Les cartes bancaires sans contact et la confidentialité des données

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ?

Evolution du paiement sans contact

Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.

(source : GIE Cartes Bancaires)

Dans son bilan 2016 (PDF, page 11), ce même GIE déclare que 605 millions de paiements ont été réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution de ce dernier l’est encore plus : +158% de paiements par rapport à 2015, et la tendance ne faiblit pas.

Le paiement sans contact est fait pour des petites transactions, celles de « la vie quotidienne », le montant des échanges étant plafonné à maximum 30€ depuis octobre 2017.

Fonctionnement du paiement sans contact

Le principe est relativement simple, la personne détentrice d’une carte sans contact souhaite payer sa transaction (inférieure à 30€ donc), elle pose sa carte à quelques centimètres du terminal de paiement sans contact et « paf », c’est réglé.

Le paiement sans contact est basé sur la technologie NFC, ou Near Field Communication (communication en champ proche) via une puce et un circuit faisant office d’antenne, intégrés à la carte bancaire.

Le NFC est caractérisé par sa distance de communication, qui ne dépasse pas 10 cm avec du matériel conventionnel. Les fréquences utilisées par les cartes sans contact sont de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des protocoles de chiffrement et d’authentification. Le pass Navigo, les récents permis de conduire ou certains titres d’identité récents utilisent par exemple de la NFC.

Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.

Paiement sans contact et données personnelles

On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.

De nombreuses démonstrations existent çà et là, vous pouvez également trouver des applications pour mobile qui vous permettent de récupérer les informations non chiffrées (votre téléphone doit être compatible NFC pour réaliser l’opération).

Pour réaliser l’opération, avec du matériel conventionnel, il faut être maximum à quelques centimètres de la carte sans contact, ce qui limite fortement le potentiel d’attaque et interdit, de fait, une « industrialisation » de ces dernières.

Cependant, avec du matériel plus précis, plus puissant et plus onéreux, il est possible de récupérer les données de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique et encore plus onéreux (il est question d’une portée d’environ 15 mètres avec ce genre de matériel). Un attaquant doté de ce type d’équipement peut récupérer une liste assez impressionnante de cartes, puisqu’elles sont de plus en plus présentes… problématique non ?

En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.

En 2017… il est toujours possible de récupérer le numéro de la carte, la date d’expiration de cette dernière et, parfois, l’historique des transactions, mais nous y reviendrons.

Que dit la CNIL sur le sujet ?

J’ai demandé à la CNIL s’il fallait considérer le numéro de carte bancaire comme étant une donnée à caractère personnel, sans réponse pour le moment. J’éditerai cet article lorsque la réponse arrivera.

Si le numéro de carte bancaire est une donnée à caractère personnel, alors le fait qu’il soit disponible, et stocké en clair, me semble problématique, cela ne semble pas vraiment respecter la loi informatique et libertés.

En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38 de la loi informatique et libertés. Les porteurs de carte doivent, entre autres, être informés de la présence du sans contact et doivent pouvoir refuser cette technologie.

Les paiements sans contact sont appréciés des utilisateurs car ils sont simples, il suffit de passer sa carte sur le lecteur. Ils sont préférés aux paiements en liquide et certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ». Son usage massif fait que votre organisme bancaire vous connaît mieux, il peut maintenant voir les paiements qui lui échappaient avant, lorsque ces derniers étaient en liquide.

La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte, ni, normalement, de récupérer l’historique des transactions… ce dernier point étant discutable dans la mesure où, pas plus tard que la semaine dernière, j’ai pu le faire avec une carte émise en 2014.

Comme expliqué précédemment, il est encore possible aujourd’hui de récupérer le numéro de carte ainsi que la date d’expiration de cette dernière.

Dans le scénario d’une attaque ciblée contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les trois chiffres indiqués au dos de la carte – peut être forcé, il n’existe que 1000 combinaisons possibles, allant de 000 à 999.

Si la CNIL a constaté des améliorations, elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs du secteur bancaire à mettre à niveau leurs mesures de sécurité pour garantir que les données bancaires ne puissent pas être collectées ni exploitées par des tiers.

Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3], notamment par l’Observatoire de la Sécurité des Cartes de Paiement, quant à la protection et au chiffrement des échanges. Les premières recommandations datent de 2007 [PDF], mais malheureusement, dix ans après, très peu de choses ont été entreprises pour protéger efficacement les données bancaires présentes dans les cartes sans contact.

S’il existe des techniques pour restreindre voire empêcher la récupération des données bancaires via le sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.

Une solution consiste à « enfermer » sa carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant que la carte est dans son étui, pas de risques… mais pour payer, il faut bien sortir ladite carte, donc problème.

L’autre solution, plus « directe », consiste à trouer – physiquement – sa carte au bon endroit pour mettre le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.

DCP ou pas DCP ?

J’en parlais précédemment : est-ce que le numéro de carte bancaire constitue à lui seul une donnée à caractère personnel, ou DCP ?

Cela semble un point de détail mais je pense que c’est assez important en réalité. Si c’est effectivement une DCP, alors le numéro de carte bancaire doit, au même titre que les autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui n’est actuellement pas satisfaite.

Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.

REF.:

Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

Plus de deux années après leur création dans la loi, les équipements permettant aux services de renseignement d’analyser de grands volumes de données semblent fonctionnels.

Lors d’un colloque organisé par l’université de Grenoble ce mardi 14 novembre, Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement – ou CNCTR – a déclaré que les « boites noires » étaient à présent opérationnelles, et ce depuis environ un mois.

Ces équipements, surnommés ainsi pendant les débats sur la loi renseignement, doivent permettre aux services de renseignement d’analyser de grands volumes de données afin de détecter toute trace d’une menace terroriste… et c’est tout ce qu’on sait, officiellement.

Le principe et son problème

Pour vous résumer les débats de l’époque, il était question de créer des algorithmes permettant de détecter les terroristes, le tout sans aller lire le contenu des échanges ou des communications, les algorithmes n’utilisant que les métadonnées et pas le contenu direct.

La CNCTR a donné son feu vert à la mise en place desdits algorithmes :

« Nous avons examiné le projet d’algorithme sur le plan juridique. Est-il adapté ? Remplit-il les critères de proportionnalité ? Mais aussi un contrôle technique.

Nous avons des ingénieurs, ce qui permet de le faire. »

A l’époque du projet de loi, en 2015, ces dispositions faisaient débat. Des associations protectrices des libertés individuelles et numériques, comme La Quadrature du Net, dénonçaient la mise en place d’un système de surveillance de masse et une absence de mécanismes de contrôles clairs et adaptés.

Problème n°1 : les métadonnées parlent plus que « la donnée ».

La loi sur le renseignement autorise l’exploitation des métadonnées, c’est-à-dire des informations qui gravitent autour de la donnée sans être de la donnée… exemple : dans un e-mail, l’heure d’envoi, l’expéditeur, le destinataire et tout ce qui n’est pas directement le contenu du mail sont des métadonnées.

Si la loi interdit d’analyser les données, le contenu du mail dans notre exemple, il n’en reste pas moins que ces boites noires posent un vrai problème de confidentialité, les métadonnées étant bien plus parlantes que les données.

En soi, sauf dans des cas de surveillance ciblée, le contenu n’intéresse que très peu les renseignements, ils souhaitent savoir qui communique avec qui, quand, où, comment, à quelle fréquence. Ils souhaitent savoir qui visite quoi, quelle adresse, à quelle heure, combien de fois, etc.

Prenons un exemple très concret, qui ne va utiliser que des métadonnées. Aujourd’hui, un individu a :

• Consulté un site de vidéos pour adulte pendant 14 minutes
• Consulté un site d’e-commerce pendant 31 minutes
• Consulté un site de recherche d’emploi pendant 8 minutes
• Envoyé 3 mails à doe@example.xyz
• Envoyé 2 SMS au numéro de téléphone 06xxxxxxxx
• Envoyé 3 MMS au numéro de téléphone 07xxxxxxxx
• A effectué deux sorties, d’une durée de 6 minutes pour la première et de 43 minutes pour la seconde
• Ces trajets, grâce au smartphone de l’individu, sont connus

J’arrête l’exemple ici mais vous l’aurez compris, une journée entière serait bien trop longue. Les métadonnées sont très précises et, par croisement, elles permettent d’identifier une personne assez rapidement.

Ce qui nous amène au…

Problème n°2 : on ne sait pas comment ça fonctionne

Selon M. Delon, pour des « raisons évidentes », les algorithmes des boites sont secrets. On ne sait donc rien d’eux. On peut déjà s’interroger sur les raisons qui font que cet algorithme est secret. Si les critères de l’algorithme peuvent être sensibles, l’algorithme en soi n’a, normalement, rien de cela. Je trouve toujours étonnant que les gouvernements préfèrent la sécurité par l’obscurité à la transparence d’un code, mais passons…

On peut tout de même imaginer que ces derniers ne sont pas en mesure d’intercepter et de casser du trafic chiffré. On peut aussi imaginer que les jeux de données doivent être très larges, afin de permettre aux algorithmes d’avoir assez de matière pour faire le boulot.

On renverse donc un peu plus la logique de surveillance actuelle, en passant d’une surveillance ciblée pour obtenir des informations à l’obtention d’informations sur une population très large pour trouver des individus qui répondent à des critères précis. Autrement dit, on bascule davantage dans la surveillance de masse de tout le monde que dans la surveillance ciblée. Ce qui n’est pas sans poser de nombreux problèmes, comme l’ONU s’en inquiétait à l’époque.

Les algorithmes, ce n’est pas « automagique », des personnes ont travaillé sur ces choses, ont produit du code. Qui ? Comment ? On ne sait pas. On peut donc s’interroger quant à l’impartialité des algorithmes. Sur quels critères ces derniers déclarent que telle ou telle personne a un comportement étrange, voire suspect ? Est-ce que les algorithmes sont assez efficaces pour éviter tout faux positif ? Et même dans ce cas, est-ce que ces techniques ne seraient pas disproportionnées ? Combien de milliers de données passent dans les moulinettes des algorithmes alors qu’elles ne devraient rien y faire ?

La CNCTR déclare que, pour le moment, une seule machine a été déployée, dans un endroit tenu évidemment secret, comme le reste… mais est-ce un test ou une généralisation ?

Vous l’aurez compris, je suis sceptique quant à l’usage et l’efficacité de ces outils, et vous ?

 

 

REF.:

Les secrets de l'ex-site T411(Torrent)

T411 entre les mains de Cloudflare ? Pour lutter contre le spam, les spammers et des bots ou de la fraude en ligne.

T411(Torrent 411) un Honeypot ?
Cloudflare est une entreprise américaine qui propose un réseau de distribution de contenu, des services de sécurité Internet et des services distribués de serveur de noms de domaine, entre le visiteur et le fournisseur de services d’hébergement de l’utilisateur de Cloudflare ; le système fonctionne comme un serveur proxy inversé pour les sites Web. Le siège social de Cloudflare se trouve à San Francisco (Californie), avec des implantations à Londres, Singapour, Champaign, Austin, Boston et Washington^1,2.


Mais pourquoi tant de surveillance pour du P2P ?


Cloudflare a été créée en 2009 par Matthew Prince, Lee Holloway et Michelle Zatlyn, qui travaillaient précédemment sur Project Honey Pot. La solution Cloudflare a été lancée à l’occasion de la conférence TechCrunch Disrupt de septembre 2010. Elle a attiré l’attention des médias en juin 2011, après avoir fourni des services de sécurité au site Web LulzSec. En juin 2012, Cloudflare s’est associée à plusieurs hébergeurs Web, tels que HostPapa, pour mettre en œuvre sa technologie Railgun. En février 2014, Cloudflare a freiné l’attaque DDoS la plus importante jamais enregistrée, qui a atteint les 400 Gbits/s, contre un client dont l’identité est restée confidentielle. En novembre 2014, Cloudflare a signalé une autre attaque DDos massive à 500 Gbits/s, dont les cibles étaient des sites de médias indépendants³.
En 2004, Matthew Prince et Lee Holloway créent « Project Honey Pot », une organisation à but non lucratif qui cherche à lutter contre le spam avec un système distribué de détection des spammers et des bots. Cette dernière connaît un grand succès, et intéresse notamment en 2007 le département de la Sécurité intérieure qui y voit l'opportunité d'exploiter des données sur la fraude en ligne.
Par la suite Prince et Holloway font équipe avec Michelle Zatlyn. Le projet d'entreprise de Cloudflare remporte en avril 2009 la compétition Harvard Business School Business Plan⁴. En novembre, l'entreprise clôt un tour de table « série A (en) » de 2 millions de dollars auprès de Venrock et Pelion Venture Partners, complété en juillet 2012 par une levée de 20 millions auprès des mêmes partenaires, ainsi que New Enterprise Associate.
En 2010, Cloudflare lance une version bêta fermée aux membres de la communauté du projet Honey Pot. Le lancement au grand public se fait le 27 septembre 2010 au cours de la conférence TechCrunch Disrupt.
En juin 2011, le service fait parler de lui en protégeant le site du groupe Lulzsec⁵, qui a recours à ses services pour se protéger d'attaques DDOS.
En 2012, il est estimé que plus de 200 millions d'utilisateurs visitent des sites qui sont protégés par Cloudflare. L'entreprise acquiert au même moment environ 1 000 clients par jour⁵.
En juin 2012, le groupe de hacker UGNazi attaque Cloudflare via des failles dans le système d'authentification de Google, pour obtenir des accès d'administrateurs au service et défigurer 4chan⁶.
En mars 2013, Spamhaus, entreprise de lutte contre le spam basée à Genève et cliente de Cloudflare, annonce avoir subi une attaque DDOS de très grande ampleur après avoir placé sur sa liste noire le site internet néerlandais Cyberbunker⁷. Après les événements, Matthew Prince estime sur le blog de l'entreprise que l'attaque DDOS compterait parmi les plus grosses jamais lancées, avec des pics à 300 Gbit/s sur certaines cibles, avec pour conséquences possibles un ralentissement de la vitesse des accès à Internet en Europe⁸.
 En juin 2014, Cloudflare a fait l’acquisition de CryptoSeal, fondé par Ryan Lackey, une opération visant à accroître les services de sécurité proposés à l’internaute. En février 2014, Cloudflare a acquis StopTheHacker, qui propose une détection et une suppression automatique des programmes malveillants, ainsi qu’un contrôle des réputations et des listes noires. En décembre 2016, Cloudflare a racheté Eager, dans le but de mettre à niveau sa propre plateforme d’applications, afin de permettre une installation de type « glisser-déplacer » d’applications tierces sur des sites où Cloudflare est actif ¹⁰.
Cloudflare propose un service gratuit de base, et des options payantes (protection DDOS avancée par exemple)¹¹. Parmi ses clients, on peut citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica¹².
L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google¹³. En mars 2013, il compte vingt-trois centres de données¹⁴.Cloudflare propose à tous ses clients le paramètre « I'm Under Attack Mode ». Selon Cloudflare, cela peut empêcher les attaques visant la couche 7 en présentant un défi de calcul JavaScript, qui doit être resolu avant qu’un utilisateur puisse accéder à un site Web. Cloudflare a protégé SpamHaus d’une attaque DDoS qui a dépassé 300 Gbits/s. L’architecte principal d’Akamai a indiqué qu’il s’agissait de « l’attaque DDoS publiquement annoncée la plus importante de l’histoire d’Internet ». Cloudflare a également indiqué avoir absorbé des attaques qui ont atteint les 400 Gbits/s pour une attaque par réflexion utilisant le service NTP¹⁵. Pare-feu pour les applications Web Cloudflare permet aux clients ayant souscrit une formule payante d’utiliser par défaut un service de pare-feu pour les applications Web ; le pare-feu possède l’OWASP ModSecurity Core Rule Set en plus de l’ensemble de règles propre à Cloudflare et des ensembles de règles pour les applications Web populaires¹⁶.

Ce qu'ont a dit:

 T411 et XXXXXXX   fusionnent pour devenir n° 1 ?
C'est évident que le Staff de XXXXXXX, est derrière depuis le début (bien sur ! on va s'échanger des login de domaine et autres infos sensibles entre sites de piratage ;))) )
Ils ont profité de la mort de l'original pour squatter le domaine, se sont fait promouvoir par la pseudo presse spécialisée qui voulaient surfer sur le buzz provoqué par la fermeture , on mit des magnets sans login pour attirer + de gibier (si ça c'est pas la preuve ultime que c'est pas les originaux...) et maintenant hop ! Faut se logger et ils récupèrent tout le traffic !
Très bon coup de poker en tout cas ! En générale c'est plutôt les pages Facebook de "buzz" qui font ça

 "T411 serait-il de retour ? Une nouvelle copie du site vient en effet d’ouvrir ses portes et il semblerait qu’il ne s’agisse pas d’un simple clone cette fois."

Quel est l'intérêt de s'inscrire si les torrent ne fonctionnent qu'avec des trackers public...

[–]rinsaOurs 34 points 4 months ago 

Aucun, c'est un honeypot.

[–]FrenchDude647Réunion 5 points 4 months ago 

Question sincere, c'est quoi le pb des trackers publiques ? Je me suis jamais vraiment pris la tete et je chopais tout sur piratebay depuis des annees, y'a un risque de se faire choper ?

[–]rinsaOurs 18 points 4 months ago 

Tracker public : aucun flicage sur le ratio, donc aucun intérêt à rester en seed. Du coup c'est cool pour le contenu récent, mais les torrents dépassent généralement pas le mois d'espérance de vie.

Selon l'entrevue de t411 a Nextwarez.com:
Nous avions précédemment vu qu’XXXXXXXX, avait réussi à prendre sa place dans le classement des sites warez les plus visités en août; mais le nouveau T411 avec l’extension en .si l’a rejoint un mois après, en septembre. Nous avons donc rencontré le staff du nouveau site, afin d’en savoir un peu plus sur eux …Le site T411 a fermé le 26 juin 2017 et nous avons mis en ligne la relève le 17 juillet ,mais tiendra-t'il encore le coup ?

Aujourd'hui t411 est down et celui qui le remplace et qu'ont ne peut mentionner (P2P)est encore associer avec cloudfflare et Amazon.com(pour un peu de rentabilité évidemment) ! Oui encore cloudflare car a la résurrection de t411 pour un bref moment, son compétiteur actuel P2P Francophone(qu'on ne nommera pas) avait probablement accès aux serveurs de l'ex-t411,par Cloudflare !!!


Voici les 2 serveurs non fonctionnels de t411:
FQDN:

	t411.si
Host Name
Domain Name	t411.si
Registry	si
TLD	si
DNS
Name servers	ivan.ns.cloudflare.com vida.ns.cloudflare.com  REF.:

Pirater un plug bluetooth, c'est facile

L'industrie du sextoy semble toujours incapable de produire un jouet sans fil résistant aux attaques informatiques.

 

L'article original a été publié sur Motherboard.
Mardi 17 septembre, les rectums du monde entier se sont serrés de peur quand le spécialiste en cybersécurité Giovanni Mellini a révélé sur son blog à quel point il était facile de pirater un plug anal contrôlé par Bluetooth.
L'appareil en question est le Hush de Lovense, que l'entreprise présente comme "le premier plug anal télédildonique" que vous pouvez "contrôler de n'importe où !"
Malheureusement pour Lovense, le Hush s'illustre aussi comme l'un des sextoys connectés les plus vulnérables du marché : manifestement, il peut être contrôlé "de n'importe où", mais aussi par n'importe qui. Il suffit de se trouver à portée de Bluetooth.
Dans son billet de blog, Mellini explique qu'il est parvenu à hacker le jouet en utilisant un scanner de réseaux Bluetooth Low Energy (BLE) développé et distribué gratuitement sur GitHub par Simone Margaritelli.
Le Bluetooth est considéré comme un moyen peu sûr de transmettre de l'information à distance. Sa version économe en énergie, le BLE, est encore plus fragile. Malheureusement, elle tire si peu sur la batterie des smartphones qu'elle s'est aisément trouvé une place dans l'Internet des objets.
Simone Margaritelli n'est pas tendre avec le BLE dans le billet de blog qu'il a consacré à son scanner : "Le BLE est une version cheap et très peu sûre du Bluetooth. Il n'utilise pas le saut fréquence et n'a pas de protocole de sécurité intégré." Ces faiblesses le rendent vulnérable aux attaques par interception, au cours desquelles le pirate se glisse entre deux machines qui communiquent ensemble.
Dans ce cas précis, un hacker pourrait prendre le contrôle du Hush en lui faisant croire qu'il obéit au smartphone de son propriétaire. Au passage, il pourrait également récupérer les paquets d'information qui circulent entre les deux appareils. C'est ce qu'on appelle le sniffing.
S'il est si nul, pourquoi le BLE a-t-il toujours ses entrées chez les fabricants d'objets connectés ? Une fois de plus, Margaritelli s'exprime sans ambage : "Si vous voulez concevoir et vendre n'importe quelle merde branchée à l'IoT, et que vous voulez le faire vite parce que votre concurrent s'apprête à débarquer sur le marché avec une merde similaire, vous prenez le Bluetooth, vous le débarrassez de ses quelques maigres qualités et voilà !", vous avez un appareil BLE.
Mellini affirme qu'il est parvenu à coupler son ordinateur au plug sans identifiant, mot de passe ou code PIN en utilisant le scanner de Margaritelli et l'application smartphone de Lovense. L'appariement effectué, il avait tout contrôle sur les vibrations de l'engin.
Sur son site officiel, Lovense affirme que le Hush a une portée d'une dizaine de mètres si l'utilisateur est debout, trois s'il est assis. Ce qui signifie qu'un malfrat aurait besoin d'être très proche de vous pour prendre le contrôle de votre jouet. Reste que l'application de Lovense se connecte à Internet : un hacker entreprenant pourrait sans doute utiliser les vulnérabilités dévoilées par Mellini pour orchestrer une attaque à distance, une vraie.
Mellini pense que ce hack n'aurait pas été possible avec un protocole sans fil plus sûr que le BLE. "C'est vraiment facile de pirater le protocole BLE à cause d'erreurs de conception bêtes, écrit-il. Bienvenue en 2017."
Motherboard a fait parvenir une demande de commentaire à Lovense. Si nous obtenons un retour, cet article sera mis à jour.
L'industrie des jouets pour adulte traverse une grande phase de réinvention télédildonique. En connectant ses produits à Internet, elle espérait tirer parti des dernières tendances. Malheureusement, elle a surtout inondé le marché de godes vulnérables aux attaques informatiques.
Les sextoys connectés doivent protéger l'intimité de leurs utilisateurs s'ils souhaitent devenir des produits courants. Pour le moment, il semble qu'ils ne travaillent qu'à dissoudre la frontière vie privée-vie publique.

 

 

 

REF.:

Les étonnantes idées de Samsung pour recycler votre smartphone Galaxy

Le fabricant sud-coréen veut inciter les utilisateurs à transformer leur ancien smartphone en objet connecté pour des usages aussi variés que le minage Bitcoin, la gestion d’aquarium ou l’authentification biométrique.

Donner une seconde vie à son vieux smartphone Galaxy : tel est le but affiché de la nouvelle initiative « Galaxy Upcycling » que Samsung vient de présenter à l’occasion de sa dernière conférence développeur. Plutôt que de laisser moisir son ancien appareil dans un tiroir, pourquoi ne pas l’utiliser pour en faire tout autre chose ? S’il est vrai que les terminaux d’ancienne génératios sont souvent bloqués au niveau logiciel, leur base matériel reste tout à fait fonctionnelle et il serait dommage de s’en priver.

Lutte contre l’obsolescence programmée

C’est pourquoi les ingénieurs de Samsung ont démontré sur leur stand toute une série d’applications originales qui permettent de briser cette loi de l’obsolescence programmée et que les utilisateurs pourront télécharger sur le site upcycling.io.

L’une des réalisations les plus spectaculaires est une ferme de minage Bitcoin. Constituée de 40 Galaxy S5, elle a une puissance de minage de 104 Mhash/s, ce qui équivalent à celle de cinq ordinateurs avec puce Intel Core i7-2600, mais pour une consommation énergétique trois fois moins importante. C'est quand même largement insuffisant pour gagner le moindre centime virtuel car selon le calculateur de bitcoinx.com, l’extraction n’est réaliste que lorsque l’on atteint plusieurs centaines de Ghash/s. Mais bon, l’esprit y est. Et rien n’empêche d’adapter cela à une autre monnaie plus facile à miner, comme le monero.

Autre projet intéressant : transformer son Galaxy S5 en plateforme de gestion d’aquarium. Le logiciel que proposera Samsung permet de contrôler à distance la qualité de l’eau, d'allumer la lumière et d'administrer la nourriture. Pour en profiter, il faut évidemment se doter des capteurs nécessaires. La bonne nouvelle, c’est que Samsung compte proposer sur son site tout l’attirail nécessaire pour mener à bien ce type d’installation.

Déguisé en chouette, votre ancien terminal mobile Galaxy pourra également inspecter l’identité des visiteurs qui se présentent à votre porte, grâce à un logiciel de reconnaissance faciale. Ou bien vérifier à distance la consommation alimentaire de votre animal domestique. Et pourquoi pas le transformer en console de jeux d’arcade ou en poste de travail d’appoint en y installant Ubuntu Desktop.

Android est effacé

Pour l’instant le site upcycling.io n’est pas encore actif. Il devrait donner accès à tous les outils nécessaires pour supprimer Android et installer les logiciels du projet en question. Des tiers pourront également mettre en ligne leur propre projet de transformation. Bref, l’idée est de créer autour de la gamme Galaxy un écosystème de bidouilleurs comme on en connaît déjà pour Raspberry Pi et la mouvance Maker. Le succès n’est pas garanti mais l’initiative est intéressante d’un point de vue écologique… et économique. Le fait de pouvoir donner une seconde vie à son smartphone lui donne en effet automatiquement plus de valeur et pourrait inciter davantage de personnes à se tourner vers Samsung plutôt que vers un autre fabricant.
Source : Motherboard

REF.:

Rencontrez Sweetie, la fille qui attrape les prédateurs en ligne

Des chercheurs hollandais disent que 1 000 hommes du monde entier ont pris contact avec une fillette de 10 ans aux Philippines au cours d'une enquête de 10 semaines, dont beaucoup voulaient la payer pour enlever ses vêtements devant une webcam.

L'organisation des droits de l'enfant Terre des Hommes a mis en place le faux profil d'une fille nommée Sweetie dans un forum de discussion en ligne et ses chercheurs spécialement formés ont été stupéfaits par l'avalanche de réponses.

Un chercheur l'a décrit comme «pétrifiant», mais il a déclaré que le véritable problème était le nombre de filles de pays en développement qui avaient accès à Internet et que les parents et les criminels essayaient de gagner de l'argent.

Les informations recueillies au cours de l'enquête seront transmises à Interpol.

Angus Crawford de la BBC a été invité dans un endroit secret pour voir comment le travail est effectué.





REF.:

Un Hacker aurait divulgué des renseignements personnels sur plus de 100 policiers

C'est l'image qui a conduit le FBI à un hacker prolifique catch censé être responsable de la libération des informations personnelles de dizaines de policiers à travers les États-Unis.
Higinio O. Ochoa III a été accusé d'avoir piraté illégalement au moins quatre sites Web d'application de la loi aux États-Unis - des prouesses dont il se serait prétendument fait valoir sur tous les sites de réseaux sociaux.
Et c'est cette image - prise en Australie - de sa petite amie à peine vêtue qui tient un message pour narguer les autorités américaines qui ont capturé le programmeur informatique de 30 ans de Galveston, au Texas.Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
La photo montre une femme du cou avec un signe attaché à son estomac, en lisant: «PwND by w0rmer & CabinCr3w <3 b="" br="" s="" u="">
Le FBI a déclaré qu'il confirmait l'identité d'Ochoa, qui s'appelle lui-même 'w0rmer' en ligne et est membre de 'CabinCr3w', une émanation du groupe de hacking Anonymous.


En février, le prétendu compte Twitter d'Ochoa, @ AnonW0rmer, a été relié à un site Web où les données extraites des sites Web d'application de la loi ont été affichées, a rapporté The Sydney Morning Herald.
Au bas du site, il y avait l'image de la femme portant le signe. Les données tirées de cette photo montrent qu'il a été pris par un iPhone, selon le FBI.Higinio O. Ochoa IIIPetite amie Kylie Gardner
Connexions: Ochoa, à gauche, aurait divulgué des renseignements personnels pour plus de 100 policiers. La photo de sa petite amie Kylie Gardner, à droite, contenait des informations montrant où elle avait été prise
Les coordonnées GPS intégrées dans la photo - comme on peut le voir sur toutes les photos prises par un smartphone - ont montré aux autorités la rue et la maison exactes à Wantirna South, Melbourne, où elles ont été prises.
Différents tweets de @ Anonw0rmer pointaient vers d'autres sites se référant à 'w0rmer', y compris celui qui portait le nom d'Ochoa et plus de photos de sa petite amie.
Les autorités ont alors trouvé la page Facebook d'Ochoa, sur laquelle il a nommé Kylie Gardner d'Australie comme sa petite amie. Le FBI était alors convaincu qu'elle était la femme sur la photo prise à South Wantirna.
Même si la photo des seins ne montre pas le visage de la femme, le FBI est convaincu que c'est la même femme. Ils ajoutent que c'est une preuve définitive que Ochoa est w0rmer.
Gardner n'a été accusé d'aucune activité criminelle. On pense qu'elle est actuellement aux Etats-Unis avec Ochoa, qui comparaîtra devant le tribunal cette semaine, a rapporté le Sydney Morning Herald.Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Après l'avoir dépisté et placé sous surveillance, les autorités ont pris d'assaut la maison d'Ochoa le 20 mars et l'ont arrêté.
Dans un post censément écrit par Ochoa sur Pastebin, il a dit "environ 8 agents du FBI ont pris d'assaut mon appartement". Il a été emmené dans un bureau du FBI à Houston où il a payé une caution de 50 000 $.
Ochoa a comparu devant le tribunal le 10 avril devant un magistrat, où la preuve photographique ci-dessus a été révélée dans l'affidavit du FBI.
Il arrive un mois après que l'ancien chef de Lulzsec et membre anonyme de Sabu a été révélé comme un informateur du FBI. Mais dans le post de Pastebin, Ochoa a prétendu qu'il n'était pas coupable de la même trahison.
Il a écrit: «J'ai dit au FBI que je participerais à la capture de mes coéquipiers, une pièce qui, sans aucun doute, a satisfait et embrouillé le FBI.Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification de hackers Anonymous (emblème sur la photo)
Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification d'Anonymous (emblème sur la photo)Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
«Cependant, ceux qui me connaissent le mieux se porteraient indument pour moi, ce qui mettrait ce mouvement en danger.
"TOUTES les informations fournies au FBI ont simplement rendu MON cas plus faible et causé une confusion interne montrant la faiblesse inhérente du système."
Ochoa aurait piraté le site Web du comté de Houston en Alabama et «créé de faux événements sur leur ligne, des images postées représentant Anonymous et
CabinCr3w, a supprimé tous les comptes administrateur, sauf celui créé par l'attaquant.CabinCr3w était également responsable de la fuite d'adresse e-mail et des informations confidentielles des dirigeants de Goldman Sachs en Septembre 2011, Gizmodo report.En février, le groupe infiltré Base de données de l'association, et a divulgué des noms, des adresses et des numéros de téléphone de plus de 100 policiers.

REF.: