Shake 〰️ 17 Déc. 2022

Salut les Shakerz 👋

C’est samedi, c’est le Shake. C’est rien que pour vous. Voici ce que l’on a retenu du digital et de la cyber cette semaine.

Dans l’actu :

🌍 La Commission Européenne a failli à protéger les droits humains… dans ses financements de technologie en Afrique,

🇺🇸 Tik Tok est trop toc toc : le législateur américain se prépare à bannir le réseau social,

📣 Meta devrait changer de cible : les publicités ciblées de Meta sont dans le viseur du gendarme européen de la protection des données,

🏝️Plus d’un mois après un ransomware, le gouvernement du Vanuatu se bat toujours, “Yumi Yumi Yumi” déguste,

🥸 Les données de 80 000 responsables d’infrastructures critiques américaines piratées et vendues sur le dark web….

On vous explique tout ça plus bas.

Retrouvez le mag : ⚔️ Une infographie illustrant 40 ans de batailles autour des données personnelles, 🛫 évitez l’espionnage lors des déplacements à l’étranger avec le guide du voyageur de la DGSI, des ingrédients à la carte pour partager vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture et bon week-end,

La Shakerz core team

〰️ La reco du barman 〰️

🌍 La commission Européenne a failli à protéger les droits humains en Afrique

Selon le médiateur européen, la Commission a échoué à préserver les droits de l'homme dans le cadre de son assistance de transfert de technologies de surveillance aux nations africaines.

En quoi consiste ce financement ?

Cette assistance technologique de gouvernements africains en matière de surveillance s’inscrit dans le cadre du Fonds fiduciaire de l’Union européenne pour l’Afrique (EUTFA). Doté de 5 millards d’euros et mis en place dans 26 pays partenaires africains, ce programme de l’Union Européenne a été créé en 2015 principalement pour “affronter les causes profondes de l'instabilité” en Afrique et “contribuer à une meilleure gestion des migrations forcées et irrégulières”.

Qu’est ce qu’on reproche à la Commission ?

Cette décision de l'organe de surveillance de l'Union Européenne intervient après une année d’enquête. Une plainte a été déposée en octobre 2021 par Privacy International et 5 autres organisations de défense des droits humains : Access Now, le Border Violence Monitoring Network, Homo Digitalis, la Fédération internationale des droits de l'homme (FIDH) et Sea-Watch.

Ces ONG reprochent à la Commission Européenne de ne pas avoir correctement évalué les risques pour les droits de l'homme avant d'accepter de soutenir des projets de transfert de technologie liés aux bases de données biométriques et aux technologies de surveillance des téléphones portables.

Ce type de technologie ne garanti pas un usage sans violation de droits humains (comme le droit à la vie privée). « Des millions d’euros ont été alloués à des pays pour leur fournir des outils numériques afin de collecter des données à partir d'appareils et de construire des systèmes d'identification biométriques à grande échelle, tandis que d'autres fonds ont été utilisés pour former la police en Afrique du Nord sur les écoutes téléphoniques, la surveillance des utilisateurs de médias sociaux et le décryptage des contenus internet interceptés.”

Des plaignants satisfaits, mais qui ne vont pas en rester là

« Cette décision historique marque un tournant pour la politique extérieure de l'Union européenne et crée un précédent qui, espérons-le, protégera les droits des communautés dans certaines des situations les plus vulnérables pour les années à venir », se félicite le responsable juridique de Privacy International, Ioannis Kouvakas.

Bien que satisfaits par le jugement du Médiateur, les plaignants encouragent désormais la Commission Européenne à reconsidérer rapidement son soutien à la surveillance dans les pays non-membres de l'UE. Ils demandent également à la Commission de suivre immédiatement et intégralement les recommandations du Médiateur.

⚔️ C’est la bataille des données personnelles

On vous raconte l’histoire : à gauche, le “camp” du traitement des données, qui monte en puissance ; à droite le “camp” de la protection des données. Prêt pour un voyage dans le temps ? Suivez la timeline.

〰️ Vos shots 〰️

📣 Meta bientôt contraint de revoir son modèle de publicité ?

Selon le Wall Street Journal et Reuters, le Conseil européen de la protection des données (CEPD), gendarme européen des données personnelles, estime que Meta ne devrait plus utiliser les données d’activité en ligne de ses utilisateurs pour diffuser des publicités ciblées. A moins d’un consentement explicite. La décision n'a pas été rendue publique et doit encore être validée par la CNIL Irlandaise. Selon la future décision, Meta pourra encore faire appel.

Néanmoins, en cas de confirmation, si Meta souhaite suivre ses utilisateurs sur site et hors site, elle devra au préalable obtenir un consentement explicite. Jusqu’à présent, le géant de la tech se contente d’indiquer dans les conditions d’utilisation de ses plateformes Facebook et Instagram, un descriptif de ses pratiques de ciblage publicitaire. Ainsi, lorsque l’utilisateur utilise l’une de ces deux plateformes, il “consent” implicitement à l'utilisation de ses informations pour des publicités ciblées.

On a vu mieux en matière de protection de la collecte, du stockage ou de l’utilisation de données. 🙃

🇺🇸 Une nouvelle proposition de législation américaine prévoit l'interdiction de TikTok

Comme évoqué dans le shake du 26 novembre, la collecte de données par l’application TikTok suscite des inquiétudes dans le monde et notamment aux États-Unis. Depuis quelques mois, de nombreux acteurs de la classe politique américaine accusent l’application TikTok de compromettre dangereusement la sécurité nationale et militent pour une interdiction de l’application sur le territoire américain. Le 15 novembre, le directeur du FBI faisait également part publiquement de son inquiétude. 

Face au manque de mesure significatives visant à protéger les utilisateurs américain et à des pourparlers qui n’avancent pas entre la direction de TikTok et l’administration Biden, le sénateur Marco Rubio et les députés Mike Gallagher et Raja Krishnamoorthi ont fait équipe pour introduire un nouveau projet de loi Bipartisan au Sénat et à la Chambre des représentants. Ce projet de loi baptisé “ANTI-SOCIAL CCP Act” vise tout bonnement à bloquer et à interdire définitivement toutes transactions d'entreprises de médias sociaux contrôlées ou influencées par des "pays préoccupants", avec la Chine et TikTok en ligne de mire. Si la loi est adoptée, ses dispositions pourront aussi s’étendre aux réseaux sociaux controlés par la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela.

🚖 Uber de nouveau victime de fuite de données

Samedi dernier, un pirate nommé "UberLeaks" a commencé à divulguer des données volées à Uber et Uber Eats sur un forum de piratage spécialisé dans la publication de violations de données. 77 000 employés sont potentiellement concernés par l’exposition de leurs données.

Bien des observateurs pensaient que ces données avaient été initialement dérobées dans le hack de septembre par le groupe de pirates Lapsus$, Uber a réfuté cette affiliation et indique que “ces fichiers sont liés à un incident chez un fournisseur tiers et n’ont aucun lien avec notre incident de sécurité de septembre”. Les soupçons d’Uber se tournent davantage vers la récente violation de données dont a été victime Teqtivity, son fournisseur en charge de la gestion d’une partie des services de localisation de ses applications. Dans un communiqué publié lundi, le prestataire a reconnu publiquement “un accès non autorisé” à leur système, qui a permis au pirate d’accéder au serveur de sauvegarde Amazon Web Services (AWS) détenant les données.

🇻🇺 Le Vanuatu se bat toujours pour rétablir ses systèmes d’information

Plus d’un mois après une cyberattaque découverte le 4 novembre, le gouvernement du Vanuatu se bat toujours pour rétablir ses systèmes d’information. Le piratage avait mis hors service les sites web du parlement, de la police et du bureau du premier ministre de l'île du Pacifique, ainsi que les services d'urgence, l’hôpital principal, les courriels du gouvernement et les lignes téléphoniques. Au moment où nous écrivons ces lignes, le site web du gouvernement ne répond toujours pas.

Cette attaque survenue moins d’un mois après l’élection du nouveau gouvernement a contraint les 350 000 habitants de ce pays a retourner “au papier et au crayon” pour effectuer les tâches de bases liées, entre autres, au paiement des impôts, la facturation, l'obtention de licences et de visas de voyage. Les fonctionnaires ont même eu recours à des messageries personnelles et commerciales pour maintenir tant bien que mal une continuité des activités. Ce mardi 13 décembre, l’Australie a signé un accord en matière de sécurité, incluant une aide cyber, et d’aide humanitaire avec son voisin du pacifique, le Vanuatu. Les cyberattaques sont un fléau pour les pays situés dans cette partie du globe. L’Australie peut en témoigner.

🥸 Les données d’InfraGard piratées et vendues sur le dark web

Cette semaine, les coordonnées de plus de 80 000 membres d'InfraGard ont été mises en vente sur un forum de cybercriminalité. InfraGard est un programme américain géré par le FBI pour créer des partenariats avec les infrastructures du secteur privé en vue de l'échange d'informations sur les menaces cybernétiques et physiques.

Contacté par KrebsOnSecurity, le vendeur de la base de données, nommé “USDoD”, a déclaré avoir pu accéder au système InfraGard du FBI en utilisant le nom, le numéro de sécurité sociale, la date de naissance et d'autres informations personnelles d'un directeur général d'une entreprise qui avait de fortes chances de se voir accorder une adhésion. À sa grande surprise, le compte a été approuvé. Une fois connecté les pirates ont pu interroger facilement l’API du site web pour récupérer toutes les données disponibles des utilisateurs d’InfraGard. De son côté, le PDG dont l’identité a été usurpé a déclaré n’avoir jamais été contacté par le FBI pour vérifier la demande d’adhésion. Comme quoi, même les meilleurs peuvent faire des erreurs.

〰️ Dégustation 〰️

🛫 Que faire contre l'espionnage lors de déplacements à l’étranger ?

Les vacances de fin d’année approchent, peut-être avez vous prévu de partir en voyage ? Saviez-vous qu’hors de France et loin de la protection des services de sécurité français, votre vulnérabilité s’accroit par manque de maîtrise sur votre nouvel environnement et par une plus grande liberté d’action des services secrets étrangers. Heureusement pour vous, dans son “guide du voyageur” la DGSI dresse quelques conseils à suivre pour limiter les risques d’exposition lors d’un déplacement à l’étranger.

〰️ Cul sec - La question 〰️

Parlons de cybersécurité de tous les systèmes de contrôle physiques. Quelles propositions sont vraies ?

A. Cela concerne uniquement les secteurs vitaux comme l’énergie, la chimie

B. Plus de 34 000 décès ont été recensés

C. Plus de 17 millions d’incidents ont été recensés depuis le début des années 1980

D. Les moyens de transport tels que les voitures, les transports en commun (métro, bus) et les ascenseurs sont concernés

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - Max Schrems est un activiste Autrichien militant depuis plusieurs années pour la protection des données privées. Parmi ses principaux faits d’armes : l’invalidation, par la Cour de justice de l'Union européenne, de l’accord baptisé Safe Harbor ou encore l’invalidation du Privacy Shield en juillet 2020 (voir l’infographie 40 ans de batailles épiques autour des données personnelles, plus haut).

⏪ Rewind - En décembre 2018, le secrétaire d'État Mike Pompeo confirmait la violation des systèmes de la chaîne d’hôtels Starwood de Marriott par des pirates chinois. Plus de 500 millions de données personnelles de clients avait été dérobées.

🍸 Évènement - Les 2 et 3 janvier 2023 à Zurich aura lieu la 7e conférence internationale sur l'intelligence artificielle, le soft computing et leurs applications (AISCA 2023). L’éthique des algorithmes et de l’IA rejoignent de plus en plus les préoccupations des DSI et des CISO, qui sont déjà amenés à contribuer à la protection des données personnelles.

〰️ Cul sec - Réponse 〰️

La proposition A est fausse, les autres sont vraies

Selon Joe Weiss, un expert en cybersécurité des SCADA et auteur de plusieurs ouvrages sur le sujet, plus de 17 millions d’incidents ont été recensés ont été recensés depuis le début des années 1980. Selon ses travaux, ils ont provoqué 34 000 décès directs et indirects, si l’on compte notamment les effets du scandale du Dieselgate.

〰️ Digestif 〰️

La liberté d’expression selon Elon Musk

Des journalistes, parmi lesquels des reporters travaillant pour le New York Times, le Washington Post, CNN, Voice of America et d'autres publications ont vu leurs comptes Twitter être suspendus pour avoir critiqué la décision d’Elon Musk de suspendre les comptes couvrant les déplacements de personnalités, dont lui-même.

Pour échapper à l’empire Musk, devons-nous migrer vers Mastodon ?

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

“Shake it, don’t fake it“