2343 – Un incroyable système d’espionnage des internautes mis au jour … et les données volées chez Uber, un piratage en réalité si banal

1 – Un incroyable système d’espionnage des internautes mis au jour

2 – Les données volées chez Uber, un piratage en réalité si banal

Informatique file6xomgyh2upvu3332g0

1 – Un incroyable système d’espionnage des internautes mis au jour

Les sites web de Microsoft, Adobe, WordPress, Spotify, Skype, Samsung ou encore Pornhub contiennent un logiciel enregistrant tout ce que fait l’internaute: ses mouvements de souris, les touches frappées, les liens cliqués… Des chercheurs de Princeton ont mis au jour ces pratiques sulfureuses

Anouch Seydtaghia – Publié jeudi 23 novembre 2017 à 17:32, modifié jeudi 23 novembre 2017 à 18:13.

Ce ne sont sans doute ni la NSA ni des pirates informatiques russes ou nord-coréens qui sont les plus curieux de la vie privée des internautes.

Il s’agit plutôt de multinationales bien établies telles Microsoft, Samsung ou encore Spotify.

Il y a quelques jours, des chercheurs de l’Université de Princeton (New Jersey) ont publié une étude[1] montrant comment ces entreprises espionnaient en détail le comportement des internautes qui visitent leurs pages web – certaines ont abandonné cette pratique ces derniers jours. Via des systèmes perfectionnés, elles parviennent à enregistrer intégralement les mouvements de souris, les frappes sur le clavier et la navigation entre les pages.

Steven Englehardt, l’un des chercheurs du projet «Freedom to Tinker» de Princeton, résume ce système d’espionnage en une phrase:

«Ces scripts informatiques sont conçus pour enregistrer et rejouer en play-back des sessions individuelles de navigation, comme si quelqu’un regardait par-dessus votre épaule.»

Les chercheurs ont constaté que 482 des 500 000 sites les plus consultés sur la planète – selon le classement de la société Alexa – intègrent de tels scripts. Il s’agit par exemple de Microsoft, Adobe, WordPress, Spotify, Skype, Samsung ou encore du site pornographique Pornhub.

Même du contenu effacé

Les chercheurs ont même créé une base de données [2] permettant de trouver les sites impliquésd’après nos recherches, il n’y a pas de site web suisse dans ce répertoire. Mais les internautes romands sont de toute façon concernés, que ce soit via les sites de Spotify ou Microsoft, ou simplement parce que certains sites, tel eurosport.fr, sont en français.

Ces scripts, soit des morceaux de codes informatiques, sont appelés «session replay». Il s’agit en effet de rejouer en différé le comportement complet d’un internaute pour l’analyser.

Cela permet par exemple de voir s’il se perd entre deux pages ou s’il se perd au milieu d’un formulaire.

Ces systèmes ne sont pas nouveaux. C’est la découverte de leur utilisation massive qui l’est, de même que leur puissance. Car ces scripts sont par exemple capables d’enregistrer ce qu’un internaute écrit dans un formulaire, même s’il efface en partie son contenu pour le récrire ensuite.

Comme le rappelle le site spécialisé Motherboard, Facebook avait fait scandale en 2013 lorsqu’il avait été découvert que le réseau social enregistrait les statuts de ses membres, même s’ils étaient juste tapés, et pas enregistrés…

Pas d’anonymisation des données

Les 482 sites incriminés utilisent des scripts de plusieurs sociétés: FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar et Yandex – il s’agit, dans ce dernier cas, du moteur de recherche le plus populaire en Russie. Ces scripts posent plusieurs problèmes.

  • D’abord, les internautes ne sont souvent, voire jamais au courant du fait que leurs actions sont enregistrées.
  • Ensuite se pose la question de la confidentialité: les informations récoltées sont envoyées sur les serveurs des éditeurs de ces scripts sans être anonymisées, et sans doute avec un degré de protection très faible.

Les chercheurs donnent l’exemple du site web de la chaîne américaine de pharmacie Walgreens.

Les auteurs de l’étude notent que des informations aussi sensibles que des ordonnances, des informations sur la santé du patient mais aussi son nom sont envoyées sur les serveurs de FullStory. Certains mots de passe, lorsqu’ils sont inscrits sur des sites web consultés sur smartphone, sont aussi enregistrés, tout comme quelques chiffres provenant de numéros de cartes de crédit.

Pratiques «dangereuses»

Que penser de ces pratiques?

«Elles sont très dangereuses, car le stockage de données aussi personnelles et sensibles sur des serveurs de sociétés de conseil risque de donner des idées à des pirates informatiques, estime Sylvain Pasini, spécialiste en cybersécurité à la Haute École d’ingénierie et de gestion du canton de Vaud. Il faut préciser en parallèle que d’après ce qu’ont trouvé les chercheurs de Princeton, les entreprises enregistrent tout ce qui se passe sur leur site web, mais pas sur l’ensemble de l’ordinateur. Le système d’espionnage est installé sur le serveur de l’entreprise, pas sur l’ordinateur de l’internaute.»

Liens[]

  1. https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/
  2. https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

Informatique file6xo11qcjm9t1deu3vey8

2 – Les données volées chez Uber, un piratage en réalité si banal

La société de transport s’est fait dérober les données de 57 millions de clients. Il y a eu plus d’un milliard de victimes en 2016

Anouch Seydtaghia – Publié mercredi 22 novembre 2017 à 11:45, modifié mercredi 22 novembre 2017 à 14:22.

C’est un scandale de plus pour Uber. Mais c’est surtout un scandale de plus pour toutes les entreprises qui stockent de manière peu professionnelle les données de leurs clients.

Dans la nuit de mardi à mercredi, la société américaine de mise en relation entre chauffeurs privés et passagers a admis s’être fait dérober plus de 58 millions de sets de données. Ainsi, des informations concernant 57 millions de clients ont été volées, en plus des informations concernant 600 000 chauffeurs.

C’est le nouveau directeur d’Uber, Dara Khosrowshahi, qui a annoncé la nouvelle via un communiqué. Le vol est intervenu en 2016, mais le responsable ne l’aurait appris que récemment. Non seulement la société basée à San Francisco a caché ce vol aux autorités, mais en plus elle a payé, via deux employés licenciés entre-temps, 100 000 dollars aux pirates pour qu’ils se taisent et détruisent les données.

Un impact planétaire, mais les nationalités ne sont pas précisées

De quelles données s’agit-il? Pour les clients, il s’agit des adresses e-mail et de leurs numéros de téléphone mobile. Pour les chauffeurs, il s’agit de leurs noms et numéros de permis de conduire. Uber promet que ni l’historique des trajets, ni les numéros de cartes et de comptes bancaires, ni les numéros de sécurité sociale n’ont été dérobés.

Uber ne précise pas la nationalité des victimes, mais tout le monde peut se sentir concerné. Il y a un an, la société affirmait avoir 40 millions d’utilisateurs réguliers, un chiffre qui a sensiblement augmenté depuis.

Ces 58 millions de victimes rejoignent une longue liste d’internautes piratés.

Dans son rapport 2017 sur la cybersécurité [1], la société américaine Symantec affirmait que 1,12 milliard de personnes s’étaient fait voler des données en 2016, contre 563 millions l’année précédente. En 2016, 1209 cas de vol ont été répertoriés, dont 15 «méga-vols», comme les appelle Symantec, soit des cas avec plus de 10 millions d’identifiants volés en une fois.

Des données disponibles ensuite sur le Dark Web

Autre élément intéressant: les 58 millions de victimes du vol de données chez Uber vont sans doute rejoindre d’autres victimes.

Selon Symantec, on trouve déjà des données de clients d’Uber pour un dollar pièce sur le Dark Web, sans doute issues d’un vol intervenu il y a plusieurs mois. «Nos chercheurs ont montré que les pirates s’intéressent de plus en plus à des comptes liés à des médias, tels Netflix et Spotify, avec des prix allant de 10 cents de dollars à 10 dollars par compte», écrit Symantec dans son rapport.

Il s’agit ainsi d’un business en pleine expansion et toutes les données ont leur importance, car elles permettent, avec un peu d’ingénierie sociale, d’accéder ensuite à des données bancaires ou de cartes de crédit.

Que penser du cas de la nuit dernière? «Ces hackers ne font probablement pas partie du crime organisé», estime Steven Meyer, directeur de la société de sécurité genevoise ZENData. «Les données ont été vendues bien en dessous du prix du marché et il existe de nombreux outils pour scanner Github afin de trouver des identifiants.» Github est un service web d’hébergement et de gestion de développement de logiciels. Les pirates auraient piraté ce service pour ensuite accéder aux données privées stockées sur un espace Amazon Web Services.

«Former les développeurs»

Selon Steven Meyer, «il n’y a pour l’heure aucune indication que les données ont été vendues sur le Dark Web». Mais ensuite, «les données volées pourraient être utilisées pour faciliter d’autres activités criminelles, car les numéros de téléphone sont souvent utilisés dans les processus d’authentification forte.» De nombreux services exigent en effet une authentification par mot de passe, puis par SMS. Le spécialiste insiste: «Il faut former correctement les développeurs et s’assurer qu’ils comprennent les risques et conséquences de leurs actions.»

VMware-TrustPoint-Cybersecurity-Threats

liens[]

  1. Mais les internautes romands sont de toute façon concernés, que ce soit via les sites de Spotify ou Microsoft

source/ https://www.letemps.ch/economie/2017/11/22/donnees-volees-chez-uber-un-piratage-realite-banal

Une réflexion au sujet de « 2343 – Un incroyable système d’espionnage des internautes mis au jour … et les données volées chez Uber, un piratage en réalité si banal »

Les commentaires sont fermés.