Accueil Le blog

Avast rachète Piriform, l’éditeur derrière CCleaner

image dediée

Avast, l’entreprise derrière le célèbre logiciel antivirus a annoncé l’acquisition du britannique Piriform. Si son nom ne vous dit rien, sachez qu’il s’agit de la société à l’origine de CCleaner.

Avast poursuit ses emplettes. Moins d’un an après avoir croqué 87,3 % de son grand concurrent et compatriote AVG, moyennant 1,3 milliard de dollars, il restait à la société un petit matelas de 400 millions de dollars, provenant d’un emprunt de 1,7 milliard souscrit au moment de cette opération.  Si l’on pouvait penser que ce solde allait servir à racheter les parts résiduelles d’AVG, le groupe basé en République Tchèque a visiblement décidé de dépenser cet argent autrement.

CCleaner change de maison

Pour un montant resté secret, Avast a en effet décidé de mettre la main sur le britannique Piriform, à qui l’on doit notamment le logiciel de nettoyage CCleaner. Comme le célèbre antivirus tchèque, il repose sur un modèle s’appuyant sur une version gratuite, qui peut être ensuite enrichie avec des fonctions payantes.

De quoi lui permettre de capter 130 millions d’utilisateurs, dont 15 millions rien que sur Android (sur un total de 2 milliards de téléchargements). En comptant ses autres outils, tels que Speccy (analyse de matériel) ou Recuva (restauration de fichiers), l’éditeur revendique plus de 23 millions de téléchargements par mois. Un volume qui devrait faire grimper la base d’utilisateurs d’Avast et AVG, qui compte pour l’instant 440 millions d’âmes.

Une intégration facile, et des produits qui resteront

Selon Vince Stecklert, le PDG d’Avast, la nouvelle filiale du groupe devrait parfaitement s’y intégrer, et ce pour plusieurs raisons. « Nous croyons tous deux à la fourniture de produits gratuits de haute qualité. Les gens ne vont pas utiliser votre produit uniquement parce qu’il est gratuit, c’est même plutôt le contraire. Vous devez les convaincre que votre produit n’est pas cher, mais pas nul ». Le logiciel ne doit toutefois proposer que le minimum de façon gratuite, afin de permettre sa monétisation.

C’est en s’appuyant sur cette qualité revendiquée qu’Avast et Piriform assurent avoir pu construire « une communauté d’utilisateurs à l’aise avec la technologie », qui ont pu évangéliser leur proches en leur présentant ces produits, qui ont fait tache d’huile.

Que les utilisateurs de CCleaner et des autres outils de Piriform se rassurent, ils devraient rester dans le paysage informatique encore un long moment. Avast prévoit en effet de profiter de l’expérience de ses nouvelles recrues pour améliorer ses produits, mais n’envisage pas de faire disparaître la gamme actuelle.

De même, les logiciels d’optimisation déjà commercialisés par le groupe tchèque ne bougeront pas, qu’il s’agisse d’Avast Cleanup ou d’AVG TuneUp.

nextinpact

La CNIL critique le projet de loi sur la sécurité publique et les atteintes au chiffrement

image dediée

Pour énerver une autorité comme la CNIL, rien de plus simple. Il suffit de rédiger un texte créant de nouveaux fichiers aspirant quantité de données personnelles, et de ne pas la consulter. Le projet de loi sur la sécurité publique et contre le terrorisme en est le parfait exemple.

Faute d’avoir été saisie par le gouvernement, la CNIL a rappelé bruyamment à l’exécutif son existence dans un communiqué sur son site. Elle insiste sur la nécessaire « vigilance, tant de méthode que de fond, qu’exige la préparation des lois affectant les données personnelles des citoyens ». Ambiance.

« Les citoyens attendent que la lutte contre le terrorisme soit efficace, mais aussi qu’elle se fasse dans le respect dû à la protection de leur vie privée et de leurs données. C’est une condition de respect de l’Etat de droit, d’acceptabilité sociale et de légitimité des politiques de sécurité. La CNIL a précisément reçu du législateur la mission de veiller à cet équilibre » rappelle l’autorité administrative dans un style diplomatique très allégé.

Des critiques qui visent le contournement de la CNIL

Ses sentences ne relèvent pas seulement de la politesse de base. Le doigt sur l’article 11 de la loi de 1978, elle remémore au gouvernement son obligation de la consulter sur toutes les dispositions de projet de loi relatives à la protection des données à caractère personnel.

Or, avec le projet de loi venant transférer dans le droit commun des pans entiers de l’état d’urgence, on est clairement dans ce périmètre : il vient modifier les traitements de données d’enregistrement et de réservation des passagers aériens ou sur les navires, et intègre des dispositions relatives aux communications électroniques par voie hertzienne. D’autres problématiques liées à la vie privée, comme la localisation des personnes sous surveillance électronique mobile, l’obligation de déclarer ses identifiants, les saisies informatiques… bref, tous ces points auraient dû faire « tilt » dans l’esprit de l’exécutif et susciter la saisine de la Commission. Il n’en a rien été.

Des critiques qui visent aussi le projet de loi

Le mécontentement de la CNIL ne se limite pas à son contournement. Il vise aussi le contenu même du projet de loi. « Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives (…), elle estime que ces garanties devraient être renforcées ».

Parmi les brèches mises à l’index, arrive déjà l’obligation de déclarer les identifiants. Pour la CNIL, le texte est calibré pour être très gourmand puisque son champ embrasse « la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc. ». Et les oublieux risqueront trois ans d’emprisonnement et 45 000 euros d’amende… « Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants », ni même les conditions de conservations de ce stock comme l’a déjà critiquées le sénateur Michel Mercier (UDI).

La fin du caractère expérimental du PNR (Passenger Name Record) suscite également des inquiétudes. Ce fichier est « susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée » considère la CNIL alors que le traitement envisagé en France est plus ample que celui prévu par le droit européen. Chez nous , il pourra « être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation ».

Le manque de contrôle global des fichiers du renseignement

Boudée, la CNIL poursuit sur sa lancée en revenant sur une problématique déjà soulevée lors de la loi sur le renseignement. Si les opérations des services du renseignement impliquent l’intervention a priori de la Commission nationale de contrôle des techniques du renseignement, et a posteriori d’une formation spéciale du Conseil d’Etat en cas de contentieux, « il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes ». Pourtant il s’agit à ses yeux d’un impératif dès lors que le sécuritaire devient plus prégnant.

L’autorité, qui plaide évidemment pour jouer ce rôle, juge la situation paradoxale : « les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect ».

Le chiffrement, un élément essentiel de la résilience de nos sociétés

Et pour ne pas avoir à être une nouvelle fois oubliée, elle en profite pour ajouter une couche sur un sujet non abordé par le projet de loi : le chiffrement. On sait que le plan ébauché par Emmanuel Macron et Theresa May rêve de « permettre l’accès au contenu chiffré ». Comment ? En créant « une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.) ». A l’instar du Conseil national du numérique, la CNIL indique aux deux protagonistes que « le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli ». Une analyse partagée par l’ANSSI.

Une politique contraire, reposant par exemple sur l’introduction de backdoors, mettrait « en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées ». C’est bien simple, ces atteintes « créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. »

nextinpact

Gravity, Skyline : les groupes de presse s’alignent sur les géants du Web pour exploiter la vie privée de leur lectorat

Paris, le 7 juin 2017 – Des groupes industriels de presse ou détenant des titres de presse ont annoncé le lancement d’un nouveau projet conjoint baptisé « Alliance Gravity »1. Deux jours après, Le Monde et Le Figaro annoncent leur propre alliance, nommée « Skyline ». Sous couvert de lutter contre Google dans le partage des revenus publicitaires liés à la presse, ils comptent créer des plateformes communes pour centraliser les données personnelles de leurs lecteurs, afin de mutualiser l’achat d’espaces publicitaires. Cette annonce fait suite à des tribunes communes contre le règlement européen ePrivacy en cours de négociation (protection des communications en ligne), au lobbying pour instaurer un droit voisin pour les éditeurs de presse dans la directive européenne de réforme du droit d’auteur, et plus généralement à des années d’action pour aller toujours plus loin dans l’exploitation des données à des fins publicitaires, et l’extension du droit d’auteur.

Ces futures plateformes concentrent tous les échecs d’une industrie de la presse française incapable de respecter ses lecteurs et de se renouveler assez pour profiter de la récente refonte de la législation européenne de protection des données et créer, à partir de celle-ci, des modèles de financement innovants, respectueux des lecteurs et des journalistes, et sortant du couple néfaste « exploitation des données / publicité ».

Ce n’est pas parce qu’un projet est français et se présente comme une réponse à la captation de données et de valeur opérée par Google et d’autres géants numériques états-uniens qu’il est acceptable. Contrer un mauvais modèle par un mauvais modèle ne rend pas ce dernier vertueux, et l’Alliance Gravity comme Skyline portent en elles à la fois des dangers pour la vie privée et la sécurité des données personnelles des Français (comme tout silo centralisateur de données personnelles), et une inquiétante absence de vision d’avenir.

La Quadrature du Net invite les journalistes de ces groupes de presse à refuser que leur travail soit associé à la marchandisation de la vie privée de leurs lecteurs. Nous appelons également les lecteurs à boycotter les titres de presse utilisant cette surcouche d’exploitation des données, qui viendra s’ajouter à une publicité omniprésente et à la concentration industrielle qui nuit depuis des années au pluralisme et à la qualité de la presse en ligne française.

Afin de comprendre les enjeux qui sous-tendent ce projet, et plus généralement l’offensive des groupes de presse et opérateurs Internet contre la législation européenne sur la protection des données, il convient de rentrer plus en détail dans l’analyse de la situation :

Analyse

Le règlement général sur la protection des données (RGPD), adopté l’an passé par l’Union européenne et qui entrera en vigueur en mai 2018, prévoit deux choses :

  • les sites internet ne pourront plus pister et cibler leurs utilisateurs européens sans le consentement explicite de ceux-ci (les utilisateurs devront par exemple cliquer sur un bouton « j’accepte les cookies à fins publicitaires ») et la simple navigation sur un site ne pourra plus être interprétée comme équivalant à un consentement2 ;
  • les sites internet ne pourront plus exclure les visiteurs qui refusent de donner leur consentement3.

Il s’agit là d’une avancée déterminante, consacrant le principe fondamental selon lequel une liberté (ici, la vie privée) ne doit jamais être assimilée à une contre-partie économique (de même qu’on ne peut pas vendre nos organes, notre droit de vote, celui de fonder une famille etc.).

Pourtant, de nombreux sites internet (dont les plus importants éditeurs de presse français) s’opposent à cette avancée et entendent profiter du débat en cours sur le règlement ePrivacy pour la faire disparaître du droit européen.

Le lancement de projets tels que l’Alliance Gravity et Skyline montre, s’il en était besoin, qu’ils continuent à envisager leur modèle économique comme si le RGPD et ePrivacy n’existaient pas, ce qui est particulièrement inquiétant.

Une position contraire à la qualité de l’information

Le modèle économique de la presse repose historiquement sur la vente et l’abonnement. Ce modèle demande de fidéliser un lectorat en lui donnant l’assurance de retrouver sur son média des analyses et des investigations de qualité. Or, il est brutalement remis en cause depuis quelques années par l’apparition d’acteurs concurrents qui proposent gratuitement sur internet des informations d’actualité ou de divertissement, simples et variées, demandant généralement peu de temps de lecture et destinées au plus large public possible. Ce nouveau modèle économique repose uniquement sur la publicité ciblée, dont les revenus dépendent de la quantité de visiteurs touchés et non de la qualité de l’information4.

La concurrence imposée par ces nouveaux acteurs a poussé une part importante de la presse traditionnelle à faire évoluer (non sans douleur) son modèle économique et la façon qu’elle a de produire de l’information – en investissant plus dans l’information « spectacle » et moins dans l’analyse et l’investigation, par exemple.

Cette évolution nuit forcément à la qualité du débat public, mais peut être limitée en interdisant qu’un site puisse empêcher son accès aux utilisateurs qui refusent la publicité ciblée. Une telle protection des internautes remettrait profondément en cause le modèle économique fondé sur la publicité ciblée et, par effet de balancier, rendrait bien plus viables les modèles traditionnels fondés sur la fidélisation du lectorat et la qualité de l’information. Surtout, cette protection réconcilierait durablement le modèle économique de la presse avec le respect de droits fondamentaux de ses lecteurs5.

Des arguments fallacieux

Il est donc très problématique que les éditeurs de presse, à l’encontre de leurs intérêts à long terme, se mettent en situation de dépendance vis-à-vis des régies publicitaires et ne cherchent que très marginalement à repenser leur modèle économique, alors même que l’opposition des internautes à l’envahissement publicitaire et à l’exploitation de leurs données personnelles se fait de plus en plus visible.

Outre le lancement de ces Alliance Gravity et Skyline, qui peuvent s’assimiler à une véritable provocation à l’adresse du législateur européen, ces groupes de presse — soutenus par des opérateurs tels que SFR, eux-mêmes impliqués dans le secteur des médias — font un intense lobbying auprès des institutions européennes et du grand public, qu’il s’agit de démonter méthodiquement tant il est nocif. Ces éditeurs et groupes coalisés ont par exemple écrit à trois reprises aux décideurs européens pour lutter contre la mise en place d’un consentement explicite et libre des internautes à l’exploitation de leurs données personnelles.

Une première lettre, signée par divers groupes de presse, dont celui du Figaro et Lagardère Active (qui comprend europe1.fr, parismatch.fr, lejdd.fr, doctissimo.fr…), ainsi que par des fédérations d’éditeurs de presse, dont le GESTE (qui comprend Le Monde, Le Point, L’Obs, Le Parisien, L’Express, L’Equipe…), exige simplement, sans véritable argument, de pouvoir exclure des sites les internautes refusant de se soumettre au pistage et à la publicitée ciblée.

Une deuxième lettre a été signée par des groupes de presse, dont celui du Monde, du Figaro, de L’Equipe et des Echos/Le Parisien, ainsi que par des journaux, dont L’Humanité et Libération. Ceux-ci y prétendent que « en privant les éditeurs de presse de proposer des publicités ciblées à leurs lecteurs, ePrivacy favorise la réorientation des annonceurs publicitaires de la presse vers les plateformes numériques dominantes, et diminue donc l’investissement possible dans le journalisme de qualité ».

Cet argumentaire se rapproche de celui avancé pour justifier la création de l’Alliance Gravity et de Skyline : les éditeurs de presse prétendent vouloir s’opposer aux plateformes numériques telles que Google ou Facebook et, pour cela, réclament de pouvoir elles aussi s’adonner à une collecte et exploitation sans entrave de la vie privée de leurs lecteurs.

Ici encore, cet argument est totalement fallacieux : les « plateformes dominantes » seront soumises aux mêmes réglementations que les éditeurs de presse. Si le RGPD et ePrivacy améliorent les conditions de consentement des utilisateurs, et par là compliquent l’exploitation des données personnelles par les entreprises, les plateformes telles que Google et Facebook seront autant concernées que les éditeurs de presse, et devront s’adapter de la même façon. Faire croire que le RGPD et ePrivacy affecteront seulement la presse et pas les plateformes est faux. Faire croire que la publicité ciblée est seule garante de l’investissement pour un journalisme de qualité est une erreur également.

Une troisième lettre enfin, notamment signée par des syndicats d’éditeurs de presse français (SPIIL, SPQN, SEPM, FNPS, GESTE), reprend les arguments précédemment développés et en ajoute deux autres, qui sont particulièrement fallacieux et dont l’objectif consiste à se passer purement et simplement du consentement des utilisateurs (et non plus seulement d’exclure les lecteurs ayant refusé de donner leur consentement). Pour cela, ils prétendent que « le RGPD n’impose pas le consentement préalable des personnes » pour exploiter des données personnelles ayant été pseudonymisées, « en ce qu’une telle pseudonymisation peut constituer une garantie de licéité suffisante ». Ceci est tout simplement faux : s’il est vrai que des débats intenses ont eu lieu sur ce sujet il y a un an, le législateur européen a heureusement rejeté cette dangereuse exception au consentement, qui n’aurait apporté aucune garantie en matière d’exploitation ciblée des données personnelles6.

Alors pourquoi prétendre l’inverse, si ce n’est pour embrouiller le débat et justifier la création de ce type d’ « alliances » dont l’objectif est bien l’exploitation centralisée et massive des données personnelles des internautes ?

En outre, dans la même lettre, les syndicats d’éditeurs affirment que « les entreprises européennes sont libres d’utiliser de nombreux cookies pour fournir des services adaptés aux utilisateurs finaux ». Et de poursuivre : «  si ces derniers souhaitent refuser certains cookies, les entreprises soumises au RGPD doivent mettre à leur disposition un ou plusieurs liens permettant de les désactiver le cas échéant ». Là encore, cette interprétation est totalement fausse : le RGPD conduit clairement à l’interdiction pure et simple de déposer des cookies sans le consentement explicite de chaque utilisateur. Les entreprises ne pouront pas « librement » déposer des cookies en étant seulement tenues de permettre leur désactivation7. Les signataires de la lettre font comme si le RGPD prévoyait un régime d’opt-out alors qu’il prévoit très clairement un régime d’opt-in8. Encore une fois, difficile d’attribuer de telles erreurs à l’ignorance ou de savoir s’il y a intention de tromper par désinformation.

Conclusion

Ces différentes prises de position des groupes de presse sur le droit européen des données personnelles sont directement liées aux annonces récentes d’alliances visant à centraliser les données des utilisateurs. Cette concentration de moyens — qui s’ajoute à la concentration inédite des médias entre les mains de quelques acteurs, eux-mêmes de plus en plus souvent liés aux opérateurs télécoms tels que SFR / Altice — entraîne la création de silos de données. Elle poursuit un mouvement de plus en plus rapide vers une information qui n’est plus qu’un prétexte à la captation de données à des fins publicitaires. Ce modèle est absolument délétère pour la presse, et à rebours complet du rôle fondamental qu’elle devrait jouer en démocratie pour assurer le respect du droit à l’information et son corrolaire, la liberté d’expression. Dans le modèle actuel de ces éditeurs de presse, le droit au respect de la vie privée passe ainsi par pertes et profit, au mépris de l’esprit et de la lettre de la législation européenne qui rentrera en vigueur dans quelques mois.

Au delà, c’est le modèle de développement basé sur la publicité ciblée qui est, une fois encore, à remettre en question. Il n’est pas et ne doit pas être une fatalité. Les groupes de presse français et européens doivent prendre appui sur la législation européenne, encore imparfaite mais qui propose probablement un des meilleurs cadres de protection au monde, pour construire des modèles économiques respectueux de leurs lecteurs et de leurs journalistes.

Certaines entreprises de presse l’osent, et portent un modèle qui veut respecter les lecteurs et la qualité des contenus publiés. Ainsi, LesJours.fr, media en ligne sur abonnement, rejoint notre analyse :

Il est crucial pour la presse de recréer un lien de confiance avec ses lecteurs notamment en étant très attentif au respect de leurs données. Ainsi, la création de l’alliance Gravity, qui annonce ouvertement vouloir mettre en commun des données personnelles sans précision sur la question du consentement préalable et éclairé des utilisateurs, qui risquent de ne pas avoir conscience de l’ampleur de la centralisation de leurs données entre les mains d’un acteur aux objectifs purement publicitaires, nous semble très dommageable pour l’image de la presse auprès du grand public. La commercialisation des données de ses lecteurs doit-elle vraiment devenir le modèle économique d’une partie de la presse ?9 ».

D’autres groupes de presse fonctionnent sur des modèles vertueux et doivent prendre leur part dans les débats actuels sur les modèles économiques de la presse, et s’inscrire dans la tradition d’une presse libre, engagée en faveur des droit fondamentaux. Par leurs actions et leurs réussites, ils peuvent à leur tour rappeler que d’autre modèles existent, et qu’il n’y a donc aucune raison que le financement de la presse en passe par l’exploitation de la vie privée des lecteurs.

laquadraturedunet

CaliOpen, la difficile gestation d’une messagerie unifiée open source

image dediée

Depuis 2013, une équipe conçoit CaliOpen, un logiciel de messagerie unifiée, censé simplifier la confidentialité des échanges sur Internet. Rejointe officiellement par Gandi et Qwant via un financement de Bpifrance, elle ambitionne de couvrir des dizaines de milliers de serveurs, fédérés par une organisation dédiée.

Après des années de conception, le projet fait presque figure d’arlésienne. Il a trouvé un second souffle en octobre avec un financement de plusieurs centaines de milliers d’euros de la part de Bpifrance. Il n’hésite pas à jouer avec les codes en mettant en ligne son nouveau site un vendredi. Il est officiellement mené par l’hébergeur Gandi, le moteur de recherche Qwant et l’université Pierre et Marie Curie à Jussieu.

À sa tête, Laurent Chemla, l’un des trois cofondateurs de Gandi (parti depuis) et initiateur du projet au début des années 2000. Il a été activé en 2013, suite aux révélations d’Edward Snowden : « Jérémie Zimmermann [co-fondateur de la Quadrature du Net] était chez moi et m’a suggéré de le remettre à l’ordre du jour. Il est reparti en me laissant ça sur les bras ! » se souvient Laurent Chemla.

L’idée : un serveur open source, capable de centraliser toutes les communications de l’internaute (mail, SMS, réseaux sociaux via leurs API officielles…), avec gestion des terminaux et de la confidentialité par contact. Pour chacun, le canal le plus sûr est suggéré, avec des données transparentes. Les serveurs CaliOpen sont fédérés entre eux, et doivent respecter une charte précise (contrôlée par une association) pour accéder à certaines fonctions avancées, dont un réseau privé virtuel.

Relancé il y a quatre ans, CaliOpen s’inscrit dans une vague de services censés protéger la vie privée. Si beaucoup de ces idées ont été oubliées, celle de Chemla a perduré, au prix de reprises successives du développement, presque à partir de zéro. Il marque à la fois les joies et les difficultés du développement open source à la française, alors que l’alpha, d’abord prévue pour mai 2015, doit officiellement arriver en octobre 2017.

Le difficile équilibre d’un projet open source

Au lancement en 2013, Laurent Chemla a lancé une consultation publique, avant de commencer tout développement. Elle a permis de cerner les attentes du public et de recruter de premières personnes motivées. Si l’analyse a évolué au fil des années, ses bases sont restées : « Le fait que le chiffrement doit être le plus transparent possible et qu’un utilisateur doit pouvoir retrouver un numéro de téléphone dans ses mails (qui était l’objectif à l’époque) ou ses messages privés Twitter, avec des outils de recherche très puissants ».

Après six mois de consultation, six autres ont été consacrés à la conception d’un outil simple d’utilisation, avec le designer Thomas Laurent de Gandi. L’hébergeur est impliqué depuis le début, son PDG Stephan Ramoin ayant été prévenu de l’idée à sa genèse. « J’ai ensuite cherché des développeurs et, comme tout projet open source, j’ai ramé comme un malade » nous résume Laurent Chemla.

CaliOpen contactsCaliOpen contacts

Compter sur le temps libre de bénévoles, dont celui d’employés de Gandi, n’était pas suffisant. « CaliOpen devenait un objectif officiel de l’entreprise, mais les salariés avaient le droit d’y travailler seulement s’ils le souhaitaient » détaille Chemla. Malheureusement, les besoins techniques évoluaient plus vite que le produit, obligeant à reprendre de zéro plusieurs fois. Chaque développeur « open source » a aussi ses propres projets, qui peuvent aussi être chronophages.

S’associer à d’autres projets, lancés aussi en 2013, avait été envisagé, mais aucun n’affiche d’approche vraiment centrée sur les usages. Pour Chemla, ils ont le défaut de surtout viser la sécurité technique, plutôt que la confidentialité des usages. Des discussions ont eu lieu avec Cozy, un outil d’auto-hébergement où sont aussi impliqués Gandi et Qwant, mais rien n’en est sorti.

« Les technologies étaient trop éloignées à ce moment-là, ils n’avaient pas le temps d’attendre que CaliOpen soit utilisable pour disposer d’une solution de messagerie en interne » se souvient son concepteur.

Financement et structuration du développement

L’arrivée, en fin d’année dernière, d’un financement de Bpifrance a permis d’allouer des ressources à plein temps sur le développement, moins d’une dizaine de personnes. Chez Gandi, l’ensemble des postes prévus est pourvu, entre autres par des employés qui travaillaient déjà sur le dossier, comme Aymeric Barantal. En plus d’associer Qwant, l’appel à projets a aussi eu un autre mérite : définir des jalons clairs pour le développement, qui n’étaient pas évidents jusque-là.

Il n’a pas donné lieu à une révision de fond du concept. « On s’y est pris tellement tard… On avait huit jours pour écrire un mémoire de 30 pages » se souvient Chemla. Il dirige toujours la conception, affirmant être le seul à avoir une vision complète de l’outil, même s’il est appuyé à mi-temps par Stanislas Sabatier, cofondateur du service de mails Mailden. Si ce dernier a désormais « presque tous les éléments en main », de nombreux points restent encore sujet à débat entre les deux.

Des personnes viennent toujours demander, « encore dimanche sur IRC », quel est le concept exact de CaliOpen. Même dans le Saint des saints de sa conception, certaines questions se posaient encore il y a quelques mois. Une dépendance au père du projet qui serait révolue, se félicite-t-il. « Jusqu’au milieu d’année dernière, j’avais encore des questions très basiques de gens qui étaient pourtant dans l’équipe au quotidien. »

Management par l’estomac

Les réunions quotidiennes en ligne, et mensuelles chez Gandi, restent utiles pour coordonner l’équipe dispersée, traiter les points bloquants et réfléchir à la prochaine étape. Le développement est aussi ponctué des nombreuses préparations de pâtisseries de Chemla, qui font désormais partie de la communication autour du projet.

Le lancement, un vendredi, d’un nouveau site vitrine est une autre fantaisie que se permet l’équipe. « Le fait de mettre en production un vendredi et d’amener des macarons dans les réunions… Ces bêtises créent de la complicité, une culture de projet » soupire l’intéressé.

« Les pâtisseries de Laurent sont une très bonne récompense de nos efforts et un très bon argument de recrutement » s’amuse Sophie Gironi, en charge de la communication de Gandi… Mentionnant avec enthousiasme « ses macarons au nougat maison ». Impliquée dans le développement, elle en assure une partie de la publicité depuis l’intégration de l’hébergeur.

Des débats techniques toujours vifs

À six mois du jalon pour une version alpha, l’équipe ne s’astreint pas à un cahier des charges ou des spécifications pour l’ensemble du projet, affirme son responsable. « Tant qu’on n’a pas commencé à développer une partie, le débat reste ouvert pour moi. Je préfère convaincre que d’imposer des choix » justifie-t-il. La philosophie est de placer le concept avant la technique, donc de laisser le champ libre à d’éventuelles révisions avant d’avoir à concrètement définir les détails.

L’objectif global est clair : concurrencer d’énormes services comme Gmail via un réseau de serveurs CaliOpen décentralisés, avec un réseau de confiance formalisé par un organisme dédié. Au sein de l’application, la gestion des messages, contacts et terminaux est centrale, chacun ayant son propre niveau de confidentialité. Tout doit être facilement recherchable, avec une analyse sémantique des contenus.

« Il s’agit de regrouper toutes les messageries, pour attirer les utilisateurs, mais l’objectif premier reste de lutter contre la surveillance de masse. Notre solution est d’augmenter le niveau de confidentialité global, en l’affichant aux internautes » résume Chemla. Si ces fondations sont posées, le reste prête toujours à discussion.

« On a encore eu un débat aujourd’hui avec Stan [de Mailden] sur le chiffrement, nous affirmait Chemla il y a quelques jours. Moi j’en reste à l’idée de départ, qu’il ne s’agit pas de proposer une sécurité maximale mais d’augmenter le niveau global de confidentialité. Stan défend encore le fait qu’une instance de CaliOpen ne doit pas avoir les clés privées des utilisateurs… Ce qui empêche la recherche dans les contenus, donc nous coupe d’une partie des utilisateurs. »

L’alpha prévue pour octobre

En octobre doit donc arriver une première version alpha, avant une bêta en avril prochain et une première version finale en octobre 2018, quand se termine le financement de Bpifrance. Le premier projet de produit minimum viable (MVP) n’est pas encore totalement arrêté, mais devrait déjà contenir la gestion des emails, avec un serveur installable en une journée. L’affichage du niveau de confidentialité et une première intégration des labels sont au programme.

CaliOpen profilCaliOpen boite de réception

L’objectif est de tester la réaction du public face au « niveau de confidentialité », s’agissant du concept central de l’outil. En parallèle, les urgences sont de faciliter l’arrivée de nouveaux développeurs, notamment étrangers. Si l’équipe tente d’être présente à des événements comme FOSDEM, dédié au libre, et propose un prototype en ligne, l’absence d’anglophones parmi les concepteurs est perçue comme un problème. De même, les outils de développement doivent devenir plus simples à installer.

Si des tiers viennent contribuer de temps en temps, le niveau de compétences demandé est une limite importante aux contributions extérieures. Cela d’autant que, s’il est arrivé tôt dans le développement (notamment sur l’utilisabilité), Qwant n’est lui-même pas encore impliqué à 100 %.

« En termes de développement technique, Qwant interviendra principalement dans une deuxième phase qui concerne l’intégration de la recherche et de l’analyse sémantique dans les services de CaliOpen » nous affirme l’entreprise. Il s’agira, entre autres, de suggérer automatiquement des labels et de classer les messages en fonction de leur contenu.

Des défis encore très nombreux

Au sein de CaliOpen, chaque mode de communication (email, SMS, service de messagerie, réseau social…) aura un niveau de confidentialité associé. Certains bénéficieront d’une évaluation plus en profondeur, comme le nombre de sauts effectués par un email avant d’atteindre le serveur, ainsi que le niveau de chiffrement.

« S’il n’y a eu qu’un saut en TLS, le niveau de confidentialité pour un email augmentera. En passant par Facebook, on affichera un niveau très bas, donc tu te limiteras dans ce que tu enverras » pense Chemla. CaliOpen intègrera son propre protocole de communication, pour le moment appelé Rococo. S’il est en cours de conception, les choix effectués doivent encore être vérifiés par des experts du chiffrement, à un moment indéterminé.

Il reste le problème des services qui ont émergé depuis 2013, à l’image de Facebook Messenger, Google Allo ou WhatsApp, qui sont de véritables silos à données. « Je n’ai pas tellement peur des applications en question. Je m’inquiète plus des nouvelles API de Facebook qui se ferme sur lui-même, et prévoit de rendre plus difficile d’accéder à ses API depuis l’extérieur » répond l’initiateur du projet.

Il espère une pression médiatique suffisante pour imposer l’ouverture. « Si on avait été lancés plus tôt, ce serait plus facile » jauge-t-il. Il compte s’engouffrer dans la brèche du règlement européen RGPD, en vigueur dès mai 2018, qui prévoit la portabilité des données entre les services… Donc possiblement un accès facilité aux API.

Association et financement participatif

En octobre 2018, dans un an et demi, CaliOpen doit s’émanciper de ses concepteurs, pour voler de ses propres ailes. L’ambition est que des dizaines (voire centaines) de milliers de serveurs se montent partout dans le monde, avec une association ou organisation dédiée pour définir les bonnes pratiques.

Pour lancer le moteur, une campagne de financement est prévue sur la base de l’alpha. La campagne, qui se veut mondiale, arrivera à une date indéterminée, pour un montant encore non-défini. Elle doit à la fois rassembler de quoi lancer l’association et créer une dynamique autour de la future entité, y compris hors de France. En 2015, le projet annonçait envisager de quitter le pays à terme, poussé par des textes comme la loi Renseignement.

Adhérer à l’association et à sa charte ouvre l’accès à une infrastructure dédiée, en premier lieu un réseau privé virtuel (VPN), qui crée une toile de confiance entre les serveurs. La charte tient pour le moment en quatre lignes, avant d’être complétée par ses futurs responsables :

  • Pas de modèle économique fondé sur la vente de données privées.
  • Un modèle économique qui garantit la durabilité des données personnelles de l’utilisateur, avec migration sur un autre serveur au besoin.
  • Des conditions générales d’utilisation lisibles.
  • La transparence sur la réponse aux demandes des gouvernements, en indiquant lesquels.

« S’il se trouve que tu ne respectes plus la charte, n’appliques plus les mises à jour, que tu revois ton modèle économique pour mettre de la publicité, on te révoque ton certificat » prévient Chemla, pour qui la fin du développement l’an prochain doit signer celle de son engagement. « Trois ans à ramer c’est long ! J’ai 53 ans. Les délires de startupeur, ce n’est plus vraiment de mon âge » lance-t-il.

De son côté, Gandi nous affirme qu’il maintiendra un serveur mais ne s’impliquera pas au-delà de ça, quand Qwant n’a pas encore défini l’après-phase Bpifrance. Une communauté devra donc prendre le relais à moyen terme, alors que le développement est bien loin d’être terminé.

nextinpact

Pourquoi Google ne va pas arrêter la publicité ciblée et le scan de vos mails sur Gmail

Google a annoncé qu’il cessera de scanner le courrier électronique de Gmail pour afficher de la publicité ciblée. Mais cela ne signifie ni la fin du scan des mails ni l’arrêt de la publicité ciblée.

C’est une déclaration qui n’est pas passée inaperçue ce week-end. Dans un message publié le 23 juin, Google a révélé à la surprise générale que l’analyse automatique du courrier électronique dans Gmail à des fins de publicité ciblée cessera d’ici la fin de l’année. Oui, vous avez bien lu : la firme de Mountain View, qui est pourtant fortement dépendante des revenus publicitaires, ne scannera plus les mails pour vous cibler en « annonce personnalisée ».

Que dit exactement Google ?

L’entreprise explique que le courrier électronique, dans le cadre de G Suite, n’est pas utilisé comme source pour cibler la publicité. C’est cette politique qu’elle a décidé d’appliquer sur l’ensemble de Gmail. « Le contenu utilisateur dans Gmail ne sera pas utilisé ou scanné pour la moindre publicité ciblée après ce changement », écrit-elle, ajoutant que « les publicités montrées sont basées sur les réglages des utilisateurs. Ces derniers peuvent les changer à n’importe quel moment ».

Le contenu dans Gmail ne sera plus utilisé ou scanné pour la moindre publicité ciblée

Évidemment, la décision de Google n’a pas manqué de susciter quelques réactions vu la place que la publicité occupe dans son chiffre d’affaires — 88 %. Mais il convient de ne pas faire preuve de naïveté : si elle peut être vue comme un pas dans la bonne direction, cette nouvelle politique du géant du web signifie surtout qu’il est désormais capable de puiser ailleurs des informations privées pour afficher de la publicité ciblée. Et l’on sait bien que Google a quantité de services et de produits sur le web.

Les annonces seront personnalisées « avec les informations glanées sur d’autres sources. Par exemple, Google collecte des données vous concernant en fonction des vidéos YouTube que vous regardez ou des recherches que vous faites », pointe CNN. Et la plateforme de vidéos n’est bien sûr pas la seule source dans laquelle peut puiser la compagnie. Et surtout, Google s’autorise depuis 2012 à croiser les informations à sa disposition, officiellement pour fournir une meilleure expérience en ligne.

Gmail icône

En clair, vous aurez toujours de la publicité ciblée dans Gmail. La seule différence, c’est qu’elle ne se basera plus sur votre courrier électronique, Google ayant suffisamment d’autres faisceaux à sa disposition pour savoir qui vous êtes et à quoi vous vous intéressez. En outre, si vous avez la possibilité de vous opposer à la publicité ciblée, en vous rendant dans les paramètres, vous ne pouvez pas stopper la collecte de données elle-même ni l’affichage de publicités génériques.

Par ailleurs, si Google ne scanne plus votre courrier électronique pour personnaliser ses réclames, le groupe va continuer à le scanner pour tout un tas de raisons.

D’abord, à des fins de sécurité afin d’empêcher au maximum que votre boîte de réception soit envahie par du spam, des tentatives de hameçonnage visant à vous dérober vos données personnelles ou des messages malveillants qui cherchent à infecter votre ordinateur. Ce filtrage automatique ne peut guère se faire sans regarder les mails et les pièces jointes. On se souvient par exemple qu’en 2014, Google avait signalé un usager qui avait envoyé des photos pédopornographiques par mail.

Ensuite, parce que Google propose aussi des services qui se basent sur l’analyse de vos mails. Par exemple, l’application Google Agenda est capable de lire vos mails pour vous suggérer d’ajouter des évènements à votre calendrier, comme vos prochains voyages si vous avez reçu des billets d’avion électroniques ou bien une sortie au restaurant si une réservation est repérée. Le service peut aussi lire vos factures et puiser dans d’autres sources, comme la liste des contacts.

Une autre preuve que Google va continuer à scanner les mails est l’option « Smart Reply » : introduite fin 2015, elle génère des « réponses intelligentes » pré-déterminées en fonction de ce qui est analysé dans le contenu du mail. C’est la concrétisation d’une méthode se trouvant dans un brevet que Google a déposé en 2011. L’option a d’abord été déployée sur la boîte aux lettres intelligente de Google, Inbox pour Gmail, avant de prendre ses quartiers sur la version classique du webmail.

Des craintes « irrationnelles » pour l’un des cofondateurs de Google

Rappelons que dans les conditions d’utilisation du service, que les internautes sont censés avoir lues attentivement avant de les approuver au moment de l’inscription, il est dit que « nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer des fonctionnalités pertinentes sur les produits, telles que des résultats de recherche personnalisés, des publicités sur mesure et la détection des spams et des logiciels malveillants. Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus ».

Chez Google, les controverses autour de Gmail et de la capacité de Google à analyser automatiquement le courrier de ses utilisateurs ont parfois été accueillies avec incompréhension.

Le cofondateur de la firme de Mountain View, Sergey Brin, a par exemple dénoncé ces craintes comme étant « irrationnelles » peu de temps après la lancement de Gmail, en 2004, arguant que ce processus était similaire à la façon dont un logiciel anti-virus scanne les messages concernant les logiciels malveillants, rapporte le Financial Times, le journal expliquant que Google a longtemps balayé d’un revers de main ces inquiétudes, en refusant de leur accorder de la légitimité.

Ces polémiques réapparaissent régulièrement, en fonction de l’actualité. Ainsi, Google a-t-il été de nouveau critiqué sur ce sujet en 2010. Trois ans plus tard, ce sont ses commentaires lors d’un procès qui avaient fait grand bruit :

« Tout comme l’expéditeur d’un courrier à un collègue ne peut être surpris que l’assistant de ce dernier l’ouvre à son intention, les personnes qui se servent aujourd’hui d’un service de messagerie en ligne ne peuvent être étonnés si leurs e-mails sont traités par le fournisseur du service utilisé par le destinataire. Une personne n’a aucune attente légitime en matière de vie privée [à avoir] dans les données qu’elle confie volontairement à des tiers ».

numerama

Un vaccin pour enrayer le ransomware Petya

Un chercheur en sécurité a trouvé un moyen pour éviter l’infection du ransomware Petya, en plaçant un simple fichier dans Windows.

Depuis hier, le monde a subit une nouvelle vague de ransomware. Au centre de cette menace, le rançongiciel Petya est le principal protagoniste avec des appellations différentes en fonction des éditeurs : NotPetya, Petna ou SortaPetya. Une variante très virulente qui a déjà fait beaucoup de victimes.

Comme dans le cas de WannaCry, les spécialistes de sécurité informatique se sont penchés sur ce rançongiciel avec l’espoir de trouver un killswitch. Ce processus d’autodestruction du malware avait été découvert par hasard par un jeune chercheur, connu sous le pseudo Malware Tech. Il avait enregistré un domaine apparaissant dans le code du malware,  bloquant l’exécution et la diffusion de WannaCry. D’après le chercheur, le domaine libre qu’il a enregistré correspondrait en réalité à une sécurité imaginée par les développeurs du malware, afin d’éviter les analyses par les systèmes de sécurité basée sur des sandbox. Dans le cas de Petya, les chercheurs ont tenté de trouver cette même procédure, en vain.

Créer un fichier « perfc » dans Windows

La réponse est venue d’une autre voie découverte par Amit Serper, chercheur chez Cybereason, société de sécurité. Il a analysé le fonctionnement du ransomware et a découvert qu’il cherchait en local le fichier « perfc » et qu’il abandonnait son processus de chiffrement si ce fichier était déjà présent sur le disque. Cette trouvaille a été validée par d’autres éditeurs de sécurité, comme PT Security, TrustedSec et Emsisoft, rapporte nos confrères de Bleepingcomputer. Ces derniers ont même mis en ligne un fichier bat pour faciliter la mise en place de procédé (à condition d’avoir les droits administrateurs).

L’astuce est donc de créer un fichier du nom « perfc », en lecture seule, dans le dossier C: \ Windows. Attention, le chercheur précise que cette méthode s’apparente à une vaccination et non pas à un remède miracle. Elle vise à éviter l’infection des PC et des serveurs, pas de les guérir.

silicon

Cyberattaque mondiale : le parquet de Paris ouvre une enquête en France

Saint-Gobain, Auchan ou encore la SNCF ont fait face mardi à la cyberattaque mondiale qui a touché des entreprises du monde entier. Plusieurs spécialistes de cybersécurité ont désigné un nouveau rançongiciel nommé Petrwrap ou NotPetya.

Ukraine, Russie, Pays-Bas, France, Royaume-Uni… Mardi, une nouvelle cyberattaque, rappelant le mode d’action du rançongiciel WannaCry, qui avait défrayé la chronique en mai, a frappé plusieurs entreprises et institutions dans le monde entier. En France, Saint-Gobain ou encore Auchan sont concernés, selon nos informations. Quant à la SNCF, également attaquée, elle affirme avoir réussi à «contenir la menace» : «Nous sommes attaqués mais pour l’instant, nous résistons. Les équipes sont sur le pont». Dans la soirée, le parquet de Paris a annoncé ouvrir une enquête en France.

 

Le groupe Saint-Gobain, dont le siège est situé à La Défense (Hauts-de-Seine), a été le premier dans l’Hexagone à confirmer avoir été affecté. «Par mesure de sécurité, afin de protéger nos données, nous avons isolé nos systèmes informatiques», a indiqué une porte-parole du groupe de matériaux de construction.

 

Onze hypermarchés Auchan en Ukraine ont également été touchés par l’attaque, ainsi que tous les fournisseurs du groupe dans le pays. «Par précaution, nous avons isolé nos systèmes informatiques et terminaux de paiement» indique la porte-parole d’Auchan qui précise que les magasins français n’ont pas été «contaminés».

 

Enquête ouverte en France

 

Mardi soir, le parquet de Paris a annoncé ouvrir une enquête de flagrance pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entrave au fonctionnement» de ces systèmes, «extorsions et tentatives d’extorsions».

 

Selon une source proche dossier, il est cependant encore «trop tôt» pour savoir combien d’entreprises ont été touchées en France et connaître l’ampleur des dégâts éventuels. Une collaboration doit s’instaurer entre les différentes polices au niveau mondial, comme cela s’est passé lors de l’attaque causée par le virus Wannacry. L’enquête est confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (Oclctic).

 

«Le niveau de cette attaque est sans précédent», a indiqué le secrétaire d’Etat français au Numérique, Mounir Mahjoubi. Les autorités craignent par ailleurs une flambée de ce genre de cyberattaque. «Ces vagues d’attaques virales, on va en avoir beaucoup dans les prochains mois», a prévenu le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie Nationale française.

 

Les Etats-Unis frappés à leur tour

 

Après avoir commencé à sévir en Ukraine et en Russie, touchant environ 80 entreprises, l’attaque s’est ensuite étendue vers l’Europe occidentale, puis les Etats-Unis.

Le transporteur maritime danois Maersk et le géant publicitaire britannique WPP ont eux aussi confirmé avoir été infestés. Le rançongiciel causait entretemps des pannes informatiques chez le transporteur maritime Maersk, coupait le courant chez le propriétaire des biscuits Lu et Oreo et contraignait des salariés allemands de Nivea à cesser le travail. Outre-Atlantique, aux Etats-Unis, le laboratoire pharmaceutique Merck a ensuite été le premier touché par la cyberattaque.

 

Un rançongiciel nommé Petrwrap ou NotPetya

 

Dans plusieurs entreprises, le virus a fait apparaître une demande de rançon de 300 dollars sur l’écran de leurs ordinateurs. Plusieurs spécialistes de cybersécurité ont désigné le virus responsable comme étant «Petrwrap», une version modifiée du rançongiciel (ransonware en anglais, ndlr.) Petya qui avait frappé l’an dernier.

 

Toutefois, Kaspersky Lab a livré quelques heures plus tard une analyse toute autre. «Nos résultats préliminaires suggèrent qu’il ne s’agit pas d’une variante de Petya comme rapporté précédemment, mais d’un nouveau système de ransomware qui n’a pas été vu auparavant. C’est pourquoi nous l’avons nommé NotPetya.» Selon l’entreprise russe, 2 000 usagers avaient été touchés par l’attaque en début de soirée.

 

«Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées», a détaillé Kaspersky Lab. Afin d’empêcher la propagation, la société de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.

 

«Fausse signature digitale Microsoft»

 

Sur Twitter, Costin Raiu, chercheur du laboratoire russe, a expliqué que ce nouvelle rançongiciel semblait présenter «une fausse signature digitale Microsoft».

 

 

La centrale de Tchernobyl perturbée

 

Plus inquiétant, le virus a pénétré le système informatique de la centrale nucléaire de Tchernobyl, en Ukraine. Le système de surveillance des radiations aurait été touché.

 

 

leparisien

Kangourou brutal: Wikileaks fait la lumière sur un autre virus-espion de la CIA

Kangourou brutal: Wikileaks fait la lumière sur un autre virus-espion de la CIA

Le site WikiLeaks a publié un nouveau lot de documents confidentiels de la CIA dans le cadre de la campagne Vault7. Il s’agit cette fois d’un projet secret baptisé Brutal Kangaroo.

Un virus-espion créé par l’Agence centrale de renseignement (CIA) américaine dans le cadre du projet Brutal Kangaroo (Kangourou brutal) vise les réseaux informatiques fermés et les ordinateurs protégés par un air wall, a annoncé jeudi le site WikiLeaks.

​ Selon le site, les composants de Brutal Kangaroo créent un réseau caché personnalisé dans le réseau fermé cible et fournissent des fonctionnalités pour l’exécution de commandes.

Le virus infecte d’abord un ordinateur connecté à Internet au sein de l’organisation (appelé «hôte principal») et installe le logiciel malveillant BrutalKangaroo. Lorsqu’un utilisateur se sert de cet ordinateur et y insère une clé USB, le logiciel-espion se reproduit sur celle-ci et infecte d’autres ordinateurs si cette clé USB est utilisée pour copier des données entre les ordinateurs dans le réseau fermé. Cette façon de compromettre les réseaux fermés est très similaire à celle de Stuxnet.

Les précédents lots de documents de la CIA, portant sur les projets d’espionnage Pandemic et CherryBlossom (Floraison des cerisiers), ont été publiés les 2 et 15 juin. Ils ont dévoilé l’existence de logiciels malveillants capables de modifier des fichiers lors de leur transfert et de surveiller l’activité des utilisateurs d’Internet.

WikiLeaks a publié le premier lot de documents piratés de la CIA le 7 mars, promettant qu’il s’agirait de la plus grande campagne de révélations sur l’agence de renseignement. Elle comprend plus de 8.700 documents et fichiers qui étaient conservés dans un réseau interne isolé du Centre de cyber-espionnage basé au quartier général de la CIA à Langley, en Virginie.

sputniknews

BNP Paribas indisponible à cause d’un « problème technique » sur un pare-feu

image dediée

Ce matin, les clients de BNP Paribas n’arrivaient pas (ou difficilement) à accéder au site et aux applications mobiles de la banque (et ceux de Hello bank!). En cause, un souci sur des serveurs de la banque, qui a été réglé dans la matinée, ce que nous confirme la banque.

Les journées s’allongent, le thermomètre grimpe, pas de doute l’été arrive. Mais le mois de juin est également celui des pannes aux origines surprenantes. Alors que nous relations récemment les nombreux refus de 3D Secure à cause d’un nom de domaine non renouvelé à temps, c’était au tour de BNP Paribas d’être dans la tourmente ce matin.

Site et applications mobiles ne répondent plus

Tout a commencé avec des messages à répétitions de clients sur Twitter indiquant qu’ils n’arrivaient pas à accéder à leur espace client. Le compte @BNPParibas_SAV répondait alors qu’il « s’agit d’un incident généralisé » et que ses « équipes techniques œuvrent à sa résolution ».

Rapidement, la cause est identifiée par Stéphane Bortzmeyer, spécialiste des réseaux : il s’agit en fait d’un problème de DNS. Contacté par nos soins, il nous explique que lorsque le site et les applications mobiles tombent en même temps, il y a des chances que ce soit à cause des DNS. Ce n’est évidemment pas la seule possibilité, mais une piste à explorer. Un concept gagnant cette fois encore. Dans ce billet de blog, il donne d’ailleurs toutes les explications techniques.

Deux serveurs DNS internes… dont un qui n’existe pas !

Pour résumer, les requêtes vers « .bnpparibas » fonctionnaient correctement. Le problème se situe en-dessous, pour les sous-domaines « xxx.bnpparibas ». Tous ces noms sont délégués à deux serveurs de noms, sns5.bnpparibas.net et sns6.bnpparibas.net nous précise Stéphane Bortzmeyer.

Problème, « sur ces deux serveurs de noms, l’un n’existe pas, l’autre est en panne (ou bien victime d’une attaque par déni de service) » déclare Stéphane Bortzmeyer. Pire, le premier n’aurait tout simplement jamais existé, faisant ainsi reposer l’ensemble des redirections vers un seul serveur, ce qui est évidemment tout sauf une bonne idée.

Avec les soucis rencontrés par le second, la résolution du nom de domaine ne pouvait pas se faire correctement, rendant très difficile, voire impossible, l’accès aux sites web, aux applications mobiles et aux API. Le problème est depuis rentré dans l’ordre avec un retour à la normale.

Cet épisode, s’il n’a pas été tragique pour les données personnelles des clients, soulève la question de la résilience des réseaux. « Deux serveurs DNS faisant autorité, ce n’est en général pas assez (surtout si un des deux n’existe en fait pas) » explique le spécialiste Stéphane Bortzmeyer. Il en profite d’ailleurs pour rappeler les bonnes pratiques à adopter.

BNP Paribas botte en touche et rejette la faute sur un pare-feu

Contactée par nos soins, BNP Paribas nous confirme qu’un « incident technique » a eu lieu en début de matinée, sans entrer davantage dans les détails. La banque ajoute qu’il a eu pour conséquence de rendre indisponibles les sites et applications mobiles « mabanque » de la société, ainsi que ceux de Hello bank! qui fait partie du même groupe.

BNP Paribas nous précise que la cause de cet incident est « un problème technique interne sur son pare-feu », et qu’il n’est pas lié à des éléments extérieurs. Le souci a été réglé aux alentours de 10h, avec un retour à la normale dans la foulée. La banque en profite pour présenter ses excuses à ses clients.

Le groupe n’a par contre pas souhaité nous répondre précisément sur son organisation interne et sur le fait que l’un des deux serveurs DNS n’existe pas.

nextinpact

Des données personnelles d’utilisateurs Apple vendues par des distributeurs

données personnelles

Apple s’est retrouvé fragilisé par un maillon faible au sein de sa propre chaîne d’approvisionnement : les employés d’un distributeur ont été arrêtés, suspectés d’avoir vendu les données personnelles des utilisateurs d’iPhone sur les forums underground.

Selon le Hong Kong Free Press, la police chinoise a arrêté 22 personnes, dont 20 étaient des employés d’une entreprise, décrite dans une déclaration de police, comme une “société nationale de vente directe et une société de sous-traitance”.

Les détentions sont survenues après une enquête de plusieurs mois dans quatre provinces chinoises : Guangdong, Jiangsu, Zhejiang et Fujian. La déclaration de police a précisé que les suspects avaient été placés en garde à vue, que la police avait saisi ce qu’il appelle les “outils criminels” du gang, et enfin avait démantelé leur réseau en ligne.

Le scam présumé permettait de récupérer les noms des utilisateurs, les numéros de téléphone, les ID Apple et d’autres données appartenant au système interne de l’entreprise, puis de vendre ces données personnelles pour plus de 50 millions de yuans (6,55 millions d’euros).

Le coût prétendument facturé pour les données personnelles volées, vendues pièce par pièce, était compris entre 10 yuans (1,31 €) et 180 yuans (23,6 €).

Le Hong Kong Free Press a noté que la vente de données personnelles est très “répandue” en Chine. Répandue, mais de plus en plus dangereuse : au début du mois, le pays a promulgué une nouvelle loi qui exige davanatage de rigueur dans la surveillance et le stockage des données personnelles au niveau des entreprises travaillant dans le pays. Selon Reuters, l’agence de presse officielle Xinhua a prévenu que “ceux qui violeraient les dispositions et enfreindraient cette réglementation sur les informations personnelles s’exposeront à de lourdes amendes”.

Engadget a contacté Apple pour avoir plus d’informations, y compris le nombre de clients affectés, s’ils venaient de Chine ou d’autres pays, et qu’adviendra-t-il de cette base de données interne après cette violation. Samedi dernier, aucune réponse n’avait encore été fournie.

Bien sûr, comme beaucoup d’entreprises technologies, Apple a vivement partagé son embarras : rien de comparable à ces surdoués d’Apple renversant du whisky sur leurs disques durs, ou au fait d’utiliser les ordinateurs portables comme des skateboards, si aucun client particulier n’est pris pour cible, comme l’a raconté Sam Biddle de Gizmodo dans son histoire : “Confessions from the Corrupt Apple Store in America“.

Mais Apple n’a certainement pas réussi à verrouiller le marché vis à  vis de ses employés fougueux, ou des menaces provenant d’insiders, comme cette récente vague d’arrestations d’employés d’un distributeur.

Comme, par exemple, les établissements de santé. Selon un rapport de Protenus, une entreprise d’analyse Big Data, les insiders ont commis 59,2% des actes de violation des dossiers médicaux de patients en janvier 2017, avec une grande partie des suspicions portant sur des insiders qui étaient soit des escrocs, soit des personnes incompétentes.

La partie “incompétence” du puzzle a été soulignée par un autre rapport, émanant d’IBM Managed Security Services (MSS), et qui a révélé que les insiders étaient responsables de 68% de toutes les attaques du réseau ciblant les données de santé en 2016. Presque les deux tiers de ces attaques étaient le résultat de personnes utilisant des serveurs mal configurés et d’autres se retrouvant victime d’hameçonnage.

Les employés revanchards est une menace à part entière. Le FBI a déclaré que les employés mécontents s’adonnaient de plus en plus au e-sabotage des entreprises.

Prenez l’ancien directeur informatique de Columbia Sportswear : la société l’a récemment poursuivi pour avoir prétendument mis en place un faux compte de messagerie la veille de son départ, et pour l’avoir utilisé pour pirater l’entreprise pendant plus de deux ans.

De plus, il y a le cas de Yovan Garcia, qui a été condamné à une amende de 318 661,70 $ après qu’un tribunal de Californie l’ait jugé coupable de la falsification de ces heures de travail, du piratage des serveurs de la société pour voler des données clients, de la destruction des serveurs liés au processus, la dégradation du site web, le vol de logiciels propriétaires et la mise en place d’une entreprise concurrente s’appuyant sur ces programmes dérobés.

AIE !

La colère des employés est une chose. Mais qu’est-ce qu’une entreprise est supposée faire face à un maillon de la chaîne d’approvisionnement qui commence à répandre des données comme un tuyau percé ? Vous pouvez avoir la sécurité la plus stricte du monde, mais tout sera réduit à néant si vous avez un maillon faible dans votre chaîne. Comme nous l’avons remarqué dans le passé, toutes les entreprises avec lesquelles nous travaillons, partageons des données, externalisons des opérations, vendons des produits ou achetons des éléments, font partie intégrante de notre propre chaîne de sécurité. Une faille à n’importe quel point de cette chaîne peut avoir un impact sur la protection de la vie privée et l’intégrité des données personnelles.

On espère qu’Apple, ou toute entreprise, qui gère nos données personnelles examine les fournisseurs qui les traitent ou les stockent, en posant des questions précises et complexes concernant les contrôles et la manière avec laquelle ils ont été mis en œuvre.

Un regard détourné discret ou un léger contre-pied peut souvent révéler ce que vous voulez savoir. Heureusement, quelques minutes prises pour vérifier, peuvent également éviter que le nom de votre entreprise ne fasse les gros titres, comme ceux qui ont impliqué Apple après cet incident, et ce indépendamment du fait que les coupables n’étaient pas réellement des employés Apple.

Ils n’étaient qu’un maillon faible de la chaîne.

Billet inspiré de Distributor caught selling Apple customers’ data, sur Sophos nakedsecurity.

sophos