Planète Warez

La Commission nationale de l’informatique et des libertés a également choisi de rendre publique cette sanction. L’amende est de 175.000 euros.

text alternatif
Ubeeqo conservait un historique de certaines des données de géolocalisation collectées, pendant une durée excessive, allant jusqu’à plus de huit ans, selon la CNIL. (Jacques Witt/SIPA)

La CNIL, gendarme de la vie privée des Français, a prononcé une amende de 175.000 euros à l’encontre du loueur de véhicules Ubeeqo, filiale du groupe Europcar, lui-même dans le giron de Volkswagen , pour avoir géolocalisé ses clients « de manière quasi permanente », a-t-elle indiqué jeudi dans un communiqué.

La Commission nationale de l’informatique et des libertés a donc choisi de rendre publique cette sanction, ce qu’elle fait traditionnellement pour envoyer un message à tout un secteur d’activité.

Plus de huit ans

Ubeeqo, spécialiste de la location courte durée et de l’autopartage à Paris et dans plusieurs grandes villes européennes, « collectait des données relatives à la géolocalisation du véhicule loué, tous les 500 mètres lorsque le véhicule était en mouvement, lorsque le moteur s’allumait et se coupait ou encore lorsque les portes s’ouvraient et se fermaient », a constaté la CNIL lors d’un contrôle.

« En outre, la société conservait un historique de certaines des données de géolocalisation collectées, pendant une durée excessive », allant jusqu’à plus de huit ans, a-t-elle précisé dans son communiqué.

Ubeeqo, société française fondée en 2008 et qui a rejoint le groupe Europcar en 2015, a fait valoir que ces données permettaient « d’assurer la maintenance et la performance du service » d’autopartage, de « retrouver le véhicule en cas de vol » et de « porter assistance aux clients en cas d’accident », selon la CNIL.

Maintenance et vol

La Commission, en lien avec les autres autorités européennes de la protection des données, a considéré « qu’aucune de ces finalités ne justifie une collecte de données de géolocalisation aussi fine » et que la société Ubeeqo avait notamment manqué au « principe de minimisation des données » inscrit dans le RGPD, le règlement européen sur la protection des données.

De plus en plus active sur le front de la défense de la vie privée numérique étant donné la digitalisation de la société, la CNIL sanctionne en fonction d’un pourcentage du chiffre d’affaires des acteurs économiques concernés. Ses pouvoirs ont augmenté avec la mise en place du RGPD. En janvier, elle avait estimé que Google et Facebook ne permettaient pas aux internautes français de refuser les cookies aussi facilement que de les accepter. Google avait donc écopé de la plus forte amende jamais prononcée par cette autorité, d’un montant de 150 millions d’euros et Facebook de la troisième, d’un montant de 60 millions.

En début de semaine, le gendarme de la vie privée avait appelé le Parlement et le gouvernement à se prononcer sur des usages qu’il estime aujourd’hui contraire au droit en matière de caméras de vidéosurveillance « augmentées » .

Source : lesechos.fr

L’analyse par des chercheurs en technologie du code source de l’application de médias sociaux populaire TikTok a révélé des choses alarmantes sur l’accessibilité de vos données personnelles. L’application vidéo virale vérifie l’emplacement de l’appareil au moins une fois par heure, demande en permanence l’accès aux contacts, cartographie les applications en cours d’exécution d’un appareil et toutes les applications installées, et plus encore.

Suite à un aveu que le personnel en Chine peut accéder aux données de millions d’utilisateurs australiens « L’application mobile TikTok a été construite avec une culture qui ne place pas la confidentialité comme principe car la plupart des autorisations et des informations sur les appareils collectées sont au-dessus des autorisations nécessaires pour que l’application puisse fonctionner correctement », indique le rapport.

Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu’en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l’ancien président Donald Trump à menacer d’interdire l’application aux États-Unis.

Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d’un dirigeant de TikTok lors d’une audience au Sénat d’octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n’avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.

« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d’une réunion en septembre 2021. Lors d’une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».

Les enregistrements vont de réunions en petits groupes avec des chefs d’entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d’écran et d’autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d’employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l’application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.

En réponse à une liste exhaustive d’exemples et de questions sur l’accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C’est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».

«TikTok n’est pas qu’une simple application de partage de vidéos. C’est le loup déguisé en agneau. Elle recueille des masses de données sensibles qui, selon de nouveaux rapports, sont consultées à Pékin. Il est clair que TikTok pose un risque inacceptable pour la sécurité nationale en raison de sa collecte extensive de données combinée à l’accès apparemment incontrôlé de Pékin à ces données sensibles », a déclaré Brendan Carr – un responsable de la Commission fédérale des communications (FCC).

Et un nouveau rapport pourrait lui donner du crédit.

L’application qui entreprend une « récolte excessive de données »

Des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l’application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l’application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu’elle entreprend une « récolte excessive de données ».

Le rapport de 15 pages note certains cas où l’application vérifie l’emplacement de l’appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l’utilisateur.

Les chercheurs ont également découvert que l’application est capable d’évaluer toutes les autres applications en cours d’exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l’appareil.

Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l’application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.

« Au cours de l’analyse, nous n’avons pas pu déterminer avec une grande confiance le but de la connexion ou l’endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».

S’adressant au quotidien australien ABC, Robert Potter d’Internet 2.0 a déclaré qu’il n’y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n’avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées… tout ce que nous pouvons dire, c’est que TikTok s’autorise à extraire les données ».

Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l’application avec une connexion serveur à la Chine continentale « qui est gérée par l’une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».

Les chercheurs n’ont pas pu trouver une connexion similaire dans la version Android de l’application.

Robert Potter dit qu’il n’est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l’avons vu se connecter à des serveurs du monde entier, y compris en Chine ».

Il a également noté que d’autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n’avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu’alimenter les inquiétudes concernant l’application.

TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l’adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu’il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l’environnement de test approprié pour confirmer leurs affirmations sans fondement ».

Le Project Texas

En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l’époque, Donald Trump, a menacé d’interdire complètement l’application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d’informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d’accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu’il n’avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu’il ne le ferait pas si on le lui demandait.

La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données « protégées » ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.

Le projet Texas est la clé d’un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l’accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d’où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu’ils publient, ne seront pas incluses.

Sources : AFR, ABC, securite.developpez.com

Interessant text alternatif

Qui peut désormais suivre les transactions effectuées en Bitcoin, Ether et Tether entre autres

Coinbase, la plus grande plateforme d’échange de crypto-monnaie aux États-Unis, vend à l’Immigrations and Customs Enforcement (ICE, une agence de police douanière et de contrôle des frontières du département de la Sécurité intérieure des États-Unis) une suite de fonctionnalités utilisées pour suivre et identifier les utilisateurs de crypto-monnaie, selon les documents contractuels.

En août 2021, Coinbase a vendu une licence de logiciel d’analyse unique à ICE pour 29 000 $, suivie d’un achat de logiciel d’une valeur potentielle de 1,36 million de dollars le mois suivant, mais les détails exacts sur les capacités qui seraient offertes à la division controversée des enquêtes sur la sécurité intérieure de l’agence n’étaient pas clairs. Un nouveau document contractuel obtenu par Jack Poulson, directeur du groupe de surveillance Tech Inquiry, montre qu’ICE a désormais accès à une variété de fonctionnalités d’analyses numériques fournies par Coinbase Tracer, l’outil de collecte de renseignements de la société (anciennement connu sous le nom de Coinbase Analytics).

Coinbase Tracer permet aux clients, tant du gouvernement que du secteur privé, de suivre les transactions via la blockchain, un registre distribué des transactions faisant partie intégrante de l’utilisation de la crypto-monnaie. Alors que les registres de blockchain sont généralement publics, l’énorme volume de données qui y sont stockées peut rendre difficile, voire impossible, le suivi de l’argent du dépensier au destinataire sans l’aide d’outils logiciels. Coinbase commercialise Tracer pour une utilisation à la fois dans les enquêtes de conformité des entreprises et d’application de la loi, vantant sa capacité à « enquêter sur les activités illicites, y compris le blanchiment d’argent et le financement du terrorisme » et à « connecter les adresses [de crypto-monnaie] à des entités du monde réel ».

Selon le document, publié via une demande de Freedom of Information Act (FOIA), ICE est désormais en mesure de suivre les transactions effectuées via près d’une douzaine de devises numériques différentes, notamment Bitcoin, Ether et Tether. Les fonctionnalités analytiques incluent « l’analyse de liens multi-sauts pour les fonds entrants et sortants », donnant à ICE un aperçu des transferts de ces devises, ainsi que « la démixtion des transactions et l’analyse des transactions protégées » visant à contrecarrer les méthodes plébiscitées par certains utilisateurs de crypto pour blanchir leurs fonds ou camoufler leurs opérations. Le contrat fournit également, de manière provocante, des « historiques de données de suivi géographique », bien qu’il ne soit pas clair en quoi consistent exactement ces données ou d’où elles proviennent. Un e-mail publié via la demande FOIA montre que Coinbase n’exigeait pas qu’ICE accepte un contrat de licence utilisateur final, un jargon juridique standard qui impose des limites à ce qu’un client peut faire avec un logiciel.

Interrogée sur le contrat ICE et les données impliquées, la porte-parole de Coinbase, Natasha LaBranche, a pointé vers une clause de non-responsabilité sur son site Web indiquant que « Coinbase Tracer tire ses informations de sources publiques et n’utilise pas les données des utilisateurs de Coinbase ». LaBranche n’a pas répondu aux questions sur la façon dont ICE utilise Coinbase Tracer, ni si la société a imposé des limites à cette utilisation.

Coinbase a déployé ces dernières années un effort concerté pour présenter ses fonctionnalités de renseignement aux agences gouvernementales, notamment l’IRS, les services secrets et la Drug Enforcement Administration. Le mois dernier, le vice-président du renseignement mondial de Coinbase, John Kothanek, a déclaré devant un panel du Congrès que son entreprise était désireuse d’aider la cause de la sécurité intérieure. « Si vous êtes un cybercriminel et que vous utilisez la crypto, vous allez passer une mauvaise journée(…). Nous allons vous retrouver et nous allons trouver ce financement et nous allons, espérons-le, aider le gouvernement à saisir cette crypto ». Le travail de Coinbase en partenariat avec le gouvernement s’est avéré très controversé pour de nombreux fans de crypto, en raison peut-être à la fois de la tendance libertaire de longue date dans cette communauté et du fait que ces devises sont si fréquemment utilisées pour faciliter diverses formes de fraude.

L’outil Coinbase Tracer lui-même est né de la controverse. En 2019, il a été rapporté que Neutrino, une société d’analyse de blockchain que la société a acquise afin de créer Coinbase Tracer, « a été fondée par trois anciens employés de Hacking Team, un fournisseur de surveillance italien controversé qui a été surpris à plusieurs reprises en train de vendre des logiciels espions aux gouvernements avec des antécédents douteux en matière de droits de l’homme, comme l’Éthiopie, l’Arabie saoudite et le Soudan*». À la suite d’un tollé public, Coinbase a annoncé que ces employés « quitteraient » l’entreprise.

Homeland Security Investigations, la division d’ICE qui a acheté l’outil Coinbase, est chargée non seulement des questions liées à l’immigration, de l’aide aux raids de migrants et des opérations d’expulsion, mais également des crimes transnationaux plus larges, y compris diverses formes d’infractions financières. On ne sait pas à quelle fin ICE utilisera Coinbase.

Une entreprise touchée de plein fouet par « l’hiver crypto »

Le mois dernier, Coinbase a entrepris de licencier près d’un cinquième de ses effectifs dans un contexte d’effondrement de ses cours crypto mais aussi en bourse. La plateforme d’échange de cryptomonnaie a annoncé la suppression de 18 % de ses effectifs à temps plein, selon un courriel envoyé aux employés. Coinbase compte environ 5 000 employés à temps plein, ce qui se traduit par une réduction du nombre d’employés d’environ 1 100 personnes.

Coinbase avait initialement annoncé qu’il suspendait l’embauche. Deux semaines plus tard, l’entreprise a annoncé qu’elle prolongeait le gel dans un « avenir prévisible ». Plus tôt cette année, Coinbase a déclaré qu’il prévoyait de créer 2 000 emplois dans les domaines des produits, de l’ingénierie et de la conception :

« Chez Coinbase, nous avons une mission ambitieuse pour accroître la liberté économique dans le monde. Si nous voulons saisir l’opportunité qui s’offre à nous, nous aurons besoin de plus d’aide pour faire évoluer nos produits existants et en créer de nouveaux. En 2022, nous prévoyons d’ajouter jusqu’à 2 000 employés dans nos équipes de produits, d’ingénierie et de conception.

« Nous voyons d’énormes opportunités de produits à venir pour l’avenir du Web3. Nous pensons que notre industrie en est à ses balbutiements et qu’il est essentiel de créer des passerelles pour que les individus participent à la conduite du cas d’utilisation de la prochaine génération de crypto. Nous nous étendons également pour inclure des produits qui hébergent du contenu généré par les utilisateurs comme les NFT, et nous sommes ravis de nos plans ambitieux pour l’avenir de Coinbase Wallet, améliorant la sécurité, la facilité d’utilisation et l’accessibilité.

« Nous sommes inébranlables dans notre objectif de construire sur le long terme, à travers chaque cycle de cryptographie. Cela a été l’un des plus grands moteurs de notre succès à ce jour. À travers les sommets, nous nous concentrons sur la mise à l’échelle et de nombreuses nouvelles personnes se familiarisent avec la cryptographie. Pendant les creux, nous nous concentrons sur l’innovation des produits. Que le marché soit en hausse ou en baisse, nous voyons une opportunité évidente, faisant de Coinbase l’un des endroits les plus excitants où travailler en ce moment.

« Il y a quelques éléments que nous recherchons dans toutes les embauches que nous effectuons chez Coinbase, quel que soit le rôle ou l’équipe. Tout d’abord, nous recherchons des signaux indiquant qu’un candidat s’épanouira dans une culture comme la nôtre, où nous privilégions une communication claire, une exécution efficace et un apprentissage continu, entre autres qualités. Nous recherchons des personnes qui choisissent d’adopter une approche axée sur la mission dans leur travail. Et nous recherchons des personnes ayant le désir et la capacité de #LiveCrypto, construisant et partageant activement leur expertise en cryptographie avec ceux qui les entourent.

« En retour, nous offrons une opportunité de carrière unique, avec une rémunération compétitive et transparente ; des avantages uniques comme plusieurs semaines de recharge à l’échelle de l’entreprise ; et un environnement remote-first où vous travaillerez dans une équipe de championnat avec certaines des personnes les plus talentueuses de notre industrie ».

Mais c’était sans compter sur la déroute profonde de ses actions : les actions de Coinbase sont en baisse de 79 % cette année et de 85 % par rapport au niveau record. Pendant ce temps, le bitcoin a chuté à près de 22 000 dollars et a perdu 53 % de sa valeur cette année.

Coinbase, basé à San Francisco, a signalé une baisse du nombre d’utilisateurs au cours de son dernier trimestre et une baisse de 27 % de ses revenus par rapport à ce qu’ils étaient il y a un an. La société tire la majorité de son chiffre d’affaires des frais de transaction, qui sont étroitement liés à l’activité de négociation.

La présidente et chef de l’exploitation Emilie Choi a qualifié cette décision de « décision très difficile pour Coinbase », mais compte tenu du contexte économique, elle a déclaré que cela « ressemblait à la chose la plus prudente à faire en ce moment ».

Les employés concernés ont reçu une notification des ressources humaines. Si tel est le cas, le mémo a été envoyé à un e-mail personnel, car Coinbase a coupé l’accès aux systèmes de l’entreprise. Armstrong l’a qualifié de « seul choix pratique » compte tenu du nombre d’employés ayant accès aux informations sur les clients et d’un moyen de « s’assurer que personne ne prend de décision irréfléchie qui nuirait à l’entreprise ou à elle-même ».

Les employés de Coinbase auront accès à un hub de talents pour trouver de nouveaux emplois dans l’industrie, y compris les sociétés du portefeuille de Coinbase Ventures. Choi a déclaré que Coinbase continuerait de s’investir dans des domaines tels que la sécurité et la conformité et pourrait « réorienter » les employés vers des sources de revenus à court terme.

Sources : contrat entre Coinbase et l’ICE, Coinbase, developpez.com