Vue normale

Aujourd’hui — 23 décembre 2024Next - Articles gratuits

☕️ Tennis : des parieurs derrière les publications insultantes publiées contre les joueuses

23 décembre 2024 à 09:30

Des parieurs énervés sont les auteurs de 48 % des messages insultants publiés à destination de joueuses et joueurs de tennis en 2024.


L’information a été obtenue par l’analyse de 2,47 millions de messages postés entre janvier et octobre 2024 par le logiciel Threat Matrix de Signify Group. 


Dans le lot, 12 000 publications se sont avérées contrevenir aux conditions d’utilisations de X, Facebook, Instagram, TikTok ou YouTube, rapporte la BBC.

Les contenus postés par 15 profils ont suscité l’intervention des forces de l’ordre.

L’étude a été sollicitée par la Fédération International de Tennis, la Women’s Tennis Association, la All England Lawn Tennis Club et la United States Tennis Association, alors qu’un nombre croissant de joueuses alertent sur la violence qu’elles subissent en ligne.

En août, la française et ex-numéro 4 mondiale Caroline Garcia avait notamment appelé les trolls à se rappeler que les joueuses « sont humaines ». Elle avait été soutenue par la numéro une britannique Katie Boulder, la quintuple championne Iga Swiatek et la finaliste de l’US open Jessica Pegula.

SMS, chiffrement, authentification : l’administration américaine doit faire beaucoup mieux

23 décembre 2024 à 09:02
« Obviously »
SMS, chiffrement, authentification : l’administration américaine doit faire beaucoup mieux

La Cybersecurity and Infrastructure Security Agency (CISA) a publié ces derniers jours plusieurs listes de recommandations pour la sécurité des communications. Elles s’adressent surtout aux administrations, mais les particuliers et entreprises sont invités à s’en inspirer.

Les États-Unis vivent actuellement une tempête de cybersécurité. La campagne de cyberattaques Salt Typhoon a mis les opérateurs téléphoniques à rude épreuve, tandis que le Congrès (Chambre des représentants et Sénat) cherche à comprendre comment des groupes malveillants étatiques chinois parviennent à se frayer aussi facilement un chemin. L’armée est également visée, accusée par deux sénateurs de ne pas sécuriser correctement ses communications non classifiées.

Le directeur adjoint de la CISA, Jeff Greene, cité par NBC News, déclarait il y a deux semaines : « Notre suggestion, ce que nous avons dit aux gens en interne, n’est pas nouvelle : le chiffrement est votre ami, qu’il s’agisse de la messagerie texte ou de la capacité à utiliser des communications vocales. Même si l’adversaire est en mesure d’intercepter les données, si elles sont chiffrées, cela rendra la chose impossible ».

La CISA préparait des listes de recommandations plus précises selon les cibles. Elles ont été publiées les 17 et 18 décembre et contiennent des instructions ciblées, surtout à destination des administrations et des personnes dont le profil pourrait intéresser des pirates, par exemple pour leur place dans une hiérarchie ou leur implication politique.

Halte aux SMS et place au chiffrement de bout en bout

Sur les appareils mobiles, les conseils de la CISA paraitront évidents à toute personne intéressée par la sécurité. Elle demande de ne plus utiliser que des communications chiffrées de bout en bout, via des applications compatibles aussi bien avec iOS qu’Android pour simplifier l’interopérabilité des messages. L’agence ne fournit aucun nom, mais conseille de se renseigner sur le traitement des métadonnées par l’éditeur concerné.

Elle recommence également d’activer les mécanismes d’authentification multifactorielle compatibles FIDO partout où c’est possible. Les clés de sécurité comme les Yubico et Google Titan sont citées. Les clés d’accès sont présentées comme une « alternative acceptable ». Ces protections devraient couvrir tous les comptes principaux (Microsoft, Apple, Google…) et au moins tous ceux ayant trait aux e-mails et réseaux sociaux. Sur Gmail, il est conseillé d’activer l’APP (Advanced Protection Program). Et puisque l’on parle d’authentification multifactorielle, la CISA demande de se débarrasser de tout second facteur basé sur les SMS.

Les autres recommandations sont du même acabit : utiliser un gestionnaire de mots de passe (phrase de passe forte pour le protéger, mots forts et uniques pour tous les comptes), ajouter un code PIN, vérifier régulièrement les mises à jour logicielles, ne pas utiliser de solutions personnelles de VPN (« De nombreux fournisseurs de VPN gratuits et commerciaux ont des politiques de sécurité et de confidentialité douteuses », indique la CISA) et opter pour la dernière version du matériel chez le fabricant. Sur ce dernier point, l’agence ajoute que « les mises à jour logicielles seules ne permettront pas d’obtenir le maximum d’avantages en matière de sécurité ».

Configurer correctement les smartphones

Viennent également des conseils pour les iPhone et smartphone Android. Sur les téléphones d’Apple, il est ainsi recommandé d’activer le mode Isolation (que nous avions détaillé), de couper l’envoi automatique de SMS quand iMessage n’est pas disponible, de se servir d’iCloud Private Relay ou d’un service de DNS chiffré (1.1.1.1 chez Cloudflare, 8.8.8.8 chez Google, 9.9.9.9 chez Quad9…) ou encore d’inspecter les autorisations de chaque application pour ne laisser que ce qui est strictement nécessaire.

Sur Android, les conseils sont un peu plus nombreux : privilégier « les modèles des fabricants ayant de solides antécédents en matière de sécurité et s’engageant à effectuer des mises à jour de sécurité à long terme », n’utiliser le RCS que si le chiffrement de bout en bout est activé, configurer un DNS chiffré, vérifier dans Chrome que l’option « Toujours utiliser des connexions sécurisées » est active, configurer le niveau de protection renforcée dans la navigation sécurisée, vérifier que Play Protect est activé et contrôler les permissions des applications.

Cloud : les conseils laissent place aux instructions

« Les récents incidents de cybersécurité soulignent les risques importants posés par les mauvaises configurations et les contrôles de sécurité faibles, que les attaquants peuvent utiliser pour obtenir un accès non autorisé, exfiltrer des données ou perturber les services », a déclaré mercredi.

En conséquence, elle a publié une nouvelle Binding Operational Directive (directive opérationnelle contraignante) à l’attention de toutes les agences civiles fédérales utilisant le cloud. Il ne s’agit pas de conseils, mais bien d’instructions : les administrations doivent les appliquer, sous peine de sanction.

D’ici au 21 février prochain, elles doivent ainsi avoir identifié l’intégralité des actifs et tenir cet inventaire à jour une fois par trimestre. Le 25 avril au plus tard, les administrations devront avoir déployé tous les outils d’évaluation disponibles dans le cadre de la solution commerciale adoptée. D’ici le 20 juin, toutes les politiques en matière de solutions commerciales devront avoir été appliquées. Ces politiques n’existent pour l’instant que pour Microsoft 365, mais la CISA en ajoutera d’autres plus tard.

Les agences doivent également s’engager à mettre en œuvre toutes les futures mises à jour des politiques, les configurations sécurisées obligatoires, en plus d’identifier et expliquer tout écart qu’un outil d’évaluation signalerait.

La CISA, elle, s’engage à maintenir et mettre à jour une liste détaillée des politiques entrant dans le champ d’application de sa nouvelle directive (25 - 01). Toutes les agences et administrations fédérales seront prévenues des modifications apportées aux politiques. Elle se place en outre comme agent de coordination et de liaison pour toutes les opérations liées, promettant un accompagnement et des ressources.

Dans un an, l’agence fera le point sur les progrès accomplis. Un rapport sera alors envoyé au secrétaire d’État à la Sécurité nationale. On peut se demander toutefois comment le programme de la CISA évoluera avec le changement de gouvernement qui se profile, l’administration Donald Trump semblant privilégier l’attaque à la défense, comme nous le relevions la semaine passée.

☕️ Palantir et Anduril s’uniraient pour répondre à des appels d’offre dans la défense

23 décembre 2024 à 08:43

Deux acteurs majeurs de la technologie états-unienne appliquée à la défense, Palantir et Anduril, auraient ouvert les discussions avec une douzaine de leurs concurrents pour créer un consortium. Le but : répondre ensemble aux appels d’offre des États-Unis pour remporter ses contrats de défense.

D’après le Financial Times, le groupe devrait inclure SpaceX, OpenAI, le constructeur de navires autonomes Saronic et le spécialiste des données d’entraînement d’IA Scale AI.

Créée par Peter Thiel en 2003, la valorisation de Palantir a augmenté de 300 % en 2023 pour atteindre une capitalisation de 169 milliards de dollars. Peter Thiel a aussi financé les débuts d’Anduril, société fondée en 2017 par Palmer Luckey.

Un drapeau américain flotte dans un ciel gris.

☕️ Bloctel : 124 899 euros d’amende pour Groupeo, suite à 116 899 appels indésirables

23 décembre 2024 à 07:42

La DGCCRF peut prononcer des amendes administratives et demander leur affichage sur les sites https://www.bloctel.gouv.fr et https://pro.bloctel.gouv.fr pour une durée déterminée par la décision de sanction.

C’est le cas de Groupeo, une société de courtage en assurance santé. Elle écope d’une amende administrative de 124 899 euros « pour des manquements à la réglementation encadrant le démarchage téléphonique (dispositions de l’article L.223 - 1 du code de la consommation) ».

Les agents de la concurrence, de la consommation et répression des fraudes de la DDPP du Rhône en charge du dossier expliquent que cette sanction « concerne notamment 116 899 appels téléphoniques passés à destination de consommateurs pourtant inscrits sur la liste d’opposition au démarchage téléphonique (BLOCTEL) ». Soit à peine plus d’un euro en moyenne par appel indésirable.

L’inscription sur Bloctel est pour rappel gratuite et permet « à toute personne de refuser d’être démarchée par un professionnel avec lequel elle n’a pas de relation contractuelle en cours ».

À partir d’avant-hierNext - Articles gratuits

Intel abandonne son x86S, place aux décisions coordonnées

20 décembre 2024 à 15:10
Ensemble, c'est tout
Intel abandonne son x86S, place aux décisions coordonnées

Intel abandonne son initiative x86S, par laquelle l’entreprise souhaitait dépoussiérer la vieille architecture. Il s’agit du premier effet tangible de l’Ecosystem Advisory Group mis en place en octobre par Intel et AMD.

Le x86S était une initiative intéressante qu’Intel avait annoncée en mai 2023. L’idée centrale était de refonder la vieille architecture sur une base exclusivement 64 bits, supprimer tout ce qui pouvait l’être et confier les 16 et 32 bits à l’émulation. Le tout via une approche relativement ouverte.

Comme nous le soulignions alors, Intel considérait que les systèmes 64 bits étaient devenus le standard de facto et que de nombreux composants pouvaient être retirés. Le ring 0 du 32 bits, les rings 1 et 2 (car inutilisés par les applications d’aujourd’hui), les modes réel et protégé 16 bits, l’adressage 16 bits de la mémoire, les MTRR fixes, une partie des entrées/sorties, le mode CR0 Write-Through, le contrôle du flag d’interruption du ring 3, certaines instructions obsolètes, l’impossibilité de désactiver certains mécanismes comme NX et SYSCALL, XAPIC (contrôle d’interruption) pour ne plus supporter que x2APIC ou encore les exceptions #SS et #NP étaient cités.

Intel présentait une liste de bénéfices, dont surtout la simplification générale de la conception et un fonctionnement intégral en 64 bits, y compris l’initialisation et le redémarrage. Une simplification matérielle qui aurait entraîné celle des systèmes d’exploitation, malgré la nécessité d’adapter ces derniers.

Intel fait cependant machine arrière. x86S, tel qu’il a été présenté jusqu’à maintenant en tout cas, n’aura pas lieu. C’est la conséquence directe du groupe de travail sur l’écosystème x86 créé avec AMD, et auquel participent de nombreux acteurs : Broadcom, Dell, Google, Hewlett Packard Enterprise, HP Inc, Lenovo, Meta, Microsoft, Oracle et Red Hat.

La nécessité d’un travail en commun

La confirmation de cet abandon vient de Tom’s Hardware, qui avait posé la question à Intel.

« Nous restons profondément attachés à l’architecture x86, comme en témoigne la création du x86 Ecosystem Advisory Group en collaboration avec AMD et d’autres leaders de l’industrie. Cette initiative renforce notre volonté d’assurer un avenir solide à x86, en s’appuyant sur des décennies de compatibilité logicielle. Bien que nous nous soyons éloignés de l’initiative x86S, notre objectif reste de stimuler l’innovation et la collaboration au sein de l’écosystème x86 », a ainsi déclaré un porte-parole du fondeur.

Pour nos confrères, il ne fait aucun doute que l’arrêt du x86S est une conséquence directe du x86 Ecosystem Advisory Group (EAG). L’initiative était en effet un développement unilatéral de l’architecture, qu’il aurait fallu présenter en détail à tous les membres du groupe pour obtenir leur assentiment, ou au moins leurs retours. L’objectif du groupe est justement de créer une plus grande cohésion autour de l’architecture et surtout de ses multiples extensions.

L’avenir coordonné du x86

Si l’initiative se termine en l’état, rien ne dit qu’elle ne ressurgira pas sous une autre forme plus tard. Le cas du x86S a très probablement été abordé durant les réunions préparatoires du groupe et il serait logique qu’AMD ait donné son avis.

Or, la perspective d’une refondation du x86 par sa simplification est une idée intéressante, d’autant que Microsoft fait partie de l’EAG. AMD pourrait avoir apprécié l’idée, sans pour autant valider l’approche d’Intel, peut-être parce que trop centrée sur les besoins de ce dernier. Il n’est pas impossible non plus qu’Intel ait imaginé en premier lieu le x86S pour se différencier de la concurrence et qu’AMD ne s’y soit pas retrouvé.

Quoi qu’il en soit, on attend maintenant de savoir quelles seront les premières mesures constructives du groupe. Les extensions pourraient être les premières concernées. Intel a d’ailleurs confirmé à Tom’s Hardware que le travail sur AVX10 continuait.

Linus Torvalds a jeté récemment un éclairage indirect sur cet aspect du x86 en pestant contre les niveaux de microarchitecture présents dans certains systèmes Linux. Ils permettent de classer les nombreuses extensions par ordre chronologique et d’établir des seuils minimaux, comme on l’a vu cette semaine avec CentOS Stream 10.

Il est probable que l’un des objectifs du groupe soit la sortie coordonnée des nouvelles extensions sur des générations équivalentes de processeurs avec, à la clé, un fonctionnement que l’on espère identique. Plus avant, les entreprises pourraient être intéressées par une modernisation générale de l’architecture, qui impliquerait aussi bien le monde Windows que celui du libre, Linus Torvalds faisant d’ailleurs partie du groupe. Il sera bien placé pour dire tout le mal qu’il pense des bugs dans le matériel.

☕️ Microsoft 365 affiche des licences désactivées par erreur

20 décembre 2024 à 14:40

Microsoft a signalé jeudi l’existence d’un problème susceptible d’entraîner l’affichage, au sein des logiciels de la suite Microsoft 365 Office en entreprise, d’un message selon lequel la licence de l’utilisateur est désactivée.

Cette allusion à un « produit désactivé » est susceptible d’intervenir après qu’un administrateur a procédé à des modifications au niveau de sa gestion des licences.

Entre autres scénarios possibles, l’éditeur signale par exemple le « changement de groupe de licences, lorsque l’utilisateur est déplacé d’un groupe à un autre », des changements dans l’attribution des logiciels au niveau d’un utilisateur donné, la suppression puis l’ajout d’un utilisateur dans un groupe, etc.

En attendant un correctif, sur lequel planchent les équipes de Microsoft, l’éditeur préconise d’utiliser l’option « réactiver » ou, à défaut, de se déconnecter de son compte sur toutes les applications Microsoft 365 utilisées, avant de les relancer et d’essayer de s’y reconnecter.

☕️ GPU, IA et Deep Learning : l’Europe autorise le rachat de Run:ai par NVIDIA

20 décembre 2024 à 14:19

NVIDIA a annoncé en avril son intention de racheter la start-up Run:ai spécialisée dans la virtualisation et l’orchestration de GPU. Une opération à 700 millions de dollars qui avait déclenché l’ouverture d’une enquête par le ministère de la Justice américain.

La transaction n’est à priori pas sous le coup du règlement de l’UE sur les concentrations « car les revenus actuels de Run :ai sont négligeables », explique la Commission. Elle s’est néanmoins penchée sur le sujet, à la demande de l’Italie.

« Les activités de NVIDIA et de Run :ai ne se chevauchent pas, mais les GPU et les logiciels d’orchestration GPU doivent être compatibles. La Commission a évalué si, après cette opération, NVIDIA serait en mesure » de mettre des bâtons dans de ses concurrents, explique l’autorité européenne.

Résultat des courses : ce rachat « ne poserait pas de problèmes de concurrence sur aucun des marchés examinés dans l’Espace Économique Européen (EEE) ou en Italie. Elle a donc autorisé l’opération sans condition ».

Afin de pouvoir aller jusqu’au bout, cette opération doit obtenir les accords des autorités concernées dans d’autres pays et/ou marchés. La Commission ne se prononce que pour l’Europe.

ChatGPT : La CNIL italienne inflige une amende de 15 millions d’euros à OpenAI

20 décembre 2024 à 14:14
Oups
ChatGPT : La CNIL italienne inflige une amende de 15 millions d’euros à OpenAI

La CNIL italienne vient d’infliger à OpenAI 15 millions d’euros d’amende pour avoir, entre autres, utilisé des données personnelles pour entrainer ses modèles utilisés par ChatGPT.

La Garante per la protezione dei dati personali (GPDP, l’équivalent de la CNIL en Italie) a déclaré, via un communiqué, qu’elle avait infligé une amende de 15 millions d’euros à OpenAI après avoir fini son enquête sur l’utilisation de données personnelles par ChatGPT.

L’autorité italienne de la protection des données personnelles explique avoir clos son enquête entamée en mars 2023. On se rappelle que l’autorité avait décidé de bloquer l’accès aux chatbot d’OpenAI aux utilisateurs italiens. Elle expliquait ne vouloir laisser « aucun moyen pour ChatGPT de continuer à traiter des données en violation des lois sur la protection de la vie privée ». La GPDP y rappelait que ChatGPT « a subi le 20 mars [2023] une fuite de données concernant les conversations des utilisateurs et des informations relatives au paiement des abonnés ».

Un mois après, la GPDP décidait de débloquer l’accès à ChatGPT après que l’entreprise se soit engagée sur plusieurs sujets. Notamment, OpenAI acceptait de laisser la possibilité aux utilisateurs de l’Union européenne de s’opposer à l’utilisation de leurs données personnelles pour l’entrainement de ses modèles de langage.

L’autorité italienne n’a pour autant pas abandonné le dossier. Elle a rappelé d’abord qu’OpenAI ne lui avait pas notifié la fuite de données subie en mars 2023.

Mais elle a aussi constaté qu’OpenAI avait traité les données à caractères personnels des utilisateurs pour entrainer le modèle utilisé dans son chatbot sans avoir préalablement identifié de base juridique sur laquelle s’appuyer pour ce traitement. L’autorité explique que l’entreprise a violé le principe de transparence et les obligations d’informations de ses utilisateurs.

L’entrainement des IA au même régime que les autres techniques face au RGPD

Concernant le traitement des données personnelles pour l’entrainement de l’IA d’OpenAI, la Garante semble avoir attendu avec impatience l’avis du Comité européen de la protection des données (CEPD) sur les modèles d’IA publié mercredi dernier. Dans son communiqué, l’autorité italienne explique que cet avis exprime une « approche commune » avec elle concernant le traitement des données personnelles dans le contexte de la conception, du développement et de la distribution de services fondés sur l’intelligence artificielle. Cet avis avait été demandé « par l’autorité irlandaise de protection des données (DPA) en vue d’une harmonisation réglementaire à l’échelle européenne », expliquait le CEPD.

L’avis du CEPD [PDF] explique notamment que, « lorsque des données sont extraites de l’internet accessible au public, elles peuvent également être considérées comme des données à caractère personnel ». Et pour être encore plus clair, le texte précise : « en d’autres termes, ce n’est pas parce que des données à caractère personnel sont rendues publiques qu’elles ne sont plus des données à caractère personnel ».

Dans une autre affaire à propos du ciblage publicitaire portée par Max Schrems, la CJUE avait d’ailleurs émis un avis du même ordre.

Dans son document, le CEPD affirmait que le RGPD est « neutre sur le plan technologique », c’est-à-dire qu’il ne s’applique pas en fonction de la technique utilisée. « Le traitement lié à l’IA, bien que nouveau à certains égards, est de façon certaine couvert par le GDPR dès lors que des données à caractère personnel sont traitées », affirme-t-il.

Le responsable d’un traitement de données personnelles fait lors de l’entrainement d’une IA doit donc s’assurer d’avoir identifié la base juridique sur laquelle il s’appuie pour ce traitement.

Exposition des enfants de moins de 13 ans

L’autorité reproche aussi à OpenAI de ne pas avoir prévu de mécanisme de vérification d’âge et donc d’avoir risqué d’exposer des enfants de moins de 13 ans à des réponses inadaptées.

Outre l’amende infligée, la GPDP a obligé l’entreprise à réaliser une campagne de communication institutionnelle de six mois qui doit passer dans les médias italiens (radio, télévision, journaux et internet).

Enfin, l’autorité italienne explique maintenant laisser le dossier d’OpenAI à l’autorité irlandaise puisque l’entreprise a, entre temps, établi son siège à Dublin.

☕️ Facebook et Instagram ont « sévèrement restreint » les médias et internautes palestiniens

20 décembre 2024 à 10:40

Facebook a « sévèrement restreint » la capacité des médias palestiniens à toucher leurs audiences à la suite des attaques terroristes du 7 octobre 2023, révèle la BBC. Instagram, appartenant lui aussi à Meta, avait de son côté « renforcé la modération » des commentaires de ses utilisateurs palestiniens.

BBC News Arabic a compilé des données sur le nombre de commentaires, de réactions et de partages des pages Facebook de 20 grands médias basés pendant l’année précédant les attaques du Hamas contre Israël, le 7 octobre, et au cours de l’année qui a suivi.

« En période de guerre, on pourrait s’attendre à ce que l’audience augmente », relève la BBC. Or, les données montrent une chute de 77 % de l’engagement des médias palestiniens après les attaques du Hamas.

A contrario, l’analyse de l’engagement associé à 20 médias israéliens sur Facebook indique une augmentation de « près de 37 % ». Dans le même temps, ceux de 30 médias en langue arabe augmentaient « en moyenne de près de 100 % ».

Contacté, Meta rétorque n’avoir jamais caché les « mesures temporaires » prises en octobre 2023, du fait que le Hamas était à la fois sanctionné par les États-Unis et désigné comme une organisation dangereuse en vertu des propres politiques de Meta, et pour répondre à ce qu’elle a qualifié de « pic de contenu haineux » en provenance des territoires palestiniens.

Des anciens et actuels employés de Meta confirment à la BBC que, « dans la semaine qui a suivi l’attaque du Hamas, le code a été modifié, le rendant essentiellement plus agressif envers les Palestiniens ».

Faux suicide de Luigi Mangione : RSF demande à Apple l’arrêt des résumés de notifications par IA

20 décembre 2024 à 10:11
Faux suicide de Luigi Mangione : RSF demande à Apple l’arrêt des résumés de notifications par IA

La semaine dernière, certains utilisateurs d’iPhone ont pu voir une notification annonçant la fausse information du suicide de Luigi Mangione, suspecté d’avoir tué le PDG de l’assureur UnitedHealthcare, Brian Thompson. Reporters Sans frontières appelle Apple à retirer sa nouvelle fonctionnalité.

L’ONG internationale Reporters sans frontières exige, dans un communiqué, le retrait de la fonctionnalité lancée récemment sur les iPhone permettant de recevoir des résumés d’actualité générés par Apple Intelligence.

Le faux suicide de Luigi Mangione et la fausse arrestation de Benyamin Nétanyahou

Cette demande est arrivée après que plusieurs utilisateurs des smartphones d’Apple ont reçu, la semaine dernière, une notification annonçant le suicide de Luigi Mangione en affichant la BBC comme source. Pourtant, le principal suspect dans le meurtre du PDG de l’assurance américaine UnitedHealthcare, Brian Thompson, est toujours vivant. Il vient d’ailleurs d’être incarcéré à New York ce jeudi 19 décembre.

Ces notifications ont été mises en place avec l’introduction d’Apple Intelligence dans iOS d’abord sur le marché états-unien avant de débarquer via la nouvelle version 18.2 sur ceux du Canada, de Royaume-Uni, de l’Australie, de l’Irlande et de la Nouvelle-Zélande.

La BBC s’est plaint à Apple et a rapidement publié un article expliquant d’où venait le problème. Le média britannique y explique notamment qu’Apple n’a pas voulu commenter l’information.

Le journaliste de ProPublica, Ken Schwencke avait déjà relevé sur Bluesky une autre erreur dans un résumé envoyé par notification par Apple Intelligence annonçant notamment l’arrestation de Benyamin Nétanyahou.

Cette notification est apparue le 21 novembre, le jour où la Cour pénale internationale a publié un mandat d’arrêt à l’encontre du Premier ministre israélien. Ce jour-là, le New York Times a publié un article titré « Netanyahu’s Arrest Sought by International Criminal Court » (qu’on peut traduire par « L’arrestation de Nétanyahu requise par la Cour pénale internationale »).

RSF appelle Apple à prendre ses responsabilités

Pour Reporters sans Frontières, « cet accident souligne l’incapacité des systèmes d’IA à systématiquement publier des informations de qualité, même quand elles sont basées sur des sources journalistiques ».

Pour Vincent Berthier, responsable du bureau technologies et journalisme de RSF, « les IA sont des machines à probabilités, or la véracité d’une information ne se joue pas sur un coup de dés. RSF appelle Apple à prendre ses responsabilités en retirant cette fonctionnalité. La production automatisée de fausses informations portant le sigle de médias est une atteinte à leur crédibilité, et un danger pour le droit du public à disposer d’informations fiables sur l’actualité ».

Le responsable de l’ONG ajoute, s’agissant de l’encadrement légal des outils d’IA générative que « l’AI Act européen, pourtant la législation la plus avancée au monde en la matière, n’a pas classé les IA générant de l’information comme systèmes à haut risque, laissant un vide juridique critique. Cette lacune doit être comblée rapidement ».

Pour la BBC, « il est essentiel pour nous que notre public puisse se fier aux informations ou au journalisme publiés en notre nom, ce qui inclut les notifications ».

L’entreprise à la pomme a pourtant introduit, comme ses concurrents, des instructions qui visent à empêcher l’intelligence artificielle de générer de fausses informations. Mais il semble que les instructions intégrées au système ne soit pas suffisantes pour éviter toutes les erreurs.

Une fonctionnalité qui concerne toutes les notifications

La fonction concernée est en fait un condensé des notifications reçues effectué par Apple Intelligence.

L’entreprise explique que, « grâce à sa compréhension approfondie du langage, Apple Intelligence peut vous aider à condenser les informations les plus importantes pour vous ». Elle ajoute que « les notifications sont résumées pour que vous puissiez les parcourir à la recherche de détails clés, par exemple lorsqu’une discussion de groupe est particulièrement active ». Ce sont donc toutes les notifications qui sont concernées et pas seulement celles provenant des applications d’actualité.

Une option permet d’afficher les notifications « qui requièrent une attention immédiate, comme un message vous informant que vous devez aller chercher votre enfant à la crèche ». Une autre permet de désactiver la fonctionnalité.

Pour Apple, Meta abuse du DMA avec ses demandes d’interopérabilité

20 décembre 2024 à 08:04
Les vaches seront bien gardées
Pour Apple, Meta abuse du DMA avec ses demandes d’interopérabilité

En vertu du DMA, les entreprises peuvent formuler des demandes d’interopérabilité pour accéder à certaines fonctions ou capacités du matériel appartenant à un contrôleur d’accès (gatekeeper). Meta ne s’en prive apparemment pas, provoquant l’agacement d’Apple qui accuse sa concurrente d’abuser du système.

Les relations d’Apple avec l’Europe sont tendues depuis la mise en place du DMA. La firme de Cupertino n’a pas caché tout le mal qu’elle pense du cadre réglementaire, qui soumet certaines grandes entreprises à des obligations particulières, afin de préserver la bonne marche de la concurrence.

Apple estime que le DMA met en danger la sécurité, en l’obligeant notamment à ouvrir certains aspects très fermés, surtout sur iOS. En Europe, des boutiques tierces sont ainsi apparues, et Apple doit laisser le champ libre aux systèmes alternatifs de paiement. L’entreprise renâcle et ses conditions d’ouverture sont examinées par la Commission européenne. Pour Apple, ces mesures ne peuvent permettre qu’une recrudescence des attaques. Les iPhone européens seront donc moins sécurisés que les autres, même s’ils resteront les smartphones les plus sûrs. La communication de l’entreprise s’est faite à boulets rouges.

Bon gré, mal gré, Apple est soumise au DMA. L’Europe a rappelé il y a quelques mois que les entreprises pouvaient donc formuler des demandes d’interopérabilité pour accéder à certains aspects d’un écosystème ou d’un matériel particulier, ajoutant que les refus seraient examinés de près. C’est dans ce contexte qu’Apple critique vertement les demandes de Meta.

Interopérabilité contre pillage

Selon un rapport d’Apple que s’est procuré Reuters, Meta aurait effectué 15 demandes d’interopérabilité en quelques mois, soit « plus que toute autre entreprise ».

« Dans de nombreux cas, Meta cherche à modifier les fonctionnalités d’une manière qui soulève des inquiétudes quant à la vie privée et à la sécurité des utilisateurs, et qui semble n’avoir aucun rapport avec l’utilisation réelle des appareils externes de Meta, tels que les lunettes intelligentes Meta et les Meta Quests », indique ainsi Cupertino.

Selon Apple, Meta chercherait à profiter du DMA pour obtenir des informations allant plus loin que la simple question de l’interopérabilité, avec un accès étendu à sa pile technologique. « Si Apple devait accéder à toutes ces demandes, Facebook, Instagram et WhatsApp pourraient permettre à Meta de lire sur l’appareil d’un utilisateur tous ses messages et courriels, de voir tous les appels téléphoniques qu’il passe ou reçoit, de suivre toutes les applications qu’il utilise, de scanner toutes ses photos, de regarder ses fichiers et les événements de son calendrier, d’enregistrer tous ses mots de passe, et bien plus encore », ajoute l’entreprise.

Apple aurait également mentionné la réputation de Meta sur la vie privée et rappelé les multiples condamnations en Europe dans ce domaine.

Chacun chez soi

Si Apple tient tant à mentionner les aléas juridiques de Meta, celle-ci contre-attaque de la même manière.

« Ce qu’Apple dit en réalité, c’est qu’elle ne croit pas en l’interopérabilité. Chaque fois qu’Apple est mis en cause pour son comportement anticoncurrentiel, elle se défend en invoquant des motifs liés à la protection de la vie privée qui n’ont aucun fondement dans la réalité », a ainsi déclaré un porte-parole de Meta à Reuters.

Chaque entreprise joue ainsi la carte de la réputation sulfureuse de sa concurrence. Cependant, comme nous l’indiquions en septembre, la Commission européenne travaille actuellement sur la manière dont le processus de validation des demandes sera géré par Apple. Cette dernière a tout intérêt à faire connaitre sa position et ses objections, car le rapport européen sera finalisé en mars.

« Aujourd’hui, c’est la première fois que nous utilisons les procédures de spécification dans le cadre du DMA pour guider Apple vers le respect effectif de ses obligations en matière d’interopérabilité par le biais d’un dialogue constructif. Ce processus apportera de la clarté aux développeurs, aux tiers et à Apple », avait indiqué Margrethe Vestager, alors commissaire chargée de la concurrence.

☕️ Le géant néerlandais des semi-conducteurs ASML embauche Bruno Le Maire

20 décembre 2024 à 07:44

L’ancien ministre de l’Économie, Bruno Le Maire, va rejoindre l’entreprise néerlandaise de machines dédiées à la fabrication de semi-conducteurs ASML.

Selon l’agence de presse Reuters, la Haute Autorité pour la transparence de la vie publique (HATVP) a donné son accord ce jeudi 19 décembre : elle « considère que le projet envisagé par Monsieur Le Maire est compatible avec les fonctions publiques qu’il a exercées, sous réserve de respecter certaines mesures de précaution ».

Deux exemplaires du Twinscan EXE:5000, le premier scanner lithographique High-NA d’ASML, sont déjà installés chez Intel

Il devra néanmoins s’abstenir de démarcher les membres du gouvernement ainsi que les membres du cabinet de Bercy qui étaient en exercice lorsqu’il était ministre.

L’entreprise explique que Bruno Le Maire sera chargé de conseiller ses administrateurs à partir du 1er janvier.

☕️ GitHub Copilot gratuit pour Visual Studio Code, mais avec des limitations

19 décembre 2024 à 15:27

GitHub change son fusil d’épaule pour son Copilot. Plutôt que de le réserver aux personnes payant un abonnement, la société adopte un modèle freemium : une version gratuite, utilisable par tout le monde sur Visual Studio Code, mais avec des limites mensuelles. Une manière d’attirer les développeurs qui n’auraient pas encore succombé à ses sirènes.

Il y a principalement deux manières d’utiliser Copilot : les suggestions de code et les demandes directes via les messages dans l’interface de discussion. Cette version gratuite présente des limites sur les deux. Elle ne pourra ainsi pas dépasser les 2 000 suggestions de code et les 50 messages échangés en un mois.

Toutes les fonctions ne sont pas non plus présentes. Il faudra faire sans les résumés des demandes d’extraction, des problèmes et des discussions, l’assistant de mise à niveau pour Java, la revue de code dans GitHub, Worskpace pour les pull requests, GitHub Mobile ou encore l’interface en ligne de commande et la compatibilité avec le Terminal de Windows.

Ajoutons que la compatibilité de cette offre gratuite est limitée à Visual Studio Code. Il faut bien sûr un compte GitHub et l’offre est réservée aux développeurs individuels.

Pour supprimer ces limites, il faudra bien sûr payer pour l’offre Pro, disponible à 10 dollars par mois. La compatibilité s’étend alors à Visual Studio, Xcode, JetBrains, Neovim et Azure Data Studio.

« GitHub a une longue histoire d’offre de produits et de services gratuits aux développeurs. En commençant par l’open source gratuit et la collaboration publique, nous avons ajouté des dépôts privés gratuits, des minutes gratuites pour GitHub Actions et GitHub Codespaces, et le stockage gratuit des paquets et des versions. Aujourd’hui, nous ajoutons GitHub Copilot au mélange en lançant GitHub Copilot Free », s’est enthousiasmé Thomas Dohmke, CEO de GitHub. Même le patron de Microsoft, Satya Nadella, s’est fendu hier soir d’un tweet pour annoncer la nouvelle.

IRIS² : l’Europe lance officiellement sa constellation de satellites de communication

19 décembre 2024 à 15:15
Constellation du Taureau
IRIS² : l’Europe lance officiellement sa constellation de satellites de communication

La Commission européenne a signé un accord de concession avec le consortium SpaceRISE, initiant douze ans de travaux industriels pour le lancement de la future constellation IRIS².

Les travaux pour la création de la future constellation européenne IRIS² (Infrastructure de Résilience et d’Interconnexion Sécurisée par Satellites) sont officiellement lancés. Après deux ans de complexes négociations, l’Union européenne a initié le 16 décembre les travaux industriels qui lui permettront de se doter de sa propre constellation de communication. 



Face à l’avance prise par Starlink (SpaceX) et Kuiper (Amazon) et au contexte géopolitique et économique, la position de l’Union européenne, qui soutenait en 2021 une proposition britannique à l’ONU pour que l’espace reste « un environnement pacifique, sûr, stable et durable, à l’abri d’une course aux armements et de conflits » a nettement évolué. L’enjeu, désormais, est de faire d’IRIS² sa constellation souveraine.

Concrètement, l’Union européenne et l’Agence spatiale européenne (ESA) ont signé un accord de concession de douze ans avec le consortium SpaceRISE. Dirigé par les opérateurs français Eutelsat, luxembourgeois SAS et espagnol Hispasat, il réunit des équipementiers et des opérateurs européens, parmi lesquels Airbus Defence and Space, Thales Alenia Space, OHB, Telespazio, Deutsche Telekom, Orange, Hidesat et Thales SIX.

Un projet à 10,6 milliards d’euros

À l’origine, la commission avait engagé les négociations directement avec les fabricants de satellites. C’est finalement un partenariat public-privé de 10,6 milliards d’euros qui est conclu (contre 6 milliards au départ), incluant l’investissement de 4,1 milliards d’euros des opérateurs.

Si l’Allemagne a tenté de faire réviser le projet pour en baisser les coûts, la Commission a maintenu son projet, le commissaire européen à la défense et à l’espace Andrius Kubilius soulignant son importance pour l’autonomie stratégique de l’Europe.

En 2023, la Commission s’était engagée à investir 2,5 milliards d’euros d’ici 2027. Auprès du Monde, elle assure que de nouveaux investissements seront chiffrés dans les prochains budgets multiannuels – à défaut de quoi, I’Union devra revoir à la baisse ses ambitions pour IRIS².

Parmi les autres financeurs, l’ESA doit investir 550 millions d’euros.

292 satellites pour une constellation

Auprès de La Tribune, la directrice générale d’Eutelsat Eva Berneke indique : « Nous considérons que nous démarrons une constellation qui va durer 50 ou 100 ans, et non pas uniquement 12 ans ». À son opérateur, avec ses partenaires, d’organiser la fabrication de 292 satellites – 10 ultralégers pour l’orbite basse, 264 de 750 kilos destinés à l’orbite moyenne, et 18 de 2 tonnes pour l’orbite haute.

Tous doivent être déployés grâce à 13 lancements de la fusée Ariane 6, pour une mise en service « prévue en 2030, voire en 2031 », selon Eva Berneke. Pour le moment, Starlink a plus de 6 000 satellites en orbite (et enchaine les lancements à grande vitesse), tandis qu’Amazon n’a lancé que des démonstrateurs pour Kuiper (les premiers satellites commerciaux ne devraient plus tarder). Amazon prévoit plus de 3 000 satellites dans un premier temps pour passer ensuite à plus de 7 700.

Outre leur utilité pour IRIS² et pour les enjeux de souveraineté, les commandes passées par SpaceRISE devrait servir un milieu qui souffre du succès des constellations de petits satellites poussés par Starlink.

En septembre, des salariés de Thales Alenia Space se mobilisaient ainsi contre la suppression de 980 postes. Début décembre, Thales Alenia Space et Airbus Defence & Space annonçaient la suppression de près de 4 000 emplois (par mutation interne et départs en retraite) à travers l’Europe pour les deux prochaines années.

Avec IRIS², des mots même d’Eva Berneke, « l’Europe ne va pas rattraper Starlink. Ni Kuiper, qui a prévu de mettre sa constellation en 2028. » Elle travaille néanmoins à développer sa propre « capacité souveraine », en permettant notamment des transmissions haut débit sécurisées.

D’après la Commission, cela permettra le déploiement d’une variété d’applications gouvernementales, dans les domaines « de la surveillance (surveillance aux frontières et maritime), de la gestion de crise (comme l’aide humanitaire), de la connexion et de la protection d’infrastructure clés et de la sécurité et de la défense ».

Arriver en troisième position (si IRIS² ne se fait pas coiffer au poteau) après Amazon et SpaceX n’est pas sans contrainte. En effet, dans la course aux constellations de basses altitudes car « les premiers qui vont arriver, se déployer et avoir le droit d’émettre laisseront peut-être de la place à un deuxième acteur qui devra se coordonner par rapport au premier suivant les règles de priorité », expliquait il y a un an Didier Le Boulc’h (vice-président strategy et telecoms solution chez Thales Alenia Space). La situation se complique un peu plus avec le 3ᵉ arrivant, et ainsi de suite. Il est donc important pour l’Europe d’avancer rapidement.

☕️ Aux États-Unis, nouvelle grève des employés d’Amazon à l’approche des fêtes

19 décembre 2024 à 14:45

Des milliers de salariés d’Amazon aux États-Unis entament ce jeudi une grève.

Le syndicat Teamsters, qui déclare représenter près de 10 000 livreurs et employés d’entrepôts pour l’entreprise de Jeff Bezos, indique avoir voté la grève après que l’entreprise a refusé de participer aux négociations relatives à leurs conditions de travail.

Ce faisant, ils pourraient perturber les activités de l’entreprise dans l’une de ses périodes les plus intenses, à l’approche des fêtes de fin d’année.

D’après des observateurs interrogés par Reuters, il est peu probable qu’Amazon cède : plus de deux ans après la création du tout premier syndicat dans ses murs aux États-Unis, dans l’entrepôt de Staten Island, l’entreprise n’a toujours pas reconnu la validité du groupe de défense des droits des travailleurs.

Les produits TP-Link pourraient être à leur tour interdits aux États-Unis

19 décembre 2024 à 14:30
Le monde de demain
Les produits TP-Link pourraient être à leur tour interdits aux États-Unis

Le Wall Street Journal avance que le fabricant chinois de produits réseau TP-Link serait dans le collimateur des autorités américaines. Il lui serait en particulier reproché son manque de réactivité sur la correction des failles de sécurité. Le constructeur, de son côté, estime que tout est fait dans les temps.

Le Wall Street Journal a affirmé hier que plusieurs enquêtes ont été ouvertes sur TP-Link pour examiner ses pratiques en matière de sécurité. « Les enquêteurs des ministères du Commerce, de la Défense et de la Justice ont ouvert leurs propres enquêtes sur l’entreprise, et les autorités pourraient interdire la vente de routeurs TP-Link aux États-Unis l’année prochaine, selon des personnes au fait du dossier. Un bureau du ministère du Commerce a cité TP-Link à comparaître, ont indiqué certaines de ces personnes », indiquent nos confrères.

Ces enquêtes doivent déterminer si le constructeur chinois « pose un risque pour la sécurité nationale ». Auquel cas, elles pourraient aboutir à l’interdiction de commercialisation des produits, tout particulièrement des routeurs. Le Wall Street Journal note en effet que TP-Link est régulièrement en première place des ventes d’équipements réseau sur Amazon, le Taïwanais D-Link gardant la deuxième place.

Le Congrès américain déjà « déconcerté » en août

Les inquiétudes entourant TP-Link ne sont pas nouvelles. Le sujet tourne chez les membres du Congrès américain depuis des mois maintenant. Plus d’une vingtaine de députés de la Chambre des représentants ont ainsi envoyé en aout une lettre à la secrétaire du ministère du Commerce, Gina Raimondo, pour l’inviter justement à ouvrir une enquête.

« Les produits de TP-Link représentent une part substantielle du marché américain des routeurs Wi-Fi et des dispositifs connexes. Des informations de source ouverte indiquent que l’entreprise pourrait représenter une menace sérieuse pour la sécurité des ICTS [services de technologies de l’information et de communication, ndlr] américains. Nous demandons donc au département du Commerce d’enquêter sur TP-Link en vertu de ses pouvoirs en matière d’ICTS afin de déterminer si l’entreprise représente un risque pour la sécurité nationale », ont écrit les 24 députés.

La lettre relève que 95 % des adultes américains disent avoir utilisé Internet en 2023, les routeurs SOHO (small office/home office) étant le principal moyen d’accès. « TP-Link est le plus grand fournisseur de produits Wi-Fi au monde, vendant plus de 160 millions de produits par an dans plus de 170 pays », ajoutait la lettre. Des produits présents non seulement dans les foyers et entreprises, mais également dans les bases militaires américaines.

Les députés expliquent leur inquiétude par la conjonction de trois facteurs : l’omniprésence de TP-Link sur les produits réseaux, de fréquentes failles de sécurité, ainsi que le cadre réglementaire imposé par la Chine, auquel le constructeur doit se soumettre.

« Le degré inhabituel de vulnérabilités de TP-Link et la conformité requise avec la législation de la RPC sont en soi déconcertants. Si l’on ajoute à cela l’utilisation courante par le gouvernement chinois de routeurs SOHO tels que ceux de TP-Link pour perpétrer de vastes cyberattaques aux États-Unis, la situation devient nettement plus alarmante », s’émouvaient les députés.

Ils n’hésitaient pas à affirmer que les groupes APT (Advanced Persistant Threat) chinois « sont en mesure de menacer les infrastructures critiques des États-Unis, en grande partie grâce à leur capacité à compromettre les routeurs SOHO tels que ceux fabriqués par TP-Link ». Ces derniers étant fréquemment concernés par des problèmes de sécurité, la lettre sous-entend que les failles mettent d’autant plus de temps à être corrigées qu’elles permettent aux pirates d’en profiter.

Des produits TP-Link impliqués, mais à quel point ?

Des sources ont affirmé au Wall Street Journal que « les routeurs TP-Link sont régulièrement livrés aux clients avec des failles de sécurité, que l’entreprise omet souvent de corriger » et que « TP-Link ne dialogue pas avec les chercheurs en sécurité qui s’inquiètent de ces failles ». Nos confrères ajoutent cependant que « les autorités américaines n’ont divulgué aucune preuve que TP-Link est un canal de communication pour les cyberattaques parrainées par l’État chinois ».

La dernière grosse attaque ayant impliqué des produits TP-Link a été révélée le 31 octobre par Microsoft. La société a décrit un botnet de plusieurs milliers de routeurs, caméras et autres appareils IoT conçu pour attaquer les clients de son offre cloud Azure. Elle ajoutait que les routeurs SOHO de TP-Link constituaient la majeure partie du botnet.

Cependant, comme le note Ars Technica, un rapport de mars 2024 par Michael O’Rielly (ancien commissaire à la Federal Communications Commission) invitait à prendre un peu de hauteur. O’Rielly notait bien que « les produits TP-Link ont eu plus que leur part de citations » dans les alertes de sécurité et qu’il convient de surveiller la situation de près. Cependant, il n’était pas certain que les produits de la marque chinoise en présentaient significativement plus que d’autres.

« Il est difficile de savoir dans quelle mesure les vulnérabilités de TP-Link sont répandues par rapport à d’autres routeurs sans fil, qu’ils soient chinois ou autres, car il n’existe pas de comparaison ou de classement définitif des routeurs sur la base de leur sécurité », ajoutait-il, avant de recommander la prudence. Il estimait « tout à fait prématurée » l’idée d’interdire tous les routeurs fabriqués en Chine.

Les prix de TP-Link également dans le collimateur

La sécurité n’est pas le seul domaine concerné par les enquêtes. Toujours selon le Wall Street Journal, les prix pratiqués par TP-Link feraient également l’objet d’une intense scrutation. Le Journal cite des sources selon lesquelles le ministère de la Justice suspecterait des pratiques de vente à perte.

« Le ministère de la Justice cherche à savoir si les écarts de prix violent une loi fédérale qui interdit les tentatives de monopole par la vente de produits à un prix inférieur à leur coût de fabrication, selon une personne au courant de l’affaire », écrit le Journal, qui avance le chiffre de 64,9 % de parts de marché sur les routeurs SOHO pour TP-Link.

Un chiffre qu’un porte-parole de l’entreprise a contesté, tout en indiquant que les parts de marché aux États-Unis avaient effectivement augmenté. « Nous nous réjouissons de toute occasion de collaborer avec le gouvernement américain afin de démontrer que nos pratiques en matière de sécurité sont parfaitement conformes aux normes de sécurité du secteur, et de démontrer notre engagement permanent envers le marché américain, les consommateurs américains et les risques pour la sécurité nationale des États-Unis », a également déclaré TP-Link.

Si l’enquête devait confirmer les soupçons, TP-Link pourrait être ajoutée à la liste des entreprises chinoises n’ayant plus le droit de proposer ou commercialiser des services et produits sur le sol américain. Les tensions géopolitiques entre la Chine et les États-Unis vont crescendo. Si les enquêtes ne font que débuter, il est peu probable que le prochain gouvernement de Donald Trump cherche à apaiser la situation.

☕️ La Chine, la Russie, l’Iran et Israël et d’autres espionnent des Américains à l’aide du SS7

19 décembre 2024 à 13:43
La Chine, la Russie, l’Iran et Israël et d’autres espionnent des Américains à l’aide du SS7

Le Department of Homeland Security (DHS) américain avance que la Chine, la Russie, l’Iran et Israël sont les « principaux » pays qui exploitent les failles de sécurité des réseaux de télécommunications pour espionner les personnes se trouvant aux États-Unis, selon des informations publiées par le sénateur Ron Wyden et relayées par 404 Media.

Ces informations figurent dans une lettre (.pdf) rédigée par le Department of Defense (DoD) en réponse à des questions posées par le bureau du sénateur Wyden. Elle indique qu’en septembre 2017, le personnel du DHS avait fait une présentation sur les menaces de sécurité SS7 lors d’un événement ouvert aux fonctionnaires du gouvernement américain.

Une diapositive identifiait alors les « principaux pays qui utiliseraient les actifs de télécommunications d’autres nations pour exploiter les abonnés américains », ce qui pouvait inclure le suivi de leurs déplacements physiques et l’interception d’appels et de textes.

Selon la présentation du DHS, ces pays étaient la Russie, la Chine, Israël et l’Iran, ainsi que d’autres pays où les moyens de télécommunication sont utilisés pour attaquer les abonnés américains, notamment « un certain nombre de pays d’Afrique, d’Amérique centrale et du Sud, d’Europe et du Moyen-Orient ».

Le bureau du sénateur Wyden indique que le DoD a confirmé qu’il pensait que tous les opérateurs américains étaient vulnérables à la surveillance SS7 et Diameter. Ce dernier, successeur du protocole RADIUS, ne chiffre pas les adresses IP d’origine pendant le transport, ce qui peut faciliter les usurpations de réseau par des personnes mal intentionnées, comme nous l’avions rappelé il y a quelques mois.

404 Media rappelle que le protocole SS7 est utilisé pour acheminer les messages lorsqu’un utilisateur de téléphone se déplace en dehors de sa zone de couverture normale. Mis au point au milieu des années 1970, il peut en effet être utilisé de manière abusive pour localiser les téléphones, rediriger les appels et SMS afin d’intercepter les informations et espionner les utilisateurs.

Cette faculté d’utiliser SS7 à des fins d’espionnage « s’appuie sur des aspects fondamentaux du réseau et du protocole qui considèrent toute demande de connexion comme légitime, même si elle est effectuée par une partie malveillante », souligne 404 Media.

Interrogé quant à la survenue d’éventuels incidents survenus en 2022 ou 2023 au cours desquels des membres du personnel du DoD, aux États-Unis ou à l’étranger, avaient été surveillés au moyen de SS7 ou de Diameter, le DoD a répondu que la réponse à cette question « nécessitait une réponse classifiée ».

Bien connu pour son intérêt pour les questions de sécurité et de vie privée, Ron Wyden avait aussi récemment critiqué l’armée américaine pour sa gestion des communications non classifiées, et notamment le contrat Spiral 4 du ministère sur les télécommunications, négocié avec les opérateurs pour équiper le personnel civil et militaire. Le ministère de la Défense se serait passé en effet d’audits indépendants, pourtant réalisés.

La CNIL sanctionne le scraping sauvage de LinkedIn par Kaspr d’une amende de 240 000 euros

19 décembre 2024 à 13:27
Linked Out
La CNIL sanctionne le scraping sauvage de LinkedIn par Kaspr d’une amende de 240 000 euros

La CNIL a prononcé une sanction de 240 000 euros contre l’entreprise Kaspr. Celle-ci propose une extension Chrome qui permet de récupérer les coordonnées d’utilisateurs de réseau social LinkedIn, et ce même s’ils ont choisi d’en limiter la visibilité.

Sur la page d’accueil du site internet de Kaspr, c’est clair, la principale activité qu’elle met en avant est celle de son extension Chrome pour trouver « des numéros de téléphone sur LinkedIn et Sales Navigator », un outil du réseau social destiné aux commerciaux pour gérer leurs prospects.

Next avait déjà parlé d’une autre extension, skrapp.io, lors de notre enquête sur les escrocs du scraping. Ici, l’extension récupère les coordonnées des personnes dont l’utilisateur visite le profil.

Sur son site, l’entreprise vante son extension avec un badge « Aligné RGPD », et sur le Chrome Store, elle assure à ses utilisateurs : « Travaillez avec des données conformes à la RGPD [sic] ». La formation restreinte relève par ailleurs que l’établissement unique de la société KASPR se trouve en France.

Pourtant, c’est bien pour des manquements au RGPD liés à cette extension que Kaspr vient de se faire épingler par la CNIL suite à plusieurs plaintes.

D’abord, la CNIL note dans sa délibération que Kaspr ne fait pas seulement sa collecte de données pour les utilisateurs de son extension, mais aussi pour son propre fichier : « la société collecte et conserve d’une part, les données de contacts des personnes cibles et d’autre part, les données des utilisateurs de l’extension KASPR qui sont utilisées par la société à des fins de prospection commerciale ».

Une collecte de données même si les utilisateurs ont limité leur visibilité

Et cette collecte est illégale car l’outil de Kaspr permet de récupérer les coordonnées d’utilisateurs qui ont expressément limité leur visibilité.

Le réseau social prévoit plusieurs niveaux de visibilité :

  1. « uniquement visible par moi » ;
  2. « tout le monde sur LinkedIn » ;
  3. « relations de 1er niveau » ;
  4. « relations de 1er et 2e niveaux ».

Kaspr a expliqué que ce n’est que dans les trois derniers cas qu’elle procède à la collecte des données. Elle considérait donc respecter le choix de l’utilisateur en ne collectant pas celles protégées par l’option « uniquement par moi ».

Mais la CNIL considère que « dès lors que les personnes font usage de leur liberté de choix en restreignant la visibilité de leurs données à caractère personnel, ce choix s’impose nécessairement aux tiers ». Elle ajoute qu’« ainsi, si un professionnel qui est inscrit sur LinkedIn choisit de limiter la visibilité de ses coordonnées, il ne peut être soutenu que la collecte de ses données par la société KASPR figure au titre des attentes raisonnables de cette personne ».

La CNIL considère que « le fait pour les personnes cibles d’avoir choisi de masquer leurs coordonnées équivaut à une forme d’opposition, corolaire indispensable de l’intérêt légitime, laquelle doit être prise en compte par la société qui n’a ainsi pas d’intérêt légitime pour collecter les coordonnées masquées ».

L’autorité estime qu’en restreignant à un certain niveau de relation l’accès à leurs données, les utilisateurs refusent clairement le traitement de leurs données : « en révélant les données des personnes cibles à des personnes qui leur sont inconnues alors qu’elles avaient choisi de restreindre la visibilité de leurs coordonnées (relations de 1er et/ou de 2ème niveaux), la société va directement à l’encontre de leurs « attentes raisonnables » ».

À partir de là, la CNIL juge qu’aucune base légale n’apparait valable pour le traitement en cause : « ni la base légale du consentement, ni celle du contrat, ni aucune autre des bases légales (respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne concernée ou exécution d’une mission d’intérêt public) », et donc que l’entreprise a violé l’article 6 du RGPD.

Des données conservées trop longtemps

L’autorité considère aussi que Kaspr conserve trop longtemps certaines données qu’elle a collectées de façon licite. Elle relève que, jusqu’en 2021, l’entreprise conservait les données sans limite de temps. Kaspr a ensuite modifié sa politique de conservation, prévoyant une durée de 5 ans à partir de chaque mise à jour des données.

La CNIL considère que « ce renouvellement de la durée de conservation conduit à une conservation de leurs données disproportionnée » pour les personnes qui changent de postes régulièrement et qui mettent donc à jour leurs données à chaque fois, prolongeant de ce fait leur conservation. Cette disproportion contrevient donc, selon l’autorité, à l’article 5 du RGPD.

Autre problème : Kaspr n’a commencé à informer les personnes concernées qu’elle collectait leurs données qu’à partir du 18 mai 2022 alors que son extension a été créée en 2018. Le rapporteur de la CNIL souligne que cette information était pourtant facile à faire « dès lors que parmi les données qu’elle collecte figure une adresse de messagerie électronique ». Il note que, depuis, l’information n’est rédigée qu’en anglais, « ce qui ne permet pas d’informer valablement les personnes ne maitrisant pas cette langue ».

L’entreprise s’est défendue sur le sujet en faisant remarquer qu’entre 2018 et 2022, elle considère avoir informé les personnes par l’intermédiaire de ses politiques de confidentialité et de celles de LinkedIn. La CNIL a balayé cette défense en expliquant que celles du réseau social ne prévoient pas le traitement des données qu’un utilisateur souhaitait garder privées et que celles de Kaspr sont très floues. Pour la CNIL, cela signe clairement un manquement à l’obligation de transparence et d’information des personnes prévue par les articles 12 et 14 du RGPD.

Enfin, plusieurs personnes qui ont demandé à Kaspr l’origine des données qu’elle a collectées « n’ont reçu aucune réponse précise de la part de la société, cette dernière se contentant de leur indiquer que les données étaient disponibles sur des sources publiquement accessibles ».

La CNIL remarque qu’ « il ressort des pièces du dossier que la société KASPR a pourtant identifié précisément une partie des sources qui alimentent sa base de données » et qu’elle aurait donc pu leur fournir comme l’exige l’article 15 du règlement européen.

Kaspr peut étonnement conserver les données sous certaines conditions

En dehors de l’amende de 240 000 euros, l’autorité demande à Kaspr de cesser la collecte des données dont la visibilité est limitée par l’utilisateur de LinkedIn.

À première vue, elle lui demande aussi de « supprimer l’ensemble des données de contacts importées lors de la synchronisation des comptes LinkedIn des utilisateurs ayant choisi de limiter la visibilité de leurs coordonnées ».

Mais elle lui permet étonnamment de les garder « en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données », en lui demandant d’informer, dans un délai de 3 mois, ces utilisateurs du traitement de leurs données et de la possibilité de s’y opposer.

Comme à chaque décision de ce genre, l’autorité précise que Kaspr peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

☕️ Une deuxième Developer Preview pour Android 16

19 décembre 2024 à 11:13

Depuis hier, les personnes possédant un Pixel (au moins 6) peuvent récupérer la deuxième Developer Preview. S’agissant encore des premières préversions, il n’est pas recommandé de l’installer, à moins de savoir précisément ce que l’on fait, car les problèmes peuvent être nombreux.

À ce stade, les nouveautés sont souvent sous le capot. Pourtant, cette DP2 comprend plusieurs améliorations côté fonctions. Par exemple, la possibilité de déverrouiller l’appareil par l’empreinte digitale quand l’écran est encore éteint. Apparus avec la version QPR2 d’Android 15, les anneaux de charge sont présents pour les périphériques Bluetooth. On peut aussi ajouter un raccourci vers l’application définie par défaut pour la prise de notes.

Il y a bien sûr plusieurs améliorations internes, dont l’ajout des méthodes hasArrSupport() et getSuggestedFrameRate(int) pour que les applications puissent mieux tirer parti du rafraichissement adaptatif de l’écran (ARR) introduit dans Android 15. On note également la possibilité dans le sélecteur de photos de déclarer des fournisseurs cloud comme sources, le support du 802.11az, ou encore un meilleur contrôle des retours haptiques via de nouvelles API.

Rappelons qu’à partir d’Android 16, le rythme de publication est modifié. La version finale arrivera désormais plus tôt et sera suivie, à chaque fois à l’automne, d’une deuxième évolution du SDK.

L’Espagne veut créer un « droit de rectification » applicable aux médias et influenceurs

19 décembre 2024 à 09:30
Defaked news
L’Espagne veut créer un « droit de rectification » applicable aux médias et influenceurs

En réponse à des fake news diffusée dans la presse et relayée par des influenceurs, le gouvernement socialiste envisage d’introduire un « droit de rectification » qui, au-delà des médias (à qui il est d’ores et déjà possible d’envoyer un « droit de réponse »), s’appliquerait aussi aux influenceurs.

Le gouvernement espagnol a présenté un avant-projet de loi qui prévoit que tous les médias, créateurs de contenu ou influenceurs ayant plus de 100 000 abonnés sur un réseau social ou plus de 200 000 tous réseaux confondus (qualifiés d’ « utilisateurs significatifs ») « devront disposer d’un mécanisme facile et accessible pour faciliter le droit de rectification des citoyens de notre pays », a précisé le ministre de la Justice Félix Bolaños.

La durée pour faire valoir ce « droit de rectification » sera également rallongée, passant de sept à 10 jours. Et il ne sera plus nécessaire de s’adresser au directeur de la publication, souligne l’AFP.

L’avant-projet de loi donne à ces « utilisateurs significatifs » un délai de trois jours pour rectifier l’information, faute de quoi les plaignants disposeront de sept jours pour se tourner vers la justice. S’il se saisit de l’affaire, le juge disposera de son côté de sept jours pour tenir une audience et rendre sa décision le jour même ou le lendemain, précise Le Figaro.

Un plan de « renouvellement démocratique »…

« Les citoyens de ce pays ont le droit de se défendre des menteurs professionnels », a déclaré le ministre de la Justice, pour qui il faut « être conscient de l’impact que les rumeurs et les fausses nouvelles exercent dans toutes les démocraties » :

« Il y a des professionnels de la rumeur et du mensonge qui, tous les jours, salissent notre débat public avec des mensonges. Le droit de rectification pourra s’exercer à leur encontre. »

L’initiative part d’un constat : de simples individus ayant construit de fortes audiences « ont une diffusion plus grande que beaucoup de médias traditionnels. Et il existe des professionnels des fausses informations qui tous les jours, par leurs mensonges, couvrent de boue le débat public », a ajouté Félix Bolaños.

Le Premier ministre social-démocrate espagnol Pedro Sánchez a fait de la lutte contre la désinformation une priorité et avait présenté en septembre un plan de « renouvellement démocratique » fustigeant les propagateurs « désinformation et diffamation », précise l’AFP.

… en réponse à des propagateurs de « désinformation et diffamation »

Ce plan gouvernemental avait été annoncé dans la foulée de l’ouverture d’une enquête pour « corruption et trafic d’influence » visant son épouse Begoña Gómez, après la plainte d’un collectif proche de l’extrême droite qui a depuis admis s’être appuyé sur des « informations de presse non vérifiées ».

Il doit être progressivement mis en œuvre jusqu’à la fin de la législature dans trois ans, et comprend une trentaine de mesures, dont la création d’un registre public recensant les journaux, leurs propriétaires et leurs revenus publicitaires, le renforcement du droit à la vie privée et à la rectification des informations erronées.

Les médias devront publier la liste de leurs actionnaires et limiter la publicité institutionnelle « afin d’éviter une dépendance au pouvoir politique », précise Le Figaro. Le gouvernement Sanchez critique en effet le financement par des régions et des mairies gouvernés à droite de médias aux faibles audiences, aux lignes éditoriales très hostiles à son exécutif et peu regardantes quant à la rigueur des informations publiées.

À ne pas confondre avec le « droit de rectification » du RGPD

En France et en Europe, en vertu du RGPD, le « droit de rectification » permet de corriger des données inexactes vous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l’appartement) en lien avec la finalité du traitement, afin d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées vous concernant :

« Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

La CNIL souligne cela dit qu’il « ne s’applique pas aux traitements littéraires, artistiques et journalistiques ».

❌
❌