Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 311 à 320.
| < Les 10 documents précédents | Les 10 documents suivants > |
(26/07/2010 14:04:26)
Le protocole de sécurité WiFi WPA2 est vulnérable
AirTight Networks, société indienne, spécialisée dans la sécurité WiFi peut se vanter de créer le buzz autour de son annonce. « Hole 196 » c'est le nom de la faille trouvée par le groupe indien sur le protocole de sécurité des réseaux WiFi, le WPA2, considéré comme la plus robuste des clés en vigueur.
Le chercheur, Md Sohail Ahmad, à l'origine de la découverte, devrait dévoiler plus d'informations lors de la prochaine conférence Defcon et Black Hat à Las Vegas. Cependant, la faille porte sur la ligne 196 du standard défini par l'IEEE 802.11. Le WPA2 fonctionne avec deux types de clés, la PTK (Pairwise Transient Key, qui est unique pour chaque client et est affectée au trafic unicast. Une deuxième baptisée GTK (Group Temporal Key) protège les données broadcast envoyées à plusieurs clients sur le réseau. La PTK peut détecter l'usurpation d'adresse et la falsification de données, par contre la GTK non. Quelqu'un peut donc créer un paquet de données broadcat et par le jeu d'envoi -récepetion à l'adresse MAC du client, capter les informations personnelles dont la clé de sécurité.
Que peut-on faire contre ce problème ? « Il n'y a rien aujourd'hui pour résoudre ou fixer cette faille » indique Kaustubh Phanse, l'architecte sans fil d'Air Tight qui décrit le Hole 196 comme « une vulnérabilité de type zero-day ». L'exploitation de cette faille nécessite quand même d'avoir des droits d'utilisateurs spécifiques. Un début de soulagement ?
Un impact sur Hadopi
Cette annonce peut avoir une incidence sur la mise en oeuvre de la loi Hadopi. Cette dernière prévoit, via un décret, une contravention pour négligence caractérisée protégeant la propriété littéraire et artistique. L'acte constitutif d'une telle négligence peut-être "de ne pas avoir mis en place un moyen de sécurisation" de son accès WiFi par exemple.
Crédit Photo: DR
(...)(26/07/2010 13:47:22)L'Iran était la cible principale du virus Stuxnet pour Scada
Selon des données recueillies par Symantec, 60% des systèmes infectés par Stuxnet sont situés en Iran. L'Indonésie et l'Inde ont aussi été très touchées par le logiciel espion. Elias Levy, directeur technique chez Symantec Security Response, explique que c'est en regardant les dates sur les signatures numériques générées par le vers que l'éditeur a pu déterminer qu'il devait être en circulation depuis au moins le mois de janvier.
L'Iran, cible plus facile ou aux secrets plus intéressants ?
C'est VirusBlokAda, éditeur biélorusse d'antivirus, qui a le premier découvert l'existence de Stuxnet, le mois dernier, dans un système infecté d'un de ses clients iraniens. Le vers, pour rappel, fonctionne de la manière suivante : il cherche un système Scada de Siemens, utilisé par les sites industrielles, et télécharge ses secrets de production sur Internet. Symantec admet ne pas comprendre pourquoi ces pays sont plus particulièrement touchés que d'autres. « Ce dont nous sommes sûrs cependant, c'est que celui ou ceux qui ont développé ce virus ciblaient des entreprises de ces zones géographiques précises » indique Elias Levy. Il ajoute que du fait de l'embargo des Etats-Unis contre l'Iran, le pays est probablement très peu équipé en antivirus tout en étant en parallèle le plus touché par Stuxnet.
Siemens n'a pas voulu donner le nombre de clients iraniens de Scada, mais affirme que deux entreprises allemandes ont été elles-aussi infectées. Le scanner de virus gratuit mis à disposition par la société la semaine dernière a été téléchargé 1500 fois selon un porte-parole. Plus tôt dans l'année, Siemens avait indiqué vouloir ralentir son activité iranienne forte de 290 salariés qui avait réalisé un bénéfice net de 438 millions d'euros en 2008. Des critiques avaient en effet affirmé que de l'entreprise dans le pays avait contribué au développement du programme nucléaire iranien.
Peu de PC infectés dans le monde
Symantec a recueilli ses données en travaillant de près avec l'industrie, redirigeant le trafic destiné à la commande du virus et celui des serveurs de contrôle vers ses propres ordinateurs. Sur une période de trois jours, ceux-ci ont localisé 14 000 adresses IP tentant d'accéder à ces deux éléments, ce qui indique que peu de PC ont été touchés à travers le globe. Ils seraient en réalité entre 15 000 et 20 000, étant donné que de nombreuses entreprises utilisent une seule adresse pour plusieurs postes de travail. Les IP ayant été relevées par Symantec peuvent désormais être associées aux sociétés effectivement infectées afin de les localiser. « Sans surprise, les machines infectées se trouvent dans des organisations qui utiliseraient en principe des systèmes Scada, ciblés par les attaquants » remarque Symantec sur son blog.
Le vers se propage par l'intermédiaire de dispositifs USB. Une fois inséré dans une machine sous Windows, il se met à la recherche d'un système Siemens et se copie vers tout autre port USB occupé. Une solution temporaire pour le bug de Windows qui rend possible la propagation de Stuxnet peut être trouvée à cette adresse.
Crédit Photo : Symantec
Fuite de données personnelles dans Safari
Une des fonctionnalités du navigateur d'Apple, Safari, conçue pour simplifier le remplissage des formulaires, pourrait être utilisée par des pirates pour collecter des informations personnelles si l'on en croit Jeremiah Grossman, directeur de la technologie pour WhiteHat Security. Activé par défaut dans le programme, AutoFill remplit les champs nom, prénom, société, ville, pays et adresse mail automatiquement lorsqu'il reconnaît un formulaire, même si l'internaute n'a jamais visité le site en question. L'application tire ses données du carnet d'adresses de l'OS sous lequel il est installé.
« Tout ce qu'un site malveillant aurait à faire pour extraire des données du carnet d'adresses serait de créer des champs de formulaire dynamiques, et de simuler l'entrée des lettres de A à Z à l'aide de Javascript. Toutes les informations du carnet ayant été insérées par ce procédé dans lesdits champs peuvent ensuite être envoyées à l'attaquant » précise Jeremiah Grossman. Il a d'ailleurs publié une vidéo de l'attaque sur son blog, à l'instar de Robert Hansen, directeur de SecTheory, qui a mis en évidence un code de celle-ci sur son blog pour démontrer le problème.
Une faille simple, mais dangereuse
Les données commençant par des nombres sont quant à elles épargnées, ne s'insérant pas dans les champs, et ne pouvant donc pas être récupérées. « De telles attaques pourraient facilement être effectuées à grande échelle par l'intermédiaire d'un réseau de publicités. Il y aurait alors peu de chances pour que quelqu'un s'en rende compte, puisqu'il ne s'agit pas d'un code s'installant sur l'ordinateur » ajoute-t-il. « Cette vulnérabilité est tellement simple que j'ai pensé dans un premier temps qu'elle avait déjà été rendue publique depuis un moment. Mais en demandant autour de moi, j'ai réalisé que personne n'était au courant ».
Il déclare avoir rapporté le problème à Apple le 17 juin, sans réponse. Pour éviter que cela n'arrive, il suffit de désactiver AutoFill dans les paramètres du navigateur.
Crédit Photo : AutoFill
L'UE va renforcer le cadre d'utilisation des données personnelles
La Commission européenne supervise actuellement un grand nombre de mécanismes destinés à lutter contre la criminalité, dont ceux liés aux activités terroristes. Cela implique la collecte, le stockage ou l'échange de données à caractère personnel. "Les citoyens devraient avoir le droit de savoir quelles données personnelles sont conservées et échangées à leur sujet " a déclaré Cecilia Malmström, Commissaire européen pour les Affaires intérieures, laquelle a par ailleurs exposé la prochaine règlementation.
Toutes les propositions de la future politique seront évaluées en fonction de leur impact possible sur les droits individuels et leurs auteurs devront prouver que ces initiatives sont nécessaires, proportionnées et à même de respecter les droits fondamentaux. Il engendre aussi une répartition claire des responsabilités, ainsi que des procédures de contrôle encadrées. Le respect de ces règles concernant la protection des données à caractère personnel sera enfin soumis au contrôle d'une autorité indépendante au niveau national ou européen.
Des organes touchés par le prochain réglement
La plate-forme européenne sur la cybercriminalité (PECC) mise en place en 2008 à côté des plates-formes nationales de lutte contre la cybercriminalité pour collecter, analyser et échanger des informations sur les infractions commises sur Internet, fait partie de cette initiative. Géré par Europol, le PECC traite des affaires graves signalées par les autorités policières nationales sur la cybercriminalité et qui ont un impact transfrontalier. Actuellement, les règles de protection des données dépendent du Europol Decision and Coucil Framework, mais le futur PECC devra rendre compte de ses activités dans un rapport annuel soumis au Conseil pour approbation et au Parlement européen pour information.
Parmi les autres instruments qui pourraient être concernés par le prochain règlement, figure le très controversé Programme de Traçage du financement du terrorisme (TFTP), qui permet aux Etats-Unis d'accéder aux données financières des citoyens européens. Sont aussi concernés des organismes comme Europol, l'Agence de police européenne, et Eurojust lequel coordonne les opérations transfrontalières de justice et a accès à des informations privées, y compris en matière de télécommunications, lorsque les suspects et les prévenus sont soupçonnés d'actes criminels graves impliquant plusieurs États membres de l'UE.
Ce règlement s'appliquera également au Système d'information Schengen I et II (SIS) à travers lesquels transitent des données sur les personnes se déplaçant dans l'espace Schengen Ce dernier regroupe les pays qui ont accepté de ne pas appliquer de contrôles d'identité à leurs frontières en commun. Les bases de données pour l'évaluation des demandes d'asile au niveau européen (Eurodac), les demandes de visas (VIS Visa Information System) et le traçage des passagers aériens (API ou Advance Passenger Information System) seront également concernés, de même que les systèmes de suivi des déclarations en douane et de partage des casiers judiciaires.
Illustration: Cecilia Malmström, Commissaire européen pour les Affaires Intérieures
(...)(20/07/2010 14:56:44)« Ne changez pas les mots de passe Scada » avertit Siemens
Alors que le ver découvert dernièrement donne l'opportunité aux criminels de pénétrer les systèmes d'automatisation industrielle de Siemens en utilisant un mot de passe par défaut, l'entreprise a averti ses clients de ne pas toucher à ce dernier. Cela risquerait de bouleverser tout le système. « Nous allons publier prochainement un guide d'assistance pour notre clientèle, mais sans inclure de modification des paramètres par défaut risquant de perturber le fonctionnement des usines » a annoncé Michael Krampe, porte-parole pour Siemens Industry dans un email. L'entreprise prévoit donc de lancer un site qui fournira de plus amples informations sur le premier virus ciblant spécifiquement les produits Scada. Ces systèmes WinCC de Siemens sont utilisés pour gérer les machines de production industrielle à travers le monde.
Espionnage industriel invasif
La firme allemande se démène pour régler le problème, tandis que dans le même temps, le ver Stuxnet continue de se répandre mondialement. Gerry Egan, directeur de la gestion de produits chez Symantec, informe que l'entreprise a relevé près de 9000 tentatives d'infections par jour. Le programme malveillant se propage par l'intermédiaire de clés USB, de CD ou de fichiers partagés et s'appuie sur une faille non-corrigée de Windows. Cependant, s'il ne trouve pas le logiciel WinCC sur l'ordinateur infecté, il ne fait que continuer à se copier et reste dormant.
Puisque les systèmes Scada font partie de l'infrastructure critique des entreprises, les experts de la sécurité se sont dans un premier temps inquiétés d'une attaque potentiellement dévastatrice. Dans le cas présent, pourtant, le virus ne semble être qu'un programme d'espionnage et de vol d'information. S'il détecte un environnement Scada, il utilise le mot de passe par défaut pour ensuite rechercher, puis copier des fichiers sensibles ou confidentiels vers un site web extérieur. « L'individu ayant écrit ce code connait très bien les produits Siemens. Ce n'est pas un amateur » indique Eric Byres, directeur de la technologie chez Byres Security. En dérobant les secrets Scada d'une usine, les malfaiteurs pourraient prendre connaissance des procédés de fabrication utilisés, ajoute-t-il. Son entreprise est d'ailleurs débordée d'appels de clients Siemens inquiets et désireux de se prémunir face à cette menace.
Des solutions temporaires pour rassurer les clients
L'United States Computer Emergency Readiness Team (US-CERT) a mis en place un comité consultatif concernant Stuxnet, mais les informations ne sont pas encore rendues publiques. D'un autre côté, d'après Eric Byres, et à l'instar des déclarations de Siemens, changer le mot de passe de WinCC empêcherait les composants critiques du système d'interagir avec ce dernier. Or, comme celui-ci les administre, « cela reviendrait en somme à désactiver tout le système si le mot de passe n'est plus reconnu ».
Les clients sont donc entre deux eaux, mais ils peuvent toutefois faire quelques modifications afin que les ordinateurs n'affichent plus les fichiers .lnk utilisés par le virus pour passer d'un système à l'autre. Ils peuvent aussi désactiver le service Windows WebClient qui lui sert à se répandre dans le réseau local. Microsoft a d'ailleurs publié, dans cette optique, un avertissement de sécurité expliquant la procédure. « Siemens est en train de développer une solution qui pourra identifier et systématiquement se débarrasser de Stuxnet » a précisé Michael Krampe, sans dire quand elle serait disponible.
Scada a été conçu « en considérant que personne n'aurait accès à ces mots de passe. C'est une hypothèse qui revient à croire que personne ne s'attaquera jamais à vous » signale Eric Byres. Les noms d'utilisateurs et mots de passe par défaut utilisés par les concepteurs du ver ont en effet été publiés sur le web en 2008 selon lui.
Crédit Photo : D.R.
E-commerce : la fraude a encore augmenté en 2009
Fia-Net, filiale du Crédit Agricole, spécialisée dans la labellisation des e-commerçants et l'analyse des transactions financières marchandes, publie son Livre Blanc pour 2010 concernant les fraudes bancaires en ligne observées sur l'année 2009. Le volume étudié représente plus de 3 milliards d'euros de chiffre d'affaire, répartis en 17 millions de transactions sur lesquelles la société a relevé 450 800 tentatives de fraude.
Une hausse globale, mais sur des paniers plus restreints
Les e-commerçants ont subi des tentatives de fraudes pour un montant de 86 millions d'euros, soit un taux de 2,82%, supérieur aux 2,69% de l'année précédente, sur la somme totale des transactions. Cela représente un taux d'impayés quant à lui stabilisé à 0,15% du chiffre d'affaire des marchands en ligne, sur des paniers moyens ayant statistiquement baissé de 435 € à 357 € par rapport à 2008. En somme, il y a plus de fraudes, mais sur des montants moins importants qu'auparavant et donc plus difficilement repérables. Fia-Net tente aussi d'extrapoler ces résultats par rapport à l'ensemble du marché français des transactions commerciales en ligne, identifié par la FEVAD (Fédération de l'e-commerce et de la vente à distance). L'entreprise estime alors, sur les 25 milliards d'euros de chiffre d'affaire relevés par la fédération, que le montant des tentatives de malversations s'élèverait à 705 millions d'euros, et que 36 millions auraient effectivement été détournés par ces attaques.
Des réseaux criminels bien organisés
Fia-Net constate que les fraudeurs, organisés en réseaux pour la plupart, rivalisent d'ingéniosité en développant des moyens sans cesse réinventés pour parvenir à leurs fins. La société relève que le nombre de tentatives effectuées par des personnes connues de ses services a augmenté de 47%, soit 140 064 sur les 450 800 relevées.
[[page]]
Le chiffre est à corréler avec le nombre d'identifications estimé à 53 000, soit une hausse de 42%. D'après les analyses, ceux-ci effectueraient en moyenne 2,64 délits chacun, pour un montant moyen de 295 €. L'étude remarque aussi que le nombre de réseaux organisés a triplé, de 2394 en 2008 à 7009 en 2009. Ils sont désormais composés de moins d'individus, afin de limiter les risques de détection.
Le textile comme nouvelle cible de choix
Même si le matériel informatique reste le secteur le plus sujet aux malversations (panier moyen d'impayés de 614 €), un regain d'intérêt est observé pour les articles textiles et mode, avec 92% d'augmentation des impayés par rapport à l'année précédente. Le secteur représente même 51% du nombre de fraudes total relevé. Fia-Net note en effet qu'il s'agit de produits plus facilement et discrètement recelés que les produits informatiques.
Les fraudes à la carte bancaire restent donc un risque majeur pour le e-commerce, et ce malgré la mise en place de dispositifs de sécurité de plus en plus précis. Les capacités d'adaptation des criminels en ligne, que ce soit au niveau de leur structure, du mode opératoire ou de leurs outils font qu'il est bien difficile de diminuer le taux de tentatives, mais aussi celui d'impayés. La stabilité de ce dernier, relevée depuis trois années consécutives par l'agence de certification, démontre tout autant la faculté des solutions de sécurité e-commerce à résister à ces attaques, que leur incapacité à renverser notablement la tendance.
400 comptes iTunes piratés sur 100 millions
Le site Engadget a reçu, lundi, un email de la part d'Apple, indiquant que le pirate vietnamien, Thuat Nguyen, pointé du doigt par des développeurs d'applications ebooks lésés par ses actions, avait été banni, tout comme ses programmes. « Le développeur Thuat Nguyen et ses applications ont été exclus de l'App Store pour avoir violé le Program Licence Agreement, notamment par des comportements d'achat frauduleux », était-il écrit dans le mail. Celui-ci ajoute que « les développeurs ne reçoivent aucune donnée confidentielle du compte client iTunes lors lorsqu'une application est téléchargée ».
Les avis divergents sur la dimension de ce piratage
Ces quelques mots admettent pourtant que problème il y a eu, tout en occultant sa cause. Seuls 400 comptes iTunes sur la centaine de millions auraient été piratés. Alexdander Brie, lui, en est persuadé, après que son programme Self Help Classics ait été relégué en dehors du top 50 ebooks par l'introduction de près de 40 programmes frauduleux et de mauvaise qualité du développeur vietnamien dans celui-ci. Il soupçonne Thuat Nguyen d'avoir acheté ses propres applications via le piratage de comptes iTunes. Alexander Brie estime que ce dernier aurait ainsi détourné environ un million de dollars, qui ont toutefois été bloqués, et n'ont donc pas été versés au pirate. « Il faut à peu près 100 ventes par jour pour sécuriser la neuvième place dans le top ebooks américain. Multipliées par les 4,99 $ que coûte une application, et par les 41 concernées, le résultat tournerait autour de 20 000 $ par jour. Cela ferait un million de dollars depuis la mi-mai, même si ce pourrait être au moins le double techniquement » détaille-t-il.
Crédit photo D.R.
[[page]]
Mais pour un autre développeur, préférant rester anonyme, n'est pas convaincu qu'iTunes ait été effectivement piraté. « Je pense qu'il s'agissait plutôt d'une fraude à la carte bleue. La remontée dans le classement n'était qu'un dommage collatéral qui a exposé Nguyen. Il en a voulu trop, trop vite. Cela aurait pu durer bien plus longtemps » affirme-t-il.
Apple remis en cause pour sa communication
Entre ce mail en demi-teinte et les précédents de l'entreprise dans l'exclusion d'applications pour iPhone non-frauduleuses elles, Apple se retrouve passablement décriée. Les explications tardives sur les événements ayant impliqué le pirate vietnamien et le détournement des comptes iTunes jouent en la défaveur de l'entreprise. Elle est d'ailleurs actuellement décriée pour la faible crédibilité de ses explications sur les problèmes d'antenne de l'iPhone 4, impliquant une cause purement logicielle plutôt qu'un problème de design.
Une sécurité légèrement renforcée
La conclusion de leur mail est toute aussi évasive, conseillant aux clients iTunes de changer leurs mots de passe, et d'annuler les achats en cas de prélèvements indésirés avec leurs cartes, reportant la faute sur une mauvaise sécurisation des comptes par leurs propriétaires. Beaucoup de mots de passe sont en effet encore du type « azerty » (« qwerty ») ou « 123456 ». Enfin, Apple a décidé de revoir ses règles de sécurité, en demandant à ses clients les trois chiffres inscrits au dos de leur carte bancaire. (...)
YouTube reconnaît une attaque contre son service
L'attaque a principalement concerné les sections dans lesquelles les utilisateurs postent des commentaires. « Des avis ont été temporairement masqués par défaut pendant une heure, avant la découverte du problème, et nous avons publié un correctif complet pour résoudre ce problème dans les deux heures. Nous continuons à analyser la vulnérabilité pour prévenir qu'une situation similaire ne se reproduise dans l'avenir, » a déclaré par mail un porte-parole de Google. « L'attaque a potentiellement fragilisé les cookies YouTube des utilisateurs qui se sont rendus sur une des pages piratées, mais cette intrusion n'a pu être détournée pour accéder à leurs comptes Google, » a ajouté le porte-parole. Par mesure de précaution, le service demande aux utilisateurs de se déconnecter de leur compte YouTube et de se reconnecter à nouveau.
Un détournement classique vers des sites pour adultes
Les assaillants ont apparemment ciblé le chanteur Justin Bieber, introduisant du code malveillant dans les pages YouTube qui lui sont consacrées, et affichant à l'intention des visiteurs des pop up contenant des messages dévalorisant sur la star, idole des teenagers. Le code les redirigeait également vers des sites extérieurs présentant un contenu réservé aux adultes. Une personne du secteur, familière de ce genre de situations, a indiqué que l'attaque ne comportait pas en elle-même d'infections par des logiciels malveillants, mais que le risque venait plus de la page web vers laquelle les hackers avaient redirigé les utilisateurs. « On ne sait pas très bien si ces pages contenaient des logiciels malveillants, mais la plupart des logiciels anti-virus à jour sont conçus pour protéger contre ces menaces, » a encore déclaré le porte-parole.
[[page]]
YouTube est de loin le site de téléchargement et de partage de vidéo le plus populaire. En mai, les Américains ont visionné 14,6 milliards de clips vidéo sur les sites de Google, et essentiellement sur YouTube, ce qui représente, selon comScore, 43 % environ de tous les clips visionnés en ligne au cours de ce mois. Le jour de la fête d'Indépendance des Etats-Unis, le 4 juillet, les sites de médias sociaux comme Twitter et Facebook ont crépités de milliers de messages de personnes faisant état du piratage de YouTube.
L'iTunes Store également inquiété ?
Une série de messages postés sur un autre fil de discussion de ces sites s'inquiétait de savoir si des achats avaient pu être effectués sans autorisation par un développeur «gangster» sur l'iTunes Store d'Apple avec les numéros de cartes de crédit figurant dans les dossiers d'utilisateurs. Les personnes ayant posté sur le sujet conseillent aux clients de l'App Store de surveiller toute activité inhabituelle de leurs comptes. Sollicitée sur ce problème, Apple n'a fait encore aucun commentaire à ce sujet.
(...)(25/06/2010 11:09:07)Collecte de données WiFi par Google : la police anglaise s'en mêle
Après la CNIL en France, son homologue en Allemagne, en Espagne, et les justices américaines et australiennes, c'est au tour de la police anglaise de s'intéresser de plus près à la captation de données personnelles circulant en WiFi par les voitures Google Street View. Après une plainte formulée par Privacy International, ONG défendant le droit à la vie privée, la Metropolitan Police, basée à Londres, a décidé de mener son enquête sur les activités de Google. D'après l'entreprise, les données captées provenaient de réseaux WiFi non-sécurisés, et l'ont donc été par inadvertance. Les voitures Google, chargées de prendre les photos, sont équipées d'un système d'enregistrement des réseaux sans fil se trouvant à proximité. Le but étant de fournir ces renseignements à son service de géolocalisation, Google Latitude, qui utilise les points d'accès WiFi, les réseaux GSM et les systèmes GPS afin de localiser les utilisateurs et leur proposer ses services. Dans cette optique, l'équipement de ces voitures change cinq fois par seconde les connexions aux réseaux sans fils, fréquence pourtant jugée suffisante par les organismes de protection de la vie privée, étant donné les débits actuels, pour capter des données personnelles potentiellement sensibles.
Le 4 juin dernier, Google a été obligé, après une mise en demeure de la CNIL, de fournir des données récoltées à la commission. Après analyse, ces informations contenaient non seulement des SSID et des adresses IP, mais aussi des mots de passe réseaux et mails. Des demandes similaires ont été formulées par l'Allemagne et même l'Espagne à l'attention de Google, afin de pouvoir effectuer leurs propres analyses. Le 21 juin, le ministère de la justice du Connecticut a ouvert une enquête pour déterminer le degré d'invasion de la vie privée par Google, relatif à ces données personnelles captées. Cette action en justice fait suite à celle, similaire, lancée en Australie un peu plus tôt en juin.
L'Angleterre s'ajoute donc à la liste des pays s'intéressant de plus près à cette pratique en cours depuis trois ans, d'après l'annonce de Google du 14 mai dernier. Depuis, des investigations émergent de toute part. « Nous souhaitons que ces procédures obligent Google à revoir ses façons de faire. Peut-être qu'à l'avenir la compagnie se reposera moins sur sa communication, et se concentrera sur une meilleure gouvernance », déclare Simon Davies, de Privacy International.
Illustration voiture Street View de Google à Puteaux, crédit photo P.Sayer/IDG NS
(...)(24/06/2010 15:37:30)
20 % des applis Android Market transgressent la sécurité des données personnelles
Editeur de solutions de sécurité pour téléphones mobiles, SMobile a décortiqué plus de 48 000 applications disponibles sur l'Android Market, la plate-forme qui fournit des applications pour les smartphones tournant sous Android de Google, et a analysé comment le système d'exploitation gère les autorisations. Ce sont en effet les autorisations qui permettent aux applications d'exécuter les tâches, y compris celle d'initier les appels téléphoniques, de lire les SMS ou de déterminer la localisation. En principe, elles sont là pour servir de cadre au développement d'applications utiles. Mais, selon SMobile, certaines sont réalisées avec des intentions malveillantes et pour accéder à des données personnelles. « Comme cette application de phishing de coordonnées bancaires publiée par un auteur du nom de Droid09, déposée sur l'Android Market, et retirée depuis, » a t-il dit.
En plus de ces d'applications qui ouvrent à des tiers l'accès à des données personnelles, SMobile a également identifié que certaines applications (5 %) ont la possibilité de faire composer un numéro de téléphone, et 2 % peuvent envoyer un SMS à un numéro surtaxé inconnu, dans les deux cas, à l'insu des usagers.
Le mode de fonctionnement d'Android en matière de sécurité exige que les applications définissent leurs autorisations avant de pouvoir être installées par l'utilisateur. « Un utilisateur averti peut paramétrer ces préférences avant de décider s'il veut ou non installer une application, » a déclaré SMobile. « Cependant, rien ne permet à l'utilisateur de savoir de manière certaine si l'application qu'il vient de télécharger ne fait que ce qu'il est en mesure de voir, » explique SMobile.
| < Les 10 documents précédents | Les 10 documents suivants > |