Les News sur la securite informatique en 2018

⏩Bulletin D'ALERTE DU CERT-FR⏪

Plusieurs vulnérabilités ont été découvertes dans WPA/WPA2. Il est possible lors de l'établissement d'une session de communication utilisant le protocole WPA/WPA2 d'interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges. Lors de cette phase d'initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d'accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS

La vulnérabilité affectant le protocole de sécurisation des échanges utilisant le mécanisme Wi-Fi Protected Access (WPA), de nombreux systèmes sont impactés.

La vulnérabilité touche entre autres les systèmes suivants:

• Windows
• Linux
• Android
• Apple

SOLUTION

Plusieurs éditeurs ont diffusé des correctifs pour ces vulnérabilités. Le CERT-FR recommande l'application de ceux-ci au plus vite.

— Modifié le 25 déc. 2018 à 12:34:33

C'est quoi ANSSI ...

Le Cert.FR qui a publié le bulletin d'alerte d'hier est l'agence qui publie les alertes pour l'ANSSI.

http://www.cert.ssi.gouv.fr/

⏩L'ANSSI c'est quoi ⏪

ANSSI c'est l' Agence Nationale de la Sécurité Informatique

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 20091. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. 

Elle est chargée de la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique.

📌Elle contribue au développement de la confiance

📝 Et vient de lancer la plateforme nationale contre la cybermalvaillance

Après une phase d’expérimentation, le dispositif d’aide aux victimes Cybermalveillance.gouv.fr sera lancé sur l’ensemble du territoire national le mardi 17 octobre.

📝 Cybermalvaillance.Gouv.FR

C'est la solution vers laquelle peuvent désormais se tourner les victimes de cybermalveillance.

C’est un guichet unique qui met en relation ces victimes avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire national.

Il s’adresse aux particuliers, aux entreprises (PME/TPE) et collectivités territoriales.

🍀 Ses missions :

◾Référencer et animer le réseau de prestataires de solutions présents sur l’ensemble du territoire
◾ Lancer des campagnes d’information et de sensibilisation au niveau national sur la sécurité numérique
◾ Mettre en place un observatoire du risque numérique

— Modifié le 27 juin 2018 à 19:51:28

🎯 Et un de plus , un de plus ...One Plus !!

✍️ OnePlus espionne ses smartphones, la firme s’explique:

Les données collectées sont donc les suivantes : numéro IMEI, adresses MAC, nom des points d’accès Wifi… Et également la liste des applications utilisées ainsi que les heures d’utilisation de ces dernières. Chris D. Moore a alors cherché a contacté OnePlus, qui a répliqué en lui proposant de réinitialiser son smartphone aux paramètres d’usine… Il a alors fait part de sa découverte sur Twitter.

◾Mais qui est le mouchard ?

OnePlus System Service et ne peut pas être complètement désinstallée du système !

Il est en revanche possible de passer par une ligne de commande (pm uninstall -k –user 0 net.oneplus.odm) afin de la supprimer définitivement. Face à la polémique, OnePlus a publié un communiqué explicatif :

Nous transmettons de façon sécurisée des analyses dans deux flux différents via HTTPS vers un serveur Amazon. Le premier flux est celui d’analyse de l’utilisation, que nous collectons pour ajuster avec précision notre logiciel en fonction du comportement de l’utilisateur. Cette transmission de l’activité d’utilisation peut être désactivée en accédant aux ‘Paramètres’ > ‘Avancé’ > ‘Rejoindre le programme d’expérience utilisateur’. Le second flux concerne les informations sur les périphériques, que nous collectons afin de fournir un meilleur support après-vente

💡 C'est oui pour Rooter son smartphone avec LineageOS.

Le One plus 5 et les autres font parti de la liste des appareils pris en charge :

https://wiki.lineageos.org/devices/

— Modifié le 27 juin 2018 à 20:05:41

Comment visualiser la sécurité de son compte Google

⏩Security chechup⏪

🍀Google propose un outil officiel simplissime pour tester la sécurité de votre compte.

Afin que vous puissiez savoir où en est la sécurité de votre compte et s’il n’est pas éventuellement vulnérable à certaines intrusions, attaques, ou pire, à sa prise de contrôle par une personne ou une entité malveillante, Google met à disposition un outil très simple qui vous fournit un instantané des failles potentielles qui pourraient vous valoir quelques désagréments.

✍️Comment !!

◾ On clic sur le lien : https://myaccount.google.com/security-checkup
◾On vérifie son activité
◾On valide ou on signale.

— Modifié le 27 juin 2018 à 20:07:36

🔔La Maj de Chrome CleanUP

Une application sur Windows pour rechercher et supprimer les logiciels qui peuvent causer des problèmes dans Chrome....Oui elle existe !!

⏩ Chrome CleanUp Tool⏪

Dans le cadre de ses efforts continus pour améliorer la sécurité et la navigation sur Chrome, Google vient d’annoncer trois changements pour aider les utilisateurs de son navigateur sur Windows à supprimer des infections de logiciels indésirable

◾Intégrer Chrome CleanUp dans son navigateur.

Cette fonctionnalité détecte les logiciels indésirables pouvant être associés à des téléchargements et fournit une aide pour leur suppression. 

◾Une nouvelle interface plus simple
◾La fonctionnalité Chrome Cleaner intégrée va embarquer un moteur de détection plus puissant : celui de la firme de sécurité ESET. 

Google s’attaque également au détournement des paramètres des navigateurs

◾Les extensions

Les extensions peuvent aider à rendre Chrome plus utile, par exemple en personnalisant la gestion des onglets.

Mais certaines extensions peuvent changer vos paramètres sans que vous le sachiez. Désormais, lorsque Chrome détecte que les paramètres de l'utilisateur ont été modifiés sans votre consentement, il vous proposera de restaurer les paramètres modifiés. 

— Modifié le 27 juin 2018 à 20:09:05

🔔 Comment les entreprises surveillent notre quotidien

✍️Comment des milliers d’entreprises surveillent, analysent et influencent la vie de milliards de personnes.

Quels sont les principaux acteurs du pistage numérique aujourd’hui ? Que peuvent-ils déduire de nos achats, de nos appels téléphoniques, de nos recherches sur le Web, de nos Like sur Facebook ? Comment les plateformes en ligne, les entreprises technologiques et les courtiers en données font-ils pour collecter, commercialiser et exploiter nos données personnelles ?

Cracked Labs vient se sortir un rapport de 93 pages où il a examiné le fonctionnement interne et les pratiques en vigueur dans cette industrie des données personnelles.

S’appuyant sur des années de recherche et sur un précédent rapport de 2016, l’enquête donne à voir la circulation cachée des données entre les entreprises. Elle cartographie la structure et l’étendue de l’écosystème numérique de pistage et de profilage et explore tout ce qui s’y rapporte : les technologies, les plateformes, les matériels ainsi que les dernières évolutions marquantes.

📌Le rapport complet (93 pages, en anglais) est disponible en téléchargement au format PDF, et cette publication web en présente un résumé en dix parties.

📝Sommaire

I. Analyser les individus

II. Analyser les individus dans la finance, les assurances et la santé

III. Collecte et utilisation massives de données client

IV. Les courtiers en données/ et le marché des données personnelles

V. La surveillance en temps réel des comportements quotidiens

VI. Relier, faire correspondre et combiner des profils numériques

VII. Gérer les clients et les comportements : personnalisation et contrôle

VIII. Dans les mailles du filet : vie quotidienne, données commerciales et analyse du risque

IX. Cartographie de l’écosystème du pistage et du profilage commercial

X. Vers une société du contrôle social numérique généralisé ?

C'est le moment de se le partager !

— Modifié le 27 juin 2018 à 20:09:55

🔔 Caliopen : la messagerie libre sur la rampe de lancement

✍️Caliopen c'est quoi ?

Caliopen vise à convaincre un maximum d’utilisateurs de la valeur de leur vie privée. Et pour ça, il faut d’abord leur montrer, de manière évidente, que leurs conversations sont très majoritairement espionnables, sinon espionnées.
D’où l’idée d’associer aux messages (mais aussi aux contacts, aux terminaux, et même à l’utilisateur lui-même) un niveau de confidentialité. Représenté par une icône, des couleurs, des chiffres.

📌 Car quand on voit le risque on agit autrement

📸 La carte postale

Avec Caliopen on va se rendre compte de la nature de nos messages.
Est ce qu'ils sont de type carte postale, c'est à dire lisible par tout le monde
ou bien dans une enveloppe , une enveloppe cachetée.

Mais pas seulement , Caliopen va nous indiquer le niveau de confidentialité et choisir le plus élevé

À chaque fois qu’un utilisateur de Caliopen va vouloir écrire à un de ses contacts, c’est le protocole le plus sécurisé qui sera choisi par défaut pour transporter son message. Prenons un exemple et imaginons que tu m’ajoutes à tes contacts dans Caliopen : tu vas renseigner mon adresse email, mon compte Twitter, mon compte Mastodon, mon Keybase… plus tu ajouteras de moyens de contact plus Caliopen aura de choix pour m’envoyer ton message. Et il choisira le plus sécurisé par défaut (mais tu pourras décider de ne pas suivre son choix).

📆Pour tester la version Alpha c'est maintenant

https://welcome.caliopen.org/demander-une-invitation-pour-tester-la-version-alpha-de-caliopen

— Modifié le 27 juin 2018 à 20:11:38

📝La cybersécurité à son forum : le FIC

Le Forum International de la Cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité.

Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est l’évènement européen de référence réunissant tous les acteurs de la confiance numérique.

✍️Pour animer cette démarche, le FIC s’appuie sur :

◾ Un Salon, pour communiquer, se valoriser, recruter, nouer & entretenir des contacts
◾Un Forum, pour échanger avec des experts, se perfectionner et partager les retours d’expérience
◾L’Observatoire pour poursuivre les échanges tout au long de l’année, approfondir les thématiques et faire vivre son réseau

💡 On s'inscrit à la newsletter pour ne rater aucune News

— Modifié le 27 juin 2018 à 20:12:51

Comment signaler un contenu illicite sur internet

📝Un contenu illicite c'est quoi :

C'est un contenu à caractère pédophile, frauduleux, une incitation à la haine raciale ou à la discrimination de personnes en fonction de leur origine, sexe ou handicap.

⏩Internet- Signalement.gouv.fr⏪

◾ On remplit le formulaire et on valide.
◾C'est anonyme même si on peut aussi donner son identité.

Vous avez la possibilité de rester anonyme, mais vous pouvez aussi vous identifier. 
Si vous choisissez de vous identifier, vous ne serez pas contacté (sauf cas particulier). Votre identité sera conservée confidentiellement. 

— Modifié le 27 juin 2018 à 20:14:00

🔔 Objets connectés les recommendations de la DGCCRF

✍️Une vigilance nécessaire de la part des consommateurs

Le développement des objets connectés expose principalement les consommateurs à deux types de risques :

◾L'utilisation commerciale des données personnelles et les atteintes à la vie privée

Une des conséquences de ce monde de réseau et de communication est que nous laissons de plus en plus de traces numériques. Au-delà des progrès technologiques, il s’agit désormais de parvenir à garantir l’anonymat des données. Les objets communicants reçoivent, interprètent et communiquent entre eux les données préalablement collectées.

◾Les risques de piratage

Dès lors que «se connecter à internet» devient une fonction intégrante d’objets du quotidien les concepteurs de ces équipements doivent faire face aux risques des « cybers » attaques.

✍️ Que faire pour se protéger :

◾Procéder régulièrement aux mises à jour pour limiter le nombre de vulnérabilités connuues
◾Changer les mots de passes par défaut de chaque object connecté.
◾Restreindre le réseau et isoler son accès internet des autres éléments connectés au réseau ( il n'est pas nécessaire que l'imprimente soit connectée à la TV par exemple )

📌Et bien sûr un mot de passe fiable et différent pour chaque appareil

https://www.nextpit.fr/forum/744095/guide-pour-ses-mots-de-passes

— Modifié le 27 juin 2018 à 20:17:29

⚠️Aux lecteurs de musique gratuit

Un nouveau malware vient d'être signalé.
Surnommé Grabos, par les chercheurs, le malware se cache derrière les applications de lecteur de musique gratuit . 

⏩Que Fait Grabos⏪

◾Grabos comme d'autres logiciels malveillants vise à voler les données personnelles des victimes et collecter des informations sur le périphérique infecté comme la version Android , le modèle de construction, le réseau, l'emplacement, le code pays, la carte SIM, le transporteur, la langue et le fuseau horaire. , etc.

◾ Le logiciel malveillant vérifie également les applications sociales et Google sur l'appareil. Une fois toutes les informations collectées, le logiciel malveillant l'envoie à un serveur de commande et de contrôle au format crypté.

— Modifié le 27 juin 2018 à 20:19:14

⏩482 sites enregistrent tout ce que l'on tape au clavier⏪

✍️Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc

Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas !

📌La liste complète :

https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

— Modifié le 27 juin 2018 à 20:21:02

Et tu proposes quoi comme Lecteur de musique plus sûr ?

ICICMusic, c'est une application  sur le Playstore pour écouter YouTube en arrière plan et avec en bonus sa Playliste disponible hors connexion :

https://www.nextpit.fr/forum/742737/app-icicmusic-youtube-sans-internet

🔔Attention aux capteurs biométriques!!

✍️Pas fiable, ils ne doivent pas être utiliser pour déverrouiller notre smartphone

Le scanner d’iris sur le Samsung Galaxy S8, Face ID sur l'iPhone X et le scanner d'empreintes digitales sur tous les smartphones souffrent tous du même défaut : la biométrie n'est pas sécurisée.

◾ La biométrie n'est pas sécurisée !!

Par exemple, lorsqu’un de mes collègues a essayé la fonction de reconnaissance faciale du LG Q6, il a pu le déverrouiller en tenant un autre smartphone dans la main avec une photo de lui-même.
Même le plus sophistiqué Face ID de l'iPhone X peut être dupé. En moins d'une semaine, et pour moins de 150 dollars, les chercheurs d'une entreprise de cybersécurité ont réussi à créer un masque (très effrayant) capable de piéger Face ID. Même sans le vouloir, les membres d’une famille peuvent dans certains cas accéder aux iPhones des autres. Un garçon de 10 ans a réussi à débloquer l'iPhone X de sa mère en raison de leur forte ressemblance, et Face ID est facilement dupé par des jumeaux identiques.

📌La meilleure alternative

La meilleure alternative est simplement un mot de passe fort. Cela signifie utiliser des lettres, des chiffres et des symboles, mais aussi ne jamais réutiliser le même mot de passe.

😚 Un mot de passe fort et pas j'aime le Foot !!

https://www.nextpit.fr/forum/744095/guide-pour-ses-mots-de-passes

— Modifié le 27 juin 2018 à 20:23:26

🔔La dissimulation de Cyber Attaque bientôt Sanctionnée.

✍️Le GDPR: le règlement général sur la protection des données

Uber avait dissimulé une importante cyberattaque dont il a été victime fin 2016 en versant 100.000 dollars aux pirates… en échange de leur silence. C’est la révélation que  Dara Khosrowshahi, PDG de la société a fait mardi. Arrivé en août, il assure n’avoir été informé que très récemment de cette attaque mené par deux employés qui avaient à l’époque été chargés de s’occuper de l’incident. Selon Uber, les deux pirates ont téléchargé une base de données à partir de serveurs utilisés par la société.

📌L’attaque a permis le vol d’informations personnelles appartenant à 57 millions d’utilisateurs. Les hackers ont surtout réussi à obtenir les noms, courriels et numéros de téléphone mobiles de ses clients, a expliqué la société californienne.

la faute aux pénalités dérisoires qui n’incitent pas suffisamment les entreprises à protéger leurs données.

Ainsi, il est importante de noter que, lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données.

Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction.

Vivement le mois de mai.....

— Modifié le 27 juin 2018 à 20:23:56

🎯 Vulnérabilité dans TeamViewer

🚨Les correctifs arrivent

Récemment, un utilisateur de GitHub utilisant le handle en ligne de "Gellin" a découvert une vulnérabilité critique dans TeamViewer qui permet à un attaquant ou à un client de prendre à distance un ordinateur sans le consentement ou la connaissance de son propriétaire.

📌La vulnérabilité affecte TeamViewer sur les systèmes macOS, Linux et Windows

• Un correctif pour les versions Linux et macOS de TeamViewer sera disponible  mardi  ou  mercredi
• Un correctif pour Windows a déjà été publié  mardi.

— Modifié le 27 juin 2018 à 20:24:20

🔔 Bulletin d'alerte de l'ANSSI

✍️Vulnérabilité d’usurpation d’identité dans plusieurs clients de messagerie⏪

⏩ Mailsploit.⏪

Cette vulnérabilité permet lors de l'envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d'usurper potentiellement une identité expéditeur.

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs "From" de l'entête d'un courriel pour amener un client de messagerie à n'interpréter qu'une partie des informations fournies. La différence entre la valeur du champ "From" et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l'émetteur qui seront présentées au destinataire.

📌 D'autre part, la vulnérabilité mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas être interprété par le client de messagerie.

📝Pour quelles messageries sur Android :

• Proton mail
• Yahoo Mail
• BlueMail
• Type Mail
• Aqua Mail
• Newton
• Email exchange
• AOL mail
• K9 mail
• Nine Mail

🚨Le CERT-FR met en garde contre les risques de hameçonnages liés à l'utilisation de cette vulnérabilité.

De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d'une vigilance accrue même si l'émetteur annoncé du courriel est considéré digne de confiance.

— Modifié le 27 juin 2018 à 20:26:06

🚨Piratage de Cdiscount : les données bancaires de centaines de clients ont été détournées

L’affaire est loin d’être glorieuse pour le site Cdiscount. Selon les informations du Point, la sécurité de la plateforme spécialisée dans le commerce électronique a été mise en défaut par un ou plusieurs individus au cours des derniers mois, afin de récupérer des informations sensibles bien précises. En effet, il s’agissait de données bancaires enregistrées par les clients pour des achats futurs.

📌 La manœuvre a débuté en juin et a affecté près de 500 clients de l’entreprise française. Le préjudice est évalué à plus de 350 000 euros, étant donné que la manœuvre visait des produits de valeur, comme des smartphones ou de l’électroménager.

ıllıllı Gare à sa carte ıllıllı

L’incident, manifestement assez limité par son ampleur, donne en tout cas du grain à moudre à ceux et celles qui préfèrent ne jamais enregistrer leurs coordonnées bancaires sur un site de vente en ligne, même en prévision d’autres achats. Si elle est proposée à des fins de commodité, cette option peut à terme représenter un risque de sécurité si un accès frauduleux survient dans la base de données du site.

🔔 Loapi : un cheval de Troie

Inonder l’écran d’un utilisateur de smartphone Android de publicités intempestives, participer à des attaques par déni de service distribué, envoyer des SMS vers n’importe quel numéro, souscrire de façon furtive à des offres payantes, voilà la litanie d’actions malicieuses à mettre sur le compte de « Loapi »

Un malware découvert par les chercheurs en sécurité de la firme Kaspersky. Ce cheval de Troie est également capable de transformer un terminal en dispositif de minage de moneros. L’activité est d’une intensité telle qu’elle provoque la surchauffe de la batterie et des composants électroniques. La preuve en images avec un smartphone sacrifié par les chercheurs de la firme de sécurité russe pour les besoins de l’analyse du code malveillant.

✍️Comment :

Loapi est distribué par le biais de canaux autres que le Google Play Store. On parle ici de campagnes publicitaires et de spam par SMS qui tentent de rediriger les utilisateurs vers un site de téléchargement.

Mais ce n'est pas tout :

Loapi sait également assurer sa survie une fois qu’il s’est accaparé d’un terminal. Les chercheurs de la firme rapportent qu’il est à même de détecter le téléchargement et l’installation d’une solution antivirus. Dans de telles conditions, il génère une alerte destinée à inciter l’utilisateur à procéder à la désinstallation du facteur gênant. Là encore, l’utilisateur se voit servir le message en boucle jusqu’à ce qu’il cède. Loapi sait aussi protéger le menu Paramètres des « intrusions » de l’utilisateur qui tenterait de revoir ses privilèges à la baisse. Noter à ce propos que le cheval de Troie dispose de privilèges administrateur qu’il met hors de portée de l’utilisateur en procédant à une fermeture systématique du menu concerné.

📌 Le mode sans échec pour s'en débarrasser

Dans de telles conditions, l’utilisateur pourrait bien être tenté de procéder à une réinitialisation complète du système. Toutefois, il faut souligner la possibilité de se familiariser avec le « mode sans échec » qui peut permettre de se débarrasser d’un tel intrus sans perdre ses données.

😚Le mode sans échec, notre meilleur allié sur Android !!

— Modifié le 27 juin 2018 à 20:29:10

🚨 Un nouveau virus sur Messenger : Digmine

Les chercheurs de la société de sécurité Trend Micro avertissent les utilisateurs d'un nouveau bot d'exploration de crypto-monnaie qui se propage sur Facebook Messenger et qui cible les utilisateurs de Google Chrome pour profiter de la récente flambée des prix de la cryptomonnaie.

Le bot d'extraction Monero-cryptocurrency se déguise en un fichier vidéo non intégré, sous le nom video_xxxx.zip (comme indiqué dans la capture d'écran), mais contient en fait un script exécutable AutoIt.

📌Il se déguise sous un fichier vidéo_xxx Zip

◾Une fois cliqué, le logiciel malveillant infecte l'ordinateur de la victime et télécharge ses composants et les fichiers de configuration associés à partir d'un serveur distant de commande et de contrôle (C & C).

Digimine installe principalement un mineur de cryptocurrency, à savoir  miner.exe - une version modifiée d'un mineur Monero open source connu sous le nom XMRig - qui mine silencieusement la crypto-monnaie Monero en arrière-plan pour les pirates utilisant la puissance CPU des ordinateurs infectés.

◾Digimine installe également un mécanisme de démarrage automatique et lance Chrome avec une extension malveillante qui permet aux attaquants d'accéder au profil Facebook des victimes et de diffuser le même fichier malveillant sur la liste de leurs amis via Messenger.

— Modifié le 27 juin 2018 à 20:30:05

🔔Comment protéger ses données dans les réseaux

✍️En règle générale, 4 types de données sont susceptibles d’être collectées sur les réseaux sociaux :

◾ Les informations de profil (nom, âge, profession, études, etc.)
◾ Les traces de votre activité (likes, partages, commentaires, adhésion à des groupes, etc.)
◾ Votre activité silencieuse (chacun de vos mouvements est enregistré même si vous êtes silencieux)
◾ La géolocalisation de votre appareil.

Pour éviter que ces données soient volées, les réseaux sociaux ont mis en place leur propre politique de sécurité avec des réglages des paramètres de confidentialité.

⏩Sur Facebook⏪

https://www.facebook.com/about/basics/manage-your-privacy

⏩Instagram ⏪

Grâce à l’espace « Confidentialité et Sécurité », les Instagrameurs trouveront des informations utiles sur comment protéger ses données personnelles. Ses informations permettront de :

– Contrôler sa visibilité
– Résoudre les abus et bloquer des personnes
– Partager des photos en toute sécurité
– Signaler quelque chose (comptes piratés, usurpation d’identité, divers abus etc.)

https://www.facebook.com/help/instagram/477434105621119/

⏩Twitter ⏪

• Twitter en toute sécurité :

https://help.twitter.com/fr/safety-and-security/account-security-tips

⏩Pinterest ⏪

En plus des paramètres de son compte , on peut trouver de l'aide dans le Temps Center :

https://help.pinterest.com/fr

Pour les autres autre réseaux :

https://c-marketing.eu/securite-confidentialite-reseaux-sociaux/

— Modifié le 27 juin 2018 à 20:30:47

⏩Une faille critique découverte dans le navigateur maison de Samsung !⏪

Le problème concerne les navigateurs dans une version inférieure ou égale à la 5.4.02.3. La faille détectée permettrait à des hackers de voler vos mots de passe, cookies ou encore vos identifiants.

☙ 🇨 🇴 🇲 🇲 🇪 🇳 🇹 ?

En court-circuitant le principe nommé « de même origine » (Same Origin Policy). Celui-ci garantit en théorie qu’une page web accède aux variables et aux scripts d’une autre page. Dans ce cas, vous ouvrez une page piégée qui vous redirige vers le site de Google. Mais, dans le même temps, un pop-up s’ouvre pour demander vos identifiants. Vous pensez alors les fournir à Google. Mais, ils sont en fait transférés vers la page piégée. C’est là que vous serez victimes de ce piratage qui est vraiment très efficace.

⏩Mettez à jour le navigateur ⏪

Le processus à respecter est simple : mettez le navigateur à jour. Et dans tous les cas, soyez toujours prudents face à ce genre de pop-up demandant vos informations de connexion. Si vous ignorez si vous êtes à jour, ouvrez la rubrique :

•  Réglages > Gestionnaire d’applications , pour visionner le navigateur dans la liste.
  Vous aurez alors accès aux informations.

💡Sinon on peut utiliser Chrome , sécurisé par Google ❣️

⏩Android et la sécurité, ce que l'on doit savoir⏪

1️⃣ Outre les mises à jours annuelles d'Android Lollipop, Marshmallow, Nougat, Android O...

🔹Ce que l'on doit savoir c'est qu'il y a des mises annuelles sur Android.
Mises à jour qui sur mon HTC M7 ne sont plus annuelles depuis... Lollipop.

📝C'est qu'on appelle la fragmentation d'Android.

En mai 2017, Google a annoncé que plus de deux milliards d'appareils Android sont désormais actifs dans le monde. « Si nous regardons les dernières statistiques, nous pouvons voir que près de la moitié de ces appareils sont obsolètes depuis deux ans. À ce stade, nous devrions nous attendre à ce qu'il y ait plus d'un milliard d'appareils qui ont deux ans de retard ! Compte tenu du modèle de mise à jour d'Android, nous devrions nous attendre à ce qu'environ 0 % de ces appareils soient mis à jour vers une version moderne d'Android. » 

🔹Ce que nous devons savoir, c'est que les appareils Android sont de plus en plus obsolètes au fil du temps.
Cela signifie également que beaucoup d'appareils Android sont en retard en termes de sécurité. 

⏩La sécurité ⏪

2️⃣ Google déploie chaque mois une mise à jour de sécurité qui vise à corriger les failles de son système.

🔹Ce que l'on doit savoir c'est que Google déploie chaque mois des mises à jours de sécurité et que seulement 42 appareils les ont reçu

• Google Pixel XL, Pixel, 6P, 5X et 9
• BlackBerry Priv
• Fujitsu F-01J
• General Mobile Plus d, Plus, 4G Dual et 4G
• Gionee A1
• LG G6, V20, Stylo 2 V, GPAD 7.0 LTE
• Moto Z, Moto Z Droid
• Oppo CPH1613, CPH1605
• Samsung Galaxy S8+, S8, S7, S7 Edge, S7 Active, S6 Active, S5 Dual SIM, C9 Pro, C7, J7, On7 Pro, J2, A8, Tab S2 9.7
• Sharp Android One S1, 507SH
• Sony Xperia XA1, Xperia X
• Vivo 1609, 1601, Y55

📣C'est 1,2,3....il en manque pas mal
4,5,6 ...qui sont en danger
7,8,9....t'a qu'à t'en acheter un neuf ✓

Est-ce que c'est dangereux ?

Oui, chaque mois , on découvre de nouvelles failles qui ne seront jamais corrigées par nos constructeurs.

Est ce qu'il existe des alternatives

Oui. LineageOS.
Tout les modèles sont déjà sous Oréo 8.1

C' est Oreo pour le S2, S3, S4 , S5 , HTC One M7, le LG G2 etc...

📌La liste complète ICI

🔹Ce que l'on doit savoir c'est que la sécurité sur Android elle n'est pas prise en charge pas les constructeurs mais pas les développeurs de LineageOS.

Certaines des nouvelles fonctionnalités incluent un correctif pour le correctif de vulnérabilité KRACK WiFi pour Lineage OS 14.1 et 13.0. Les développeurs de ROM personnalisés ont également apporté un correctif de sécurité de novembre 2017 pour les deux versions

🚨Dans ces conditions il est urgent ET d'utilité publique de nous apprendre à rooter notre smartphone.

— Modifié le 9 janv. 2018 à 09:50:10

🚨 Et un de plus pour OnePlus ...La consternation

⏩ Le contenu de votre presse-papiers est lié aux serveurs d’Alibaba en Chine !⏪

Selon nos confrères d’Android Police, la version beta d’Android Oreo, sortie en décembre sur les OnePlus 3 et 3T, communique le contenu de votre presse-papiers aux serveurs du géant chinois de la vente en ligne Alibaba. Dans les faits, votre presse-papiers établit une connexion avec les serveurs du commerçant à chaque fois que vous copiez-collez un nouveau contenu mais son contenu n’est pas transmis.

Soucieux d’endiguer un nouveau scandale, OnePlus n’a pas tardé à répondre à Android Police. Selon la marque chinoise, il s’agit d’une fonctionnalité de reconnaissance d’URL basée sur le cloud et développée en partenariat avec Alibaba. L’option est réservée aux utilisateurs chinois d’Android Oreo. Beta oblige, la fonctionnalité s’est retrouvée dans le code de la mise à jour de tous les OnePlus 3T.

📌OnePlus affirme que la beta sera rapidement mise à jour pour effacer cette fonctionnalité.

Et comment quand ce n'est clairement pas la première fois !

Ce n’est pas la première fois que OnePlus est accusé d’espionner ses utilisateurs. En octobre 2017, un utilisateur américain d’un OnePlus 2 se rendait compte que son smartphone transmettait des informations sur son utilisation jusqu’aux serveurs du constructeur. Un mois plus tard, un lanceur d’alerte du nom d’Elliot Alderson découvrait qu’une application système intégrée à tous les OnePlus envoyait vos données personnelles jusqu’en Chine !

⏩Chat échaudé craint l'eau froide ?⏪

OnePlus est l'exception qui confirme la règle mais pas que ....

⚠️ Attention avec les applications de santé...

Les applications de santé destinées au grand public sont susceptibles de collecter des données plus ou moins sensibles : poids, tension, durée du sommeil, etc.

Elles peuvent également avoir accès à « l’identité du téléphone », aux contacts, aux données de localisation ou encore à l’historique web. L’agrégation de ces données, qui peuvent provenir d’applications distinctes, peut permettre d’établir un profil de l’utilisateur. L’enquête indique que dans certains cas, l’accès aux éléments demandés ne paraît pas justifié par le fonctionnement de l’application.

🚨La majorité des applications contrôlées sont éditées par des sociétés qui ne sont pas établies en France, ni même dans l’Union européenne, ce qui les exclut du champ d’application de la loi Informatique et Liberté. Pour les applications françaises, les enquêteurs ont relevé, lorsque des données sont recueillies, la présence d’informations sur leur collecte et leur traitement, sur le droit d’accès, de rectification et de suppression de ces données.

Le secteur des applications dites de « santé » restera sous surveillance, en raison de l’opacité constatée autour de la question de la collecte des données. Des investigations supplémentaires seront menées, notamment sur la fiabilité des mesures opérées par les objets connectés à ce type d’application.

Google supprime des dizaines d’applications affichant de la publicité pornographique aux enfants

AdultSwine est le nom d’un code malicieux intégré dans plusieurs dizaines d’applications Android. Découvert par Check Point, AdultSwine permet d’afficher plusieurs éléments indésirables sur le smartphone de l’utilisateur, dont de la pornographie.

Oui mais ....

Le vrai problème ici est que les applications concernées étaient pour la plupart destinées à des enfants.

Check Point a alerté Google qui s’est chargé de supprimer les 60 applications en question. « Nous avons supprimé les applications de Play Store, avons désactivé les comptes des développeurs et continuerons à montrer de forts avertissements à tous ceux qui les ont installées », a déclaré un porte-parole de Google.
‎

📍La liste des 60 Applications

Rien compris à Spectre et Meltdown, petite scéance de rattrapage

⏩Spectre et Meltdown⏪

Le Salon du FIC ( forum international de la cybersécurité ) approche a grand pas et il n'y a pas attendu le 24 janvier pour nous donner des explications sur cette faille dantesque

💡Oups on a oublié de sécuriser les puces dès leur conception !

Si ce n'est pas ballot ... 😚

En cause, les processeurs Intel, mais aussi ceux des concurrent AMD et ARM. Les puces en cause équipent de très nombreux appareils utilisés par des particuliers, des administrations ou des entreprises : smartphones, ordinateurs, tablettes, serveurs, etc. Un processeur, composant présent dans de nombreux dispositifs informatiques, est doté d’une mémoire protégée (Meltdown et Spectre prouvent le contraire) ; il permet le traitement en temps réel des données et exécute les instructions que les programmes donnent aux machines. Meltdown permet d’accéder au « noyau », le kernel, partie d’un système d’exploitation qui permet d’exécuter les programmes, qui fait le lien entre le matériel est les logiciels. Spectre, dont il sera plus difficile de se débarrasser du fait de son périmètre (il concerne tous les processeurs), va jusqu’à créer une perméabilité entres machines virtuelles et hyperviseurs.

🚨Tout les systèmes sont concernés

Tous les systèmes d’exploitation (OS ou Operating System), intermédiaires entre le processeur et les logiciels, sont concernés. Les deux formes d’attaque qui pourraient en découler permettraient de contourner les protections des données et donc d’y accéder pour les extraire. Parmi ces données, les mots de passe, les identifiants, les données bancaires, etc. Sauf à mettre en place de nouvelles puces, ce qui n’est pas pour demain, seules des solutions de contournement sont envisageables, au risque de perdre en performance.

⚠️Tout le business model des hébergeurs de cloud remis en question

Les hébergeurs informatiques du cloud sont directement concernés.
Le cloisonnement des machines virtuelles, clé de leur business model, est remis en question. Et plus ces failles seront corrigées, plus l’impact sur les performances, et donc le coût de ce colmatage, risquent d’être lourd. 

On peut dire adieu à la sécurité, elle n'a pas été pris en charge dès sa conception!

🚨 Alertes aux fausses applications

Et une nouvelle menace , une de plus ....De fausses applications de messageries instantanées , ( comme la célèbre WhatsApp ) sont utilisées pour pirater les smartphones de militants, militaires, avocats, journalistes et autres dans plus de 20 pays, ont mis en garde jeudi des spécialistes.

🚨Ces applications « clones » qui ressemblent aux vraies contiennent des logiciels malveillants qui peuvent voler des données, prendre des photos ou faire des enregistrements audio, a détaillé le groupe de militants pour les droits numériques Electronic Frontier Foundation (EFF) dans une étude rédigée avec la société Lookout, spécialisée dans la cybersécurité des appareils mobiles.

Selon les recherches d’EFF et Lookout, des centaines de gigaoctets de données ont été dérobées à des milliers de victimes dans 21 pays.

Voili, voilou ....

🚨Les mesures après Crack WiFi

⏩La WiFi Alliance officialise le WPA3 pour renforcer la sécurité des réseaux sans-fil. ⏪

Après plusieurs semaines de délibérations, le nouveau standard WP3 vient d'être finalisé par les groupes de travail de la WiFi Alliance. L'évolution de la norme devrait constituer un apport majeur en matière de sécurisation des échanges sur les réseaux

Depuis octobre 2017 et la révélation de immense faille dans la sécurité du WiFi, l'urgence se fait de plus en plus pressante. Il devient absolument indispensable de renforcer la sécurité des transmissions de données en WiFi, alors que la technologie se déploie dans les foyers, les entreprises et les lieux publics. La norme la plus récente – WPA2 – a montré de sérieux signes de vulnérabilité, sans parler des protocoles WEP ou WPA. Avec le WPA3, une sécurité 192 bits est prévue pour les réseaux nécessitant une protection élevée connectivité avec un niveau élevé de protection.

• Le standard WPA3 prévoit de renforcer la sécurisation des échanges en WiFi lorsque des mots de passe "faibles" sont utilisés.
• Des configurations d’accès plus simples et plus sûres vont être proposées pour tous les terminaux sans interface visuelle.

📌La nouvelle norme doit être déployé dans le courant de l'année 2018

⚠️ usurpation du nom « DGCCRF »

🚨La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) alerte sur les agissements de personnes utilisant son nom à des fins malveillantes.

Plusieurs cas d'usurpation du nom de la DGCCRF ont récemment été signalés : l'usurpateur envoie un courriel à sa victime en se faisant passer pour la DGCCRF dans le but de l'escroquer. Il invite la personne à procéder à un virement bancaire pour débloquer un faux remboursement administratif, régler une amende ou acquérir un bien ou un service fictifs.

La DGCCRF invite les consommateurs à la plus grande vigilance lorsqu'ils sont sollicités par une personne se prévalant du nom de la DGCCRF et, de façon plus globale, à examiner avec une très grande attention tous les courriels dans lesquels des virements bancaires sont exigés.

📌Si vous êtes sollicité par ce type de message, ne donnez pas suite au courriel reçu et prenez contact avec les services de la DGCCRF

Et en plus on n'est pas aidé

🚨Fuite massive de données lecteurs chez L’Express !

L’Express a laissé une base de données de 60Go contenant les informations personnelles de près de 700 000 lecteurs sans protection sur Internet.

▪️Les noms, prénoms, adresses mail, photos de profil et professions de plus de 693 000 lecteurs de l’Express ont été laissés en libre accès sur Internet pendant un mois

Bravo et encore ...

Pas de coordonnées bancaires ou de mots de passe à priori, mais la base de données de 60Go, qui n’était protégée par aucun mot de passe, contenait « d’autres informations essentielles aux opérations en ligne du magazine ».

Pas de mot de passe...ils sont cool chez L'Express avec nos données !!!

🚨La liste des smartphones Android infectés par un malware dès leur sortie d’usine

Plus d’une quarantaine de smartphones sous Android seraient infectés par un cheval de Troie dès leur sortie d’usine en Chine. L’éditeur Dr.Web, spécialisé dans les antivirus et la sécurité des systèmes informatiques a tiré la sonnette d’alarme. De nombreuses marques sont concernées comme Doogee, Cubot, Vertex, Leagoo ou encore Haier.

Le cheval de Troie Android.Triada.231 infecte le processus Zygote présent dans le système d’exploitation d’Android. Ce processus est utilisé pour lancer les applications. Une fois que le smartphone est infecté, le cheval de Troie se propage et télécharge secrètement des logiciels. Il peut alors récupérer des donnés, surveiller les messages et même accéder aux informations bancaires.

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ 5510

📌En 3, 7 secondes exactement !

En ce doux début de 2018, le géant de la technologie de l’Empire du Milieu déclare que le Deep Voice est maintenant capable de synthétiser une voix à partir d’un enregistrement modèle qu’il analyse en seulement quelques secondes.
Pour ce faire, l’application se sert d’un réseau neuronal. Cette technologie propose ainsi une large possibilité d’applications.

Le Deep Voice peut être l’outil parfait pour mettre au point des assistants numériques personnalisés. De plus, cette application maîtrise parfaitement l’anglais et le chinois, permettant ainsi de proposer des services de traduction vocale qui se rapprochent au plus près du naturel.

🚨Mais ce n'est pas une bonne nouvelle !

📝Le Deep Voice peut être utilisé à des fins de fraude

À partir du moment où le Deep Voice sera disponible, tout le monde pourra le télécharger et malheureusement, certains l’utiliseront à des fins malsaines. Ces derniers n’hésiteront pas à l’utiliser à des fins de fraude pouvant engendrer un préjudice conséquent.

Comme l'usurpation d'identité ?

La circulation de cette technologie sera surement déterminante sur l’avenir de la « biométrie vocale » que les banques déploient sur leurs plateformes d’appel. Celle-ci est destinée à identifier le client rien que par sa voix. La performance du logiciel de Baidu pourrait alors permettre la réalisation de diverses fraudes grâce à des voix clonées.

🌈 Tout va bien avec les contrôles biometriques , ils sont très fiables et tout tout ...

⚠️ Aux offres frauduleuses de crédits

L'Autorité de contrôle prudentiel et de résolution (ACPR) rappelle que des sites internet et des organismes proposent des crédits, des livrets d'épargne, des services de paiement ou encore des contrats d'assurance sans y être autorisés.
Afin de nous prémunir, elle vient de sortir la liste noire des sites internet identifié comme douteux .... À partager !

🚨Liste noire des sites ou entités identifiés par l’ACPR comme douteux au 13 mars 2018 :

▪️www.ergfinance.com
▪️www.emprunt-solidaire.com
▪️www.donald-finances.com
▪️http://francredit.ch
▪️PANOLA CONSULTANT
▪️Jean-Pascal MALCZIK
▪️BIIFAP : https://biifap.com
▪️OGI FINANCE : www.ogifinance.com
▪️EUROP EXPRESS : www.europ-expres.com
▪️BIL Patrimoine
▪️www.bil-gestionpatrimoine.com
▪️www.aif-investments.com (ALPHA IDEAL FINANCER)
▪️www.descartestrading.info
▪️https://crowdfundingglobal.co/fr
▪️https://www.hopefinances.com
▪️https://lending-france.com
▪️www.des-forges.com
▪️www.kkfinances.com
▪️www.cauris-finance.com
▪️www.buz-zcredits.com
▪️http://hoaraufinances.wixsite.com/credit
▪️www.sites.google.com/site/creditloyal
▪️www.compte-interdit-bancaire.net
▪️www.financement-pret-rapide.com
▪️Finances et Investissements : contact@financement.credit.com
▪️http://finapart.net - contact@finapart.net
▪️Hubgroupe
▪️Capital financement
▪️Cid Banque
▪️Franc Credit
▪️Mutuel finance
▪️Particulier invest
▪️Querpache Durrelle
▪️Sadibanq
▪️Services Credit
▪️www.noumeancfinance.com
▪️www.preteur-argent.com
▪️jean-pierre.lejeune@caramail.fr
▪️www.euro-creditexpress.com
▪️www.gamafinance.net
▪️www.bestfinancial.fr
▪️www.le-pay.eu
▪️www.solutionbancaire.fr
▪️www.pret-sans-frais.com
▪️www.company-partenariat-investissement.com
▪️www.cbifinance.ca
▪️www.bgfi-finances.com
▪️http://www.leroy-courtier.com/fr/
▪️groupe epargne
▪️structure finance rapide
▪️lautus finance
▪️www.questraworld.es
▪️www.bfc-groupe.com
▪️www.primus-credit.com
▪️www.credit-rapide-en-ligne.fr
▪️ALLKREDIT
▪️Universal credit LTD
▪️www.confinsus.com
▪️www.lacourdecredit.fr
▪️http://premius-credit.com/

L’autorité vous invite à ne pas répondre à leurs sollicitations.

⏩ Facebook a collecté nos SMS aussi ⏪

Concrètement, si en 2015 vous avez installé Facebook Messenger sur un smartphone équipé d’Android 4.1 et que vous avez synchronisé vos contacts, vous êtes concernés.

C'est "assez commun" comme pratique
Facebook aurait profité d’une zone grise dans cette ancienne version d’Android pour récupérer lors de la synchronisation des contacts les métadonnées liées aux appels et aux SMS.

📌 L' historique de ses appels et SMS

Oui mais....Ce n'est pas de sa faute car on l'a autorisé !

Facebook complète en rappelant que le réseau n'a pas récupéré ces données sans l’accord des utilisateurs. Un opt-in est bien présent et l’accord de l’utilisateur pour l'enregistrement des métadonnées de ses appels et SMS est "intégré" à son accord lié à la fonction de synchronisation des contacts des applications Messenger et Facebook Lite sur Android. « Les gens doivent expressément accepter d’utiliser cette fonction » rappelle Facebook dans son communiqué

💡 Télécharger son archive Facebook

Mieux qu'un long discours, pour savoir ce que Facebook connaît de réellement de nous, il suffit de télécharger son archive

▪️Cliquez sur la flèche présente en haut à droite de n’importe quelle page Facebook, puis sélectionner "Paramètres"

▪️Cliquez sur "Télécharger une copie de vos données Facebook" dans les Paramètres généraux de votre compte

▪️Cliquez sur "Créer mon archive"

📆 UE invite Mark Zuckerberg

50 millions d’utilisateurs de Facebook, utilisés à leur insu, pour influencer la campagne présidentielle de Donald Trump et le référendum sur le Brexit ça fait beaucoup et même trop pour UE

Dans un message publié sur son compte Twitter , le président du Parlement européen, Antonio Tajani, a invité Marc Zuckerberg, PDG de Facebook, à venir s’expliquer devant les eurodéputés

📌La législation de l’UE doit être respectée

A l’occasion du Conseil européen du 22 mars 2018, les chefs d’État et de gouvernement de l’UE ont pour leur part rappelé que "les réseaux sociaux et les plateformes numériques doivent garantir …une protection totale de la vie privée et des données à caractère personnel des citoyens. La législation nationale et celle de l’UE doivent être respectées et mises en œuvre".

L’équivalent britannique de la Cnil (Information Commissioner’s Office) s’est déjà saisie de l’affaire Cambridge Analytica-Facebook. La Commissaire européenne à la justice, Vera Jourova, a toutefois demandé aux "Cnil" "européennes de s’unir pour mener une enquête commune. Elle a par ailleurs adressé, le 26 mars, un courrier à Facebook dans lequel elle demande si des données d’internautes européens figuraient parmi celles collectées par Cambridge Analytica.

Le 25 mai 2018, un nouveau règlement sur la protection des données personnelles (RGPD) entre en vigueur. Il prévoit un renforcement important des sanctions en cas de violation des données des citoyens européens, y compris à l’encontre d’entreprises établies hors UE.

🤔 En attendant qu'ils finissent de se réunir et discuter

📌Le guide pour stopper les applications qui ont accès à vos données sur Facebook, c'est maintenant !

⏩150 Millions de comptes piratés sur l'application MyFitnessPal ⏪

📌L'application MyFitnessPal a subi un piratage de données de grande ampleur.

L'application MyFitnessPal, propriété de l'entreprise américaine Under Armour, a annoncé dans un communiqué avoir subi un piratage. Les données de 150 millions de comptes ont été dérobées. Les pirates ont récupéré des noms d'utilisateurs, des adresses email et des mots de passe chiffrés. Le vol a eu lieu en février dernier et a été découvert le 25 mars. La société a ouvert une enquête interne et collabore avec les autorités pour déterminer «la nature et la portée du problème». Dans un mail envoyé aux utilisateurs concernés, elle précise qu'aucune information bancaire ou document d'identité n'a été dérobé.

📌 Obsolescence logicielle .... Fixée à 3 ans !

Les Samsung Galaxy S6 et S6 Edge, lancés en avril 2015 ne recevront plus les mises à jour de sécurité d'Android. Trois ans, c’est donc l’espérance de vie d’un smartphone – du moins pour le fabricant sud-coréen, Samsung.

Les utilisateurs n'ont de toute façon pas le choix, s'ils souhaitent utiliser leur smartphone, ils devront le faire à leurs risques et périls.

📌 Si des failles de sécurités sont découvertes, elles ne seront plus comblées.

Samsung n'est pas la seule marque à limiter les mises à jour de sécurité à trois ans. Google propose une politique identique avec ses Pixels. Résultat, nos smartphones ont beau être de plus en plus performant (ce qui devrait repousser l'obsolescence matériel) la limitation logiciel est toujours présente.

— Modifié le 3 avr. 2018 à 18:03:22

🚨 L'app de rencontre Grindr ne revend pas nos données, non elle les partage !

Grindr est généreuse , elle partage tout ce qu'on lui a communiquée

• Notre position
• Numéro de téléphone
• Adresse email
• Et 🍒In The Cake le statut VIH de l'utilisateur

🚨Le statut VIH est donc bien " partagé " par Grindr

Le représentant de l’entreprise ajoute que Grindr « limite les informations partagées, sauf si nécessaire ou appropriées » à ces services tiers. « Parfois, ces données peuvent inclure des données de localisation ou du champ concernant le statut VIH, mais ces informations sont toujours transmises de façon sécurisée avec le chiffrement des données », complète cependant Scott Chen.

📌Sauf que ...

Selon Antoine Pultier, un chercheur membre de l’association SINTEF interrogé par Buzzfeed, les informations pourraient bien permettre d’identifier les utilisateurs de Grindr, et leur statut sérologique, car elles sont couplées à leurs données GPS, leurs numéros de téléphones et leurs mails.

🆙Faute à l'incompétence des développeurs !!

Le statut VIH est lié à toutes les autres informations. C’est le principal problème », fait observer Antoine Pultier, mettant en cause « l’incompétence de certains développeurs qui envoient [toutes les données], y compris le statut VIH ».

💡Astuce

Grindr est une plateforme publique , invitant ses usagers à examiner quelles informations ils choisissent de faire figurer dans leur profil.

— Modifié le 7 avr. 2018 à 08:28:06

Et pour récupérer ses données personnelles...

⏩Ma Data request ⏪

Trop compliqué, on se ne sait ni où, ni comment ...Pas la peine de chercher My Data Request a tout prévu :

▪️Une liste complète de site
▪️Les liens pour récupérer nos données quand c'est prévu comme sur Facebook ou Google
▪️Des lettres rédigées en anglais pour les sites qui n'ont rien de prévu comme pour Netflix

📌 GDPR ( règlement général sur la protection des données) oblige, le site nous conseil d'attendre le 25 mai pour être sûr que l'entreprise traite notre demande .

Récupérer ses données nous permet de savoir d'une part ce que les entreprises ont vraiment collecté sur nous et d'autre part , cela nous permet comme pour Instagram de sauvegarder ailleurs nos images , nos documents etc ...

😚 C'est gratuit et c'est obligatoire à partir du 25 mai , raison de plus pour en profiter !!

📆Le RGPD c'est le 25 mai !!

📌Ce qu'il faut retenir :

◼️consentement des mineurs sans l'autorisation des parents fixé à 16 ans (le texte laissant néanmoins aux États membres la possibilité d'abaisser ce seuil à 13 ans) .

◼️Portabilité des données permettant aux internautes de récupérer des données communiquées à une plateforme et de les transmettre à une autre (changement de boîte aux lettres électronique par exemple)

◼️Droit de savoir pourquoi les données sont collectées, de connaître le traitement qui en est fait et la durée de leur conservation

◼️Information des internautes en cas de piratage de leurs données sauf dans certaines situations (par exemple si les données étaient protégées par un système de cryptographie)

◼️Possibilité de lancer une action de groupe par le biais d'une association ou d'un organisme actif dans le domaine de la protection des données dès lors que les internautes considèrent que leurs données ont été utilisées en contradiction avec la loi en vigueur, avec à la clé des sanctions renforcées contre les entreprises fautives.

🎯Le RGPD renforce également certains droits :

◼️Mise à disposition pour les internautes d'une information claire, simple et facilement accessible sur l'utilisation de leurs données par les entreprises du web (en évitant en particulier de proposer des cases pré-cochées) et cela même si ces entreprises sont basées en dehors de l'Union européenne

◼️Interdiction sauf exceptions de l'utilisation de certaines données sensibles (origine ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle...)

◼️Meilleure protection contre le profilage (par exemple en cas de recrutement en ligne sans aucune intervention humaine).

🔔WPA3 est officiellement annoncé !!

La Wi-Fi Alliance vient d'annoncer que le protocole WPA3 était désormais finalisé.

Ce nouveau protocole a pour principaux objectifs de renforcer l'authentification et le chiffrement des connexions tout en simplifiant la sécurité d'un réseau sans fil. Il s'adresse à la fois aux réseaux Wi-Fi privés avec le WPA3-Personal et aux entreprises avec le WPA3-Enterprise.

✍️ Qu'est ce qu'il va apporter de nouveau !!

◾Plus de sécurité

Le WPA3-Personal utilise ce que l'on appelle « l'authentification simultanée des égaux » qui protège la connexion au moment de l'étape dite « de la poignée de mains », lorsque le terminal et le point d'accès Wi-Fi s'authentifient mutuellement et définissent des clés de chiffrement. >>Cette étape cruciale était le talon d'Achille exploité par la faille Krack.
Le WPA3 promet une sécurité renforcée sur ce point, même lorsque les utilisateurs définissent des mots de passe faibles. Le nouveau protocole sera à même de parer une attaque par dictionnaire ou force brute.

◾Plus de simplicité

Parallèlement au WPA3, la Wi-Fi Alliance introduit également le programme Easy Connect qui va simplifier la procédure de connexion à un réseau Wi-Fi pour les terminaux ne disposant pas d'écran grâce la numérisation de codes QR présents sur le routeur .

✍️Mais pas tout de suite !!

Le déploiement du WPA3 commencera par les nouveaux routeurs sans fil mis sur le marché avant d'être étendu au parc existant via des mises à jour à la discrétion des constructeurs. Il n'est donc pas près de remplacer le WPA2.

😚 @suivre !!

⏩Alerte en cours chez Boulanger ⏪

Plusieurs tentatives d'escroquerie par téléphone, e-mail, SMS ou sur les réseaux sociaux, nous ont été signalées. Ces personnes utilisent l'identité de BOULANGER pour vous annoncer le gain d'un lot (smartphone, ordinateur, carte cadeau, bon d'achat...).

Boulanger vous recommande d'agir avec la plus grande vigilance lors de la réception d'avis de gain de cet ordre : ne donnez jamais suite à une opération qui n'est pas organisée directement par Boulanger.

✍️Que faire si vous décelez une tentative d'escroquerie ou que vous pensez en être victime ?

◾Ne composez pas le numéro proposé
◾Evitez d'y répondre et ne cliquez pas sur les liens hypertextes, ni sur les pièces jointes.
◾Signalez cet e-mail comme indésirable/phishing dans votre boîte de réception, et à la plateforme Signal Spam et/ou sur la plateforme PHAROS (pour "plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements"), accessible sur le site www.internet-signalement.gouv.fr. Ces plateformes ne concernent que les arnaques par e-mail ou via des sites internet.
◾Informez votre Service Client Boulanger au n° de téléphone suivant : 0320494790 (coût d'un appel local) ou à cette adresse e-mail : alertefraudes@boulanger.com.

✍️Si vous recevez ce type de SMS ou de MMS non sollicités :

◾Vous pouvez transférer le SMS abusif au numéro 33700.

Après ce transfert, vous recevrez un message vous demandant d'envoyer au 33700 le numéro depuis lequel vous avez reçu le SMS abusif. Ces informations sont transmises aux opérateurs, qui pourront agir rapidement auprès des organismes à l'origine de ces SMS.

⏩ Bulletin de sécurité de septembre⏪

Google publie chaque début de mois la liste dernières failles de sécurité trouvrées et corrigées ✓

🍃Résultat du mois septembre

◾ 59 vulnérabilités au total dont 11 sont jugées critiques.
◾40 avec un niveau de dangerosité élevé.

Magnifique, Google a prévenu, mais c'est aux constructeurs d'envoyer les patchs de sécurité pour corriger ces failles sur notre appareil

📣 Vol de données qui pourrait concerner 380 000 cartes bancaires chez British Airways.

British Airways prévient, elle enquête sur un vol de données !!

La compagnie aérienne British Airways a annoncé jeudi 6 septembre mener une enquête sur le vol en ligne de données qui pourrait concerner 380 000 cartes de paiement, à la suite d'une faille informatique exploitée de manière "criminelle".

📍Entre 22h58 le 21 aout 2018 et 21h54 le 5 septembre, les données personnelles et financières des clients faisant des réservations sur notre site internet et notre application mobile ont été compromises", a déclaré la compagnie dans un communiqué, précisant que la faille a été réparée.

Nous conseillons à nos clients qui pensent avoir été affectés par l'incident de contacter leur banque ou l'émetteur de leur carte et de suivre leurs recommandations", a ajouté la compagnie, qui a alerté les autorités.
British Airways a prévenu qu'elle allait contacter les clients affectés par le vol de données.

⏩Faux sites administratifs, attention aux arnaques !⏪

La DGCCRF rappelle à l'ordre contre les faux sites administratifs

De faux sites administratifs proposent d’effectuer, moyennant rémunération, certaines démarches administratives courantes (demandes de permis de conduire, de carte grise, d’extrait d’acte de naissance) en lieu et place des usagers.
Ces sites n’hésitent pas à tromper le consommateur en prenant l'apparence de sites officiels : reproduction à l’identique de la charte graphique du site, usage des couleurs bleu-blanc-rouge, référence à des ministères, référencement en tête des moteurs de recherche.

◾Toujours consulter, et en premier lieu, le portail de l'administration 'www.service-public.fr' qui recense tous les sites officiels

◾Pour éviter toute confusion, vérifier l'adresse Internet (URL) du site : les URL de l'administration française se terminent invariablement par ".gouv.fr" ou ".fr" et jamais par ".gouv.org" ou ".gouv.com ".

Un site en ".fr" ne garantit pas obligatoirement qu'il s’agisse d'un site officiel et la société qui l'exploite peut ne pas être établie en France

⏩Grindr après de VIH, les données GPS!!⏪

La localisation exacte de 3 millions d’utilisateurs de Grindr dévoilée

Grindr est connue pour être l’alternative gay à Tinder la plus populaire du marché des applications de rencontre sur mobile. Problème… La géolocalisation de plusieurs millions d’utilisateurs est quasiment publique.
Mais ça ne s’arrête pas là. En effet, il existerait une solution très simple pour palier à ce problème qui rend vulnérables des centaines de milliers de smartphones, tant ceux fonctionnant sous Android que ceux sous iOS, et bien que la société la connaisse… Elle ne l’aurait tout simplement jamais mise en place.

Grindr n'est définitivement plus un site safe , c'est la deuxième fois cette année qu'il fait preuve d'une négligence criminelle !!