Votre pc Windows sous surveillance!

Le groupe connu sous le nom de Shadow Brokers bien connu dans le domaine du piratage informatique a dévoilé vendredi avant pâques des failles de sécurité 0-day touchant entre autre les machines Windows et ayant également servi à pirater certains systèmes bancaires selon les sources.

C’est au total environ 300mo de lignes de code qui aurait été volé à l’agence de sécurité américaine (NSA) il y à quelque temps, qui aurait été mis en vente par le groupe (d’où le « brokers » de shadow brokers). Comme il n’aurait pas trouvé preneur, le groupe aurait décidé de leaker le tout. Petit problème, c’est qu’ils n’ont pas avisé les compagnies spécifiques des failles avant de le faire, ne leur laissant pas le temps de corriger les bugs avant de les dévoiler.

Comme certains outils de piratage étaient « clef en main », il est fort probable que nous entendions parler de plusieurs scandales dans les prochains jours sur des informations volées par ces leaks.

Source:

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

IA au service des compagnies

On entendait récemment aux nouvelles que H&R Block offrait maintenant le service d’Intelligence Artificielle Watson d’IBM pour identifier les meilleurs retours de taxes possibles pour ses clients.

https://www.ibm.com/watson/stories/taxes.html

During the tax preparation interview with the tax pros, Watson can understand context, interpret intent and draw connections between a client’s responses to suggest credits and deductions that may be available.

Watson peut deviner les intentions de l’utilisateur et lui suggérer des déductions avantageuses. Pratique.

Aux premiers abords ce service semble extrèmement avantageux si il est aussi efficace qu’il en a l’air. Il serait également intéressant de se projeter dans quelques années où le système de taxes et d’impôts est allégé de dixaines de milliers de fonctionnaires et de conseillers, où l’agence du revenu n’est plus nécessaire et toutes les validations sont automatisées et équitables.

Points positifs:

  • Diminution de la fraude et de l’évasion fiscale
  • Optimisation des retours
  • Unification des formulaires (envois et réceptions)

Points négatifs

  • Manque de transparence au niveau de l’utilisation des données
  • Pertes d’emplois éventuellement

Un autre secteur touché serait celui du droit et des avocats. Un robot pourrait analyser et gérer plus rapidement des disputes, ainsi que des tâches complexes tel que la fusion d’entreprises.

https://actualite.housseniawriting.com/technologie/2015/10/27/les-jeunes-avocats-remplaces-par-lintelligence-artificielle-dans-10-ans/9924/

http://www.cnbc.com/2017/02/17/lawyers-could-be-replaced-by-artificial-intelligence.html

Wikileaks Vault 7 : 8,761documents et hacks de la CIA dévoilés!

Bonne et mauvaise nouvelle, 8,761 articles et documents provenant d’un serveur isolé et protégé de la CIA auraient fuient sur le site WikiLeaks.

Ce serait la plus grande fuite de documents sur la CIA à ce jour selon WikiLeaks.

Le tout contiendrait plus d’un million de lignes de codes malicieux.

Parmis ceux-ci, des exploitatations et virus permettant de pirater des appareils Android, iPhone/iPad ainsi que des ordinateurs, même des télés Samsung, permettant à l’utilisateur entre autre de gagner accès en temps réel au microphone de l’appareil et encore plus! Exactement le genre d’exploitations qui était mentionné dans l’un de nos articles récent.

« The increasing sophistication of surveillance techniques has drawn comparisons with George Orwell’s 1984, but « Weeping Angel », developed by the CIA’s Embedded Devices Branch (EDB), which infests smart TVs, transforming them into covert microphones, is surely its most emblematic realization. »

Des failles 0-day exploitées auraient été dévoilées, rendant le leak à la fois important mais également épeurant.

Quel est le risque de dévoiler ces failles?

Plusieurs des failles de sécurité dévoilées pourraient prendre un certain temps à être réglées, ce qui permet à des personnes mal intentionnées d’en abuser un certain temps.

« As of October 2014 the CIA was also looking at infecting the vehicle control systems used by modern cars and trucks. The purpose of such control is not specified, but it would permit the CIA to engage in nearly undetectable assassinations. »

D’une autre part, certains logiciels libre ou autres logiciels qui présentent une de ces faille pourrait ne pas être mis à jour, pour la simple et bonne raison que le propriétaire pourrait ne pas être au courrant du problème.

Le bon côté c’est que dans le cas où des pirates exploitaient déjà ces failles, elles seront en partie réglées par la plupart des grands éditeurs logiciels.

Nos données sont elles de plus en plus à risque?

Le fait que la plupart des projets majeurs aujourd’hui dépendent de multiples frameworks, plateformes et technologies dont plusieurs libres de droit fait en sorte qu’il est difficile de garder un oeil sur toutes les composantes de ces projets.

Un site web aujourd’hui peut être bâti à partir de plusieurs dixaines de technologies, encore plus pour les systèmes d’exploitation comme Android et iOs. Ils sont tellement gros et complexes qu’il est difficile pour une compagnie d’en sécuriser la totalité.

La prochaine arme de masse sera-elle numérique?

Je crois qu’il faut s’imaginer un futur où notre dépendance aux systèmes informatiques connectés deviendra notre plus grande faille. La gestion de notre argent, de nos dettes, des systèmes routiers, des dossiers de santé des patients dans les hopitaux aux listes de médicaments en pharmacie, imaginez une journée où tout ces systèmes deviendraient momentanément inactifs au même moment.

Avec l’avènement de l’intelligence artificielle, le fait que tout nos appareils sont maintenant connectés et inter-reliés, la technologie progresse de façon exponentielle et il faut s’imaginer: qu’adviendrait-il si un jour nous perdions le contrôle? Aujourd’hui il ne suffirait que de boulverser les réseaux d’une nation pour l’ébranler au plus haut point.

Vous vous levez un matin, plus d’électricité, votre ordinateur vous indique que vous n’êtes pas connecté. Vous voulez appeler votre conjointe pour savoir ce qu’il en est mais le téléphonne ne fonctionne pas. Quelle heure est-il? Ah zut, plus de batterie. Vous vous présentez au travail. Les routes sont cahotiques, aucune signalisation ne fonctionne. Fermé. Tout les systèmes sont plantés. Inutile d’ouvrir. Pas de panique, ce doit être temporaire. Les banques annoncent que toutes les données banquaires des utilisateurs sont innacessibles. Vous pensez aller faire des provisions, au cas où. Les épiceries sont vandalisées, saccagées. Plus rien. Plus de nouvelle des banques. Qu’en est-il de votre argent? Votre hypothèque? Les guichets ne fonctionnent plus.

Heureusement, nous n’en sommes pas encore là.

L’article complet et les documents, ici :

https://wikileaks.org/ciav7p1/

https://www.bloomberg.com/politics/articles/2017-03-07/cia-hackers-able-to-break-into-whatsapp-signal-wikileaks-says

Comment rendre Windows 10 Mobile intéressant?

Microsoft essaie depuis quelques années de renverser la vapeur dans le monde du mobile qui favorise toujours ses compétiteurs, Android et Iphone.

Malheureusement, Windows Mobile n’y arrive pas dutout. Point de vue appareils, distribution et système d’exploitation, c’est un échec total.

Avec moins de 1% des parts de marché, aussi bien dire que les Windows Phone sont mort. Depuis l’aquisition de la division téléphones de Nokia par Microsoft, la tendance n’a qu’empirée.

Absence de marketing, logiciel en retard sur la compétition, fonctions manquantes, appareils non désirés par les fournisseurs de service, plusieurs raisons expliquent l’échec.

Plutôt que de tenter d’expliquer les raisons multiples qui ont fait de Windows Mobile un échec, regardons vers l’avenir. Quel potentiel pour Microsoft dans le futur?

Grâce à Azur, le Cloud de microsoft, ainsi que la grande expertise en conception de logiciels de productivité, Microsoft devrait probablement focusser sur l’ancienne clientèle de Blackberry. Les entreprises ainsi que les hommes d’affaire.

En créant un environnement de COLLABORATION exceptionellement évolué, Microsoft pourrait donner un sens à sa division mobile. Pour cela, Microsoft devrait probablement acquérir plus de talents dans le domaîne du Custommer Relationship Management. Du système de communication inter-entreprise, à la gestion des contacts (outlook), à l’échange de fichiers inter-entreprise (one drive) et à la scédule d’employés sur la route, Microsoft pourrait offrir tout un arsenal à sa clientèle. La recherche « d’apps » plus cool deviendrait alors secondaire puisque l’appareil mobile deviendrait un outil distinct. En se trouvant dans la poche de plus de gens, le mobile Microsoft deviendrait alors une cible intéressante pour les développeurs.

Comme Apple n’attaque pas suffisament cette branche et que Blackberry semble révolu (se joignant à Android mais de façon tierce malheureusement, plutôt que comme contributeur), il reviendrait à Microsoft de prendre la relève en attaquant la clientèle Entrepreprises et gouvernementale.

Microsoft travaille également dans le bon sens en se concentrant sur les tablettes et hybrides portables qui étaient jusqu’à tout dernièrement en grande croissance.

Rappelons que Microsoft a déjà développé une technologie pour permettre aux développeurs de convertir leurs applications iOs en app Windows Mobile, et l’implantation d’émulateurs est déjà à l’essai, ce qui permettrait aux appareils Windows Mobile de faire fonctionner tous les logiciels Android et une partie des logiciels iOs.

http://www.theverge.com/2016/5/23/11743594/microsoft-windows-phone-market-share-below-1-percent

https://developer.microsoft.com/en-us/windows/bridges

Changez vos mots de passe! CloudBleed

Comme le rapportaient plusieurs médias, Google a récemment publié sur son site de chasse au bug la découverte d’une faille exposant les données de milliers d’utilisateurs.

Appelée CloudBleed, la faille permettait d’exposer les données personelles des utilisateurs utilisant les services du fournisseur CloudFlare (plus de 5 millions de sites web).

La fournisseur de services web se vante d’offrir rapidité, sécurité et protection à ses utilisateurs en reservant les pages web de ses clients de façon rapide et sécuritaire. Malheureusement, la fiabilité à pris un coup.

Qu’est-ce qui s’est passé?

Un conflit système faisait en sorte que lorsqu’une page était servie à un utilisateur, le serveur livrait accidentellement des informations excédentaires en mémoire qui dépassaient la requête. Par exemple, dans les pire cas, il aurait pu arriver que vous demandiez à recevoir la liste des utlisateurs de votre site web et que vous receviez également des numéros d’assurance sociale, noms, adresses, numéros de cartes de crédit appartenant à un AUTRE site web en prime.

En gros, vous commandez une pizza au restaurant et vous vous ramassez avec la frite du client précédent en prime sans n’avoir rien demandé.

Il est difficile de juger de l’étendue des informations qui auraient pu être révélées comme le fournisseur dessert énormément de clients, mais des compagnies comme Uber, OKCupid, 1Password et autres auraient été affectés.

Comme l’internet possède une grande mémoire, il est possible que certaines données aient été enregistrées et soient analysés et utilisées à des fins nébuleuses.

Avec la quantité de fuites et de failles de sécurité récentes (Yahoo ayant eu au moins 2 fuites récentes, CloudFlare, etc…) il est recommandé plus que jamais de mettre à jour régulièrement vos mots de passe affin d’éviter que certaines personnes mal intentionnées n’arrivent à localiser des données sensibles vous appartenant.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

https://www.theguardian.com/technology/2017/feb/15/yahoo-hack-warning-user-data-2015-2016

https://www.forbes.com/sites/thomasbrewster/2017/02/24/google-just-discovered-a-massive-web-leak-and-you-might-want-to-change-all-your-passwords/#5b45d2033ca3

 

La « maison intelligente », un espion dans votre maison?

En bref:

La technologie est partout aujourd’hui. Nous interragissons avec elle au travail, sur la route, et maintenant également à la maison.

Des électroménagers « connectés », aux thermostats intelligents en passant par les assistants vocaux comme Amazon Alxa ou Google Home et Microsoft Cortana, la technologie est partout.

Ces petit appareils intelligents sont en fait équipés de mini-ordinateurs semi-autonomes, régulant leurs utilisation mais cumulant également des données sur leurs usages.

Ces données recueillies sont ensuite acheminées, en temps normal, à leur propriétaire de façon anonyme de façon à améliorer le service.

Cependant voilà que votre petit appareil ne vous dit peut-être pas tout. Par exemple, vous a t’ons demandé votre permission pour que ces données personelles soient utilisés et comment assurer votre anonymité? Quels sont les risques d’une défaillance de a sécurité de ces systèmes?

Le pire qui pourrait arriver, c’est quoi?

Le micro de votre assistant intelligent pourrait être mis sous écoute, à distance et ce sans que vous ne puissiez avoir aucune façon de le savoir. En conférence, un compétiteur pourrait ainsi vous épier et prévoir vos prochains coups de façon à vous devancer. Ceci est déjà possible et des failles existent présentement.

Votre thermostat pourrait être contrôlé à distance de façon à, par exemple, causer des dommages à votre propriété en s’éteignant l’hiver par grand froid ou au contraire en se réglant au maximum augmentant les risques d’incendie.

La caméra de votre « balayeuse » intelligente ou autre appareil doté d’une caméra peut retransmettre les images en direct. Des tests ont déjà été effectués sur des téléphones intelligents de type Android et ont démontrés avec succès l’implantation d’un virus permettant de prendre le contrôle total du miro et de la caméra de l’appareil sans que l’utilisateur ne le sache. Le test a été effectué car le président des états unis utilise actuellement un de ces appareil non sécurisé pour communiquer, exposant tout ses courriels, messages, appels et conversations.

Cnet raportait que les données personelles et les enregistrements audio de deux compagnies de poupées jouets pour enfants connectées auraient été exposés. N’importe qui aurait eu accès aux messages vocaux échangés au travers de ces poupées.

Les données d’utilisation d’un appareil peuvent être volées et associées à vos informations personelles tel que vos noms d’utilisateurs et mots de passe, puis revendues à des intéressés. Votre bracelet compteur de pas pourrait indiquer à votre assureur que vous n’êtes pas si « blessé » à la jambe que ça car vous marchez 10000 pas par jour par exemple, vous discréditer et annuler votre assurance invalidité. Votre frigidaire pourra dénoncer votre consommation abusive d’alcool par exemple, faisant augmenter vos primes.

Une personne peut déjà débarer, démarer, et même conduire votre voiture à distance dans certains cas. Le test ayant déjà été effectué sur des véhicules de type Jeep, une équipe de « hackers » ont complètement pris le contrôle de l’accélérateur et vérouillé les freins d’un véhicule en marche, puis tourné le volant. Imaginez le risque à haute vitesse, sur l’autoroute!

Les appareils connectés ont récemment servis d’arme massive de façon à bombarder les serveurs de compagnies pour les mettre hors service suite à l’infection de ceux-ci par un virus. En prenant le contrôle d’appareils anodins mais connectés, le « hacker » à installé un logiciel qui attaquais des sites tel que Twitter. Comme des centaines de milliers de ces appareils avaient été infectés, les sites ont plantés et certains avaient beaucoup de difficulté à accéder à internet.

Bref, ce ne sont que quelques exemples possibles, la plupart de ses failles sont déjà toutes accessibles aujourd’hui alors imaginez le type de scandales à venir dans un futur où tout nos appareils seront connectés et inter-reliés.

Informez-vous des modalités sur la vie privée des appareils que vous achetez!

http://www.theverge.com/2017/2/3/14496656/donald-trump-phone-twitter-hack-spyware-hot-mic

https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet

The Jeep Hackers Are Back to Prove Car Hacking Can Get Much Worse

http://www.independent.co.uk/life-style/gadgets-and-tech/edward-snowden-smartphones-can-be-hacked-into-with-just-one-text-message-and-then-used-to-spy-on-a6680546.html

https://www.cnet.com/news/cloudpets-iot-smart-toy-flaws-hacking-kids-info-children-cybersecurity/?ftag=COS-05-10aaa0b&linkId=34951582

Politique et médias sociaux: attention!

Donald Trump, le Président des États Unis, fervant utilisateur des médias sociaux comme Twitter, critiquais ouvertement aujourd’hui certains médias qu’il qualifie de frauduleux.

http://time.com/4681802/donald-trump-cpac-speech-media/?xid=time_socialflow_twitter

Ce ne sera certes pas les premières allégations qu’il aura publié sur twitter et sans aucun doute qu’il y en aura d’autres.

La sphère politique donne beaucoup de visibilité ainsi que de crédibilité à des gens comme D. Trump. Il est facile en 2017 par mouvement de masse de modifier la façon qu’ont les gens de percevoir un événement en soulignant massivement le caractère positif ou négatif de celui-ci. La pression sociale s’occupe du reste. Éventuellement, à force de répéter et propager une idée, elle devient coutume et acceptée par la majorité.

Alors comment se protéger d’allégations fausses ou forgées de toutes part?

Grâce à la puissance de Twitter, les messages publiés par D. Trump rejoignent des millions d’utilisateurs, que ce soit directement par les utilisateurs abonnés à son mur, par des amis ou encore au travers d’autres sites de nouvelles.

Dans un souci de transparence, les allégations faites par D. Trump ainsi que les autres leaders politique et ministériels ne devraient-elles pas être soumises à de rigoureuses vérifications, accompagnées de sources fiables?

http://www.mirror.co.uk/news/world-news/donald-trump-insulted-110-people-9526724

Geofeedia & le danger des réseaux sociaux

C’est quoi?

On aprenait il y a quelques temps que la police américaine avait utilisé les données des réseaux sociaux de façon à suivre la trace de manifestants, entre autre du mouvement « Black Lives Matter », grâce à l’API Geofeedia (https://geofeedia.com/) depuis bloqué par Facebook, Twitter et Instagram.

Le contenu analysé incluais des photos, vidéos, des status ainsi que la localisation GPS de l’utilisateur.

La stratégie aurait débutée avec les derniers soulèvements liés aux décès de jeunes hommes noirs ayant fait un tollé sur le sol américain, mais on peut s’imaginer que la technologie était déjà bien établue et utilisée abondamment depuis quelques temps avant ces événements.

Comment cette technologie interfère-elle avec notre droit à la vie privée?

En théorie, tout ce que l’on partage sur facebook, twitter, etc… devient automatiquement du domaine public. C’est à dire qu’on doit s’attendre à ce que tout ce qui circule comme information, photo, vidéo sur ces sites devient l’équivalent de le crier sur tout les toits.

L’information soutirée par Geofeedia fait donc partie d’une zone grise, entre le statut public des publications des utilisateurs, le droit à la vie privée et le faux sentiment de sécurité instauré dernièrement par facebook de façon à protéger les utilisateurs à savoir qui à accès à leur contenu.

 

http://www.lemonde.fr/pixels/article/2016/10/12/etats-unis-la-police-exploite-les-donnees-facebook-et-twitter-pour-pister-des-manifestants_5012500_4408996.html

http://www.forbes.com/sites/kalevleetaru/2016/10/12/geofeedia-is-just-the-tip-of-the-iceberg-the-era-of-social-surveillence/#474a80b840e2

Chat Bots et I.A., une arme politique?

Small robot

Une étude récente menée sur Google DeepMind, l’intelligence artificielle développée par google, démontrait qu’en situation de rareté, l’I.A. devenait très compétitive et visait toujours à accomplir son objectif même si cela impliquait de neutraliser son adversaire.

Quel rapport avec les Chat Bots? Il a fallu une seule journée au robot twitter de Microsoft pour se mettre à publiquer des status politiques et racistes lors du premier essai de lancement – avant d’être éteint et remplacé par une version moins politique et plus courtoise. (https://www.zo.ai/)

Voyez par vous même:

http://gizmodo.com/here-are-the-microsoft-twitter-bot-s-craziest-racist-ra-1766820160

Un futur où les chatbots influencent l’opinion publique et la sphère politique et sociale est très proche et déjà possible…. le fait qu’ils arrivent déjà à communiquer et partager des idées sur les réseaux sociaux est épeurant.

Une arme politique puissante? Imaginez des AI qui spam toutes les nouvelles en se disant pour ou contre un parti politique, qui partagent des status pro ou anti capitalistes, pro ou anti syndicalisme, ou même qui rapportent de fausses nouvelles!

Avec l’avènement des chatbots, comment s’assurer de leur neutralité, de leur transparence? Comment définir les limites?

Avec le scandale des « fausses nouvelles » ayant probablement affecté la dernière élection américaine, il est plus que jamais important de remettre en question les balises encadrant l’usage de ces technologies.

 

http://www.iflscience.com/technology/googles-deepmind-ai-understands-the-benefits-of-betrayal/

http://www.zdnet.fr/blogs/marketing-reseaux-sociaux/le-plan-de-facebook-pour-combattre-les-fake-news-39846108.htm