Cet article lève le voile sur la société Palantir. Enfin, juste un peu.
De manière assez étrange, même les anciens employés de la société ont du mal à décrire précisément ce qu'elle fait. Il semblerait qu'ils aient un éventail d'outils assez avancés qui viennent se greffer sur l'infrastructure existante de leurs clients (sans avoir besoin de modifier les flux de données du client) et faire des rapprochements. Et leurs outils semblent vraiment puissants, bien au delà de toute la concurrence. Et ils cultivent un certain esprit guerrier et hégémonique.
Ce que dit l'article, c'est que c'est un outil qui entre de bonnes mains peut faire des choses extraordinaires (par exemple améliorer la logistique des vaccins contre le Covid-19 vers les zones les plus à risque), mais entre de mauvaises mains... et bien justement Palantir travaille beaucoup avec les agences gouvernementales américaines. 😕
Le "front" pour les clients s'appelle "Foundry". Le "front" pour les clients gouvernementaux s'appelle "Gotham" (Ouais, l'esprit justicier, tout ça...).
Ce qui est sûr, c'est qu'il n'y a que les riches qui peuvent se payer leurs services.

Via sebsauvage.net

« Un récent arrêt de la Cour de cassation estime que l’identification d’un salarié à partir de son adresse IP, interne au réseau de l’entreprise et enregistrée au sein de fichiers de journalisation, n’est licite que si ce dernier a donné son consentement explicite pour ce recueil. »

UBlock Origin est un bloqueur publicitaire et un logiciel d'anti-tracking. Il peut aussi vous épargner de subir la logorrhée du groupe Bolloré.

Comment cacher son adresse courriel aux robots, sur une page Web, tout en la gardant lisible aux humains.

La Cnil a rappelé à l'ordre les ministères de l'Intérieur et de la Justice. Dans son collimateur, plusieurs manquements relatifs au fichier de traitement des antécédents judiciaires.

Test en ligne non exhaustif, permettant de savoir si le bloqueur de publicité fait son boulot.

Un rapport d'étude de Cybernews (source : Who owns your shiny new Pixel 9 phone? You can’t say no to Google’s surveillance [Cybernews]) révèle que des informations privées ont été envoyées à plusieurs reprises en arrière-plan à Google, notamment l'adresse e-mail de l'utilisateur, le numéro de téléphone, la localisation, la liste d'applications et d'autres télémétries et statistiques. De plus le rapport montre les capacités de contrôle à distance de Google pour exécuter un nouveau code sur l'appareil sans aucun consentement explicite donné.

On paye déjà pour utiliser un service quasi obligatoire… Connards !

Chez Mozilla, ils ont passé en revue les 25 plus grandes marques automobiles du marché. Résultat : toutes sans exception ont été étiquetées « Confidentialité non incluse ». Comme quoi, en matière de respect de la vie privée, les constructeurs de voitures trustent la pole position au palmarès de la lose. Ils s’en donnent à cœur joie pour nous profiler et revendre nos données personnelles à tout va.

Entre le partage douteux de nos infos avec la police et les gouvernements, la revente de nos données de géolocalisation aux courtiers et le manque flagrant de protection de toutes ces données, les voitures connectées nous la jouent vraiment à la Mad Max côté vie privée. Concrètement, ça veut dire que n’importe qui ou presque peut savoir où vous êtes allés, à quelle vitesse, avec qui, ce que vous avez fait dans l’habitacle…etc
[...]
C’est encore pire quand on découvre que certains constructeurs comme Nissan ou Hyundai se permettent carrément de collecter des données sur votre « activité sexuelle », votre « niveau d’intelligence » ou vos « caractéristiques génétiques » ! Et refourguer ces infos ultrasensibles à des « partenaires marketing » pour du ciblage publicitaire.
[...]

Des chercheurs en sécurité ont trouvé le moyen de vous géolocaliser en douce, simplement en capturant l’identifiant unique de votre routeur appelé également BSSID (Basic Service Set Identifier).

En effet, il existe des systèmes de géolocalisation par Wi-Fi (WPS – Wi-Fi Positioning System), comme celui d’Apple, qui utilisent les BSSID comme balises pour vous localiser. En gros, dès qu’un iPhone ou un Mac capte votre réseau WiFi, le BSSID de celui-ci et votre position sont envoyés directement dans la base de données d’Apple. Et après, n’importe qui peut interroger ce WPS pour savoir où vous êtes sans avoir besoin d’être un hacker professionnel… Il suffit juste de connaître l’astuce.

• les clés de chiffrement BitLocker sont envoyées à Microsoft.
• Un document Word/PowerPoint ouvert envoie son contenu aux serveurs Microsoft.
• avec le nouvel Outook, Microsoft a tous vos mails et tous vos mots de passe mail.
• Edge envoie les URLs visitées à Microsoft.
• OneDrive récupère par défaut tous vos fichiers.
• Recall enregistre tout.

A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

• Les versions Microsoft 365 Apps for enterprise de PowerPoint et Word transfèrent le contenu textuel des documents vers un point de terminaison appartenant à Microsoft, et ce dès l’ouverture du document, sans action utilisateur.
• Ce transfert de contenu est réalisé dans le cadre de l’analyse du contenu des documents des Expériences Connectées. [du magnifique bullshitlanguage]
• Ce fonctionnement est actif même lorsque le document n’est pas stocké dans le cloud de Microsoft, incluant donc les fichiers locaux. Le comportement est observé sur les clients lourds Office utilisés dans le cadre de l’abonnement Microsoft 365 Apps for Enterprise.
• A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

Liens :

• https://cloud.herbinet.fr/index.php/s/7KFS3BrW3rWPcM2/download/Wavestone%20-%20Rapport%20technique%20-%20Analyse%20donn%C3%A9es%20-%20Exp%C3%A9riences%20connect%C3%A9es%20Microsoft%20365%20Apps%20for%20entreprise.pdf?trk=public_post_comment-text
• https://kdrive.infomaniak.com/app/share/222864/ff1c4bc4-39ce-42e3-b07a-ae0366329489/preview/pdf/2104?trk=public_post_comment-text

Liste de résolveurs DNS avec des informations sur la confiance qu'on puisse leur accorder.

Si vous pensez que Firefox empêche certains sites de fonctionner correctement en bloquant leurs fenêtres pop-up, ajoutez alors des exceptions pour contourner le problème. Voici la procédure.

WebTunnel, c’est un nouveau type de bridge Tor conçu pour aider les internautes des pays où c’est la misère niveau liberté sur le web. Le principe est simple: ça imite du trafic web chiffré (HTTPS) pour se fondre dans la masse. Comme ça, pour les censeurs, ça ressemble juste à un internaute lambda qui surfe sur le web. Malin ! 😎

Un site qui recense les vrais jeux sur mobile. Pas les saloperies mal foutues bourrées d'achats in-app, non : Les vrais jeux complets.

Il semblerait que le lecteur YouTube attende 5 secondes avant de lancer une vidéo quand il détecte Firefox. Pour donner l'impression que Firefox est plus lent que Chrome, je suppose.
Notez que ce n'est pas la première fois que Google fait ça : https://www.zdnet.com/article/former-mozilla-exec-google-has-sabotaged-firefox-for-years/

Il se pourrait que le code soit mal interprété:
https://news.ycombinator.com/item?id=38346570
https://news.ycombinator.com/item?id=38346602

Google confirme le délai de 5 secondes, mais dit que ce n'est pas destiné aux utilisateurs de Firefox, mais aux bloqueurs de publicité : https://www.404media.co/youtube-says-new-5-second-video-load-delay-is-supposed-to-punish-ad-blockers-not-firefox-users/
Oui donc c'est destiné à ceux qui font des efforts pour protéger notre vie privée, ce qui inclue les bloqueurs de pub et Firefox, au final.

via sebsauvage.net

Sauf que Chromium, même si c’est libre, intègre encore bon nombre de dépendances aux services web de Google. Et l’idée de cet article aujourd’hui, c’est de vous faire découvrir une 3e alternative qui est une version de Chromium débarrassé pour de vrai de tous ses liens avec Google.

Ça s’appelle Ungoogled Chromium et ce browser conserve ainsi l’expérience utilisateur par défaut de Chromium, sans dépendances aux services web de Google (Google Host Detector, Google URL Tracker, Google Cloud Messaging, Google Hotwording, etc.), tout en offrant des tas d’options pour améliorer la confidentialité et le contrôle de vos données.

Dans une décision du 16 novembre, le Conseil estime ainsi « l’activation à distance d’appareils électroniques afin de capter des sons et des images sans même qu’il soit nécessaire pour les enquêteurs d’accéder physiquement à des lieux privés en vue de la mise en place de dispositifs de sonorisation et de captation est de nature à porter une atteinte particulièrement importante au droit au respect de la vie privée ». Pour les juges constitutionnels, cette mesure « permet l’enregistrement, dans tout lieu où l’appareil connecté détenu par une personne privée peut se trouver, y compris des lieux d’habitation, de paroles et d’images concernant aussi bien les personnes visées par les investigations que des tiers ». Conclusion : « Le législateur a permis qu’il soit porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. »

En revanche, le Conseil constitutionnel juge que « l’activation à distance d’appareils électroniques à des fins de géolocalisation ne méconnaît pas le droit au respect de la vie privée ».

« En 2015, les forces de l’ordre ont acquis, en secret, un logiciel d’analyse d’images de vidéosurveillance de la société israélienne Briefcam. Depuis huit ans, le ministère de l’intérieur dissimule le recours à cet outil qui permet l’emploi de la reconnaissance faciale. »

un proxy destiné à contourner la censure, et conçu pour que son trafic ressemble à du http/3 (donc QUIC).
Site web : https://v2.hysteria.network/

Dans une lettre ouverte publiée jeudi, plusieurs centaines de spécialistes de la sécurité et de la cryptographie contestent un texte bientôt soumis au vote au Parlement européen, parce qu’il impose aux navigateurs Web d’utiliser certains certificats de sécurité sélectionnés par les Etats membres.

Si le texte est adopté, les états pourront faire du MITM et nous pister sans qu'on y voie goutte 😡. Ouuuuuhhhhhh la belle faille de sécurité...

Cette application se charge dix fois plus vite que l'interface web de YouTube.
C'est gratuit, ça marche sous Windows, Linux et Mac.
Et ça intègre SponsorBlock pour bloquer les publicités (même les parties promotionnelles des vidéos !). Il suffit d'activer l'option dans les paramètres.
Passer l'application en français (elle est en anglais par défaut).

Face à la polémique née d'un amendement visant à interdire l'utilisation des VPN, l'Assemblée nationale n'a pas tardé à faire machine arrière.

Encore heureux !

Erik Neuenschwander, directeur de la protection de la vie privée des utilisateurs et de la sécurité des enfants chez Apple, explique [...]} que « l'analyse des données iCloud privées de chaque utilisateur créerait de nouveaux vecteurs d'attaques que des pirates pourraient trouver et exploiter » :

Cela pourrait nous amener sur une pente glissante avec des conséquences imprévues. La recherche d'un type de contenu ouvre la porte à la surveillance en masse et pourrait donner l'envie de rechercher tout type de contenu dans d'autres systèmes de messagerie chiffrée. Nous avons conclu qu'il n'était pas possible de la mettre en œuvre sans mettre en péril la sécurité et la vie privée de nos utilisateurs.

Une nouvelle étude de Mozilla a révélé que des constructeurs automobiles connus et vendus dans le monde entier comme Chevrolet, Nissan, Toyota, Kia, Audi, Jeep, Honda, Volkswagen recueillent des données très personnelles comme le patrimoine génétique ou encore l’activité sexuelle de leurs clients. Et elles ne s’arrêtent pas là, puisqu’elles partagent, et même dans certains cas vendent ces données aux annonceurs, aux courtiers en données et aux autorités.

WTF ???

Vous savez ce qui est terrible ? Craindre que votre nourriture ait été… souillée d’une manière ou d’une autre. C’est pourquoi les gens ont été furieux en 2012 lorsqu’une photo virale a été postée sur 4chan montrant un employé invisible écrasant de ses pieds deux bacs de laitues déchiquetées qui arrivent à toute vitesse dans votre fast-food.

Un mystère étrange, sans indice sur qui aurait pu le faire ou où, inspirant la crainte de la paranoïa dans nos esprits… Jusqu’à ce que Burger King attrape les personnes impliquées sans se soucier de ce qu’elles font et les renvoie.

Argumentaire sur le "rien à cacher"

Enfin un argumentaire (sous forme de retex-fiction) qui tient la route sur les raisons de partager (ou non) les photos de ses enfants sur les réseaux sociaux.

Le "sharenting", néologisme, contraction de share (= partager) et parenting (être parent), désigne le fait de partager les photos de ses enfants sur les réseaux.

75 % des parents partagent des photos de leurs progénitures sur les réseaux sociaux. Selon Deutshe Telecom, 80 % des parents y ont des abonnés qu'ils n'ont jamais rencontrés.

Ces photos/vidéos peuvent être récupérées pour :

• être éventuellement vieillies par une IA ;
• faire de faux documents d'identité (vol d'identité) ;
• copier la voix et générer de faux enregistrements vocaux (ex. : appel au secours fictif de ses parents) ;
• en faire la cible de harcèlement scolaire ;
• partager du contenu pédopornographique.
  Malheureusement, l'actualité regorge de ces faits.

Le spot relate que les ados voient leurs photos partagées, en moyenne, 1 300 fois avant l'âge de 13 ans. Alors qu'ils ne peuvent légalement pas encore créer leur propre profil.

En France, 30 % des enfants à naître auraient une empreinte numérique (selon un sondage de l'institut GECE réalisé en 2021) car leurs parents postent des photos de l'échographie sur les réseaux.

Une proposition de loi a été adoptée à l'Assemblée Nationale (en mars 2023), et doit être maintenant examinée par le Sénat, visant à sensibiliser les parents sur le respect du droit à l'image des enfants. Le texte prévoit des sanctions pour les parents qui vont trop loin (c'est-à-dire… Trop loin comment ?). Ils pourraient se voir imposer une délégation partielle de leur autorité parentale, si les images diffusées portent gravement atteinte à la dignité ou a l'intégrité morale de l'enfant.

Puis-je vous demander une copie de tous vos emails, de vos messages et photos sur Facebook, et de tous les fichiers sur votre ordinateur ? J’aimerais tout savoir sur votre vie privée.

Cette décision européenne est intéressante : le RGPD vous permet donc aussi de demander qui a consulté vos données et dans quel but.

Un juge d'un tribunal de district de New York a établi un précédent historique en devenant le premier à établir qu'un mandat est nécessaire pour effectuer des fouilles de téléphones portables à la frontière, à moins que des circonstances exigeantes ne le justifient. Pour l'Electronic Frontier Foundation (EFF) il s'agit d'une grande victoire et de l'aboutissement de près de dix ans d'efforts menés par l'ONG en faveur de l'exigence d'un tel mandat pour les perquisitions d'appareils électroniques aux frontières. Dans cet avis, l'EFF rappelle le contexte, l'exception relative aux perquisitions à la frontière et les implications de cette décision sur les droits à la vie privée dans le domaine numérique.

Enfin !

Un script PowerShell pour bloquer les données de télémétrie sous Windows.

Phase 1 : « Mais vous êtes parano, qu'est-ce que ça peut bien faire que Google ou Facebook collecte des données sur moi ? Je n'ai rien à cacher, je ne fais rien d'illégale. »
Phase 2 : Des états rendent l'avortement illégal.
Phase 3 : Les états exigent des GAFAM les données qu'ils ont collectées. Les GAFAM collaborent pour respecter la loi.
Phase 4 : Les états poursuivent les gens en justice à partir de ces données.

Le plus triste dans l'histoire, c'est que même des pharmacies partagent des données avec Google et Facebook, données qui ont donc pu ensuite être utilisées contre les personnes. Ah oui, les états ont également utilisé les messages échangés en privé dans Facebook comme preuves (HINT HINT UTILISEZ DES MESSAGERIES CHIFFRÉES DE BOUT EN BOUT !)
Si une femme en salle d'attente d'une clinique d'avortement a sorti son téléphone pour jouer à un jeu, cela suffit pour la poursuivre en justice puisque par défaut Google (et beaucoup de développeurs d'applications) collectent les positions GPS des appareils. Google a donc dans ses bases de données la date, l'heure et l'adresse exacte de la clinique d'avortement qu'a fréquentée cette femme.

Voilà, vous ne pourrez pas dire qu'on ne vous avait pas prévenu. 🤷‍♂️
Aucune collecte de données n'est sans conséquences, même celles qui vous paraissent anodines.

Un fork de Signal

Donc :
1) Miam le tiers qui va collecter les identités de tous les français qui veulent consulter du porno.
2) Technique du pied-dans-la-porte, le système sera utilisé pour restreindre l'accès à tout un tas d'autres genres de sites.

Decathlon a un comportement de merde sur le web :-(

Plusieurs images capturées par des versions de développement d’un nouveau modèle d’aspirateur Roomba se sont retrouvées sur Internet.

C'est quoi l'intérêt d'un appareil photo dans un aspirateur ?

Retrouver des personnes, des pseudos, etc. sur des chans Discord sans même y êtres abonnés ! [et sans même avoir Discord]

Un logiciel gratuit créé par une entreprise polonaise. Outil est impressionnant de précision et de rapidité. Vous lui fournissez la photo de votre choix et le voilà en train de rechercher pour vous, l’ensemble des supports numériques connectés pouvant exploiter cette même image ! Parfait pour l’OSINT. PimEyes. vous affiche, dans la foulée, les versions modifiées de la photo et l’url.

La Cour de cassation vient de confirmer que le refus de renseigner son code de déverrouillage de téléphone portable en cas d’arrestation constituait un délit, passible de trois ans d’emprisonnement.