau et de conserver tous les journaux de sécurité du système. pendant au moins deux ans, entre autres promesses. Microsoft prévoit également de nommer de nouveaux directeurs adjoints de la sécurité de l’information dans différentes équipes d’ingénierie pour suivre leurs progrès et rendre compte à l’équipe de direction et au conseil d’administration.

En ce qui concerne les correctifs concrets que Microsoft a déjà mis en œuvre, Bell écrit que Microsoft a « mis en œuvre l’application automatique de l’authentification multifacteur par défaut sur plus d’un million de locataires Microsoft Entra ID au sein de Microsoft », supprimé 730 000 applications anciennes et/ou non sécurisées « à ce jour dans l’ensemble de la production. et les entreprises locataires », a étendu sa journalisation de sécurité et a adopté la norme Common Weakness Enumeration (CWE) pour ses informations de sécurité.

En plus des promesses de Bell en matière de sécurité publique, The Verge a obtenu et publié une note interne du PDG de Microsoft, Satya Nadella, qui souligne à nouveau l’engagement déclaré publiquement de l’entreprise en matière de sécurité. Nadella dit également que l’amélioration de la sécurité devrait avoir la priorité sur l’ajout de nouvelles fonctionnalités, ce qui peut affecter le flux constant d’ajustements et de modifications publiés par Microsoft pour Windows 11 et d’autres logiciels.

« Les récentes conclusions du Cyber ​​Safety Review Board (CSRB) du ministère de la Sécurité intérieure concernant la cyberattaque Storm-0558, datant de l’été 2023, soulignent la gravité des menaces auxquelles notre entreprise et nos clients sont confrontés, ainsi que notre responsabilité de nous défendre contre ces menaces. des acteurs de menace de plus en plus sophistiqués", écrit Nadella. "Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité . Dans certains cas, cela signifiera donner la priorité à la sécurité avant d’autres choses que nous faisons, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants. ".

Source: https://arstechnica.com/information-technology/2024/05/microsoft-ties-executive-pay-to-security-following-multiple-failures-and-breaches/

@Violence a dit dans Surveillance et anonymat – la CJUE chamboule la donne :

Oui @kemkem je sais bien que le nolog existe (ce ne sont pas les seuls) xmais je me pose la question en cas d’injonction. Ils disent que non on ne peux rien fournir la loi suisse tt ca mais j’ai de sérieux doute sur leur parole, leur audit et leur transparence…

Je viens de trouver ça

2023
Total orders: 60
Denied orders : 60

@Ern-Dorr on fait avec, ça passera 😉

Et un problème de plus un

Au moins on sait qu’elle maj bloquer

@Ashura

Perso, il est installé sur mon VPS. Je préfère gérer mes accès de toute ma vie numérique moi même plutôt que laisser à une entreprise.

C’est un choix en effet 😀

@duJambon a dit dans Bloqueurs de pubs sur mobile : YouTube contre-attaque :

là où je suis moins d’accord, c’est sur le pillage des données personnelles.

👍

La NHTSA a ouvert une enquête après deux accidents mortels distincts survenus la nuit.

c23a0130-3a57-4fa2-963b-9b0c57a11ace-image.png
BlueCruise permet aux conducteurs de retirer leurs mains du volant mais pas leurs yeux de la route.

Le régulateur fédéral chargé de la sécurité routière a ouvert une énième enquête sur la sécurité d’un système d’aide à la conduite mains libres, a-t-on appris ce matin. Et non, ce n’est pas un système de Tesla. Le bureau d’enquête sur les défauts de la National Highway Traffic Safety Administration a ouvert une enquête préliminaire sur le système BlueCruise de Ford, à la suite de deux accidents mortels, survenus tous deux de nuit.

Ford a introduit BlueCruise pour la première fois en 2021 . Comme le Super Cruise similaire de General Motors, mais contrairement au pilote automatique Tesla, BlueCruise a été conçu avec un domaine de conception opérationnelle (ODD) étroitement contrôlé qui lui permet uniquement d’être engagé sur des autoroutes à voies divisées à accès restreint qui ont été cartographiées par lidar à l’avance.

De plus, comme Super Cruise, mais contrairement au système beaucoup plus dangereux de Tesla, il existe une caméra de surveillance du conducteur à suivi du regard infrarouge qui désactive le système si elle détermine que le conducteur ne fait pas réellement attention à la route.

Ainsi, contrairement au pilote automatique, les conducteurs utilisant BlueCruise peuvent lâcher le volant, mais ils doivent toujours rester attentifs à la route devant eux, prêts à prendre le contrôle à tout moment si nécessaire.

(C’est ce qu’on appelle les assistances de niveau 2 ; Mercedes-Benz dispose d’ une assistance de niveau 3 plus avancée qui peut permettre aux conducteurs de cesser d’être attentifs, mais elle ne fonctionnera que dans les embouteillages encombrés et jusqu’à 40 mph, et seulement en Californie. ou au Nevada.)

Malgré les garanties d’un ODD étroitement géolocalisé et surveillé par le conducteur, BlueCruise n’est pas infaillible. En mars, le National Transportation Safety Board – qui enquête sur les accidents mais, contrairement à la NHTSA, n’a aucune autorité réglementaire pour contraindre un constructeur automobile à faire quoi que ce soit – a ouvert une enquête sur un accident mortel impliquant une Ford Mustang Mach-E à San Antonio, au Texas, le 24 février.

La NHTSA déclare désormais être au courant d’un deuxième accident mortel de BlueCruise, qui, comme celui de San Antonio, s’est également produit la nuit. Elle a ouvert une enquête préliminaire pour déterminer si le système est défectueux.

Source: https://arstechnica.com/cars/2024/04/ford-bluecruise-driver-assist-under-federal-scrutiny-following-2-deaths/

Fin janvier, le ministère américain du Commerce a publié un avis de proposition de réglementation visant à établir de nouvelles exigences pour les fournisseurs d’infrastructure en tant que service (IaaS). La proposition se résume à un régime « Know Your Customer » pour les entreprises exploitant des services cloud, dans le but de contrer les activités des « acteurs malveillants étrangers ». Pourtant, malgré l’accent mis sur l’étranger, les Américains ne pourront pas éviter les exigences de la proposition, qui couvrent entre autres les CDN, les serveurs privés virtuels, les proxys et les services de résolution de noms de domaine.

Pourtant, depuis longtemps, l’accès à certains services, en ligne ou hors ligne, n’est accordé que lorsque le client prouve son identité.

Souvent liées à des produits financiers, mais dans de nombreux cas, des transactions monétaires/biens de base effectuées en ligne, en communiquant un nom, une adresse, une date de naissance et des détails similaires, peuvent accroître la confiance dans le fait qu’une transaction aura plus de chances qu’improbable de se dérouler comme prévu. Dans certains cas, notamment lors de l’achat de produits soumis à des restrictions, la preuve de l’identité peut être une condition de vente.

Depuis de nombreuses années, les entreprises opérant dans l’espace en ligne se contentent de faire affaire avec des clients sans vraiment les connaître.

Dans certains cas, où les entreprises comprennent que l’absence de friction est précieuse pour le client, une adresse e-mail a longtemps été considérée comme suffisante. Si la carte de crédit ou de prépaiement finalement utilisée pour payer un produit dispose de suffisamment de crédit et n’est pas volée, il semble y avoir très peu de raisons de s’inquiéter. Cependant, pour de nombreux gouvernements, tout niveau d’anonymat peut susciter des inquiétudes, et si cela signifie démasquer tout le monde pour identifier quelques mauvais acteurs, qu’il en soit ainsi.

Améliorer la détection et la prévention des cyberactivités malveillantes étrangères

Les menaces perçues et réelles émanant d’acteurs étrangers obscurs sont quelque chose que peu de pays peuvent éviter. Que ce soit à l’Ouest ou à l’Est, les informations faisant état d’ingérences relativement discrètes menant à des piratages malveillants, voire à des attaques contre des infrastructures clés, deviennent une réalité de la vie moderne.

Après des années de discussions, le ministère américain du Commerce a publié fin janvier un projet de réglementation dans l’espoir de réduire les menaces qui pèsent sur les États-Unis. Si elle est adoptée, la proposition établira un nouvel ensemble d’exigences pour les fournisseurs d’infrastructure en tant que service (IaaS), souvent appelés fournisseurs d’infrastructure cloud, afin de refuser l’accès aux adversaires étrangers.

Le principe est relativement simple. En mettant en place une procédure d’inscription plus rigoureuse pour les plateformes telles qu’AWS d’Amazon, par exemple, le risque que des acteurs malveillants utilisent les services cloud américains pour attaquer les infrastructures critiques américaines ou porter atteinte à la sécurité nationale d’une autre manière peut être réduit. Le Bureau de l’industrie et de la sécurité a noté ce qui suit dans son annonce fin janvier.

La règle proposée introduit des réglementations potentielles qui obligeraient les fournisseurs d’infrastructures cloud américains et leurs revendeurs étrangers à mettre en œuvre et à maintenir des programmes d’identification des clients (CIP), qui incluraient la collecte d’informations « Connaître votre client » (KYC). Des exigences KYC similaires existent déjà dans d’autres secteurs et visent à aider les prestataires de services à identifier et à gérer les risques potentiels posés par la fourniture de services à certains clients. Ces risques incluent la fraude, le vol, la facilitation du terrorisme et d’autres activités contraires aux intérêts de sécurité nationale des États-Unis.

Bien qu’elle soit censée viser des menaces externes, seule une identification positive de tous les clients peut éliminer la possibilité qu’un utilisateur national « innocent » ne soit pas en réalité un acteur malveillant étranger. Ou, selon la proposition, n’importe qui (ou toutes les personnes) d’une juridiction spécifiée, à la discrétion du gouvernement. Sur notification des fournisseurs IaaS, cela pourrait inclure des personnes étrangères formant de grands modèles d’intelligence artificielle « dotés de capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes ».
Portée des programmes IaaS et d’identification des clients

Selon la règle proposée, les programmes d’identification des clients (CIP) exploités par les fournisseurs IaaS doivent collecter des informations auprès des clients existants et potentiels, c’est-à-dire ceux qui sont au stade de la demande d’ouverture d’un compte. Le strict minimum comprend les données suivantes : le nom du client, son adresse, le moyen et la source de paiement du compte de chaque client, les adresses e-mail et les numéros de téléphone, ainsi que les adresses IP utilisées pour l’accès ou l’administration du compte.

Ce qui constitue un IaaS est étonnamment vaste :

Tout produit ou service offert à un consommateur, y compris les offres complémentaires ou « d’essai », qui fournit du traitement, du stockage, des réseaux ou d’autres ressources informatiques fondamentales, et avec lequel le consommateur est en mesure de déployer et d’exécuter des logiciels non prédéfinis, y compris des systèmes et applications.

Le consommateur ne gère ni ne contrôle généralement la plupart du matériel sous-jacent, mais contrôle les systèmes d’exploitation, le stockage et toutes les applications déployées. Le terme inclut les produits ou services « gérés », dans lesquels le fournisseur est responsable de certains aspects de la configuration ou de la maintenance du système, et les produits ou services « non gérés », dans lesquels le fournisseur est uniquement responsable de garantir que le produit est disponible pour le consommateur.

Et cela ne s’arrête pas là. Le terme IaaS inclut tous les produits et services « virtualisés » où les ressources informatiques d’une machine physique sont partagées, comme les serveurs privés virtuels (VPS). Cela couvre même les serveurs « baremetal » alloués à une seule personne. La définition s’étend également à tout service pour lequel le consommateur ne gère ni ne contrôle le matériel sous-jacent mais passe un contrat avec un tiers pour l’accès.

“Cette définition engloberait des services tels que les réseaux de diffusion de contenu, les services proxy et les services de résolution de noms de domaine”, indique la proposition .

La règle proposée , Urgence nationale concernant des activités cybernétiques malveillantes importantes , cessera d’accepter les commentaires des parties intéressées le 30 avril 2024.

Compte tenu des implications pour les citoyens ordinaires, dont beaucoup s’accrochent déjà à ce qui reste de leur vie privée, la perspective de transmettre des informations hautement sensibles simplement pour obtenir un essai de produit est une réelle préoccupation. Le potentiel de fuite augmente à chaque divulgation, tout comme la possibilité que des informations personnelles finissent en vente sur le dark web.

C’est là que les acteurs malveillants obtiendront les informations d’identification d’autres personnes pour se faire passer pour des utilisateurs réguliers lorsqu’ils seront soumis à un processus Know Your Customer. Pour les services IaaS eux-mêmes, les plus grands auront peu de problèmes à mettre en œuvre des programmes d’identification des clients et pourront même les considérer comme utiles. D’une part, ils peuvent aider à arrêter les acteurs malveillants et, d’autre part, profiter de l’opportunité de créer une base de données contenant les informations personnelles de chaque client.

Source: https://torrentfreak.com/u-s-know-your-customer-proposal-will-put-an-end-to-anonymous-cloud-users-240425/

A priori, même si la loi passe, je ne vois pas ce qui empêche les clients de services cloud américains de se faire héberger ailleurs (ni les pirates), mais c’est un nouveau serrage de vis. Un petit crochet bleu ou autre pacotille pour les clients identifiés ?

@duJambon a dit dans Android TV a accès à l'intégralité de votre compte, mais Google change cela (hum) :

ou vous pouvez jeter un téléviseur et ne pas réfléchir à deux fois au compte auquel il est connecté

merci du conseil, effectivement cela constitue un danger non négligeable

Le régulateur nord américain des télécoms à voté par 3 voix contre 2 pour rétablir les règles garantissant l’égalité de traitement de l’ensemble du trafic internet. Mais cela ne signifie pas que la question est réglée. Explications.

Il y a sept ans, la Commission fédérale des communications (FCC) américaine, sous la houlette du président Donald Trump, mettait fin à la neutralité du net. La FCC, désormais contrôlée par les démocrates, vient de rétablir les règles relatives à la neutralité du réseau par un vote à 3 voix contre 2.

De quoi rétablir les règles garantissant l’égalité de traitement de l’ensemble du trafic internet. Mais cela ne signifie pas que la question est réglée. Cette décision marque un revirement politique important par rapport à la position dérégulatrice de l’administration Trump. Les règles rétablies visent à garantir que l’internet à haut débit reste dépourvu de tout traitement préférentiel ou de toute restriction de la part des fournisseurs d’accès à internet (FAI), c’est à dire les opérateurs télécom.

La neutralité du net est une politique qui vise à garantir que tout le trafic internet est traité de manière égale, sans discrimination. Cette approche signifie que les FAI ne devraient pas être autorisés à accélérer, à ralentir ou à bloquer l’accès à des sites web ou à des services en ligne spécifiques. La neutralité vise à garantir que l’internet reste un terrain de jeu égal pour tous.

Un élément essentiel du fonctionnement de l’internet depuis des décennies

La neutralité du net est un élément essentiel du fonctionnement de l’internet depuis des décennies. En effet, le concept de base selon lequel tous les fournisseurs de services Internet partagent la bande passante de manière égale et équitable remonte aux Etats-Unis au Commercial Internet Exchange (CIX), qui a ouvert la voie à l’internet d’aujourd’hui.

Plus précisément, le retour de la neutralité du net signifie, selon la FCC, que les FAI « seront à nouveau interdits de bloquer, de limiter ou d’accorder une priorité à des contenus contre rémunération ». Il s’agit de garantir que « le service Internet est traité comme un service essentiel ».

Selon la FCC, ces changements signifient également que le régulateur peut désormais jouer un rôle « lorsque les travailleurs ne peuvent pas télétravailler, les étudiants ne peuvent pas étudier, ou les entreprises ne peuvent pas commercialiser leurs produits parce que leur service Internet est indisponible ».

« Prise de pouvoir »

La FCC peut également désormais empêcher les FAI américains de vendre les données personnelles des clients ou de les partager avec des entreprises technologiques pour former des modèles d’intelligence artificielle (IA). Cela ne signifie pas pour autant que la FCC va « contrôler la liberté d’expression en ligne« . Au contraire, la « liberté d’expression sera renforcée, empêchant les fournisseurs de bloquer ou de désavantager tout type d’expression en ligne ».

Un opposant à cette décision, Brendan Carr, commissaire de la FCC, a qualifié ce changement de politique de « prise de pouvoir« . Il n’est pas le seul. Des politiciens républicains, dont le sénateur Ted Cruz, qualifient cela de « prise de pouvoir illégale ». Ils estiment que ce changement soumet le secteur des télécoms à des réglementations lourdes.

D’autres détracteurs du retour de la neutralité de l’internet, comme la Chambre de commerce des États-Unis, sont du même avis. La Chambre a critiqué la décision de la FCC, affirmant qu’elle réimpose un cadre réglementaire désuet, ce qui pourrait entraver les investissements technologiques et l’innovation à l’avenir.

« C’est une grande victoire pour l’intérêt public »

À l’inverse, les défenseurs de l’intérêt public comme Free Press considèrent cette décision comme une victoire décisive pour les clients. De fait, elle permet à la FCC de tenir les principaux fournisseurs d’accès à Internet (FAI) comme AT&T, Comcast et Verizon responsables de toute pratique préjudiciable aux utilisateurs de l’Internet.

« C’est une grande victoire pour l’intérêt public » a déclaré Free Press. « L’agence a maintenant la capacité de protéger l’Internet – et de suivre les pannes de service, de protéger les utilisateurs d’Internet contre les atteintes à la vie privée des FAI, de promouvoir la concurrence et le déploiement du haut débit, et de prendre des mesures contre les frais cachés, les plafonds de données et les escroqueries à la facturation ».

Certaines organisations technologiques, comme la Computer & Communications Industry Association (CCIA), qui regroupe des géants de la technologie tels qu’Amazon, Apple, Alphabet et Meta, ont exprimé leur soutien à cette décision.

La bataille pour la neutralité de l’internet va maintenant se jouer devant les tribunaux et dans les urnes. La question est loin d’être réglée.

Source: https://www.zdnet.fr/actualites/etats-unis-la-fcc-retablit-la-neutralite-du-net-voici-ce-que-cela-veut-dire-391127.htm

Ouais enfin le souci c’est pas vraiment la TV, c’est la gestion du LAN sur Windows…

Et s’il y avait une sorte de réseau social ou tout le monde partage tout et qui était visible par tous… est-ce que les dirigeants (politique, patronal et autres) y viendraient ?
Je ne contracte pas sur la chose ^^

des fois y’a des cyber attaques éthiques 😉

https://www.numerama.com/cyberguerre/1730930-des-hackers-extorquent-des-pedophiles-pris-au-piege-dun-simple-logiciel-malveillant.html

@BahBwah Pas plus que la trigonométrie pour un cuisinier ou une suite de Fibonacci pour un athlète…

Là, il s’agissait d’un test de chatgpt.