Que dit l’étiquette de confidentialité?

0
157

Abonnez-vous à cette newsletter bi-hebdomadaire ici!

Bienvenue dans la dernière édition de Pardon The Intrusion, TNW’s newsletter bihebdomadaire dans laquelle nous explorons le monde sauvage de la sécurité.

Nous sommes en 2020 et Apple intensifie son jeu de confidentialité.

Au Conférence des développeurs de la WWDC tenue il y a quelques semaines, Apple a présenté un grand nombre de nouvelles fonctionnalités de sécurité et de confidentialité qui ont été ajoutées aux prochains systèmes d’exploitation iOS 14 et macOS Big Sur.

Il y a une liste pratique ici, mais la seule caractéristique qui a le plus retenu mon attention est l’introduction de résumés de confidentialité pour les applications tierces.

Il est indéniable que la plupart d’entre nous ne prennent pas la peine de lire les politiques de confidentialité et les conditions d’utilisation lorsqu’ils s’inscrivent à un service. Ils sont longs, ennuyeux et embourbés dans un jargon obtus, comme s’ils étaient délibérément conçus pour vous garder dans le noir.

La solution proposée par Apple pour résoudre ce problème consiste en des étiquettes – similaires aux informations nutritionnelles sur les emballages alimentaires – qui décrivent clairement comment les applications utilisent vos données.

Bien sûr, l’idée d’un «étiquette nutritionnelle» axée sur la confidentialité n’est pas nouveau. Mais l’approche d’Apple a également un problème en ce qu’elle oblige les développeurs d’applications à déclarer eux-mêmes les informations qu’ils collectent et les éléments de données qui pourraient être utilisés pour vous suivre sur le Web.

En d’autres termes, pour que cela fonctionne efficacement, les développeurs d’applications doivent être honnêtes et transparents sur ce qu’ils font avec nos données. La grande question est: le feront-ils?

Ce n’est pas tout. Que se passe-t-il lorsqu’un développeur (intentionnellement) ne parvient pas à spécifier toutes les données qu’il utilise pour suivre ses utilisateurs? Apple rejettera-t-elle l’application de son App Store? Ou va-t-il gérer cela pendant le processus d’examen? Et existe-t-il une chronologie à laquelle toutes les applications existantes devraient proposer leurs propres étiquettes de confidentialité?

De retour en mars, L’application iOS de Zoom a été surpris en train d’envoyer des données des utilisateurs (tels que le type et la version du système d’exploitation mobile, le fuseau horaire, le modèle et le support de l’appareil, la taille de l’écran et l’espace disque) sur Facebook même s’ils n’avaient pas de compte Facebook. De plus, il a choisi de ne même pas mentionner cet accord de partage de données dans sa politique de confidentialité.

Il sera donc intéressant de voir comment Apple applique réellement cette exigence. Jusque-là, l’idée d’un label de confidentialité est juste bonne sur le papier.

Quelles sont les tendances en matière de sécurité?

Google s’est arrêté 100 extensions Chrome malveillantes et 25 applications Android qui ont été trouvés en train de voler des informations d’identification Facebook, une banque chinoise anonyme a forcé au moins deux sociétés occidentales à installer logiciel d’impôt infesté de logiciels malveillants sur leurs systèmes, et Microsoft a repéré un acteur de la menace distribuant des documents Excel malveillants oblige les utilisateurs à remplir un CAPTCHA comme un moyen de détection de fuite à partir d’un logiciel anti-malware.

  • La Federal Communications Commission a officiellement désigné Huawei et ZTE comme menaces à la sécurité nationale. Mais Andy Purdy, directeur de la sécurité de Huawei Technologies USA, a déclaré que ces préoccupations ne répondaient pas au problème plus large des gouvernements espionnant déjà sans autorisation.[[FCC / Carte mère]
  • Les habitants de Hong Kong modifient leurs empreintes numériques ou suppriment entièrement leur présence des réseaux sociaux après le passage d’un nouveau loi sur la sécurité nationale plus tôt cette semaine. La législation controversée interdira les activités de «séparatisme, subversion, terrorisme et ingérence étrangère», réduisant efficacement les manifestations pro-démocratiques et la liberté d’expression.[[Nikkei Asian Review]
  • Après que Facebook a recruté une firme de cybersécurité anonyme pour développer un outil de piratage utilisant une faille dans Tails OS pour aider le FBI à traquer un prédateur enfant, le fabricant du système d’exploitation est toujours dans l’ignorance de l’exploit. Et oui, il n’y a aucune confirmation si le FBI a utilisé l’outil de piratage financé par Facebook dans d’autres cas.[[Carte mère]
  • Le collectif de piratage Anonymous a émergé après une longue interruption, revenant avec une énorme masse de données obtenues auprès de centaines de services de police américains lors d’une opération baptisée BlueLeaks. Les données, qui contiennent une dizaine d’années de matériel de formation de la police et d’autres données internes sur l’application des lois, ont été publiées par Distributed Denial of Secrets.[[Krebs sur la sécurité]
  • Mozilla et Google devraient suivre Les traces d’Apple en rejetant les certificats HTTPS dans leurs navigateurs qui expirent plus de 13 mois (ou 398 jours) à compter de leur date de création. J’ai écrit pourquoi cela compte ici.[[ZDNet]
  • Les chercheurs ont découvert une campagne de surveillance, datant d’au moins 2013, qui a utilisé une multitude d’outils de spyware Android – appelés SilkBean, DoubleAgent, CarbonSteal et GoldenEagle – pour traquer le groupe minoritaire ethnique ouïghour, suggérant que la campagne de piratage pour mobile en Chine était plus large et plus agressive qu’on ne le pensait auparavant. Des preuves récemment découvertes ont connecté le logiciel malveillant Android à un important entrepreneur gouvernemental de la défense de la ville de Xi’an.[[Attention]

  • Apple a refusé d’implémenter 16 nouvelles technologies Web dans son navigateur Web Safari, y compris Bluetooth, NFC, magnétomètre, état de la batterie, capteur de proximité, capteur de géolocalisation et API de détection d’inactivité des utilisateurs, craignant qu’ils ne violent la vie privée des utilisateurs en utilisant empreintes digitales du navigateur techniques.[[ZDNet]
  • L’Australie a annoncé qu’elle dépenserait 1,35 milliard de dollars australiens au cours de la prochaine décennie pour renforcer ses capacités de cybersécurité à la suite des cyberattaques d’un pirate informatique sophistiqué «basé sur l’État».[[ABC Australie]
  • Grâce à une nouvelle fonctionnalité iOS 14, TikTok et 58 autres applications ont été prises en train d’espionner vos données de presse-papiers.[[Ars Technica]
  • Les attaques par écrémage par carte de crédit, également appelées e-écrémage, deviennent de plus en plus sophistiquées. Les gangs de cybercriminalité cachent désormais le code malveillant dans les métadonnées du favicon d’un site Web.[[The Hacker News]
  • Omar Radi, un éminent militant et journaliste marocain, s’est fait pirater son téléphone via un attaque par injection de réseau pour installer le logiciel espion Pegasus de NSO Group de janvier 2019 à fin janvier 2020.[[Amnesty International]

  • Depuis le début de la pandémie de coronavirus, il y a eu une augmentation du stalkerware, facilitant ceux qui ont de mauvaises intentions pour espionner ce que fait un partenaire – en suivant leurs SMS, appels, utilisation des médias sociaux et informations de localisation.[[CyberScoop]
  • Les législateurs américains sont de retour avec un nouveau projet de loi qui mettrait fin au cryptage «sans mandat», obligeant les entreprises technologiques à créer des «portes dérobées» pour permettre aux forces de l’ordre, avec un mandat, d’accéder au contenu d’un appareil crypté.

    • Mais il n’y a rien de tel appelé porte dérobée sécurisée: il n’y a aucun moyen d’avoir une faiblesse délibérée du cryptage sans permettre également aux pirates d’exploiter la faille. Cela revient à verrouiller vos portes et à laisser les clés sous le paillasson.
    • Dans un développement distinct, un nouveau projet de loi – Facial Recognition and Biometric Technology Moratorium Act of 2020 – a été présenté dans le but d’interdire l’utilisation de la technologie de reconnaissance faciale par les organismes fédéraux chargés de l’application des lois aux États-Unis.[[Stanford Law / Carte mère]
  • Après que des rapports ont révélé qu’une banque chinoise avait forcé au moins deux sociétés occidentales à installer sur leurs systèmes un logiciel de taxe associé à des logiciels malveillants appelé Intelligent Tax, l’acteur de la menace a fourni un outil de désinstallation pour supprimer toutes les traces du logiciel malveillant. Le but ou les acteurs derrière la menace sont encore inconnus. [Trustwave]
  • Une analyse de plus d’un milliard d’informations d’identification divulguées a révélé que un mot de passe sur 142 est «123456». [Ata Hakçıl]
  • La quinzaine des violations de données et des attaques de ransomwares: Indiabulls, LG Electronics, Université de Californie, et Twitter.

Point de données

Ce n’est un secret pour personne que les cybercriminels ont monté un variété d’attaquesexploiter les craintes concernant COVID-19. Des logiciels malveillants sournois aux rançongiciels (appelés «CryCryptor« ) Qui se présente comme des applications de recherche de contacts, nous avons tout vu.

Maintenant, selon un rapport de entreprise de cybersécurité Rapid7, les domaines malveillants liés aux coronavirus continuent d’être enregistrés en tant que nouveaux champignons épicentres à travers le monde. Bien que le nombre d’enregistrements quotidiens ait chuté par rapport à ses sommets de mars, le mois de mai a vu plus de 500 domaines COVID-19, les cyber-papas suggèrent toujours de découvrir de nouvelles façons de tromper les utilisateurs sans méfiance.

À emporter: « Les attaquants sont sans scrupules en ce qui concerne les creux auxquels ils vont sombrer pour inciter les utilisateurs à être victimes de leurs leurres », indique le rapport. «De plus, la simplicité avec laquelle les leurres peuvent apparaître et disparaître rend leur défense active impossible.» En général, évitez de cliquer sur des liens dans des e-mails non sollicités et méfiez-vous des pièces jointes.

C’est tout. Rendez-vous tous dans deux semaines. Restez en sécurité!

Ravie x TNW (ravie[at]thenextweb[dot]com)

Pssst, hé vous!

Voulez-vous recevoir la newsletter technique quotidienne la plus sassée chaque jour, dans votre boîte de réception, GRATUITEMENT? Bien sûr que vous le faites: inscrivez-vous à Big Spam ici.