«Ça ne
sert à rien de mener une campagne électorale en s’appuyant sur des faits, expliquait
le directeur général de Cambridge Analytica. Il n’y a que les émotions qui
comptent.» Ces commentaires de Mark Turnbull avaient été captés en caméra
cachée par la chaîne britannique Channel 4. Les hauts cadres de Cambridge
Analytica évoquaient leur capacité de manipuler les élections et même de faire
chanter les opposants politiques, parce qu’ils savaient ce qui choque ou
effraie les électeurs.
Les
formules informatiques développées avec les données de Facebook leur auraient
donné cet avantage. Ces craintes et ces émotions se sont retrouvées au cœur de
la controversée campagne de Donald Trump : la peur des immigrants illégaux
et des terroristes, le contrôle des armes à feu et le désir de rejeter les
élites. Les conséquences de l’arnaque furent loin d’être anodines, on l’a constaté.
Rien ne nous dit qu’Emerdata Limited, ou une
firme similaire, ne tripatouillera pas la campagne électorale fédérale pour favoriser
les conservateurs d’Andrew Scheer... Les vols de données chez Desjardins et
Capital One Financial étaient peut-être une pratique...
«Nous
avons tous des secrets. Nous racontons tous des mensonges... C'est un miracle d’avoir
confiance en quelqu'un.» (Nessa Stein, série La femme honorable)
J’ai été hameçonnée
Francine
Pelletier | Le Devoir 31 juillet 2019
J’étais
la troisième victime de la semaine, me dit, flegmatique, le technicien de la
boutique Apple. Je devais changer tous mes mots de passe, en plus d’effacer
tout le contenu de mon ordinateur. Aussi bien dire, mourir un peu. Ayant une
connaissance très sommaire du merveilleux monde de l’algorithme, toute
excursion inusitée dans ce domaine déclenche une certaine panique en moi. Toute
ma vie, comme sans doute la vôtre, est aujourd’hui tenue par le collet par le
«World Wide Web» : travail, loisirs, vie personnelle. Je contemplais soudain
les profondeurs abyssales du néant.
Moi qui croyais (fièrement) avoir échappé à
une arnaque de 300 $ par un supposé technicien d’imprimante, j’étais en magasin
pour y voir plus clair, j’apprenais que mon prestidigitateur au suave accent
indien, pendant qu’il me faisait la description apocalyptique de mes bris de
sécurité, de mes «logiciels malveillants», de mes piratages en tout genre, le
fin finaud captait, imaginez-vous, mes contenus informatiques! Croyant qu’il
était le digne représentant de la compagnie Hewlett-Packard, dont je possède
une imprimante, j’avais naïvement permis qu’il prenne contrôle de mon
ordinateur. (Je sais, je sais. Où avais-je la tête?)
«En 15 minutes, il aurait pu saisir une
grande partie du contenu de votre ordi», me dit mon cool conseiller. «Si
j’étais vous, je changerais aussi de numéro de téléphone.»
Comme si ça ne suffisait pas d’avoir été
parmi les piratés chez Desjardins, deux fois (car deux comptes) plutôt qu’une,
en plus d’un vol semblable par l’intermédiaire de Radio-Canada/CBC quelque
temps auparavant, surveillée en permanence par le grand Cerbère de la sécurité
financière (Equifax), bien que même le chien à trois têtes n’inspire plus
tellement confiance par les temps qui courent. Me voilà royalement «hameçonnée»,
pour reprendre le terme employé par le département de fraude de la Caisse pop
(qui m’a au passage obligée à changer de carte de guichet). En plus de tout le
reste. [...]
Vous avez vu qu’après les trois millions de
membres piratés chez Desjardins, six millions de Canadiens viennent de subir le
même sort aux mains de Capital One? C’est sans parler des piratages à Bell Canada,
CBC, Uber, la chaîne hôtelière Marriott et j’en passe. Des piratages qui ont
été faits de l’intérieur, pour la plupart. Sans parler de l’effronterie de
Facebook qui a vendu à des tiers, sans permission, les données de milliers de
ses membres. À l’heure actuelle, il est facile d’imaginer que tout le monde va
y goûter à un moment donné. Ce n’est qu’une question de temps avant qu’on soit
tous «hameçonnés» car le ver est non seulement dans la pomme, mais il en fait
également intrinsèquement partie.
Ce qui fait la merveille de la révolution
numérique – la notion d’un village global infiniment connecté où l’information
circule plus aisément que l’eau des rivières et où chacun (en principe) peut
venir s’abreuver, s’inventer des histoires, se monter une business, donner son
opinion, se sentir moins seul – porte flanc également à tous les excès. Sa
facilité, sa gratuité, le fait que par définition il n’y a pas de barrières à
l’Internet, que tout est possible et que tout le monde est bienvenu, expliquent
pourquoi, au sein de ce village global, les bandits pullulent et les autorités
se tournent les pouces. Prenez la sanction de 5 milliards $US dont vient
d’écoper Facebook pour son manque de sécurité. L’amende peut paraître salée,
mais pas pour cette institution devenue, littéralement, le nombril du monde, et
dont les profits équivalent à ce montant aux trois mois. En l’absence de
nouvelle réglementation vis-à-vis d’Internet, la mesure équivaut à un soufflet,
guère plus.
Nous ne sommes pas prêts à remettre en question
le fonctionnement des géants du Web, de peur de devoir renoncer au rêve d’un
monde au bout des doigts et aux possibilités infinies. Mais ça ne peut plus
continuer. J’ai eu ma leçon. À quand la vôtre?
Article
intégral :
Six millions de Canadiens touchés par
le piratage de données chez Capital One
Armina
Ligaya
La
Presse canadienne à Toronto / Le Devoir 30 juillet 2019
Un
énorme piratage de données chez le géant américain des cartes de crédit Capital
One Financial a compromis les données personnelles d’environ six millions de Canadiens et exposé un
million de numéros d’assurance sociale, ce qui en fait l’une des plus grandes
atteintes à la sécurité de l’histoire du Canada. 100 millions de clients
américains ont été atteints.
Au Canada, où Capital One fournit des cartes
de crédit MasterCard au réseau de magasins de Costco et à celui de la Compagnie
de la Baie d’Hudson, environ un million de numéros d’assurance sociale ont été
compromis.
Capital One a affirmé qu’il était peu
probable que les informations aient été utilisées à des fins frauduleuses, mais
M. Masson a souligné qu’une fois que les données avaient quitté les canaux
sécurisés, n’importe quel partage était possible.
«Si ces informations se sont trouvées
ailleurs, il est maintenant possible pour quelqu’un d’autre d’utiliser
exactement les mêmes informations pour obtenir une carte de crédit, un compte
bancaire, un prêt, une hypothèque, un instrument financier. C’est pourquoi
c’est si sérieux. Dans le monde entier, ce type de données est pratiquement une
monnaie qui peut être achetée et vendue, en particulier sur le Web caché.»
Le 19 juillet, Capital One Financial a été
informée par une tierce partie que les données de ses clients étaient apparues
sur le site d’hébergement de code GitHub, qui appartient à Microsoft. La
compagnie de McLean, en Virginie, a indiqué avoir immédiatement averti le FBI.
La faille de sécurité n’est que le dernier
d’une série de piratages de données qui ont touché les Canadiens récemment.
Le Mouvement Desjardins a révélé en juin un
vol de données qui a entraîné la fuite de noms, adresses, dates de naissance,
numéros d’assurance sociale et autres informations confidentielles appartenant
à environ 2,7 millions de personnes et à 173 000 entreprises.
En mai, l’opérateur de téléphonie sans fil
Freedom Mobile a confirmé avoir été victime d’une brèche de sécurité, mais a
précisé que le nombre de clients potentiellement exposés à cette violation
s’élevait à 15 000. Des chercheurs chez vpnMentor, qui ont découvert la faille
et alerté la société, ont affirmé que jusqu’à 1,5 million de clients avaient
été potentiellement touchés.
Article
intégral
AIDE-MÉMOIRE
Ce piratage Wifi si
répandu...
Situation
planétaire | 29 août 2015
(Extrait)
L’article
qui suit a largement été relayé en octobre dernier, mais on dirait que personne
n’a lu ou compris... L’expérience est pourtant concluante et devrait inciter
les utilisateurs à redoubler de vigilance. Voyez aussi «Surveillance intrusive»
Le
cybercrime est un business lucratif, et les pirates peuvent se servir à volonté
au bar ouvert Wifi. Mais, il existe des «pirates éthiques» qui enseignent aux
individus et aux entrepreneurs à se garer des intrusions. Comme le mentionne
l’auteur de l'article, on ne le répétera jamais assez : ne vous branchez pas sur les réseaux Wifi des espaces publics sans
protection adéquate.
Passez
une journée en ville avec Wouter Slotboom et vous verrez que presque tout ce qui est connecté à un
réseau Wifi peut être piraté.
Wouter Slotboom, 34 ans, transporte dans son
sac-à-dos un appareil noir, à peine plus gros qu'un paquet de cigarettes, gréé
d’une antenne. Je le rencontre dans un café au centre-ville d'Amsterdam. C'est
une journée ensoleillée et presque toutes les tables sont occupées. Certaines
personnes causent, d'autres travaillent sur leurs ordinateurs portables ou
jouent avec leurs smartphones. En 20 minutes, le pirate savait où chaque client
était né, quels collèges il avait fréquentés et les cinq dernières choses qu'il
avait googlées.
Ma dernière requête : Slotboom me montrera
ce qu’il ferait s'il voulait réellement me causer du tort. Il me demande
d’ouvrir Live.com (site de messagerie Microsoft) et d’entrer un nom
d'utilisateur et un mot de passe au hasard. Quelques secondes plus tard,
l'information que je viens juste de taper apparaît sur son écran. «J'ai
maintenant les détails de connexion de ton compte de messagerie», déclare
Slotboom. «Je commencerais par changer le mot de passe de ton compte et je
signalerais aux autres comptes que tu utilises que ‘j'ai oublié mon mot de
passe’. La plupart des gens utilisent le même compte de messagerie pour tous
leurs services. Ces nouveaux mots de passe seront ensuite envoyés à ta boîte de
réception, ce qui signifie que je les aurai également à ma disposition.» Nous
faisons la même chose avec Facebook : Slotboom peut intercepter le nom de
connexion et le mot de passe que je viens d’enregistrer avec une relative
facilité.
Un dernier truc : Slotboom détourne mon
trafic Internet. Par exemple, si j'essaie d'accéder à la page web de ma banque,
il demande à son programme de me réorienter vers une page qui lui appartient :
un site cloné qui semble identique à Trusted Site, mais en réalité totalement
contrôlé par Slotboom. Les pirates appellent ça usurpation DNS. L’information
que j'ai entrée sur le site est a été stockée chez le serveur appartenant à
Slotboom. En 20 minutes, il a obtenu les détails de connexion et les mots de
passe de mes comptes Live.com, SNS Bank, Facebook et DigiD.
À
lire, vous n’en
reviendrez pas :
Un
exemple corroborant les démonstrations de Wouter Slotboom
Un numéro de téléphone et un courriel
peuvent suffire pour effectuer un vol d'identité
Olivier
Bachand | ICI Radio-Canada Info | 31 juillet 2019
Mathieu
Legault s'est aperçu que quelque chose clochait la semaine dernière, quand son
téléphone a soudainement cessé de se connecter au réseau cellulaire. Il a
rapidement compris qu'il était victime d'un voleur d'identité, qui avait usurpé
son numéro.
«La personne a acheté un téléphone prépayé
et a demandé le transfert de ce numéro de téléphone-là de mon opérateur Fido
chez Bell et a fourni les renseignements que Bell a demandé à ce moment-là»,
explique le Montréalais.
Le voleur en question connaissait
vraisemblablement son numéro de téléphone et son adresse courriel. Avec ces
deux informations, il a réussi à prendre le contrôle de son compte PayPal,
associé à sa carte de crédit et à sa carte de débit.
Une fois sur le site web du service de
paiement en ligne, le voleur a probablement entré l'adresse courriel de Mathieu
Legault, et ensuite indiqué qu'il avait oublié le mot de passe pour se
connecter. Il a par la suite eu l'option de recevoir un code de sécurité par
texto pour entrer dans le compte.
Comme le fraudeur était en possession du
numéro de téléphone associé au compte, c'est lui qui a reçu le texto permettant
d'y entrer. «Et voilà, ils étaient à l'intérieur de mon compte, ils ont changé
le mot de passe et je n'avais plus accès à mon compte à partir de ce moment-là»,
explique le trentenaire.
La personne mal intentionnée a ensuite
acheté pour 1700 $ de marchandises avec son compte PayPal, en donnant deux
adresses de livraison dans l'est de Montréal. [...]
Vidéo
À essayer :
La cerise sur le sundae
Si
le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, possède un quelconque certificat en
technologie numérique, il a dû le trouver dans une boîte de Cracker Jack. Car
ce qu’il propose pour protéger les données numériques personnelles et
gouvernementales est totalement absurde.
Éric Caire louche sur Amazon
Il
avait annoncé en février 2019, et il l’a répété récemment, que plus de 80 % des
données du gouvernement seraient confiées à des sous-traitants privés comme
Amazon, Google, Microsoft,
IBM, ou encore aux sociétés québécoises SherWeb et Micro Logic. Les ministères
et organismes y auront accès grâce à l'infonuagique.
Autrement dit, il entend livrer les données
des Québécois au renseignement américain... Le Cloud Act, adopté par
l'administration Trump permet aux
autorités américaines d'obtenir un mandat judiciaire qui force les entreprises
d'infonuagique américaines à leur fournir des données, qu'elles se trouvent
physiquement aux États-Unis ou non. Selon plusieurs experts, le plan du
ministre met en péril les renseignements personnels de millions de Québécois.
Edward Snowden «Data and Privacy in the Age of Surveillance» 2017
Dans cette
conférence vidéo, Edward Snowden
répond à un interlocuteur qui demande :
Q : Devrions-nous sauvegarder nos données
sensibles chez un pourvoyeur de nuage [stockage] américain?
R :
Quel est le véritable risque? Si vos
données sont hautement sensibles et ne doivent pas être exposées à une
compagnie ou à un gouvernement, elles ne devraient pas être entreposées chez un
pourvoyeur de nuage américain. Pas
davantage chez un pourvoyeur allemand ou d’un autre pays. La question qui
se pose est la suivante : le pourvoyeur du nuage a-t-il accès à votre
data? La data est-elle encryptée d’un bout à l’autre, un genre de drop
box : vous avez une clé et toute autre personne qui doit y accéder en une
aussi; si le serveur-pourvoyeur n’a pas de clé, la data est inintelligible pour
lui. C’est sécuritaire pour tous. À l’inverse, si le serveur/pourvoyeur de
Google lui donne accès à tout ce qui transite, Google peut en faire ce qu’il veut
selon sa propre régulation conjointement à celle du gouvernement américain. Ce
n’est pas fiable.»
Article intégral :
Nos données personnelles à vau-l’eau!
Série Surveillance abusive et espionnage 1,
2, 3 :
----
(1)
Ce documentaire révèle les stratégies frauduleuses de l’entreprise.
The
Great Hack | Erin Barnett, Karim Amer, Pedro Kos 2019 | 1:53:07
(En
anglais)
The Great Hack est un compte-rendu d’anciens
employés de la société Cambridge Analytica qui a utilisé d'énormes quantités de
données personnelles extraites de portails tels que Facebook pour manipuler les
élections en Inde, au Kenya, à Malte, au Mexique, au Royaume-Uni et aux
États-Unis au cours de la dernière décennie. La société, détenue par SCL Group – une société britannique qui
a une expérience dans les campagnes de désinformation militaire et la guerre
psychologique – a attiré l'attention du public après la campagne du Brexit au
Royaume-Uni et celle de l'élection de Donald Trump aux États-Unis. Toutes deux avaient
été soigneusement élaborées par Cambridge Analytica et son commanditaire
milliardaire, Robert Mercer. Cela a donné lieu à des enquêtes sur Facebook et
Cambridge Analytica, mais l'entreprise a été liquidée, de même que ses
documents internes. Deux anciens employés repentis ont choisi de raconter ce
qui se passait dans le monde obscur du data mining et de la propagande
personnalisée. Le film suit ces ex-employés qui aimeraient que les scandales ne
se répètent pas car Cambridge Analytica vit
toujours mais sous la bannière Emerdata Limited dans le même bureau de
Londres. The Great Hack illustre les
grandes questions sur la démocratie à l'ère de la manipulation ciblée de
l'information par le biais de l'écran, et la quantité de pouvoir sur notre
conscience qui a été cédé aux grandes entreprises.
Aucun commentaire:
Publier un commentaire