Deux choses me font réagir à cette annonce de Twitter:
1) Manque d’investigations de la part de Twitter Pourquoi donc Twitter a-t’il attendu la publication d’une fuite de données sur Breached pour entreprendre les investigations sur l’usage de la faille antérieurement à janvier 2022 ? En effet, en cas de découverte d’une faille, une structure ayant autant de comptes se doit d’établir si ladite faille a été exploitée … Il apparaît peu semblable qu’un exploit d’usage collectant 3% des comptes ne soit pas identifiable dans une analyse fine des logs D’ailleurs le délai de 15j semble montrer que Twitter a attendu de pouvoir investiguer sur la véracité de la fuite, très certainement en établissant cette analyse
2) Trop faible financement du BugBounty L’écart est de X6 entre le montant de la prime octroyée par Twitter à l’auteur(rice) de la découverte de la faille et le hacker qui revend son usage. Quel est le plus lucratif : remonter des failles à Twitter ou monétiser leur usage pour vendre des données ? Une société qui fait 221 M$ de bénéfices devrait afin d’assurer la protection des données de ses utilisateurs payer plus cher une remontée de faille que ce qui pourrait résulter de son usage.
Si qq’un me lit côté enquêteurs mes DM sont ouverts sous twitter (et pas compliqué de trouver mes coordonnées sur LinkedIn). Sujet à échanges : outils/moyens de conservation de la preuve lors de découverte d’une infraction :-)
Donc dès qu’un propos public est porté à son encontre, on peut publier (à plusieurs) des faits, même si ceux-là sont de véritables atrocités, juste en invoquant le droit de réponse
Deux trames de chiffres pour illustrer l’incompétence et le marasme collectif en matière de protection des données de santé des français :
D’un côté, on est dans un pays prêt à trouver/mettre 1 Milliard d’euros sur 4 ans pour augmenter la sécurité des SI
De l’autre côté, on se revoit la balle sur une fuite de données dont l’origine aurait été décelée et remontée par la plus haute instance nationale en la matière voici déjà 4 mois ; avec une seconde louche/alerte il y a 3 semaines par un site spézializé concernant un fichier d’un demi-million d’entrées qui se télécharge depuis le Net à gogo depuis maintenant 2 semaines.
Et encore ce jour (enfin hier), l’instance la plus haute en matière de protection des données à caractère personnel, nous dit juste : tout va bien on a eu les remontées des labos incriminés … sans aucun information si ce 1⁄2 million est l’épaisseur du trait ou la totalité des données ayant fuitée.
Le pire dans tout cela, reste qu’il faille plus attendre d’experts ou de sociétés spécialisées en Cyber que de l’Etat et de ses organismes, pour mettre à disposition (non sans risque) des outils pour permettre aux victimes de s’identifier !?!
Encore pire, aucune garantie ne sera établie ou communiquée permettant d’attester que les notifications émanant des labos (si elles parviennent toutes selon l’adresse postale détenue par le labo) couvriront l’ensemble des 491 840.
Quand aux sanctions, attendons encore avant de rire jaune sans doute en découvrant l’attribution des responsabilités de ce fiasco.
Cela ne sera hélas pas probant pour permettre aux victimes de s’identifier. En effet, de ce que j’ai pu obtenir comme info, seulement une minorité des 500.000 lignes (moins de 15%) contiennent une adresse email (alors qu’il y a tous pleins d’autres données à caractère personnel, à commencer par le numéro de sécurité sociale et les principales caractéristiques de son porteur).
Pour ce qui est des identifiants et mot de passe d’accès distant, la proportion est également faible et l’identifiant n’est pas une adresse email.
La seule, juste et correcte manière à mon sens de procéder à l’identification et à la notification des personnes concernées par cette fuite de données est de prendre l’identifiant NIR et de faire cette alerte via les informations de contact de l’assurance maladie … autant dire que ce n’est pas prêt d’arriver :/
Je suppose que les solutions autohébergé de Jisti ou Nextcloud Talk ou d’instance de CHATONS ne peuvent être sous le coup du Cloud Act.
Les CHATONS ou le petit serveur hébergé chez un particulier ne sont soumis à la loi américaine.
Le cloud Act s’applique dès lors que l’entreprise offrant la solution/service est soumise à la loi US ou bien s’effectue par des ressortissants américains et/ou depuis le territoires américains.
Une installation d’un serveur Jitsi sur une VPS voir même sur le Nextcloud hébergé sur son NAS Syno (ça devrait être possible maintenant) n’est donc pas concerné, du moment que ce n’est pas sur le territoire américain.
Reste la question de l’hébergeur Cloud de la solution. Je ne suis pas assez calé en droit pour savoir si les services US pourraient - sur la base seul du Cloud Act - accéder aux données d’une VM/VPS.
Le
14/04/2020 à
12h
52
Je ne connais pas Jami, je regarde dès que j’ai un peu de temps
Le
14/04/2020 à
11h
30
Les améliorations de Sécurité, dont la capacité de choisir la localisation de stockage de ses données, ni même l’adhésion au RGPD https://zoom.us/fr-fr/gdpr.html) ne permet à Zoom de s’affranchir du Cloud Act.
Cette loi, rappelons le, permet à l’administration américaine (enfin à ses services, heu disons spécialisés) de solliciter l’accès aux données d’une entreprise américaine, sans recourir à des décisions de justices US ou d’autres pays, et sans prévenir les clients finaux de ces données. Cette loi d’extraterritorialité s’applique bien évidemment aux données hors territoires des US, la localisation d’un DataCenter en Europe impose juste à la filiale UE de tenir un registre des traitements, qui devrait à priori intégrer que son contrôle d’accès permet aussi aux techniciens de sa maison mère basée aux US d’accéder aux données du datacenter hors US.
Cette situation ci prévaut bien évidemment pour toutes les autres sociétés américaines d’offres de visoconférence : Microsoft/Teams, Cisco/Webex, LogMeIn/GotoMeeting, BlueJeans, LifeSize, 247Meeting, PGI/GlobalMeet Collaboration, HighFive, …
En vous rappelant le célèbre adage : “Quand c’est gratuit, c’est vous le produit”
Il reste quoi alors hors-US ? Moins d’offres certes, mais il en existe tout de même : du gratuit comme WhereBy (mais limité à 5), Unify ou encore Tixeo pour du sécurisé (certification ANSSI).
Signal a également indiquée le 8 avril dernier que l’application serait retirée du marché US en cas d’adoption du projet de loi EARN IT en l’état, c’est à dire sans permettre de garantir le chiffrement de bout en bout
Dommage de na pas avoir parlé des offres sécurisées possibles pour un usage professionnel (ou usage confidentiel) comme par exemple la solution de TIXEO labellisée ANSSI depuis 3 ans
11 commentaires
Une faille dans Twitter affecte les adresses e-mail et numéros de téléphone de 5,4 millions d’utilisateurs
08/08/2022
Le 08/08/2022 à 09h 43
Deux choses me font réagir à cette annonce de Twitter:
1) Manque d’investigations de la part de Twitter
Pourquoi donc Twitter a-t’il attendu la publication d’une fuite de données sur Breached pour entreprendre les investigations sur l’usage de la faille antérieurement à janvier 2022 ? En effet, en cas de découverte d’une faille, une structure ayant autant de comptes se doit d’établir si ladite faille a été exploitée … Il apparaît peu semblable qu’un exploit d’usage collectant 3% des comptes ne soit pas identifiable dans une analyse fine des logs D’ailleurs le délai de 15j semble montrer que Twitter a attendu de pouvoir investiguer sur la véracité de la fuite, très certainement en établissant cette analyse
2) Trop faible financement du BugBounty
L’écart est de X6 entre le montant de la prime octroyée par Twitter à l’auteur(rice) de la découverte de la faille et le hacker qui revend son usage. Quel est le plus lucratif : remonter des failles à Twitter ou monétiser leur usage pour vendre des données ?
Une société qui fait 221 M$ de bénéfices devrait afin d’assurer la protection des données de ses utilisateurs payer plus cher une remontée de faille que ce qui pourrait résulter de son usage.
Le code pénal dénombrerait « plus de 400 infractions relatives à la cybercriminalité »
02/06/2021
Le 02/06/2021 à 13h 44
Si qq’un me lit côté enquêteurs mes DM sont ouverts sous twitter (et pas compliqué de trouver mes coordonnées sur LinkedIn). Sujet à échanges : outils/moyens de conservation de la preuve lors de découverte d’une infraction :-)
Pourquoi Marine Le Pen a été relaxée après avoir diffusé trois photos de Daech sur Twitter
05/05/2021
Le 05/05/2021 à 10h 54
Donc dès qu’un propos public est porté à son encontre, on peut publier (à plusieurs) des faits, même si ceux-là sont de véritables atrocités, juste en invoquant le droit de réponse
Comment savoir si l’on est concerné par une fuite de données de santé ? La CNIL répond
02/03/2021
Le 02/03/2021 à 13h 49
Deux trames de chiffres pour illustrer l’incompétence et le marasme collectif en matière de protection des données de santé des français :
Et encore ce jour (enfin hier), l’instance la plus haute en matière de protection des données à caractère personnel, nous dit juste : tout va bien on a eu les remontées des labos incriminés … sans aucun information si ce 1⁄2 million est l’épaisseur du trait ou la totalité des données ayant fuitée.
Le pire dans tout cela, reste qu’il faille plus attendre d’experts ou de sociétés spécialisées en Cyber que de l’Etat et de ses organismes, pour mettre à disposition (non sans risque) des outils pour permettre aux victimes de s’identifier !?!
Encore pire, aucune garantie ne sera établie ou communiquée permettant d’attester que les notifications émanant des labos (si elles parviennent toutes selon l’adresse postale détenue par le labo) couvriront l’ensemble des 491 840.
Quand aux sanctions, attendons encore avant de rire jaune sans doute en découvrant l’attribution des responsabilités de ce fiasco.
Ce que révèle le fichier des 500 000 patients qui a fuité
26/02/2021
Le 27/02/2021 à 12h 17
Cela ne sera hélas pas probant pour permettre aux victimes de s’identifier. En effet, de ce que j’ai pu obtenir comme info, seulement une minorité des 500.000 lignes (moins de 15%) contiennent une adresse email (alors qu’il y a tous pleins d’autres données à caractère personnel, à commencer par le numéro de sécurité sociale et les principales caractéristiques de son porteur).
Pour ce qui est des identifiants et mot de passe d’accès distant, la proportion est également faible et l’identifiant n’est pas une adresse email.
La seule, juste et correcte manière à mon sens de procéder à l’identification et à la notification des personnes concernées par cette fuite de données est de prendre l’identifiant NIR et de faire cette alerte via les informations de contact de l’assurance maladie … autant dire que ce n’est pas prêt d’arriver :/
Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)
18/06/2020
Le 18/06/2020 à 10h 27
Dommage que l’article ne mentionne pas le travail de collecte de @ href="https://twitter.com/SwitHak" target="_blank">SwitHak concernant les objets connectés impactés par #Ripple20
Voici le lien : GitHub
Entre promesses et mises à jour, Zoom fait le point sur sa sécurité
14/04/2020
Le 14/04/2020 à 13h 00
Le 14/04/2020 à 12h 52
Je ne connais pas Jami, je regarde dès que j’ai un peu de temps
Le 14/04/2020 à 11h 30
Les améliorations de Sécurité, dont la capacité de choisir la localisation de stockage de ses données, ni même l’adhésion au RGPD https://zoom.us/fr-fr/gdpr.html) ne permet à Zoom de s’affranchir du Cloud Act.
Cette loi, rappelons le, permet à l’administration américaine (enfin à ses services, heu disons spécialisés) de solliciter l’accès aux données d’une entreprise américaine, sans recourir à des décisions de justices US ou d’autres pays, et sans prévenir les clients finaux de ces données. Cette loi d’extraterritorialité s’applique bien évidemment aux données hors territoires des US, la localisation d’un DataCenter en Europe impose juste à la filiale UE de tenir un registre des traitements, qui devrait à priori intégrer que son contrôle d’accès permet aussi aux techniciens de sa maison mère basée aux US d’accéder aux données du datacenter hors US.
Cette situation ci prévaut bien évidemment pour toutes les autres sociétés américaines d’offres de visoconférence : Microsoft/Teams, Cisco/Webex, LogMeIn/GotoMeeting, BlueJeans, LifeSize, 247Meeting, PGI/GlobalMeet Collaboration, HighFive, …
En vous rappelant le célèbre adage : “Quand c’est gratuit, c’est vous le produit”
Il reste quoi alors hors-US ? Moins d’offres certes, mais il en existe tout de même : du gratuit comme WhereBy (mais limité à 5), Unify ou encore Tixeo pour du sécurisé (certification ANSSI).
Chiffrement : Signal fustige le projet de loi EARN IT
14/04/2020
Le 14/04/2020 à 11h 03
Signal a également indiquée le 8 avril dernier que l’application serait retirée du marché US en cas d’adoption du projet de loi EARN IT en l’état, c’est à dire sans permettre de garantir le chiffrement de bout en bout
Voir le billet sur le blog de Signal :https://signal.org/blog/earn-it/
“(…) but it would not be possible for a small nonprofit like Signal to continue to operate within the United States”
Zoom : retour sur une accumulation de failles
03/04/2020
Le 03/04/2020 à 20h 49
Dommage de na pas avoir parlé des offres sécurisées possibles pour un usage professionnel (ou usage confidentiel) comme par exemple la solution de TIXEO labellisée ANSSI depuis 3 ans