Pistés comme jamais #2
03 May 2020
Je pense qu'il nous est tous arrivé de faire une recherche sur une plateforme X pour un produit et d'en être recevoir la publicité sur la plateforme Y. Par exemple (vécu), faire une recherche pour une marque Z sur Vinted et avoir des publicités sur cette marque ensuite dans Youtube.
Et encore, ça c'est du classique, dans la continuité de mon précédent article sur le sujet, les exemples continuent d'affluer sur de nouvelles façons originales de nous pister.
![Visualisation d'un groupe de personnes dans l'application Photo d'un iPhone avec la reconnaissance automatique des visages, entourés dans un cadre vert](/assets/images/reconnaissance_faciale.jpg)
Des sociétés scannent toutes les images disponibles sur Facebook, Twitter, Youtube… pour alimenter une gigantesque base de données de reconnaissance faciale, et revendre son utilisation aux forces de l'ordre, ou à d'autres entités (faut pas se limiter).
https://arstechnica.com/tech-policy/2020/02/facebook-youtube-order-clearview-to-stop-scraping-them-for-faces-to-match
![Un écran de télé avec la main d'une personne qui pointe la télécommande dessus, un dessin d'oeil est superposé sur la télé pour illustrer le fait que la télé espionne la personne](/assets/images/tv_spy.jpg)
Les appareils pour regarder la télé, comme le Amazon Fire TV, savent ce que vous regardez, quand et combien de temps.
https://blog.acolyer.org/2020/02/10/watching-you-watch
![Le capitole américain en photo avec le logo de la société suisse Crypto AG par-dessus](/assets/images/security_swiss_made_crypto_ag.jpg)
La société suisse Crypto AG a vendu du matériel militaire à presque tous les pays du monde, depuis la fin de la 2e guerre mondiale. Cette société était en fait détenue par la CIA. Au temps pour la souveraineté nationale des armées.
https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html
![Une publicité pour Edison Mail avec le slogan : So much more than an inbox. Avec écrit au-dessus : Steal your information, et écrit en dessous : And invade your privacy](/assets/images/meme_steal_information_inbox_edison_mail.png)
Les applications de gestion des emails sur votre smartphone scannent vos mails pour en revendre les données.
https://www.lifewire.com/best-iphone-email-apps-4135146
![Le logo du mode navigation privée d'un navigateur Web, avec écrit en-dessous : You've gone incognito](/assets/images/navigation_privee.jpg)
Plus de 500 extensions Chrome, telles que des jeux, coupons promotionnels, offres privilèges… téléchargées des millions de fois, étaient en fait uniquement créées dans le but d'envoyer l'utilisateur sur des sites webs malveillants. Ces sites étaient alors en mesure de récupérer toutes les données stockées sur le navigateur et dans le presse-papier (quand on fait un copier/coller).
https://arstechnica.com/information-technology/2020/02/500-chrome-extensions-secretly-uploaded-private-data-from-millions-of-users
![Meme avec la photo d'une voiture à l'arrêt sur un chemin forestier, texte au-dessus : I'm sorry to hear, texte en-dessous : Your car GPS has no signal](/assets/images/meme_car_gps_no_signal.png)
Ca va devenir une habitude, les voitures de location connectées sont contrôlées à distance pour ne pas sortir d'une certaine zone géographique, sous peine d'arrêter instantanément le moteur. Sauf que si le GPS interne de la voiture ne capte plus de signal, elle considère que ce n'est plus dans le périmètre autorisé et s'arrête.
https://arstechnica.com/cars/2020/02/driver-stranded-after-connected-rental-car-cant-call-home
![Meme avec la photo d'un petit enfant qui rit d'un air maléfique, texte au-dessus : Let's collect data, texte en-dessous : And sell it](/assets/images/meme_collect_data_and_sell_it.jpg)
Certains VPN et bloqueurs de publicité étaient en fait des aspirateurs à données personnelles, pour ensuite les revendre. Choisissez bien votre VPN, si c'est gratuit ou pas cher, c'est pas normal. Et pour le bloqueur de publicité sur votre smartphone, prenez DNSFilter (j'en parle dans cet article). Analyse détaillée sur 120 VPN.
https://www.buzzfeednews.com/article/craigsilverman/vpn-and-ad-blocking-apps-sensor-tower
![Meme avec la photo d'une caméra de sécurité dont le champ de vision est bloqué par un panneau d'information, à quelques centimètres de l'objectif, texte en-dessous : Security, we've got it tight](/assets/images/meme_security_tight.jpg)
Une énième société de fabrication d'appareils de surveillance connectés vend ses produits alors qu'ils ont des failles de sécurité (quelqu'un peut en prendre le contrôle) et ne peuvent pas être mis à jour ou très difficilement.
https://www.zdnet.com/article/ddos-botnets-have-abused-three-zero-days-in-lilin-video-recorders-for-months
![Extrait d'un bout de code informatique avec des champs contenant des informations personnelles telles que le nom, l'age, l'adresse...](/assets/images/hack_api_israel_voters.jpg)
L'application de vote en ligne utilisée en Israel avait une faille de sécurité permettant de récupérer l'intégralité du registre des électeurs : nom, prénom, adresse postale, adresse mail, numéro de carte d'identité, sexe… Faut arrêter de faire confiance aux autres avec ses propres données personnelles.
https://www.haaretz.com/israel-news/elections/.premium-app-used-by-netanyahu-s-likud-leaks-israel-s-entire-voter-registry-1.8509696
![Dessin numérique avec l'icone d'un micro, une représentation de fréquence sonore imagée et un texte : Go ahead, I'm listening, pour représenter un appareil tel qu'Alexa ou Google Home](/assets/images/go_ahead_i_m_listening.png)
Après le piratage des assistants vocaux (comme Google Home ou Alexa) par des lasers, des chercheurs en sécurité ont découvert que c'était aussi possible via des commandes passées par ultrasons inaudibles à l'oreille.
https://www.schneier.com/blog/archives/2020/03/hacking_voice_a_1.html
![Interface d'un logiciel de reconnaissance faciale où l'on voit un groupe de personnes portant des masques avec leurs visages encadrés et leur nom indiqué au-dessus](/assets/images/reconnaissance_faciale_avec_masques.jpg)
On n'arrête pas le progrès en temps de pandémie, et en Chine on profite d'avoir une population entièrement masquée pour améliorer son système de reconnaissance faciale. Même si tu portes un masque on sait qui tu es.
https://www.schneier.com/blog/archives/2020/03/facial_recognit_3.html
![Dessin numérique avec deux ordinateurs portables ouverts, côté à côté. Dans celui de gauche on voit un homme masqué (un hacker) en train de pêcher avec une canne à pêche dans l'autre ordinateur, et au bout de l'hameçon il y a un dossier intitulé Personal Data](/assets/images/hacker_fishing_personal_data.jpeg)
Plus de 4000 applications Android collectent la liste des applications installées sur votre smartphone, pour dresser votre portrait utilisateur, sans que vous ne le sachiez. Ça peut paraître bénin, sauf qu'on n'a pas forcément envie de dire à tout le monde que l'on a installé GrindR ou Tinder ou Pornhub. Ou qu'on a l'application de la Caisse d'Epargne, information qui peut être réutilisé plus tard via une tentative de hameçonnage dans un mail.
https://arstechnica.com/information-technology/2020/03/4000-android-apps-silently-access-your-installed-software
![Dessin numérique une femme dans une salle d'attente sur son téléphone, et des fantômes sortent du téléphone avec des pancartes sur lesquelles est écrit : Baby killer, Abortion is murder](/assets/images/geofencing_spy_data_salle_attente.jpg)
Après la publicité géo-ciblée, la propagande géo-ciblée : les groupes anti-avortement aux Etats-Unis inondent de publicités culpabilisantes les personnes dans ou à proximité des cliniques pratiquant l'avortement ou à proximité des locaux du planning familial.
https://rewire.news/article/2016/05/25/anti-choice-groups-deploy-smartphone-surveillance-target-abortion-minded-women-clinic-visits
![Meme, un homme regarde à travers un store en écartant les lames, texte au-dessus : I see you, texte en-dessous : Thru that tape on your webcam](/assets/images/meme_see_you_tape_webcam.jpg)
Encore des abus de surveillance par les établissements scolaires sur leurs élèves : dans cette école des Etats-Unis, des ordinateurs portables étaient fournis aux élèves sauf que la webcam pouvait être activée à distance et n'importe quand. Forcément il y a eu des petites indiscrétions.
https://en.wikipedia.org/wiki/Robbins_v._Lower_Merion_School_District
![Au dessus de la photo d'un smartphone avec une application de géolocalisation ouverte, il est écrit : See your location in real-time, no mobile data required](/assets/images/location_real_time.jpg)
Les opérateurs téléphoniques aux Etats-Unis, l'équivalent de Orange/SFR/Free/Bouygues Telecom en France, revendent l'accès aux données de géolocalisation en temps-réel de leurs clients, par exemple aux collecteurs de dettes, aux détectives privés…
https://www.eff.org/press/releases/eff-sues-att-data-aggregators-giving-bounty-hunters-and-other-third-parties-access
![Meme, un homme en intérieur porte une arme à sa ceinture, texte au-dessus : Meme my wife asked me why I carry a gun in the house, texte en-dessous : She laughed, I laughed, the Amazon Echo laughed. I shot the Echo. It was a good time.](/assets/images/meme_gun_amazon_echo.jpg)
On s'en doutait un peu, les employés de Google et d'Amazon peuvent écouter ce qu'il se passe chez les gens possédant des assistants vocaux.
https://eu.usatoday.com/story/tech/2019/07/11/google-home-smart-speakers-employees-listen-conversations/1702205001
https://time.com/5568815/amazon-workers-listen-to-alexa
![Meme l'homme le plus intéressant du monde, le texte au-dessus est : I don't always put stickers on a laptop, but when I do..., le texte en-dessous est : I put them over the webcam](/assets/images/meme_stickers_laptop_webcam.png)
Une faille dans Safari, le navigateur d'Apple, permettait à un site web de prendre le contrôle de la webcam d'un ordinateur ou d'un smartphone.
https://www.ryanpickren.com/webcam-hacking-overview
![Meme, photo du méchant dans les films Austin Powers fait des guillemets avec ses mains, le texte au-dessus est : but facebook takes your privacy, le texte en-dessous est : seriously](/assets/images/meme_facebook_privacy_seriously.png)
Facebook considère qu'il ne collecte pas suffisamment bien les données personnelles sur les utilisateurs de produits Apple, la société a donc essayé de racheter l'entreprise éditrice d'une application malveillante (Pegasus spyware). Le principe c'est : l'utilisateur reçoit un sms apparemment inoffensif, clique sur un lien à l'intérieur ce qui installe automatiquement une application qui transmet ensuite toutes les données possibles à Facebook.
https://appleinsider.com/articles/20/04/03/facebook-tried-to-buy-nso-groups-ios-spyware-to-monitor-iphone-users