Fermer le menu

vie privée

Toute l'actualité sur vie privée

Fuite de photos dénudées : Apple enquête

| 01/09/2014 | 22:26 |  

Depuis ce matin, l'affaire fait grand bruit. Des photos de célébrités nues sont en libre circulation sur internet, suite à l'exploitation d'une faille au sein du service Localiser mon iPhone. Les pirates ont en fait usé de force brute sur les comptes iCloud des victimes, en utilisant un script Python qui teste des milliers de combinaisons avant de trouver le sésame.

L'actrice Jennifer Lawrence fait partie des victimes de ce piratage.

Apple a rapidement comblé la brèche, mais malgré tout le mal est fait : à quelques jours d'un special event où il devrait être question d'un objet « prêt à porter » mesurant et analysant l'activité physique, la sécurité des données revient sur le devant de la scène : qui voudrait laisser à iCloud le soin de stocker des informations aussi précieuses concernant sa santé si la sécurité n'est pas maximale ?

Apple « enquête activement » sur le vol de données qui a eu lieu sur les comptes iCloud des vedettes touchées, assure le constructeur à Re/code. « Nous prenons la vie privée très au sérieux et nous enquêtons sur le sujet », fait savoir Natalie Kerris, porte-parole du groupe. Il est effectivement capital pour Apple de prendre le problème à bras le corps, au moment où la société va sans doute proposer de stocker encore plus de données très personnelles dans son nuage.

Ce piratage aurait été rendu beaucoup plus difficile si Apple faisait une plus grande publicité à son système de vérification en deux étapes, pointent des experts en sécurité. Dans la confusion certaine qui règne encore autour de cette affaire, il semble néanmoins qu'Apple ne soit pas seule en cause : apparemment, des vidéos circulant sur Dropbox auraient aussi été piratées.

> Accéder aux commentaires

Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée

| 01/09/2014 | 15:39 |  

Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.

Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.

Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.

Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.

Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.

Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.

Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.

> Accéder aux commentaires

Apple stocke les données de ses utilisateurs chinois en Chine

| 15/08/2014 | 16:15 |  

Après 15 mois de test et d'évaluation, les données personnelles des utilisateurs chinois de services Apple seront désormais stockées sur les serveurs de China Telecom, le troisième opérateur au pays, Le constructeur explique qu'il s'agit d'améliorer la vitesse et la fiabilité de son bouquet de services iCloud en Chine. Évidemment quand on parle de l'Empire du Milieu et tout particulièrement du stockage de données, se pose immanquablement la question de la confidentialité des informations. Pour cette raison, Google refuse d'opérer des centres de données en Chine. « Apple prend la sécurité et la confidentialité très au sérieux », explique le communiqué du constructeur.

Il précise avoir ajouté China Telecom à sa liste de fournisseurs de centres de données « afin d'augmenter la bande passante et d'améliorer les performances [d'iCloud] pour nos clients en Chine. Toutes les données stockées par nos fournisseurs sont chiffrées. China Telecom n'a pas accès à ce contenu ». D'après une source proche du dossier, les clés de chiffrement pour les serveurs de l'opérateur sont stockées à l'extérieur du pays, sans que China Telecom puisse en prendre connaissance.

Plusieurs experts estiment cependant qu'Apple aura le plus grand mal à conserver ces données en dehors des grandes oreilles des autorités du pays. Comme aux États-Unis et ailleurs, le constructeur devra se conformer aux exigences de l'administration, notamment dans le cas d'une requête gouvernementale. Les relations entre Apple et la Chine sont sujettes à de fréquents cahots, le dernier en date concernait la sécurité des services de localisation de l'iPhone — une polémique sur laquelle le constructeur a rapidement posé l'étouffoir.

> Accéder aux commentaires

OnionShare partage les fichiers en toute confidentialité

| 07/07/2014 | 16:36 |  

Ce ne sont pas les services qui manquent quand on veut partager des fichiers avec ses proches. Mais si on veut le faire de manière confidentielle, les Dropbox, Google Drive, OneDrive et compagnie ne sont pas les plus adaptés. Outre des conditions d'utilisation qui ne sont pas toujours claires, il y a l'ombre des révélations d'Edward Snowden qui plane sur ces services américains.

C'est justement après avoir lu Nulle part où se cacher, le livre du journaliste Glenn Greenwald qui a dévoilé publiquement les informations de Snowden, qu'un développeur a créé un logiciel open source pour échanger confidentiellement et facilement des fichiers.

OnionShare fonctionne en pair à pair (P2P) : la connexion entre l'émetteur et le destinataire est directe. Il n'y a pas d'intermédiaire, le fichier partagé est uniquement hébergé sur l'ordinateur de l'émetteur — il n'y a donc pas de limite de taille. Concrètement, OnionShare démarre un serveur web sur la machine hôte, rend ce serveur accessible sur Tor (un réseau décentralisé qui protège la vie privée), et génère une URL qui permet de télécharger le fichier.

Pour pouvoir se servir d'OnionShare, il est nécessaire d'ouvrir au préalable le navigateur Tor. Le reste est extrêmement simple : on lance OnionShare, on choisit le fichier à partager et on transmet l'URL fournie au destinataire. Le développeur Micah Lee conseille d'utiliser une messagerie sécurisée pour communiquer cette adresse (Cryptocat par exemple). Le destinataire n'a pas besoin d'avoir OnionShare pour télécharger le fichier, seul le navigateur Tor est nécessaire.

Si ce petit logiciel permet de partager un fichier de manière plus secrète que sur les services habituels, le réseau Tor n'échappe toutefois pas à la surveillance de la NSA. Les documents confidentiels fournis par Snowden révèlent que l'agence américaine de renseignement a tenté de casser l'anonymat de ce réseau et qu'elle en surveille les serveurs cruciaux. La confidentialité d...

> Lire la suite et accéder aux commentaires

NSA : des députés allemands veulent entendre Tim Cook et ses homologues

| 23/05/2014 | 23:56 |  

À la suite des révélations d'Edward Snowden sur les pratiques de la NSA, l'Allemagne, qui serait l'une des cibles privilégiées du renseignement américain, a mis en place une commission parlementaire chargée d'enquêter sur le sujet.

Les huit députés qui la composent veulent faire témoigner les patrons des plus grands acteurs de l'informatique, qui se trouvent être américains : Tim Cook (Apple), Mark Zuckerberg (Facebook), Eric Schmidt (Google) et Brad Smith (Microsoft).

La commission cherche à savoir dans quelle mesure les services de renseignement américains peuvent intercepter les données des utilisateurs de leurs services. « C'est pour écarter tout soupçon que nous souhaitons les inviter », a déclaré Christian Flisek, député social-démocrate.

Depuis le scandale PRISM, Apple fait un effort de transparence sur les requêtes des autorités judiciaires et policières qu'elle reçoit à propos des données privées de ses utilisateurs. L'entreprise donne plus de détails sur le nombre de demandes, va avertir ses utilisateurs visés par les autorités américaines et vient de publier un guide des procédures judiciaires. Des initiatives qui ont été saluées par l'EFF, un organisme qui défend les droits des internautes.

> Accéder aux commentaires

Apple : un guide pour les procédures judiciaires

| 08/05/2014 | 14:45 |  

Apple renforce sa volonté de transparence concernant les requêtes des autorités judiciaires et policières souhaitant consulter les données privées de ses utilisateurs. Non seulement le constructeur de Cupertino — ainsi que les autres sociétés informatiques concernées — offre désormais de plus amples informations sur le volume de demandes des autorités (927 requêtes relatives à des affaires criminelles entre janvier et juin 2013 pour Apple, par exemple), mais encore il a été confirmé que la Pomme allait informer directement les utilisateurs visés par les procédures à leur encontre (lire : Apple va informer ses utilisateurs visés par les autorités américaines).

Apple est allé un peu plus loin ce mercredi, en mettant en ligne un guide des procédures judiciaires. On apprend dans ce document qu'Apple peut, sur la demande des autorités, extraire un certain nombre d'informations provenant de terminaux iOS verrouillés, parmi lesquelles les messages SMS, les photos, vidéos, contacts, mémos vocaux et historique des appels. En revanche, Apple ne pourra rien pour les courriels, les rendez-vous, les messages FaceTime et iMessage, ainsi que pour tout ce qui touche aux applications tierces. Par ailleurs, ce processus d'extraction des données devra se dérouler à Cupertino même.

Apple s'est également engagé à retourner les iPhone perdus à leurs propriétaires. L'entreprise confirme également qu'elle préviendra les utilisateurs frappés par une requête judiciaire; si la vie d'une personne ou d'un groupe de personnes est en jeu, ou encore dans les cas relatifs à la disparition d'enfants, Apple pourra accepter de lever le secret sur les données d'un utilisateur sans mandat. Ces informations légales sont suivies d'une courte foire aux questions, qui offre notamment des contacts afin d'être tenu au courant des procédures judiciaires.

> Accéder aux commentaires

Privacy Badger, une nouvelle extension pour ne pas être pisté sur le web

| 05/05/2014 | 18:48 |  

Les extensions pour éviter d'être fliqué sur le web par les régies publicitaires ne manquent pas, on peut citer notamment Ghostery et Disconnect. Un nouvel add-on qui vient de sortir, Privacy Badger, a l'avantage d'être open source et créé par l'Electronic Frontier Foundation (EFF), une organisation reconnue qui milite notamment pour le respect de la vie privée en ligne.

En vert, les domaines de tierce partie acceptés. En rouge, ceux qui sont bloqués. On peut modifier les réglages manuellement.

Privacy Badger est une extension pour Firefox et Chrome qui bloque les traqueurs de tierce partie (régies publicitaires, services de statistiques...) qui suivent la navigation d'un internaute de site en site. Elle permet ainsi de naviguer sur le web incognito sans pour autant supprimer la pub — même s'il peut arriver qu'elle bloque certains éléments publicitaires qui sont liés aux outils de suivi.

L'objectif de Privacy Badger est de promouvoir Do Not Track, l'initiative peu suivie de Mozilla qui permet aux internautes d'indiquer aux sites web qu'ils ne souhaitent pas être pistés. Les annonceurs qui respectent Do Not Track ne sont en effet pas bloqués par l'extension.

Privacy Badger est actuellement en version alpha. L'EFF prévoit de la rendre compatible avec Opera et Firefox Mobile prochainement. Safari n'est pas dans les plans actuellement pour des raisons techniques, mais toute aide est la bienvenue pour faire évoluer la situation.

> Accéder aux commentaires

Yahoo ne tient plus compte de Do Not Track

| 02/05/2014 | 14:15 |  

Do Not Track a du plomb dans l'aile. Yahoo a annoncé mercredi 30 avril qu'elle arrêtait de prendre en compte ce réglage de confidentialité.

Do Not Track est une initiative lancée par Mozilla qui permet aux internautes d'indiquer aux sites web qu'ils ne souhaitent pas être pistés. Cette option a été adoptée par tous les principaux navigateurs, même Chrome qui a trainé des pieds, mais les acteurs du web ont tout le loisir de ne pas en tenir compte.

Option Do Not Track dans les préférences de Firefox

C'est justement ce qui arrive avec Yahoo qui, après avoir joué le jeu pendant deux ans, fait marche arrière. Sa désaffection pour Do Not Track n'est pas vraiment une surprise, l'entreprise avait décidé de ne pas s'y plier pour Internet Explorer, Microsoft ayant fait le choix de l'activer par défaut sur son navigateur.

Pour justifier l'abandon total du réglage de confidentialité, Yahoo explique à nouveau qu'elle « travaille dur à proposer une expérience hautement personnalisée à [ses] utilisateurs » et que Do Not Track l'en empêche. La société déclare par ailleurs qu'elle n'a « toujours pas vu un standard unique qui soit efficace, facile d'usage et adopté massivement par l'industrie high-tech ». Or, c'était justement la mission de Do Not Track, une mission qui a visiblement échoué. Facebook et Google, pour ne citer qu'eux, n'ont en effet jamais tenu compte de ce réglage.

Cette annonce intervient alors que le W3C a enfin avancé sur le sujet. L'organisme de normalisation, qui a tergiversé pendant des années, a enfin passé Tracking Preference Expression (Do No Track) au statut « Last Call » la semaine dernière, ce qui signifie que le groupe de travail estime que la spécification est complète et qu'elle peut être examinée par une audience plus large. Ce progrès, qui ne marque toujours pas une standardisation en bonne et due forme, survient alors que la bataille est sûrement déjà perdue.

> Accéder aux commentaires

Apple va informer ses utilisateurs visés par les autorités américaines

| 02/05/2014 | 12:45 |  

À la suite des révélations d'Edward Snowden sur les pratiques de la NSA, Apple et d'autres géants du secteur de l'informatique ont appelé à une réforme de la surveillance et pris des mesures pour faire preuve de plus de transparence afin de regagner la confiance de leurs utilisateurs.

Les entreprises sont ainsi parvenues à un accord au début de l'année avec le gouvernement américain qui leur permet de communiquer des données un peu plus précises sur le nombre de requêtes judiciaires à l'endroit des comptes de certains de ses utilisateurs. Apple indique avoir reçu, sur la période de janvier à juin 2013, entre 0 et 250 lettres de sécurité nationale et 927 requêtes relatives à des affaires criminelles.

Le Washington Post rapporte que les sociétés vont faire un pas de plus en informant directement les utilisateurs visés par des demandes des autorités. « Apple va mettre à jour sa politique de manière à ce que la plupart des clients concernés par une demande d'information personnelle soient notifiés de cette requête », a déclaré un porte-parole de Cupertino.

Ronald T. Hosko, un ancien agent spécial du FBI, estime que cette notification peut compromettre une enquête dans la mesure où la personne qui sait qu'elle est suspectée est susceptible de détruire des preuves. Les entreprises expliquent pour leur part qu'elles ont prévu des exceptions, dans le cas où la victime potentielle court un risque de danger imminent, par exemple.

> Accéder aux commentaires

Microsoft ne fouillera plus le courrier de ses utilisateurs

| 29/03/2014 | 00:06 |  

Promis, juré, craché, Microsoft ne fouillera plus le courrier de ses utilisateurs. Face à la polémique provoquée par l’« affaire Kibkalo », la firme de Redmond va changer les CGU de ses services « dans les prochains mois » pour en retirer la mention qui lui donne le droit d’accéder aux communications des utilisateurs sous couvert de protection de sa propriété industrielle et intellectuelle.

Qu'elle est loin, la campagne « Scroogled » dans laquelle Microsoft assurait qu'elle ne lisait pas le courrier de ses utilisateurs…
Qu'elle est loin, la campagne « Scroogled » dans laquelle Microsoft assurait qu'elle ne lisait pas le courrier de ses utilisateurs…

Mécontent d’un entretien d’évaluation interne, Alex Kibkalo avait décidé de se venger de Microsoft en faisant fuiter des documents confidentiels à un blogueur français - parmi lesquels des préversions de Windows RT et le kit de développement interne à Microsoft. Ce blogueur, propriétaire d’un compte Hotmail, avait non seulement publié des captures d’écran du système, mais aussi mis en place un serveur d’activation dont il revendait des clefs sur eBay.

Microsoft avait alors fouillé le compte Hotmail dudit blogueur pour identifier la taupe — les CGU d’Hotmail lui en donnaient le droit, mais la pratique fait désordre dans le contexte actuel de soupçon de complaisance des éditeurs dans le système de surveillance généralisée des données privées. Kibkalo a depuis avoué le vol et le recel des fichiers et a été arrêté.

C’est d’ailleurs par la justice que Microsoft passera désormais systématiquement en pareil cas. Aucun de ses salariés n’aura désormais le droit de consulter les communications d’un utilisateur, seules les forces de l’ordre, sur mandat d’un juge, pourront le faire. Et la firme de Redmond publiera le nombre de ces recherches dans son rapport semestriel sur la transparence, dans lequel figurent également les demandes d’accès du gouvernement et de la justice.

> Accéder aux commentaires

Pages