Temu fait sensation sur les réseaux sociaux en ce moment avec une opération promotionnelle qui offre tout simplement de l'argent gratuit contre des inscriptions à des services en ligne. Mais les conditions associées à cette offre soulèvent bien des inquiétudes concernant l'utilisation des données personnelles des participants…

La FDN (French Data Network), cette association de héros du Net qui défend nos libertés numériques propose un VPN public en accès libre ! Oui, un accès VPN gratuit et accessible à tous, pour surfer sur la Toile en mode ninja.

Pour rappel, un VPN (Virtual Private Network), c’est comme le tunnel magique d’El Chapo, sauf que ça chiffre toutes vos données quand vous vous baladez sur Internet. Vos échanges étant chiffrés de bout en bout, même les vilains FAI qui voudraient mettre leur nez dans vos petites affaires en ligne ne verront que du charabia incompréhensible. Avec le VPN de la FDN, vous allez pouvoir semer les mouchards, contourner la censure et naviguer en toute tranquillité, même sur les réseaux publics craignos.

Pour en profiter, c’est super simple. Il vous suffit d’installer le client OpenVPN sur votre ordi, votre smartphone ou votre tablette. Ensuite, vous téléchargez la configuration du VPN de la FDN, et hop, vous voilà paré.

Le VPN public de la FDN utilise les serveurs de l’asso, et s’engage à respecter votre vie privée et à ne pas logger vos données. Ça rend bien service donc et en plus, c’est l’occasion de soutenir la FDN qui se bat au quotidien pour nos droits et libertés sur Internet en leur faisant un petit don ou en rejoignant l’association si vous pouvez.

Personnellement, je dis un grand merci à toute l’équipe de la FDN pour cette initiative géniale. Ça fait du bien de voir qu’on peut encore compter sur des assos comme ça pour défendre l’intérêt général.

Pour essayer ce VPN, foncez sur https://vpn-public.fdn.fr .

Source

Le Vision Pro, lancé début février aux États-Unis, fait entrer Apple dans un tout nouveau marché. Mais le constructeur a conservé ses habitudes en matière de confidentialité. Dans un document publié cette semaine, l'entreprise détaille les principales mesures de sécurisation des données du casque de réalité mixte.

Ça secoue dans le petit monde de la cybersécurité : une fuite de données massive, surnommée la « mère de toutes les brèches », expose plus de 26 milliards d'enregistrements (!) issus de diverses plateformes et réseaux sociaux. Cette brèche est une des plus sérieuses jamais enregistrées.

— Article en partenariat avec Incogni —

Hello les amis, alors cette rentrée ? Ça se profile bien ? Voilà déjà presque 1 an que je suis partenaire d’ Incogni . Et je trouvais que ça valait la peine de faire un petit coup d’oeil dans le rétroviseur pour voir comment les choses ont avancé depuis mon test de l’époque.

La mission d’Incogni reste inchangée . Elle est toujours de vous permettre de reprendre la main sur les informations personnelles qui circulent à votre propos (et à votre insu) sur le web. Tout ce que vous avez offert aux différents services que vous utilisez (réseaux sociaux, boutiques en ligne, parfois sites officiels) a potentiellement fuité, été hacké et/ou a été récupéré dans des bases de données. Bases qui sont ensuite vendues à ce que l’on appelle des data brokers qui vont en croiser plusieurs pour obtenir un profil le plus précis possible de chaque internaute.

Déjà j’espère qu’à force vous avez compris ce que sont les data brokers et comment ils utilisent vos informations pour s’engraisser sur votre dos. J’en ai fait plusieurs articles, par exemple ici ou encore là .

Nous avons souvent l’impression de ne pas être concernés, mais combien de mails ou de SMS non voulus recevez-vous chaque jour ? De coup de fil ou SMS inopinés ? On ne s’en rend pas forcément compte parce que (et heureusement) les filtres antispam fonctionnent plutôt bien chez la plupart des fournisseurs, mais cela n’empêche pas que ces gens ont nos infos.

Adresse mail, numéro de téléphone, nom et prénom, voire parfois adresses physiques et/ou lieux ou vous aimez vous balader, choses que vous aimez faire, historique de navigation, etc. Vous voyez tout de suite pourquoi c’est problématique. Rien à cacher, mais pas forcément envie non plus que tout le monde soit au courant, surtout si derrière c’est juste pour nous faire bouffer des campagnes de spam marketing.

Bref Incogni n’a pas commencé à dévier de son objectif et nous proposer des tas d’options diverses un peu fourre-tout. Ils sont restés concentrés sur leur service de base et l’on amélioré au fil des mois et des retours d’expériences. Notamment concernant le nombre de data brokers qu’ils surveillent, 146 l’an dernier pour plus de 180 aujourd’hui. Ils ont aussi continué à prodiguer de nombreux bons conseils sur le respect de la vie privée, la sécurité en ligne … via leur blog (n’hésitez pas à le lire il y a de très bonnes choses).

Le service continue de rester simple et épuré, vous n’avez qu’une étape à gérer et ils s’occupent du reste ! Vous créez un compte, vous choisissez les informations que à faire disparaitre, vous leur déléguez le droit de prendre contact avec les brokers en votre nom … et c’est tout ! L’interface reste simple à prendre en main et vous pourrez y suivre l’avancée du process en 1 coup d’oeil.

Eux vont ensuite scanner les quasi 200 courtiers de leur stock et les contacter 1 à 1 si ces derniers ont des choses vous concernant. Incogni leur met un peu la pression en usant les lois et les peines applicables là où sont situés les brokers (RGPD en Europe, CCPA aux USA, etc.) dans le cas d’un refus de leur part. La plupart des vautours auront supprimé les éléments dans les 2 mois. Après, un suivit régulier est effectué par le service pour s’assurer que vos infos ne sont pas de nouveau ajoutées quelques semaine/mois plus tard. Et cela tant que vous continuerez à payer le service (6.5$/mois) forcément.

Il faut savoir que vous pouvez faire cela par vous-mêmes … pour autant que vous trouviez au moins le mail des courtiers à contacter (ce qui n’est pas toujours simple). Et même si c’est le cas, cela reste pas mal chronophage et vous avez sans doute mieux à faire dans la vie (comme regarder pour la 8e fois Stargate SG-1 de A à Z). Incogni annonce sauver plus de 300 heures de votre temps, je vous avoue que je n’ai pas testé donc je les prends au mot pour cette stat 😉

Et mon test justement, qu’est ce qu’il est devenu ?

L’outil avait trouvé 90 brokers qui détenaient mes infos et 18 m’avaient effacé au bout de seulement 4-5 jours. J’ai ensuite laissé les choses suivre leur cours sans trop y revenir et aujourd’hui 67 ont répondu positivement. Entre-temps Incogni a trouvé 3 brokers supplémentaires (donc 93 au total) et seulement 26 sont encore réfractaires. Environ 72% des courtiers ont donc fait ce qu’il fallait.

Et, rayon nouveauté, nous avons maintenant droit à une liste des suppressions « par défaut » (à droite sur l’image, suppression list entries ). Il s’agit du nombre de data brokers qui ne collecteront, n’échangeront ni ne stockeront plus d’informations vous concernant . Vous avez même un log avec le nom des organismes, la date de leur action, etc.

Franchement c’est bien foutu, on peut du coup suivre qui tente de vous rajouter au bout de quelques mois. Avec toujours la vue détaillée qui permet de situer chaque broker selon son niveau de risques, comment il utilise nos infos, le nombre de requêtes déjà envoyées, le temps de résolution, etc. La seule chose qui manque c’est p-e les informations que chaque broker détient sur nous (si c’est juste le mail ou d’autres choses).

Même si c’est forcément sur les premières semaines que vous verrez le plus d’activité, le rythme de croisière actuel semble être de 5 à 10 retraits par mois, ce n’est pas négligeable.

Depuis mon test la plupart des sites tech d’importance ont parlé du service de Surfshark. Cela va de Cybernews à PC Mag, Techradar ou plus proche de nous Next Inpact, Frandroid, Mac G & Co. Et les retours sont généralement plutôt bon. Que ce soit pour le service ou son prix (dans la moyenne basse du marché). Idem pour les particuliers qui lui donnent 4.2/5 sur Trustpilot.

Il ne vous reste plus qu’à découvrir Incogni !

Wholeaked est l’outil parfait pour tous ceux qui veulent partager des fichiers en gardant l’esprit en paix. Wholeaked, codé en Go, est un moyen ingénieux de détecter qui est responsable d’une fuite de données.

Imaginez un instant que vous ayez besoin d’envoyer un document important et confidentiel à quelqu’un. Comment être sûr que ce « quelqu’un » ne vous trahisse pas en diffusant ensuite ce document publiquement ?

C’est là que Wholeaked entre en jeu. Il prend le fichier que vous voulez partager et une liste de destinataires et ajoute une signature unique à chaque fichier secrètement (watermark). Ensuite, il peut envoyer automatiquement les fichiers aux destinataires correspondants en utilisant des intégrations Sendgrid, AWS SES ou SMTP. Au lieu de les envoyer par e-mail, vous pouvez également les partager manuellement. Wholeaked fonctionne avec tous les types de fichiers, mais il dispose de fonctionnalités supplémentaires pour les types de fichiers courants type PDF, DOCX, XLSX, PPTX, MOV, JPG, PNG, GIF, EPS, AI et PSD.

Dans un monde idéal, Wholeaked serait votre poucave préférée dans la lutte contre les fuites de données. Pour identifier qui est responsable d’une fuite, il suffit de fournir le fichier divulgué à Wholeaked, et il révèlera la personne responsable en comparant les signatures dans la base de données. C’est comme les empreintes digitales laissées sur une scène de crime, mais dans le monde numérique !

Wholeaked utilise 3 types de signatures : binaire, métadonnées et filigrane. La signature binaire est directement ajoutée au binaire, la signature de métadonnées est ajoutée à une section de métadonnées d’un fichier, et le filigrane invisible est insérée dans le texte.

Pour installer Wholeaked, vous pouvez télécharger les binaires à partir de la page des releases GitHub et les exécuter. Ou, si vous préférez, vous pouvez également installer Go sur votre système et exécuter la commande

go install github.com/utkusen/wholeaked@latest

N’oubliez pas non plus d’installer exiftool pour ajouter des signatures aux métadonnées des fichiers et également pdftotext pour vérifier les filigranes dans les fichiers PDF. Les instructions d’installation sont dispo pour Debian, macOS et Windows.

A vous de jouer maintenant pour protéger vos données et lutter contre les petites fuites.

À découvrir ici

L’autre jour, je naviguais sur les forums de XDA Developers et je suis tombé sur une application qui a vraiment retenu mon attention: NetGuard .

NetGuard est un pare-feu gratuit et open source pour Android qui ne nécessite pas d’être root. Cette appli m’a intrigué car elle promettait de réduire l’utilisation de données, d’économiser la batterie et d’améliorer la confidentialité sur mon smartphone Android. J’ai donc décidé de passer tout ça en revue.

Son interface est très simple à utiliser ça s’active ou se désactive en un clic. Ce que j’aime chez NetGuard, c’est également la possibilité de passer du mode liste noire ( autoriser tout dans les paramètres, mais bloquer les applications indésirables dans la liste ) au mode liste blanche ( bloquer tout dans les paramètres, mais autoriser les applications préférées dans la liste ). Cela permet de n’autoriser que les applis qui ont réellement besoin d’accéder à Internet.

Pour vous donner une meilleure idée de l’interface, sachez que les couleurs tirant vers le rouge / jaune indiquent que l’accès à Internet est refusé, tandis que celles tirant vers le bleu, violet et gris indiquent que l’accès est autorisé. Le code couleur universel de la vie privée ^^ !

L’une des fonctionnalités intéressantes de NetGuard est qu’il prend en charge IPv4/IPv6 TCP/UDP, le partage de connexion et permet de bloquer les applications système. De plus, NetGuard offre des fonctionnalités avancées comme l’enregistrement de l’utilisation du réseau par application et adresse, le blocage en cas de roaming, la possibilité de bloquer les publicités à l’aide d’un fichier hosts, et des thèmes personnalisables. Pour les utilisateurs PRO (payants), des fonctionnalités supplémentaires sont également disponibles, comme la journalisation de tout le trafic sortant, la notification de nouvelles applications et l’affichage d’un graphique de vitesse du réseau dans une notification de barre d’état.

Attention cependant, il a été signalé qu’une application malveillante portant le même nom de package que NetGuard se trouve dans le Samsung Galaxy app store et peut être installée sans confirmation. Assurez-vous donc de télécharger NetGuard à partir d’une source légitime comme GitHub ou ici sur le PlayStore de Google .

Je vous encourage à le télécharger et à l’essayer dès maintenant. La protection de votre vie privée et une meilleure gestion de la batterie de votre téléphone Android n’aura jamais été aussi facile. À découvrir ici

Le saviez-vous ? Le navigateur Microsoft Edge et une fonctionnalité pour le moins étonnante qui pourrait mettre en péril votre précieuse vie privée.

Héééé ouais 🙂

Pour ceux qui ne sont pas au courant, voici un résumé rapide des faits : il semblerait que lorsque nous naviguons avec Microsoft Edge, l’URL des sites qu’on visite soit envoyée vers l’API de Bing (qui appartient également à Microsoft).

Eh oui… Big Brother est toujours là pour veiller sur vos données !

Ce lièvre a été soulevé par des utilisateurs de Reddit – merci les gars – ainsi que Rafael Rivera, ingénieur logiciel et développeur chez EarTrumpet . Le souci proviendrait donc d’une fonction mal implémentée dans ce bon vieux Edge… MOUAIS, COMME DE PAR HASARD !

Alors concrètement, d’où vient ce problème ???
Et bien cela fait déjà quelques mois maintenant que Microsoft teste une nouvelle option permettant aux utilisateurs du navigateur Edge de pouvoir facilement suivre leurs créatrices ou créateurs préféré(e)s sur YouTube ou sur le Web en général.

Cette fonctionnalité, nommée de manière très originale ^^ : « Suivre les créateurs » a été déployée plus largement très récemment. Le problème est que même si vous ne l’utilisez pas, vos URL sont tout de même envoyées à Bing API. Paye ta vie privée.

Mais pour autant, pas de panique ! Je vais vous donner l’astuce ultime pour remédier au problème !

Il suffit de désactivez la fonction « Suivre les créateurs ». Ça sert à rien, ça pompe vos données, donc bye bye !!

Même si du côté de Microsoft on semble prendre ce souci très au sérieux – puisqu’ils enquêtent actuellement dessus… De vrais Colombo -, je préférais quand même vous avertir.

N’hésitez pas à partager cet article autour de vous afin d’informer tous vos proches qui utilisent également Microsoft Edge et protégez au mieux votre (et leur) vie privée !

Source

Allez, ce matin, on va se faire plaisir. Je vais vous parler de la faille sécurité CVE-2023-21036 connue également sous le nom aCropalypse. Cela touche principalement les gens qui ont des smartphones Google Pixel et qui s’amusent recadrer leurs photos.

Alors en quoi ça consiste ? Et bien cela permet de récupérer des données dans des fichiers PNG qui ont été tronqués. Ainsi, un attaquant pourrait, en exploitant cette faille, restaurer des informations personnelles qui auraient été retirées d’une image comme des adresses postales ou des données bancaires, le tout à partir d’images mises en ligne. Flippant (ou trop cool… lol) !!

https://twitter.com/ItsSimonTime/status/1636857478263750656

Pour mieux comprendre, imaginez que vous preniez une capture d’écran d’un mail contenant votre adresse personnelle, puis que vous la recadriez pour ne montrer que le produit que vous avez acheté et masquer vos données personnelles. Grâce à cette faille, il est tout à fait possible de récupérer la partie supprimée de l’image, y compris votre adresse.

Alors comment fonctionne cette vulnérabilité ?

Et bien cela repose sur la compression zlib utilisée dans les fichiers PNG. Normalement, il est très difficile de décompresser des données compressées sans connaître l’arbre de Huffman utilisé pour effectuer cette compression. Toutefois, dans le cas spécifique de cette exploitation de faille, en trouvant le début d’un bloc de codage Huffman, il devient possible de le décompresser à partir de celui-ci.

L’algorithme utilisé est assez simple : il parcoure chaque décalage binaire et, lorsqu’un décalage correspondant au début d’un bloc de Huffman est trouvé, il tente de décompresser les données en le prenant comme point de départ. Ainsi, si les données se décompressent, c’est OK. Sinon, il passe au décalage suivant.

for each bit-offset:
    if it doesn't look like the start of a dynamic huffman block:
        skip this offset

    try decompressing from that offset:
        if the decompressed data looks plausible:
            return decompressed data!
    catch decompression errors:
        continue

Et voilà comment on récupère des données effacées sur des PNG.

Cette vulnérabilité est due à un problème d’API chez Google , où c’est l’option « w » (écriture) qui a été utilisée à la place de « wt » (écriture avec troncage ). Par conséquent, l’image d’origine n’est pas tronquée lorsqu’elle est recadrée.

Et si vous voulez jouer avec, il y a un petit Proof of concept ici ou encore ce site qui permet de récupérer une image complète qui aurait été recadrée sur un Google Pixel. Ça promet :).

Bref, si la fonction « recadrage » que vous utilisez dans votre logiciel préféré passe par l’API de Google, soyez vigilant, le temps que ce problème soit corrigé.

Source