Technologie
La campagne présidentielle américaine de 2024 entre dans sa phase finale, et les hackers soutenus par des États commencent à se manifester de manière inquiétante. Parmi eux, le groupe APT42, lié aux Gardiens de la Révolution islamique d’Iran, a été signalé par le groupe d’analyse des menaces de Google comme ayant ciblé près d’une douzaine de personnes associées aux campagnes de Donald Trump et de Joe Biden (actuellement Kamala Harris).
Le désastre en cours concernant la violation des données de la société de courtage de données et de vérification des antécédents, National Public Data, ne fait que commencer. Bien que la violation ait eu lieu il y a plusieurs mois, l’entreprise n’a reconnu publiquement le problème que récemment, après qu’un individu a publié ce qu’il prétendait être « 2,9 milliards de dossiers » de personnes aux États-Unis, au Royaume-Uni et au Canada, incluant noms, adresses physiques et numéros de sécurité sociale. Cependant, l’analyse continue des données révèle que la situation est bien plus complexe, tout comme les risques associés.
Ajoutez désormais les dérailleurs de vélo et les casiers de gym à la liste des objets susceptibles d’être piratés. Des chercheurs en sécurité ont révélé cette semaine que les dérailleurs sans fil Di2 de Shimano peuvent être vulnérables à divers types d’attaques radio, permettant à un individu de modifier à distance les vitesses d’un cycliste ou d’empêcher un changement de vitesse à un moment crucial d’une course. Parallèlement, d’autres chercheurs ont découvert qu’il est possible d’extraire les clés d’administrateur des casiers électroniques utilisés dans les salles de sport et les bureaux à travers le monde, offrant ainsi à un criminel un accès à tous les casiers d’un même endroit.
Si vous possédez un téléphone Google Pixel, gardez-le à portée de main : une vulnérabilité non corrigée dans une application Android cachée nommée Showcase.apk pourrait permettre à un attaquant d’accéder profondément à votre appareil. Bien que l’exploitation de cette vulnérabilité nécessite un accès physique à l’appareil ciblé, les chercheurs d’iVerify, qui ont découvert le problème, affirment qu’il pourrait également être exploité via d’autres failles. Google a annoncé qu’il prévoyait de publier un correctif « dans les semaines à venir », mais cela ne satisfait pas la société d’analyse de données et contractant militaire américain Palantir, qui a décidé de cesser d’utiliser tous les appareils Android en raison de ce qu’elle considère comme une réponse insuffisante de Google.
Mais ce n’est pas tout. Chaque semaine, nous faisons le point sur les nouvelles en matière de sécurité et de confidentialité que nous n’avons pas couvertes en profondeur. Cliquez sur les titres pour lire les histoires complètes. Restez prudents.
Les mandats géographiques déclarés inconstitutionnels : un tournant
Un tribunal d’appel fédéral américain a statué la semaine dernière que les mandats géographiques enfreignent les protections du Quatrième Amendement contre les perquisitions et saisies déraisonnables. Ces mandats permettent à la police d’exiger que des entreprises comme Google fournissent une liste de tous les appareils ayant été présents à un certain endroit à un moment donné. La Cour d’appel du Cinquième Circuit des États-Unis a déclaré le 9 août que ces mandats sont « catégoriquement interdits par le Quatrième Amendement » car ils « n’incluent jamais un utilisateur spécifique à identifier, mais seulement un lieu temporel et géographique où un utilisateur donné peut apparaître après la recherche ». En d’autres termes, il s’agit d’une expédition de pêche inconstitutionnelle que les défenseurs de la vie privée et des libertés civiles dénoncent depuis longtemps.
Google, qui collecte les historiques de localisation de dizaines de millions de résidents américains et est la cible la plus fréquente des mandats géographiques, a promis fin de l’année dernière de modifier la manière dont il stocke les données de localisation, de sorte que ces mandats ne puissent plus retourner les données qu’ils fournissaient auparavant. Cependant, sur le plan légal, la question reste loin d’être résolue : la décision du Cinquième Circuit ne s’applique qu’aux activités des forces de l’ordre en Louisiane, au Mississippi et au Texas. De plus, en raison des lois américaines sur la vie privée, la police peut simplement acheter les données et éviter le processus de mandat. Quant aux appelants dans l’affaire entendue par le Cinquième Circuit, ils ne sont pas mieux lotis : le tribunal a constaté que la police avait utilisé le mandat géographique de « bonne foi » lorsqu’il a été émis en 2018, ce qui leur permet de continuer à utiliser les preuves obtenues.
T-Mobile sanctionné de 60 millions de dollars pour une gestion inappropriée des données
Le Comité sur les investissements étrangers aux États-Unis (CFIUS) a infligé cette semaine à T-Mobile, propriété allemande, une amende record de 60 millions de dollars pour sa mauvaise gestion des données lors de son intégration avec Sprint, une entreprise américaine, suite à leur fusion en 2020. Selon le CFIUS, « T-Mobile n’a pas pris les mesures appropriées pour prévenir l’accès non autorisé à certaines données sensibles », en violation d’un accord de sécurité nationale que la société a signé avec le comité, qui évalue les implications en matière de sécurité nationale des transactions commerciales étrangères avec des entreprises américaines. T-Mobile a déclaré dans un communiqué que des problèmes techniques avaient affecté « les informations partagées à partir d’un petit nombre de demandes d’informations des forces de l’ordre ». Bien que la société affirme avoir agi « rapidement » et « en temps opportun », le CFIUS soutient que T-Mobile « a échoué à signaler certains incidents d’accès non autorisé rapidement au CFIUS, retardant ainsi les efforts du Comité pour enquêter et atténuer tout dommage potentiel ».
La Nouvelle-Zélande approuve l’extradition de Kim Dotcom vers les États-Unis
La saga judiciaire de 12 ans concernant Kim Dotcom a fait un pas en avant cette semaine avec l’approbation par le ministre de la Justice néo-zélandais de la demande d’extradition des États-Unis à l’encontre de l’entrepreneur controversé. Dotcom a créé le service de partage de fichiers Megaupload, que les autorités américaines affirment avoir été utilisé pour des violations massives des droits d’auteur. Les États-Unis ont saisi Megaupload en 2012 et ont inculpé Dotcom pour des charges liées à l’extorsion, à la violation des droits d’auteur et au blanchiment d’argent. Dotcom a nié toute faute, mais a perdu une tentative de bloquer son extradition en 2017 et se bat depuis. Malgré la décision du ministre de la Justice, Dotcom a juré dans un message sur X de rester dans le pays où il est résident légal depuis 2010. « J’aime la Nouvelle-Zélande », a-t-il écrit. « Je ne pars pas. »
San Francisco s’attaque au problème de la pornographie deepfake
Le fléau croissant de la pornographie deepfake — des images explicites qui « déshabillent » numériquement des personnes sans leur consentement — pourrait enfin rencontrer un obstacle juridique majeur. La procureure adjointe en chef de San Francisco, Yvonne Meré, et la ville de San Francisco, par extension, ont déposé une plainte contre les 16 sites web de « nudification » les plus populaires. Ces sites et applications permettent de créer des images deepfake explicites de pratiquement n’importe qui, mais ils ont été de plus en plus utilisés par des garçons pour produire du matériel d’abus sexuel sur leurs camarades de classe féminines mineures. Bien que plusieurs États aient criminalisé la création et la distribution de matériel d’abus sexuel généré par l’IA concernant des mineurs, la plainte de Meré vise effectivement à fermer ces sites complètement.
