#Le brief du 24 février 2020

Le chiffrement de bout en bout menacé aux États-Unis par un bombardement législatif

Le chiffrement de bout en bout menacé aux États-Unis par un bombardement législatif

Le 24 février 2020 à 09h42

Selon des sources de Reuters, un projet de loi pourrait imposer aux sociétés du net un choix qui n’en serait pas un : se conformer à un nouveau référentiel de « bonnes pratiques » ou perdre les avantages liés à la Section 230 de la loi sur les communications.

Ce point de loi leur garantit la continuité de leur activité en étant considérées comme de simples relais des informations, et non comme éditeurs. La Section 230 leur permet notamment de ne pas être tenues responsables des propos tenus sur leurs plateformes. Un point crucial.

Le texte, nommé « The Eliminating Abuse and Rampant Neglect of Interactive Technologies Act of 2019 » ou « EARN IT Act », rendrait la protection par la Section 230 attenante à une condition : que les sociétés visées se conforment à certaines règles.

Toujours selon Reuters, ces règles devraient contenir un rejet du chiffrement de bout en bout, l’EARN IT Act visant une plus grande efficacité du combat des forces de l’ordre contre le crime en ligne, de la pédopornographie à toutes les formes d’extrémisme, en passant par les appels à la haine.

Les observateurs ne seront pas surpris par la tournure des évènements. Dans un nombre croissant de pays, le chiffrement est dans le collimateur des gouvernements, accusé de freiner les enquêtes et de protéger les criminels de toutes sortes.

Mais le même chiffrement protège des infrastructures vitales, en plus de se prémunir contre les pirates. Si l’EARN IT Act devait rendre obligatoire la création de portes dérobées, ce ne serait plus qu’une question de temps avant que ces défenses percées ne soient repérées par des personnes malintentionnées. 

Le 24 février 2020 à 09h42

Le chiffrement de bout en bout menacé aux États-Unis par un bombardement législatif

Neutralité du Net : aux États-Unis, un tribunal impose à la FCC de collecter des avis

Neutralité du Net : aux États-Unis, un tribunal impose à la FCC de collecter des avis

Le 24 février 2020 à 09h42

La Federal Communications Commission a remporté il y a une semaine une victoire contre Mozilla, qui voulait renverser sa décision de mettre fin à la neutralité du Net outre-Atlantique, entérinée le 11 juin 2018.

Mais le même tribunal a décidé que le bruit généré autour du sujet était suffisant pour obliger la FCC à récolter les avis. 

À compter du 30 mars et pour un mois, toute personne physique ou morale, association, ONG ou autre pourra donner son opinion. Sujet central : la FCC a-t-elle agi correctement, c’est-à-dire en phase avec ses missions ?

Devraient être particulièrement inspectés certains aspects de son travail, notamment la préservation de la sécurité publique et la manière dont les investissements se poursuivent dans les infrastructures critiques. 

La neutralité du Net a été enterrée sous l’impulsion d’Ajit Pai, son président, nommé par Donald Trump en janvier 2017. Ses vues étaient connues dès sa prise de fonction : « Il est temps d’abroger les règles qui entravent l’investissement, l’innovation et la création d’emplois dans ce domaine ».

Mais tout le monde à la FCC ne partage pas ce point de vue. La commissaire Jessica Rosenworcel a ainsi publié un communiqué dans laquelle elle affirme que l’abrogation de la neutralité était une erreur et qu’il est temps de « faire du bruit » en répondant au futur questionnaire.

Notez qu’il s’agira de commenter l’activité de la FCC, non de revenir une fois encore sur la neutralité. La décision du tribunal en ce sens est claire.

Le 24 février 2020 à 09h42

Neutralité du Net : aux États-Unis, un tribunal impose à la FCC de collecter des avis

Taxe sur le numérique : Bruno Le Maire prône une solution unique partout dans le monde

Taxe sur le numérique : Bruno Le Maire prône une solution unique partout dans le monde

Le 24 février 2020 à 08h39

Le ministre de l’Economie et des Finances s’est exprimé sur le sujet lors d’une réunion avec d’autres ministres et banquiers à Riyad : « Pour la première fois, il y a un large consensus parmi les membres du G20 sur la nécessité d’avoir un nouveau système international de taxation ».

« Nous devons traiter la question de ces entreprises du numérique qui font des profits dans de nombreux pays sans présence physique, c’est-à-dire sans payer le niveau attendu d’impôts […] Et nous devons aussi traiter la question cruciale d’une taxation minimum et le risque de nous retrouver avec une course au moins disant fiscal », ajoute-t-il.

Bruno Le Maire veut une approche globale pour éviter le chaos : « Au lieu d’avoir une solution unique, simple, nous aurions de nombreuses taxes numériques différentes, partout dans le monde ». Un point de vue partagé par d'autres responsables européens

Le 24 février 2020 à 08h39

Taxe sur le numérique : Bruno Le Maire prône une solution unique partout dans le monde

WhatsApp : des liens d’invitation à des groupes privés retrouvables sur Google

WhatsApp : des liens d’invitation à des groupes privés retrouvables sur Google

Le 24 février 2020 à 08h39

Un journaliste allemand a tweeté vendredi sa découverte : en récupérant une adresse de type « chat.whatsapp.com », il est possible de trouver des groupes privés de conversation et de s’y faire inviter.

La trouvaille a été confirmée peu après par Jane Manchun Wong, spécialiste en rétro-ingénierie des applications : Google aurait en réserve 470 000 résultats de ce type environ. 

MotherBoard s’est penché sur la question. Nos confrères se sont servis de ces liens pour se faire ajouter dans des groupes, dont certains particulièrement sensibles. La plupart étaient destinés au partage d’images pornographiques, mais certains étaient beaucoup moins anodins.

Par exemple, l’un des groupes semblait être dédié à la communication entre ONG approuvées par les Nations Unies, du moins d’après le descriptif fourni. MotherBoard y a découvert notamment la liste des 48 participants, tous avec leur numéro de téléphone.

Pour Google, tout est normal : « Les moteurs de recherche comme Google et autres listent des pages du web ouvert. C’est ce qui se produit ici. Ce n’est pas différent de n’importe quel cas où un site autorise des adresses à être listées publiquement. Nous proposons des outils permettant aux sites de bloquer le contenu listé dans nos résultats ».

La vraie réponse vient finalement de WhatsApp : les liens d’invitation sont comme n’importe quel autre lien et deviennent retrouvables sur les moteurs s’ils ont été mis à disposition publiquement. En clair, le lien d’invitation doit être envoyé de manière privée, et non placé sur un site par exemple. C'est donc la faute des participants. 

Le 24 février 2020 à 08h39

WhatsApp : des liens d’invitation à des groupes privés retrouvables sur Google

Une filiale de Gigabyte accusée d’exporter du matériel en Iran

Une filiale de Gigabyte accusée d’exporter du matériel en Iran

Le 24 février 2020 à 08h39

Selon WCCFTech qui s’appuie sur des médias locaux, la société aurait envoyé des « produits stratégiques de haute technologie » sans disposer des autorisations adéquates alors que le pays est sous le coup d’un embargo.

Toujours selon nos confrères, la filiale de Gigabyte aurait expliqué qu’il s’agissait d’une « erreur de procédure » et que les produits incriminés seraient de retour à Taiwan.

Le 24 février 2020 à 08h39

Une filiale de Gigabyte accusée d’exporter du matériel en Iran

SpaceX chercherait à lever 250 millions de dollars

SpaceX chercherait à lever 250 millions de dollars

Le 24 février 2020 à 08h39

C‘est du moins ce qu’affirme CNBC en s'appuyant sur des sources proches. Si elle se confirme, cette opération valoriserait alors SpaceX à près de 36 milliards de dollars.

La société d’Elon Musk se prépare à franchir une étape importante avec le premier lancement d’une capsule Crew Dragon avec un équipage à bord pour rejoindre la Station spatiale internationale. Ce lancement « historique » pour les États-Unis pourrait avoir lieu en mai.

Le 24 février 2020 à 08h39

SpaceX chercherait à lever 250 millions de dollars

La région Grand Est victime d’un rançongiciel

La région Grand Est victime d’un rançongiciel

Le 24 février 2020 à 08h39

Après Bouygues Construction ciblé par Maze, des pirates se sont cette fois-ci attaqué aux serveurs de l’administration.

« Toutes les mesures ont été prises pour gérer cette attaque qui peut encore entraîner quelques retards dans les réponses que nous apportons », affirme Jean Rottner (président de la région) sur Twitter.

Selon le Monde, qui s’appuie sur des déclarations de porte-parole, cette attaque aurait « déstabilisé le travail concret de 2 000 agents, auxquels il faut ajouter 169 élus et les 180 membres du Ceser, le conseil économique, social et environnemental régional. Entre le vendredi 14 et le mercredi 19 février, l’accès à leur messagerie, aux documents ou aux logiciels internes de l’administration, ou encore, au système de badges, n’était plus possible ».

En fin de semaine, la situation revenait progressivement à la normale, mais sans pouvoir envoyer de pièces jointes dans un premier temps. À nos confrères, la région affirme : « a priori, aucune information de façon générale n’a été volée, mais nous restons prudents ». Aucune rançon n’a été payée par la collectivité, qui assure ne pas connaître l’identité des pirates. L’ANSSI est sur le pont.

Le 24 février 2020 à 08h39

La région Grand Est victime d’un rançongiciel

Annulation du MWC : la GSMA ne remboursera pas les exposants

Annulation du MWC : la GSMA ne remboursera pas les exposants

Le 24 février 2020 à 08h39

L’association en charge d’organiser le salon mondial de la téléphonie mobile a envoyé des messages aux sociétés concernées : « Étant donné qu'il s'agit d'une situation de force majeure, aucun remboursement ne sera accordé en vertu de la clause 21.10 de nos conditions générales ».

Cette dernière précise que « L'Organisateur ne pourra être tenu responsable des pertes, coûts, dommages ou dépenses subis directement ou indirectement d'un événement indépendant de sa volonté, y compris mais sans s‘y limiter : cas de force majeure, maladie, épidémie, grève », etc.

La GSM Association ajoute qu’elle ne devrait pas en rester là : « nous travaillons pour formuler une proposition qui, nous l'espérons, nous permet de maintenir notre partenariat à long terme et mutuellement bénéfique ». L’association devrait contacter les exposants d’ici au 31 mars.

Le 24 février 2020 à 08h39

Annulation du MWC : la GSMA ne remboursera pas les exposants

Cryptomonnaie : Shopify rejoint Libra

Cryptomonnaie : Shopify rejoint Libra

Le 24 février 2020 à 08h39

Depuis l’annonce de la cryptomonnaie de Facebook, les réactions ont été vives de la part des administrations qui ont pour certaines tiré à boulet rouge sur Libra. Les défections ont été nombreuses au sein de l’association éponyme : MasterCard, Visa, eBay, Stripe, Mercado Pago, Booking et Vodaphone.

Aujourd’hui, il n’est pas question d’un nouveau départ, mais d’une arrivée : Shopify. La société explique que Libra pourrait l’aider dans un de ses objectifs : « améliorer le commerce dans les régions du monde où l’argent et les banques pourraient être bien meilleurs ».

« En tant que membre, nous travaillerons collectivement pour construire un réseau de paiement qui facilite l'accès à l'argent, soutient les commerçants et les consommateurs du monde entier », affirme Shopify.

Le 24 février 2020 à 08h39

Cryptomonnaie : Shopify rejoint Libra

Covid-19 : Sony et Facebook font l’impasse sur la GDC, Verizon et AT&T sur la RSA Conference…

Covid-19 : Sony et Facebook font l’impasse sur la GDC, Verizon et AT&T sur la RSA Conference…

Le 24 février 2020 à 08h39

Alors que l’épidémie de coronavirus continue, les annulations s'enchaînent pour les salons internationaux. Verizon rejoint AT&T et IBM dans la liste des absents de la RSA Conference 2020. Les organisateurs précisent que le salon reste en place, il doit ouvrir ses portes aujourd’hui.

De son côté, Facebook explique qu’il ne se rendra pas à la GDC (Game Developers Conference) qui se déroulera du 16 au 20 mars, toujours à cause de Covid-19. À la place, la société proposera des présentations et discussions virtuelles, ainsi que des publications sur son blog dédié aux jeux vidéo.

Sony explique à Games Industry qu’il fera également l’impasse sur la GDC, toujours pour les mêmes raisons : « Nous avons estimé que c'était la meilleure solution, car la situation liée au virus et aux restrictions de voyage dans le monde changent quotidiennement ».

Ce ne sont pas les seules conséquences : Samsung a temporairement arrêté une de ses usines en Corée du Sud car un cas de coronavirus y a été détecté, explique Reuters. Ses collègues sont placés en quarantaine et la production devrait reprendre demain. 

En France, le nouveau ministre de la Santé, Olivier Véran, revient sur l’épidémie en France alors que l’Italie est touchée avec deux morts et 80 personnes contaminées : « D’autres cas, c’est très probable. Une épidémie ? Nous nous y préparons », rapporte Reuters.

« Si l’épidémie atteint l’Europe, je veux que nous soyons pleinement opérationnels. Je suis particulièrement attentif à la situation en Iran, en Corée du Sud où le nombre de cas augmente et, plus près de nous, en Italie où un malade est décédé sans avoir été en Chine ni en contact connu avec un autre malade », ajoute-t-il.

Alors que l’épidémie de Covid-19 continue de se déployer, l’Organisation mondiale de la santé affirme « qu’avec des mesures fortes et coordonnées, la propagation du virus en Chine et dans le monde peut encore être endiguée et une tragédie humaine stoppée ». Le G20 appelle également à une réponse coordonnée contre le coronavirus.

Le 24 février 2020 à 08h39

Covid-19 : Sony et Facebook font l’impasse sur la GDC, Verizon et AT&T sur la RSA Conference…

Fuites de données au Québec : les données de 360 000 enseignants potentiellement dérobées

Fuites de données au Québec : les données de 360 000 enseignants potentiellement dérobées

Le 24 février 2020 à 08h39

Le ministère de l’Éducation explique que des « individus fautifs ont eu accès à une base de données renfermant les renseignements personnels de près de 360 000 enseignants après avoir dérobé un code utilisateur et un mot de passe », comme le rapporte La Presse.

Il ajoute que « la fiabilité des systèmes informatiques du gouvernement n’est pas remise en cause puisque le vol aurait été réalisé à partir d’une utilisation frauduleuse d’un mot de passe et d’un code d’accès ». 

La base de données contenait des informations sur la classification académique des enseignants (encore en service ou non) et qui peuvent aussi bien être dans le privé que le public.

Le 24 février 2020 à 08h39

Fuites de données au Québec : les données de 360 000 enseignants potentiellement dérobées

Université de Toulouse : fuite de données pour 117 000 étudiants et personnels

Université de Toulouse : fuite de données pour 117 000 étudiants et personnels

« Droit de suite » (02/12/2021) : Dans une lettre recommandée réceptionnée à la rédaction, Gedivote tient à exposer « qu’à aucun moment les données des étudiantes n’ont été exfiltrées et exploitées par des tiers non autorisés ».

Le 24 février 2020 à 08h39

Comme l’explique Médiacités, c’est la conséquence d’une « erreur de sécurité imputée à la société [française Gedivote, filiale de Gedicom, ndlr] mandatée par l’Université Fédérale Toulouse Midi-Pyrénées pour organiser le vote électronique du représentant étudiant de son conseil d’administration ».

« À l’occasion d’une vérification, [le délégué à la protection des données de l’Institut National Universitaire Champollion ] s’est rendu compte qu’il y avait eu un accès à ces données. Nous avons eu l’information à 13h08, et à 14 h, notre prestataire a tout coupé pour empêcher l’accès à ces données. Nous avions pris toutes les précautions d’usage. L’erreur vient clairement de ce prestataire », explique à nos confrères Philippe Raimbault, président de l’Université.

Selon Médiacités, les données (nom, prénom, date de naissance, email, établissement de rattachement et INE) auraient été récupérées par des serveurs en Europe de l’Est. La CNIL a été notifiée de l’incident.

En outre, « la plainte de l’université fédérale de Toulouse-Midi-Pyrénées a fait l’objet d’un classement sans suite en l’absence d’éléments pouvant donner suite à des poursuites pénales contre quiconque. »

Enfin, elle nous assure veiller « au parfait respect du cadre réglementaire et à un très haut niveau de sécurisation de ses solutions, qui sont régulièrement mises à l’épreuve dans le cadre de processus électoraux particulièrement sensibles. Ces solutions, dont le détail est présenté sur son site gedivote.fr mettent en effet en œuvre des technologies garantissant l’intégrité et la confidentialité du vote électronique ».

Le 24 février 2020 à 08h39

Université de Toulouse : fuite de données pour 117 000 étudiants et personnels

Honor présentera ses nouveautés ce soir à partir de 18h30, suivez la conférence en direct

Honor présentera ses nouveautés ce soir à partir de 18h30, suivez la conférence en direct

Le 24 février 2020 à 08h39

Alors que le MWC de Barcelone devait officiellement ouvrir ses portes cette semaine, le salon a été annulé à cause des risques liés à l’épidémie de coronavirus. Certains fabricants ont tout de même décidé de faire des annonces via des conférences en streaming.

C’est le cas de Honor ce soir, à partir de 18h30 (heure française). Le contenu des annonces n’est évidemment pas précisé, le fabricant se contentant d’expliquer qu’il « dévoilera ses derniers produits et technologies », avec un message : « All-Scenario Intelligence ».

Le 24 février 2020 à 08h39

Honor présentera ses nouveautés ce soir à partir de 18h30, suivez la conférence en direct

La Commission européenne pousse à l’adoption de Signal

La Commission européenne pousse à l'adoption de Signal

Le 24 février 2020 à 08h39

Alors que certaines autorités appellent à l'installation de backdoors ou de mécanismes de déchiffrement dans les messageries sécurisées, la Commission européenne vient de demander à son personnel, rapporte Politico, de commencer à utiliser Signal, l'application de messagerie chiffrée de bout en bout, dans le but d'augmenter la sécurité de ses communications.

L'instruction est apparue sur les tableaux de messagerie internes début février, informant les employés que « Signal a été sélectionné comme application recommandée pour la messagerie instantanée publique ».

Les fonctionnaires de la Commission sont déjà tenus d'utiliser des emails chiffrés pour échanger des informations sensibles et non classifiées, a déclaré un responsable. L'utilisation de Signal a été principalement recommandée pour les communications entre le personnel et les personnes extérieures à l'établissement.

Le 24 février 2020 à 08h39

La Commission européenne pousse à l’adoption de Signal

Bruce Schneier, Laurent Chemla et l’intéropérabilité

Bruce Schneier, Laurent Chemla et l'intéropérabilité

Le 24 février 2020 à 08h39

Bruce Schneier, le célèbre cryptologue américain (qui se présente comme « technologue d'intérêt public »), vient d'annoncer avoir rejoint Inrupt, la société créée pour déployer Solid, plateforme open source que Tim Berners-Lee a lancée afin de décentraliser le web.

L'objectif est de permettre aux données générées par les objets connectés – ordinateur, téléphone, IoT – d'être écrites sur un « pod » contrôlé par les utilisateurs eux-mêmes, qui autorisent de façon granulaire l'accès à ce module « à qui vous voulez pour la raison que vous voulez. Vos données ne sont plus dans des milliards d'endroits sur Internet, contrôlés par vous-ne-savez-qui. C'est le votre ».

Les exemples parlent d'eux-mêmes : « Si vous souhaitez que votre compagnie d'assurance ait accès à vos données de fitness, vous le leur accordez via votre pod. Si vous souhaitez que vos amis aient accès à vos photos de vacances, vous pouvez le leur accorder via votre pod. Si vous souhaitez que votre thermostat partage des données avec votre climatiseur, vous leur donnez accès via votre pod. »

Laurent Chemla, de son côté, explique dans un billet qu'« il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l'interopérabilité », mais également qu'il a quitté la Quadrature du Net parce qu'elle aurait « décidé d'ignorer » le fait que « l’obligation d’avoir une identité reconnue par le service auquel on accède est sans doute le prix à payer pour l’interopérabilité, ce qui ne doit évidemment pas nous obliger à utiliser Messenger, Amazon ou Twitter pour accéder à ces comptes: l’interopérabilité doit permettre d’accéder à nos contacts et à nos données depuis l’outil de notre choix, grâce à l’ouverture obligatoire des API, pourvu qu’on dispose d’une identité respectant les standards du service qui stocke ces données. On pourrait résumer ce nouveau type de régulation avec cette phrase simple : "si ce sont MES données, alors je dois pouvoir y accéder avec l’outil de MON choix" ».

Le 24 février 2020 à 08h39

Bruce Schneier, Laurent Chemla et l’intéropérabilité

L’UE prévoit d’interconnecter ses bases de données de reconnaissance faciale

L’UE prévoit d’interconnecter ses bases de données de reconnaissance faciale

Le 24 février 2020 à 08h39

Un rapport établi par les polices nationales de dix États membres de l'UE, dirigé par l'Autriche, appelle à l'introduction d'une législation européenne pour interconnecter les bases de données de reconnaissance faciale dans chacun des 27 États membres.

Le rapport, que The Intercept a obtenu d'un responsable européen préoccupé par le développement du réseau, a été distribué aux responsables européens et nationaux en novembre 2019, et appelle aussi à son interconnexion avec les bases de données similaires américaines. 

Le rapport s'inscrit dans le cadre des discussions sur l'extension du Traité de Prüm de 2005 de coopération policière et judiciaire en matière pénale, qui permet d'ores et déjà l’échange de données génétiques, d’empreintes digitales, de plaques d'immatriculation et de données à caractère personnel.

Les informations fournies par la Commission européenne au Parlement européen en novembre dernier montrent que près de 700 000 euros vont à une étude du cabinet de conseil Deloitte sur d'éventuelles modifications du système Prüm, une partie des travaux portant sur la technologie de reconnaissance faciale.

La Commission européenne a également versé 500 000 euros à un consortium d'agences publiques dirigé par l'Institut estonien de médecine légale pour « cartographier la situation actuelle de la reconnaissance faciale dans les enquêtes criminelles dans tous les États membres de l'UE », dans le but de progresser « vers l'échange possible de données faciales », selon une présentation de projet envoyée aux représentants nationaux à Bruxelles.

Le 24 février 2020 à 08h39

L’UE prévoit d’interconnecter ses bases de données de reconnaissance faciale

Le quart des tweets sur la crise climatique émanent de bots climatosceptiques

Le quart des tweets sur la crise climatique émanent de bots climatosceptiques

Le 24 février 2020 à 08h39

Selon The Guardian, une analyse de 6,5 millions de tweets publiés dans les jours précédant et le mois suivant l'annonce par Donald Trump du retrait des États-Unis de l'accord de Paris sur le climat a révélé que les bots avaient tendance à applaudir le président pour ses actions et à diffuser de la désinformation sur le consensus scientifique.

Les tweets de robots suspects sont passés de centaines par jour à plus de 25 000 autour de l'annonce. En moyenne, sur la période étudiée, 25 % de tous les tweets sur la crise climatique provenaient de bots. Cette proportion était plus élevée dans certains sujets : les bots étaient ainsi à l'origine de 38 % des tweets sur la « fausse science » et 28 % de tous les tweets sur le géant pétrolier Exxon.

A contrario, les tweets qui pourraient être classés comme activisme en ligne pour soutenir l'action contre la crise climatique comportaient très peu de robots, avec une prévalence d'environ 5 %.

L'étude de l'Université Brown n'a pas été en mesure d'identifier des individus ou des groupes derrière le bataillon de robots Twitter, ni de déterminer le niveau d'influence qu'ils ont eu autour du débat climatique, souvent chargé.

Le 24 février 2020 à 08h39

Le quart des tweets sur la crise climatique émanent de bots climatosceptiques

Fermer