[Index Libertés] Pour parler des libertés, y compris numériques...

[Tugdual]

Plus de la moitié des réparateurs ont consulté les données privées d'appareils en panne :

• y compris les photos sexy et l'historique de navigation...

Extrait :

Selon une enquête menée par le site PrivacyEnd, plus de la moitié des utilisateurs de technologies portables (wearables) ne savent pas comment protéger leurs données personnelles lorsqu’ils font réparer leurs appareils. Or, ces données peuvent être facilement accessibles par le réparateur, qui peut les copier, les modifier, les supprimer ou les divulguer à des tiers sans votre consentement. Cela peut avoir des conséquences graves sur votre vie privée, votre sécurité et votre réputation.

[...]

Pour éviter que vos données personnelles ne tombent entre de mauvaises mains lorsque vous faites réparer vos appareils technologiques, il existe quelques précautions à prendre :

• Faites une sauvegarde de vos données puis effectuer une « restauration d'usine » avant de confier votre appareil à un réparateur. Vous pourrez ainsi les restaurer en cas de perte ou de modification.
• Effacez ou chiffrer vos données sensibles avant de confier votre appareil à un réparateur. Vous pouvez utiliser des applications dédiées pour cela, comme Secure Eraser ou Cryptomator.
• Choisissez un réparateur de confiance et vérifiez sa réputation. Vous pouvez consulter les avis des clients sur internet ou demander des recommandations à vos proches.
• Demandez au réparateur quelles sont ses pratiques en matière de protection des données. Vous pouvez lui demander s’il utilise des outils sécurisés, s’il respecte la confidentialité de vos données, s’il les efface après la réparation, etc.
• Récupérez votre appareil dès que possible après la réparation. Ne le laissez pas traîner chez le réparateur plus longtemps que nécessaire.

[Kumi_44]

Plus de la moitié des réparateurs ont consulté les données privées d'appareils en panne :

• y compris les photos sexy et l'historique de navigation...

Extrait :

Selon une enquête menée par le site PrivacyEnd, plus de la moitié des utilisateurs de technologies portables (wearables) ne savent pas comment protéger leurs données personnelles lorsqu’ils font réparer leurs appareils. Or, ces données peuvent être facilement accessibles par le réparateur, qui peut les copier, les modifier, les supprimer ou les divulguer à des tiers sans votre consentement. Cela peut avoir des conséquences graves sur votre vie privée, votre sécurité et votre réputation.

[...]

Pour éviter que vos données personnelles ne tombent entre de mauvaises mains lorsque vous faites réparer vos appareils technologiques, il existe quelques précautions à prendre :

• Faites une sauvegarde de vos données puis effectuer une « restauration d'usine » avant de confier votre appareil à un réparateur. Vous pourrez ainsi les restaurer en cas de perte ou de modification.
• Effacez ou chiffrer vos données sensibles avant de confier votre appareil à un réparateur. Vous pouvez utiliser des applications dédiées pour cela, comme Secure Eraser ou Cryptomator.
• Choisissez un réparateur de confiance et vérifiez sa réputation. Vous pouvez consulter les avis des clients sur internet ou demander des recommandations à vos proches.
• Demandez au réparateur quelles sont ses pratiques en matière de protection des données. Vous pouvez lui demander s’il utilise des outils sécurisés, s’il respecte la confidentialité de vos données, s’il les efface après la réparation, etc.
• Récupérez votre appareil dès que possible après la réparation. Ne le laissez pas traîner chez le réparateur plus longtemps que nécessaire.

Autant que ça c'est vraiment scandaleux ! Et comme il y a sûrement une faille dans la loi, des personnes peu scrupuleuse en profite...
Il est bien de communiquer ce problème car peu le savent. Pour moi c'est la base de le mettre en mode usine et sauvegarder ses données avant de le confier à un réparateur mais pas tous ont cette démarche.

[Tugdual]

Le plan européen de surveillance CSAM :

• est un point de basculement pour les droits démocratiques...

Extrait :

Une proposition controversée de surveillance du matériel d’abus sexuel d’enfants (CSAM), actuellement examinée par les législateurs européens, constituerait à la fois une mauvaise réponse à un problème de société sensible et multiforme et une menace directe pour les valeurs démocratiques d’une société libre et ouverte. Plus de 20 intervenants ont exprimé leur opposition à une proposition législative de l’Union européenne qui obligerait les services de messagerie à analyser le contenu des communications des utilisateurs à la recherche de CSAM connus et inconnus, et à essayer de détecter le grooming en temps réel.

Les critiques soutiennent que cette approche va à l’encontre des libertés fondamentales qui sont au cœur des sociétés démocratiques. Jusqu’à présent, la Commission européenne s’est vigoureusement opposée à ce type de critiques, arguant que la proposition constitue une réponse proportionnée et ciblée à un problème croissant. Elle a même été repérée récemment en train d’utiliser des publicités microciblées pour promouvoir le plan, se tournant apparemment vers le ciblage secret pour attaquer les critiques en suggérant qu’ils ne soutiennent pas la protection de l’enfance (malgré l’existence d’une autre proposition législative européenne en cours qui cherche à restreindre l’utilisation du microciblage politique… ). Le débat controversé est toujours d’actualité et il appartient désormais aux colégislateurs de l’UE, au Parlement européen et aux États membres, par l’intermédiaire du Conseil, de trouver une voie à suivre.

[ikh]

Smartphone, smartTV, smarthome, smart city ... Tout doit devenir smart pour être vendable.
On pourrait croire que le préfixe smart soit le mot anglais pour intelligent, mais je n'ai pas l'impression que ces assistanats technologiques nous rendent plus futés.



On pourrait même en faire une tartine en arguant du contraire; rappelant que quelques décades en arrière, les notices d'utilisation des automobiles expliquaient comment ajuster les valves, quand de nos jours ça rappelle qu'on ne faut pas boire le liquide de clignotant batterie.

Une autre possibilité serait que smart soit un acronyme du genre Self Monitoring, Analysis end Reporting Technologies (i.e. technologies d'auto-surveillance, d'analyse et de rapport). J'aime bien l'idée. Comme disait l'autre, l'outil rêvé de la Stasi. (Merde ! Un point Godwin et j'ai pas fini.)

J'ai arrêté d'en causer autour de moi, je finis par passer pour un conplotiste (« notez le préfixe » disait Roland Magdane). Je me demande si c'en est allé de même pour d'autres qui en leur temps critiquaient l'amiante et auraient pu s'entendre rabâcher: « moi je n'y crois pas que ce soit cancérigène; ça isole bien puis c'est pas cher et facile à poser. » Je m'émerveille encore de certaines voix qui s'élèvent tout de même contre les dangers de l'utilisation qui est faite des technologies actuelles, tout comme on a dû lutter contre l'idée que les docteurs puissent recommander des cigarettes ...



Bref, ce n'est pas fini, continuons le combat.
Mais à quoi bon prêcher ici, face à une foule déjà convaincue ? :–/

[Tugdual]

Dernière chance de corriger eIDAS, la loi secrète de l'Union européenne sur l'identification électronique :

• qui menace la sécurité de l'internet...

Extrait :

Selon Mozilla, c'est la dernière chance de corriger eIDAS car la loi secrète de l'UE menace la sécurité de l'internet. Plus de 300 experts et chercheurs en cybersécurité du monde entier ont signé une lettre ouverte appelant l'UE à abandonner ces projets et à protéger le web.

Electronic Identification, Authentication and Trust Services (eIDAS) est un règlement de l'Union européenne sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union européenne. eIDAS supervise et régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité.

[...]

Ces changements élargissent radicalement la capacité des gouvernements de l'UE à surveiller leurs citoyens en garantissant que les clés cryptographiques contrôlées par le gouvernement peuvent être utilisées pour intercepter le trafic web crypté à travers l'UE. Tout État membre de l'UE a la possibilité de désigner des clés cryptographiques à distribuer dans les navigateurs web et il est interdit aux navigateurs de révoquer la confiance dans ces clés sans l'autorisation du gouvernement.

[...]

Le texte poursuit en interdisant aux navigateurs d'appliquer des contrôles de sécurité à ces clés et certificats de l'UE, à l'exception de ceux qui sont préapprouvés par l'organisme de normalisation informatique de l'UE, l'ETSI. Cette structure rigide serait problématique pour n'importe quelle entité, mais les organismes de normalisation contrôlés par les gouvernements sont particulièrement susceptibles d'avoir des incitations mal alignées dans le domaine de la cryptographie. L'ETSI, en particulier, a des antécédents inquiétants en matière de production de normes cryptographiques compromises et dispose d'un groupe de travail entièrement consacré au développement de la technologie d'interception.

L'introduction de ce texte si tard dans le processus législatif et à huis clos est également très préoccupante pour les normes démocratiques en Europe. Bien que l'accord lui-même ait été annoncé publiquement à la fin du mois de juin, l'annonce ne mentionne même pas les certificats de site web, et encore moins ces nouvelles dispositions. Il est donc extrêmement difficile pour la société civile, les universitaires et le grand public d'examiner ou même de connaître les lois que leurs représentants ont approuvées lors de réunions privées.

[...]

Des groupes de la société civile ont également soutenu la lettre, notamment l'Internet Society, European Digital Rights (EDRi), l'EFF, Epicenter.works et bien d'autres.

Leurs appels ont également été relayés par des entreprises qui contribuent à la construction et à la sécurisation de l'internet, notamment la Fondation Linux, Mullvad, DNS0.EU et Mozilla, qui ont publié leur propre déclaration.

[Tugdual]

CSAR :

• le Parlement européen rejette la numérisation de masse des messages privés...

Extrait :

L'EDRi (European Digital Rights) a longtemps plaidé contre les mesures de balayage de masse et de décryptage de la CSAR proposées en 2022 par l'unité de l'exécutif de l'UE chargée des affaires intérieures. Nous sommes donc rassurés que le Parlement ait écouté les preuves et la règle de droit. En même temps, nous sommes encore loin de la fin du processus législatif. Cela signifie que nous devons rester attentifs à la manière dont les deux autres institutions législatives - le Conseil des États membres de l'UE et la Commission européenne - réagissent. Seront-ils d'accord avec le Parlement pour dire que les nouvelles lois européennes doivent respecter les droits fondamentaux ? Ou bien vont-ils redoubler d'efforts en matière de "contrôle des discussions" ?

[Tugdual]

Tous les appareils Windows et Linux seraient vulnérables :

• à la nouvelle attaque du micrologiciel LogoFAIL...

Extrait :

La plupart des appareils Windows et Linux sont actuellement vulnérables à une nouvelle attaque de micrologiciel appelée LogoFAIL. Cette attaque cible les interfaces de micrologiciels extensibles unifiées (UEFI) responsables du démarrage des appareils modernes fonctionnant sous Windows ou Linux. LogoFAIL exploite des vulnérabilités présentes depuis des années dans les analyseurs d'images UEFI, permettant d'exécuter du code malveillant au début du processus de démarrage, compromettant ainsi la sécurité de la plateforme.

Les chercheurs de Binarly, la société de sécurité qui a découvert ces vulnérabilités, ont identifié près de deux douzaines de failles critiques cachées dans les UEFI, affectant une vaste gamme de modèles d'ordinateurs provenant de divers fabricants. L'attaque se distingue par sa facilité d'exécution, son impact sur les modèles grand public et professionnels, ainsi que par son haut niveau de contrôle sur les appareils infectés. LogoFAIL peut être exécuté à distance, contournant les mécanismes de défense traditionnels et compromettant la sécurité des plates-formes dès les premières étapes du processus de démarrage.

LogoFAIL exploite des vulnérabilités dans les UEFI, permettant l'exécution de code malveillant au début du processus de démarrage, compromettant ainsi la sécurité des plates-formes Windows et Linux. L'attaque peut contourner les défenses traditionnelles, s'exécute à distance et affecte une large gamme de modèles d'ordinateurs. Les chercheurs ont publié des avis indiquant quels produits sont vulnérables et où trouver des correctifs de sécurité.

[Tugdual]

Données personnelles :

• comment nous avons peu à peu accepté d’en perdre le contrôle...

[Kumi_44]

Données personnelles :

• comment nous avons peu à peu accepté d’en perdre le contrôle...

Je ne me sens pas concernée par ma génération qui s'est résignée à la surveillance et à donner ses données personnelles.
A mesure des années, je suis au contraire de plus en plus inquiète sur la fuite des données personnelles et j'essaie d'en trouver des solutions.
D'où peut être le décalage que j'ai avec d'autres personnes de mon âge...

[ikh]

« Ainsi s'éteint la liberté: sous une pluie d'applaudissements. »
Padmé Amidala, Star Wars épisode III, la revanche des Siths.

• Android Auto permet de retrouver sa voiture plus facilement

[Tugdual]

L'un des programmes d'espionnage américains les plus controversés :

• vient d'être renouvelé discrètement...

Extrait :

Le 22 décembre, le président Joe Biden a signé un projet de loi de défense de 886 milliards de dollars qui renouvelle l’un des programmes d’espionnage les plus controversés du gouvernement américain. Dissimulée dans le texte de 3 000 pages se trouve une prolongation du pouvoir de l’administration de surveiller sans mandat les étrangers à l’étranger, et d’espionner les Américains au passage. Ce pouvoir, connu sous le nom de section 702 de la loi sur la surveillance du renseignement étranger (FISA), a fait l’objet d’un examen minutieux ces derniers mois.

Le FBI est confronté à une vague de rapports accablants depuis fin 2022. Ces rapports mettent en lumière les outils plus controversés et les dérives du service américain de renseignement intérieur. L'un de ces outils controversés, la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA), a été abusivement utilisé par le FBI pour espionner et récolter une quantité phénoménale d'informations sur les Américains, alors qu'il n'en avait pas le droit. Selon un rapport déclassifié, ces données comprennent les courriels, les textes et autres communications privés des Américains.

La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques, les textes et les courriels échangés avec des ressortissants américains et sont stockées dans d'immenses bases de données. Dès lors, les agences de renseignement américaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas déroulées comme prévu par le cadre légal.

[Tugdual]

Lettre ouverte de Tuta appelant les États membres de l'UE :

• à défendre le chiffrement...

Extrait :

En mars 2024, les ministres de l'Intérieur des pays de l'UE doivent voter sur l'introduction d'une analyse obligatoire côté client pour tous les fournisseurs afin d'identifier les contenus pédopornographiques. Une lettre ouverte publiée sur Tuta par un groupe d'entreprises soucieuses de la protection de la vie privée, met en garde contre le risque d'ouvrir une porte dérobée et invite les ministres à défendre le droit des citoyens à la vie privée et à renforcer la position des entreprises de l'Union européenne.

"Les experts en sécurité s'accordent à dire que la proposition de la Commission européenne visant à analyser chaque message de chat et chaque courrier électronique créerait une porte dérobée, dont les criminels pourraient profiter et profiteront. En tant que plus grand fournisseur de messageries chiffrées de l'UE, nous sommes fiers d'avoir construit Tuta ici en Allemagne - un produit sécurisé conforme au RGPD européen permettant à des millions de personnes de communiquer en ligne en toute confidentialité", déclare Matthias Pfau, fondateur de Tuta.

"Nous demandons maintenant à nos ministres de l'intérieur, et plus particulièrement à Nancy Faeser (SPD, Allemagne), de choisir le bon camp dans cette discussion : défendre un chiffrement fort et protéger le droit à la vie privée de millions de citoyens et d'entreprises de l'UE. L'Europe ne peut pas s'enorgueillir des progrès réalisés grâce à la législation GDPR tout en promouvant l'analyse côté client. Une telle démarche détruirait toute crédibilité de l'UE en matière de protection de la vie privée et de chiffrement, tant pour les entreprises que pour les citoyens".

[Tugdual]

« La trouvaille scandaleuse d'un chercheur sur Windows 11 », par Micode :

[ikh]

« La trouvaille scandaleuse d'un chercheur sur Windows 11 », par Micode :

Mon fils m'évoquait le contenu de cette vidéo ce week-end (trop content de pouvoir se passer de Redmond pour le JV PC, merci Proton).
Il a dit que c'était « une chaîne de qualité ».

[Mizunotama]

« La trouvaille scandaleuse d'un chercheur sur Windows 11 », par Micode :

L'avantage d’être sur Linux

Et de galérer dès qu'on te demande d'utiliser un produit qui n'a pas été prévu pour malheureusement,