Publié dans Texte Actualité divers

Plus de 2,2 milliards d’identifiants et mots de passe circulent sur le Dark Web

Des chercheurs en sécurité ont récemment mis la main sur une base de données librement disponible sur le Dark Web et contenant plus 2,2 milliards d’enregistrements. C’est une compilation de fuites passées qui sert essentiellement à créer de petites arnaques.

identifiant

Depuis quelques semaines, des pirates font circuler une vaste base de données d’identifiants et de mots de passe sur la Toile. Un premier gros bout a été récupéré mi-janvier par le chercheur en sécurité Troy Hunt.

Intitulé « Collection #1 », il comptait 773 millions d’enregistrements uniques. Les parties « Collection #2-#5 » ont récemment été récupérées par Hasso Plattner Institute. Elles portent le volume de la base de données à plus de  2,2 milliards d’enregistrements uniques.

C’est d’autant plus énorme que cette base de données est quasiment en accès libre. Il suffit de traîner un peu sur le Dark Web pour accéder aux liens de téléchargement. Chris Rouland, un chercheur en sécurité interrogé par Wired, a pu mettre la main dessus au travers de fichiers Torrent. Sur le moment, ces fichiers étaient mis à disposition par plus de 130 personnes et avaient déjà été téléchargés plus de 1000 fois.

Une marchandise avariée
Mais il ne faut pas céder à la panique. Cette liste est en réalité une compilation de fuites de données passées. Les tests effectués par différents chercheurs en sécurité montrent que les mots de passe datent de plusieurs années. Toutes ces données ont déjà été exploitées en long et en large, et ne représentent plus un grand intérêt pour les pirates professionnels. D’une certaine manière, c’est un peu de la marchandise avariée.

Ce n’est pas pour autant que cette base de données n’est pas utilisée à des fins malveillantes. Elle peut toujours servir à créer du spam ou de petites arnaques. Selon Zataz, ces données ont notamment servi pour envoyer des menaces par e-mail à des millions de personnes. Les pirates font mention des mots de passe pour augmenter la crédibilité de leurs messages et faire peur, comme nous avons pu le constater.

good days

L’histoire n’est pas encore terminée, selon Zataz, il existe encore deux autres parties (« Collection #6-#7 ») qui, elles, ne sont pas (encore) en accès libre, mais sont commercialisées. Selon Zataz, toutes ces fuites découleraient d’une vengeance entre pirates. Pour vérifier si vos identifiants font partie de cette base de données (ou d’une autre fuite), vous pouvez consulter le service de vérification HaveIBeenPwned de Troy Hunt ou celui du Hasso Plattner Institut.

Publicités
Publié dans Texte Actualité divers

Les bons conseils de la CNIL pour exercer vos droits

donnée personnelleUn Français sur deux ne sait pas comment s’opposer à l’utilisation de ses données ou comment demander l’accès aux informations stockées par un organisme.

Vous voulez rectifier des données inexactes sur un site web ou vous opposer aux démarchages commerciaux incessants par téléphones ou par e-mail, mais vous ne savez pas comment faire ?   A l’occasion de la Journée européenne sur la protection des données, célébrée chaque année le 28 janvier, la CNIL fait une piqûre de rappel sur la manière d’exercer ses droits d’accès, d’effacement et d’opposition.

Ainsi, la première chose à faire est de contacter le prestataire, ce qui n’est pas forcément évident. Il faut trouver la bonne rubrique sur le site web qui vous mènera vers le formulaire de contact approprié ou vers l’adresse du délégué à la protection des données. Généralement, il faut scroller vers le bas de la page d’accueil et cliquer sur un lien qui s’intitulera « vie privée », « service client », « mentions légales », « données personnelles », « RGPD » ou « politique de confidentialité ».

Si c’est trop compliqué ou peu adapté à votre demande, le CNIL suggère d’envoyer directement un courrier à l’organisme en question. A ce titre, l’autorité propose une douzaine de modèles de courriers entièrement personnalisables et téléchargeables en ligne, ce qui est bien pratique.

droit

L’organisme doit répondre en l’espace d’un mois pour les demandes classiques, ou trois mois pour les demandes complexes. S’il ne répond pas, il faudra passer au niveau supérieur et déposer une plainte auprès de la CNIL. Pour cela, il suffira de remplir un formulaire en ligne et de joindre les éléments attestant les démarches préalables.

Les droits sont plutôt bien connus
Ces conseils sont plutôt les bienvenus, un récent sondage IFOP révèle en effet que les Français connaissent plutôt bien les droits dont ils bénéficient en matière de données personnelles, mais ne savent pas comment les exercer. Ainsi, 80 % des personnes interrogées savent qu’elles peuvent s’opposer à ce qu’un organisme utilise certaines de leurs données, mais seules 24 % savent comment réaliser cette démarche.

notorioté

Au niveau de l’Union européenne, l’entrée en vigueur du RGPD le 25 mai dernier semble avoir augmenté la prise de conscience des utilisateurs. « Les citoyens sont davantage conscients de l’importance de la protection des données et de leurs droits, et ils exercent désormais ces droits, comme le constatent tous les jours les autorités nationales de protection des données. Celles-ci ont reçu plus de 95 000 plaintes de citoyens à ce jour », a déclaré la Commission européenne. Les plaintes portent principalement sur le télémarketing, les e-mails promotionnels et la vidéosurveillance.

De leur côté, les organismes commencent également à jouer le jeu. A ce jour, ils ont transmis aux autorités déjà plus de 41.000 notifications de violations de données personnelles, dont plus de 1.200 en France. C’est évidemment peu rassurant, mais la bonne nouvelle, c’est que ces violations apparaissent désormais sur le radar et qu’on peut se pencher sur la résolution de ces problèmes.

plainte et notification

Publié dans Texte Actualité divers

Google pourrait bientôt bloquer les bloqueurs de publicités

googleAprès avoir déployé son propre bloqueur de publicités par le biais de son navigateur Chrome, Google s’attaquerait cette fois aux bloqueurs concurrents.

“Fabriquer un meilleur Internet”. C’est la promesse de Google, qui s’attaque depuis plusieurs mois aux publicités jugées trop intrusives sur le Web. Après avoir déployé un bloqueur de publicités dans son navigateur Chrome, l’entreprise américaine semble s’attaquer aux bloqueurs de publicités concurrents.

Comme le rapporte le site britannique The Register, les ingénieurs de Google ont proposé des modifications au code servant de base à Chrome, son navigateur maison, utilisé par près des deux tiers des internautes dans le monde. Elles ont pour but de limiter l’action de certaines extensions de Chrome (des programmes gratuits qui peuvent se greffer au navigateur).

Adblock Plus, l’exception payée par Google
Parmi leurs cibles, les extensions pouvant bloquer une partie de ce qui s’affiche, comme les annonces commerciales. Pour fonctionner, les bloqueurs de publicités ont un accès étendu aux différentes actions de l’internaute. Officiellement pour des raisons de sécurité, les ingénieurs de Google souhaitent réduire la portée de cet accès. Alors qu’elles pouvaient directement annuler l’affichage des publicités au moment du chargement d’une page Web, ces extensions pourraient être contraintes de passer par un “filtre” mis en place par Google. Cela aurait pour conséquence de bloquer le fonctionnement de certaines extensions populaires, comme uBlock Origin.

Malgré ces évolutions  qui ne sont pas encore actées, Adblock Plus, le bloqueur de publicités le plus populaire dans le monde, ne serait pas impacté par ces nouvelles restrictions, en raison d’un mécanisme de filtrage plus souple. Une exception qui ne ravira pas forcément les plus hostiles à la publicité en ligne. En 2015, le Financial Times rapportait que plusieurs grandes entreprises, dont Google, avaient rémunéré Adblock Plus pour que leurs publicités passent à travers les mailles du filet.

Pour Google, principale régie publicitaire du Web, la bonne visibilité de ses publicités en ligne est une question de survie. Sur le deuxième trimestre 2018, ses revenus publicitaires ont grimpé à plus de 28 milliards de dollars (près de 25 milliards d’euros), sur un chiffre d’affaires de 32,66 milliards de dollars (près de 29 milliards d’euros). Soit 86% du total. En mettant de côté les bloqueurs de publicités qui refusent de faire une exception pour les siennes, Google éloigne un ennemi majeur de son modèle économique.