#Le brief du 25 septembre 2024

Vie privée et applications mobiles : les conseils de la CNIL, une large campagne de contrôle en 2025

Mercredi 25 septembre 2024 à 15h30
25/09/2024 à 15h30
Société numérique
2 min 6

La CNIL vient de publier un communiqué intitulé « applications mobiles : votre vie privée devra être mieux protégée ». D’autant que les applications peuvent avoir accès à des données très personnelles comme la géolocalisation, les contacts, les photos, le microphone, etc. Un exemple abusif : « une application de lampe de poche n'a pas besoin d'accéder à vos contacts ou à votre localisation ».

La Commission rappelle quelques éléments importants :

« Chaque fois que vous utilisez une application mobile, elle collecte des informations sur vous. Mais, contrairement au web, les applications mobiles peuvent avoir accès à des données plus variées et parfois plus intrusives (géolocalisation, données de contact, photos, microphone, etc.). Elles peuvent, par ailleurs, collecter des données même lorsque vous n’êtes pas en train de les utiliser activement ».

La CNIL formule quelques recommandations aux professionnels, notamment améliorer l'information sur l'utilisation des données et leur sécurisation. Elle doit « toujours être accessible, compréhensible et […] présentée au bon moment au sein de l’application ». Les développeurs doivent s'assurer que le consentement est éclairé et non contraint.

La CNIL va accompagner les professionnels dans les prochains mois, puis passera ensuite à l’attaque : « à partir du début du printemps 2025, la CNIL déploiera une large campagne de contrôle ».

La CNIL donne aussi des conseils aux utilisateurs : vérifiez avant de télécharger, utilisez des pseudonymes, limitez les permissions, mettez à jour les applications, faites le tri, etc.

Gmail déploie sa marque bleue de vérification dans ses applications Android et iOS

Mercredi 25 septembre 2024 à 14h45
25/09/2024 à 14h45
Logiciel
2 min 3

En mai de l’année dernière, Google lançait une marque bleue de vérification pour Gmail. Elle était jusqu’ici réservée à la version web. Il aura fallu plus d’un an, mais elle est maintenant déployée dans les applications Android et iOS. La diffusion va se faire sur plusieurs semaines.

Cette marque bleue indique que la source a été vérifiée et est authentique. Elle met donc en avant la confiance. Elle est basée sur une technologie de Google appelée BIMI, pour Brand Indicators for Message Identification. C’est également BIMI qui permet aux entreprises avec une marque déposée de faire valider leur logo pour que celui-ci s’affiche en médaillon dans les clients email dans les courriers émis.

« Actuellement, Gmail sur le web affiche une coche vérifiée pour les expéditeurs qui ont adopté le BIMI avec une marque déposée (VMC). Au cours des prochaines semaines, les utilisateurs verront également ces icônes de coche vérifiée lorsqu'ils utiliseront l'application Gmail sur Android et iOS », indique Gmail. La société précise que cet apport n’est valable que pour les marques déposées.

Et si l’on ne dispose pas de marque déposée, mais que l’on souhaite prouver quand même sa légitimité ? Gmail propose un autre type de certificat, nommée CMC, pour « certificat de marque commune ». Le CMC permet aussi d’utiliser BIMI pour valider le logo, mais il n’y aura pas de coche bleue.

FTX : deux ans de prison pour l’ex petite amie de Sam Bankman-Fried

Mercredi 25 septembre 2024 à 11h30
25/09/2024 à 11h30
Droit
1 min 1

Décoration pour représenter le brief d'article

Caroline Ellison a été condamnée à deux ans de prison pour le rôle qu’elle a joué dans le scandale de la plateforme de crypto actifs.

Ancienne compagne de Sam Bankman-Fried, le patron de la plateforme FTX condamné à 25 ans de prison pour fraude massive, Caroline Ellison était directrice général du fonds Alameda Research, fondé par le même Bankman-Fried. 
Auprès de la cour, elle a détaillé comment ce dernier lui demandait de préparer de faux relevés de comptes pour les envoyer à ses créanciers.

Caroline Ellison a coopéré avec le gouvernement avant l’arrestation de Bankman-Fried, et de nouveau après la chute de FTX. Le juge le procureur et l’avocat de la défense ont tous trois souligné combien sa coopération avait joué dans sa faible peine.

En Colombie, le logiciel espion Pegasus aurait été acheté avec de l’argent du blanchiment

Mercredi 25 septembre 2024 à 10h58
25/09/2024 à 10h58
Sécurité
1 min 5

Selon le président colombien Gustavo Petro, le logiciel espion Pegasus de la société israélienne NSO avait été acheté en échange de 11 millions de dollars en espèces durant le gouvernement de son prédécesseur et rival politique, le conservateur Iván Duque (2018 - 2022), rapporte l'AFP.

« Dans l'enquête que nous menons, nous avons la certitude qu'il s'agit de blanchiment d'argent », a déclaré le directeur de la Direction nationale du renseignement (DNI), Jorge Lemus, dans une interview diffusée lundi par la chaîne publique Señal Colombia. L'argent « est sorti illégalement, ils n'ont laissé aucune trace. Ils ont commis un crime », a accusé le patron du renseignement colombien.

Selon le président Petro, le paiement « s'est fait en deux fois, en juin et novembre 2021, via notamment un avion privé transportant le cash de Bogota à Tel-Aviv ». Entre 2006 et 2009, alors opposant, M. Petro avait lui-même été victime d'écoutes téléphoniques illégales pour lesquelles le gouvernement a été condamné en 2020, relève l'AFP.

Sur Azure OpenAI, les images générées par DALL-E ont désormais un filigrane

Mercredi 25 septembre 2024 à 09h56
25/09/2024 à 09h56
IA et algorithmes
2 min 7

Microsoft a commencé l’année dernière à insérer des filigranes dans certains contenus. Le processus a démarré avec les voix générées par Azure AI Speech, présenté lors de la conférence Ignite 2023. L’éditeur passe à la vitesse supérieure avec les images générées par DALL-E dans Azure OpenAI.

Le filigrane, disponible en préversion, comporte des informations réparties dans plusieurs champs. Dans « Description », on trouve ainsi la mention « AI Generated Image ». « softwareAgent » contient la valeur « Azure OpenAI DALL-E » pour attester de sa provenance. Quant à « When », il comporte l’horodatage de la création du contenu.

Ces informations sont insérées dans un manifeste faisant partie intégrante de l’image. Ce manifeste est signé cryptographiquement par un certificat remontant jusqu’à Azure OpenAI. Le filigrane est invisible à l’œil et n’est pas altéré par des opérations comme le redimensionnement ou le recadrage.

Impossible bien sûr de ne pas penser à des techniques simples comme la capture d’écran pour récupérer le contenu sans son filigrane. Toutefois, l’objectif est d’abord d’assurer une circulation de confiance entre un nombre croissant d’acteurs.

Microsoft travaille pour rappel au sein de la Coalition for Content Provenance and Authenticity (C2PA) avec des partenaires comme Adobe, Arm, Intel, ou encore la BBC et la plateforme de vérification Truepic.

Cyberattaque : la Suède accuse l’Iran d’avoir envoyé 15 000 faux SMS pour attiser des tensions

Mercredi 25 septembre 2024 à 08h39
25/09/2024 à 08h39
Société numérique
2 min 1

Décoration pour représenter le brief d'article

Des procureurs suédois ont déclaré ce 24 septembre avoir conclu que l’Iran était le commanditaire des 15 000 SMS envoyés à travers le pays le 1ᵉʳ août 2023, rapporte Bloomberg.

Ces messages visaient à pousser leurs récepteurs à se venger des personnes brûlant des exemplaires du Coran, après que de nombreux incidents du même type ait eu lieu en Suède. Les messages indiquaient « ceux qui ont insulté le Coran doivent payer ».

La cyberattaque s’est déroulée à un moment où la candidature de la Suède pour rejoindre l’OTAN était en attente, précisément parce que des autodafés de Coran avaient provoqué la colère d’une partie du monde musulman et du président Turc Recep Tayyip Erdogan, en capacité de bloquer l’arrivée de la Suède dans la coalition.

D’après le procureur principal, l’enquête a montré que « l’état iranien, via le Corps des gardiens de la révolution islamique, a hacké une entreprise suédoise qui opère l’un des principaux services de messagerie. Le but était d'accroître les tensions et d’alimenter des conflits existants entre différents groupes de la société. »

Si les hackeurs iraniens ont été identifiés, l'enquête a été abandonnée puisqu’ils ne peuvent pas être inculpés en Iran, ni traduits en Suède pour y être jugés.

Fermer