Les logiciels de sécurité informatique s’appuient de plus en plus sur l’apprentissage automatique pour améliorer la détection de logiciels malveillants. Le hic : avec du savoir-faire, les pirates pourraient berner systématiquement ces systèmes d’intelligence artificielle.
L’apprentissage automatique profond, ou « Deep Learning », bouleverse de nombreux secteurs économiques. Il n’est pas donc étonnant que cette technologie apparaisse également chez les éditeurs antivirus. La détection de malware est avant tout un problème de classification auquel le Deep Learning peut apporter de nouvelles réponses.
A l’occasion de la conférence CyberSec & AI, qui s’est déroulée à Prague au mois d'octobre dernier, l’éditeur Avast a détaillé quelques techniques d’ores et déjà en production. Ainsi, son module de protection Web Shield s’appuie sur des réseaux de neurones convolutifs pour trier les 70 000 URLs sur lesquels se rendent ses 400 millions de clients chaque seconde et, le cas échéant, détecter celles qui sont malveillantes.
Un premier réseau de neurones va essayer de détecter des anomalies dans l’adresse elle-même, tant au niveau de sa structure que de l’agencement des lettres. Un second réseau de neurones va ensuite prendre une copie d’écran du site et analyser certaines parties de l’image et la comparer à des sites légitimes existants. « Si la page ressemble à une page du site d’Apple, mais que l’adresse ne fait pas partie de son domaine, alors c’est une URL malveillante », explique Rajarshi Gupta, vice-président en charge de l’intelligence artificielle.
L’apprentissage automatique est également utilisé dans le module d’analyse comportementale (Behaviour Shield) pour mieux détecter les attaques réseaux chez les clients. Grâce à ses pots de miel (sorte de leurre), l’éditeur dispose d’une liste noire d’environ 2 millions d’adresses IP de serveurs de commande et contrôle. « Mais c’est difficile d’intégrer une telle liste noire en local chez nos clients. Un réseau neuronal nous permet de ne retenir que les serveurs C & C (botnets) les plus virulents. Au final, nous obtenons une liste de 200 000 adresses couvrant 95 % des attaques », poursuit Rajarshi Gupta. D’autres réseaux neuronaux ont été entraînés pour détecter des modes opératoires - tels que les attaques par force brute – ou des trafics suspects. Ce qui est utile si l’adresse IP utilisée par les pirates est totalement inconnue.
Mais le domaine de la sécurité informatique a aussi ses difficultés. Ainsi, les éditeurs antivirus ne peuvent que difficilement s’appuyer sur des données étiquetées, qui sont pourtant un ingrédient fondamental pour entraîner un algorithme et créer un modèle. « On ne peut pas faire comme dans la reconnaissance d’image et avoir des gens qui disent "ceci est un malware" ou "ceci n’est pas un malware". Il y a trop de données à analyser et trop peu de personnes qualifiées capables de le faire », explique Rajarshi Gupta. C’est pourquoi les éditeurs vont essayer de générer les étiquettes de manière indirecte, soit avec des méthodes statistiques, soit au travers d’autres procédés.
A découvrir aussi en vidéo
Ainsi, Avast stocke toutes les URL visitées par ses clients dans un gigantesque graphe. Quand des clients se retrouvent infectés, celui-ci lui permet de déterminer par recoupements l’URL qui est à l’origine de cette attaque, et donc de créer un label qui viendra alimenter le modèle de Web Shield.
L'IA, une technologie aux pieds d'argile
Malheureusement, les modèles de classification obtenu par apprentissage automatique ne sont pas à l’abri d’erreurs. Pire : les chercheurs en intelligence artificielle ont montré ces dernières années qu’il était possible d’identifier cette marge d’erreur et d’injecter des données dans un fichier pour systématiquement faire planter le classifieur. On appelle cela les « attaques contradictoires » (adversarial attacks). Par le passé, elles ont déjà permis d’induire en erreur les systèmes de reconnaissance d’image, y compris ceux de voitures autonomes comme les Tesla. Dans certains cas, il est même possible de créer une image qui fasse planter le système alors que le changement est imperceptible à l’œil nu.
Capture YouTube - Un changement imperceptible transforme un panda en singe
Mais peut-on également envisager ce genre d’attaques dans le domaine des logiciels malveillants ? La réponse est oui. D’ailleurs, les pirates le font déjà de manière empirique. Quand ils modifient légèrement les textes de leurs e-mails de phishing ou le code de leurs malwares, ils cherchent à passer entre les mailles du filet de l’IA.
Modifier un malware est évidemment plus difficile que changer quelques pixels dans une image, car le code risque de ne plus fonctionner. « Les techniques d’évasion généralement utilisées sont le rembourrage avec des données aléatoire, l’ajout de fichiers bénins, la compression, le chiffrement ou encore l’injection de fonctions malveillantes dans un fichier légitime », explique Sadia Afroz, chercheuse à l’université de Berkeley. En janvier dernier, un groupe de chercheurs italiens a montré que MalConv, un réseau neuronal spécialisé dans la détection de malware sur Windows, pouvait être trompé de manière systématique en ajoutant seulement quelques dizaines d’octets dans l’entête des fichiers.
Pour copier un modèle, il suffit de l'interroger
Autre bonne nouvelle pour les pirates : il n’est pas nécessaire de connaître par avance le fonctionnement d’une intelligence artificielle pour réussir à la duper. Il est possible, en effet, d’y arriver par une analyse de type boîte noire, en lui soumettant des données à classer. « En interrogeant le système d’IA, un attaquant peut identifier ses caractéristiques et recréer un modèle similaire à partir duquel il pourra générer les erreurs de classement », explique Nicolas Papernot, professeur à l’université de Toronto. Paradoxalement, l’effort nécessaire pour extraire un modèle est bien plus faible que celui requis pour sa création initiale. Dans les expériences réalisées par Nicolas Papernot sur les plates-formes d’intelligence artificielle d’Amazon, de Google et de MetaMind, quelques milliers de requêtes suffisaient alors que les modèles étaient entraînés sur plus de 60 000 images.
Capture YouTube -
Se protéger contre ces attaques n’est pas aisé. Les chercheurs se cassent actuellement la tête pour rendre les modèles d’apprentissage automatique plus robustes, sans les faire perdre en précision. Faut-il, dès lors, bientôt craindre une guerre de l’IA dans la sécurité informatique ? Pas dans l’immédiat, car les pirates n’ont pas encore les compétences suffisantes pour s’attaquer de manière systématique aux systèmes d’intelligence artificielle.
Mais les compétences en IA vont bien finir par se démocratiser et les pirates trouveront peut-être des cibles suffisamment rentables pour mettre des data scientists à leur solde. Ce n’est qu’une question de temps. « A mesure que les niveaux de protection augmenteront, les pirates vont se tourner vers ce genre de techniques pour arriver à leurs fins », estime Battista Biggio, professeur à l’université de Cagliari.
Quand ce jour arrivera, les éditeurs antivirus vont avoir de sérieux problèmes et ils le savent. C’est pourquoi ils cherchent à avoir constamment une longueur d’avance en attirant un maximum de chercheurs spécialisés. « La sécurité informatique est le seul domaine où les systèmes d’intelligence artificielle sont confrontés à de vrais adversaires. C’est le seul domaine où ils doivent classer des éléments qui ont été créés pour ne pas l’être », a lancé Rajarshi Gupta à la fin de la conférence. Son but était clair : susciter des vocations parmi les experts présents dans la salle... et peut-être leur proposer un job.
Le système de sécurité qui protège tous les routeurs WiFi a été cracké. À cause d’une faille du protocole de chiffrement WPA2, tous les routeurs et autres appareils connectés peuvent désormais être hackés. Une démonstration d’attaque nommée KRACK sera diffusée ce lundi 16 octobre 2017 à 16h pour souligner la gravité de la situation.
Le protocole de chiffrement WPA2 (Wi-Fi Protected Access II) est apparu il y a environ 13 ans, pour succéder au WEP. Aujourd’hui, il s’agit du système d’authentification sécurisé utilisé par quasiment tous les réseaux WiFi personnels et professionnels dans le monde entier. Aujourd’hui, la United States Computer Emergency Readiness Team (US-CERT) annonce qu’une faille de sécurité a été découverte dans ce protocole par des chercheurs de l’université belge KU Leuven.
À cause de cette faille, n’importe quel hacker suffisamment proche pour détecter votre réseau WiFi pourrait cracker votre mot de passe, surveiller votre activité sur internet et intercepter les flux de données non sécurisés ou non chiffrés. Par exemple, un mot de passe entré sur un site non-HTTPS ou les vidéos enregistrées par une caméra de sécurité connectée pourront être interceptés. En effet, ce danger ne concerne pas seulement les routeurs et autres box WiFi, mais également tous les objets connectés aux réseaux WiFi, y compris les smartphones. En effet, 41% de smartphones Android seraient menacés selon Matty Vanhoef.
WiFi : le protocole de chiffrement WPA2 a été cracké
Concrètement, suite à la découverte de cette faille, votre réseau WiFi est vulnérable jusqu’à ce que le constructeur de votre routeur déploie une mise à jour de sécurité. En attendant, assurez-vous de ne visiter que des sites HTTPS. Vous pouvez également utiliser un VPN pour masquer votre activité. Surveillez également les mises à jour de vos appareils connectés domotiques. Ces derniers peuvent également être hackés afin de dérober des données, et les hackers peuvent également en profiter pour changer les mots de passe de vos serrures ou systèmes d’alarme connectés.
L’attaque de démonstration KRACK (Key Reinstallation Attacks) sera présentée ce lundi 16 octobre à 16h00. Davantage d’informations seront communiquées sur le site krackattacks.com. Tous les détails sur cette faille seront également dévoilés dans le cadre d’une conférence dédiée, organisée le 1er novembre 2017 à la conférence ACM Conference on Computer and Communications Security de Dallas.
Biometric security systems that involve person's unique identification (ID), such as Retinal, IRIS, Fingerprint or DNA, are still evolving to change our lives for the better even though the biometric scanning technology still has many concerns such as information privacy, and physical privacy.
In past years, Fingerprint security system, which is widely used in different applications such as smartphones and judicial systems to record users' information and verify person's identity, were bypassed several times by various security researches, and now, IRIS scanner claimed to be defeated.
Don't worry! It's not like how they do it in movies, where an attacker needs to pull authorized person's eye out and hold it in front of the eye scanner. Instead, now hackers have finally found a simple way to bypass IRIS Biometric security systems using images of the victims.
The same security researcher Jan Krissler, nicknamed Starbug, from the famous Chaos Computer Club (CCC), who cloned fingerprint of a Germany's federal minister of defense using her pictures taken with a "standard photo camera" at a news conference, have claimed that the same technique is possible to fool IRIS biometric security systems.
Back in December, at 31st Annual Chaos Computer Conference in Hamburg Germany, Krissler explained how he used a close-up photo of Ms Ursula von der Leyen's thumb taken from different angles and created an accurate thumbprint using commercial fingerprint software from Verifinger.
Krissler then created an accurate clone of the minister’s thumb print, though he wasn't able to verify whether the clone matched with the copy of von der Leyen’s thumb, as he hadn't gotten her permission to carry out his further tests.
However, in an upcoming talk at the Vancouver-based security conference this month, Krissler will detail how the similar thing can be done with eyes simply by using pictures gathered from the Internet.
IRIS SECURITY SCANNER HACK DEPENDS UPON:
He told Forbes that the attack depends on a number of factors, such as-
Target’s eyes must had to be bright because of the way the infrared-based system his company bought for Krissler used light.
The image should be large and expanded.
Image of the iris with diameter of 75 pixels.
Print out should have a resolution of 1200 dpi
The major difference between the two technique is that unlike fingerprint biometric security systems bypass that requires to create a proper clone of the finger, IRIS recognition hacks only need is the print out, the researcher claims.
"We have managed to fool a commercial system with a print out down to an iris," Krisser told Forbes. "I did tests with different people and can say that an iris image with a diameter down to 75 pixel worked on our tests. The print out had to have a resolution of 1200 dpi too, though it’s easy to find printers able to hit that specification today, and ideally at least 75 per cent of the iris was visible."
So, an attacker willing to carry out this kind of attack just needs a high definition picture of the target person with a lovely bright eyes, and unsurprisingly, there are a vast number of high quality images of some of most powerful personality in the world are available on the Internet.
A simple search on Google Images can provide you with a number of attractive targets from the political world, including Russian president Vladmir Putin, US Secretary of State Hillary Clinton and UK prime minister David Cameron.
Krisser found an election poster of Angela Merkel with an Iris diameter of 175 pixels that was ideal.
Biometric Security Systems has been used in airports and other high-secure buildings for a long time to permit access to sensitive tools and information.
Though many of these biometric security products offer great promises, but hackers and criminals will not just give up their self-enriching efforts to defeats every new technology.
Nous savons tous qu’internet peut se révéler vulnérable. Les plus grands groupes du web ont des attaques régulières de hackers et de pilleurs de données. WordPress n'est pas à l’abri. En avril 2013, plus de 90000 sites WordPress ont été attaqués...
La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection.
Les hackers sont toujours à la recherche de nouvelles failles. De multiples solutions de sécurité s’offrent à vous des plus simples ou plus pointues.
11 Mesures de sécurité essentielles à WordPress
1- Le compte Admin : En premier lieu, quelque soit la méthode d'installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé.
Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.
2- Mot de passe : Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.
Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.
3- Pensez à restreindre le nombre d'essais d’identification : Plusieurs plugins permettent de vous protéger des attaques par "force brute", c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.
Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (Login Lock Down par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.
4- Pensez à masquer la version de votre WordPress, car elle donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :
remove_action("wp_head", "wp_generator");
Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)
5- Faites des sauvegardes : Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque. Il vaut mieux prévenir que guérir!
6- Soyez prudent lorsque vous téléchargez des templates (thèmes gratuits), ils peuvent révéler de nombreux virus.
Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.
7- Faites des mises à jour régulières du site car cela permet d’avoir les tous derniers correctifs des failles de sécurité.
Encore une fois avant toute mise à jour, pensez à sauvegarder votre WP.
8- Ajouter les clefs de sécurité secrètes, les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.
9- Protégez vos fichiers et bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.
Pour protéger le fichier wp-config via votre htaccess, ajoutez:
<Files wp-config.php> order allow,deny deny from all</Files>
Pour cacher les répertoires sensibles toujours via le htaccess:
Options All -Indexes
Enfin pour protéger le fichier htaccess lui-même:
<Files .htaccess> order allow,deny deny from all </Files>
10- Changez le préfixe "wp_" par défaut des tables de la base MYSQL. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.
Retrouvez un tuto complet pour le changement de ce préfixe chez Tweetpress.fr
11- Masquez les erreurs de connexion, WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:
Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.
Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.
En bonus, retrouvez ci après 3 solutions pour renforcer la sécurité de WordPress:
Vous pouvez rajouter une double sécurité à l’accès à votre back-office utilisateur en installant l'application Clef. C'est une application mobile qui remplace les noms d'utilisateur et mots de passe, vous aurez ainsi une double authentification pour vous connecter à WordPress.
Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse...
Enfin, l'antivirus que je préfère: WordFence. C'est un plugin freemium, c'est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.
En complément, voici d'autres astuces pour la sécurité WordPress:
Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.
La création d'un site WordPress demande du temps, il mérite d’être à l’abri !
EquiSure™ has been made to: • detect a fall and qualify the strength of the impact • detect the rider’s immobility • launch an alert in real time as soon as it detects a fall • locate the accident with or without GPS signal • verify the reality of the alert • track the horse and send its position regularly • reassures the relatives
Jacques Le Bris's insight:
Pourquoi se limiter aux cavaliers ?
VTT, Motocyclistes, Véliplanchistes, Surfeurs, etc.
La FDJ est associée à d'autres entreprises françaises pour optimiser au maximum la sécurisation de ses systèmes d'information.
Tout a commencé pour la Française des jeux avec l’ouverture des entreprises à Internet. Jusqu’à la fin des années 90, elle évoluait sur « des systèmes fermés », rapporte Stéphane Vaugelade, l’un des experts sécurité des systèmes d’information de la FDJ. Sans risque donc. Depuis que « n’importe quel ordinateur de la planète peut être connecté à un autre, en exploiter sa vulnérabilité et se rendre maître de son système », détaille-t-il, la FDJ a renforcé la sécurisation de son informatique. Pour cela, elle a décidé de s’allier à d’autres afin d’avoir la puissance nécessaire pour détecter toute vulnérabilité et y réagir. Le choix est fait de mutualiser ces efforts en adhérent aux services du Cert-IST (Computer Emergency Reponse Team – Industrie Services et Tertiaire).
Le Cert-IST regroupe aujourd’hui vingt-deux entreprises en France. A la FDJ depuis 2006, Stéphane Vaugelade loue la pertinence d’une telle décision car « l’effet de levier est impressionnant : une poignée d’experts parviennent à maîtriser la vulnérabilité de plus de 1 million de postes de travail ! » Le Cert-IST assure la veille sécurité et l’expertise sur incidents. Car quand bien même 40% des collaborateurs de la FDJ sont informaticiens, leur spécialisation ne leur permet pas de résoudre toutes les problématiques d’attaque. « Nous avons aussi besoin de l’appui d’experts aguerris qui font ça tous les jours », stipule Stéphane Vaugelade.
D’autant que les attaques progressent au gré de la montée en puissance d’Internet et de l’astuce des cybercriminels. Elles sont donc plus nombreuses, même si elles ne ciblent pas en particulier la loterie. La FDJ consacre « plusieurs dizaines de millions d’euros chaque année à son informatique ». En 2013, la Française des jeux avait réalisé 12,35 milliards d’euros de chiffre d’affaires, en progression constante avec une hausse de 245% depuis 1993.
Peu après 10 heures ce vendredi, l'action du groupe français perdait 4,93 euros à 69,04 euros, dans un marché en léger repli de 0,26 %.
Le titre de Gemalto a chuté à la Bourse de Paris, après des révélations sur un piratage massif orchestré par les renseignements américains et britanniques.
Mauvaise journée pour le groupe français Gemalto. Le titre du leader mondial de la sécurité numérique a décroché vendredi matin à la Bourse de Paris après la mise en cause de l'inviolabilité de ses cartes à puces. Peu après 10 heures, l'action perdait 4,93 euros à 69,04 euros, dans un marché en léger repli de 0,26 %. Le contrecoup des révélations d'un vaste piratage de clefs de cryptage de cartes Sim par la NSA (National Security Agency) et son homologue britannique, le GCHQ (Government Communications Headquarters).
Selon le site américain de journalisme d'investigation The Intercept, les deux officines de surveillance électronique sont parvenues à rentrer dans les réseaux informatiques de fabricants de cartes Sim pour dérober ces clefs, dont celui du géant mondial Gemalto. "Le GCHQ, avec le support de la NSA, a puisé dans les communications privées" d'ingénieurs et d'autres salariés du groupe "dans de multiples pays" pour parvenir à dérober ces clefs, écrit The Intercept (animé par Glenn Greenwald, qui avait publié les révélations d'Edward Snowden). D'autres fabricants de cartes Sim ont été visés, dans des intrusions visant à intercepter les clefs de cryptage de chaque puce au moment où l'industriel qui l'a fabriquée l'envoie à l'opérateur de télécommunications qui l'a achetée.
Une réputation ternie
"Il est impossible de savoir combien de clefs ont été volées par la NSA et le GCHQ, mais même en utilisant des hypothèses conservatrices, le nombre est sidérant", selon le site d'information. La NSA, par exemple, était déjà capable en 2009 de "traiter entre 12 et 22 millions de clefs par seconde", pour pouvoir les utiliser plus tard au besoin pour écouter des conversations ou intercepter des mails, selon The Intercept. Gemalto a indiqué qu'elle prenait "très au sérieux" les affirmations de The Intercept. "Nous allons consacrer toutes les ressources nécessaires (...) pour comprendre la portée de ces techniques sophistiquées utilisées pour intercepter les données sur les cartes Sim", a indiqué l'entreprise.
"Clairement, pour le leader mondial de la sécurité numérique, une telle infraction, si elle est avérée, ternirait au bas mot sa réputation", estiment dans une note les analystes de la banque Barclays, qui jugent "incertain" l'impact de ces informations. Chaque carte Sim est dotée de clefs de cryptage pour coder les communications avec l'opérateur de télécommunications. Détenir les clefs d'une carte permet de reconstituer toutes ces communications.
Le Monde.fr : - Le problème rencontré par le réseau social laissait fuiter des données confidentielles à des tiers.
Facebook a confirmé avoir corrigé une importante faille de sécurité, qui laissait fuiter des données confidentielles à des tiers. Découverte par l'entreprise de sécurité informatique Symantec, le problème touchait le fonctionnement des applications pour le réseau social, ces petits programmes de jeux ou de services qui s'intègrent aux pages Facebook et utilisent le système d'authentification du réseau. Lorsqu'un utilisateur se connecte à une application, il permet à ce programme de créer un "token", l'équivalent numérique d'une clef de rechange, qui évite à l'utilisateur de devoir s'authentifier en permanence.
Or, pour les applications qui n'utilisent pas les protocoles les plus récents et les plus sécurisés, cette clef de rechange peut être déchiffrée par un tiers. Environ 100 000 applications seraient concernées, selon les calculs de Symantec. "Une personne qui a accès à ces informations a potentiellement accès à l'ensemble du compte de l'utilisateur, détaille Laurent Heslault, responsable technologie Europe de l'éditeur d'antivirus. Ces informations ne sont cependant pas si simples à exploiter de manière automatique sur une grande échelle, et nous n'avons pour l'instant pas d'indication qu'elles aient pu être exploitées."
SÉRIE DE PROBLÈMES DE CONFIDENTIALITÉ
Le problème a été corrigé, et Facebook a inscrit dans sa feuille de route technique la suppression des anciennes méthodes d'authentification. Pour le premier réseau social au monde, il s'agit du dernier épisode d'une série de problèmes de confidentialité liés au passage au système OpenGraph. Cet écosystème de Facebook permet notamment de personnaliser la navigation sur les sites partenaires. Une précédente faille permettait d'espionner les informations transmises par Facebook à d'autres sites ; et l'an dernier, plusieurs applications qui enregistraient des informations personnelles à l'insu des utilisateurs n'ont été découvertes et bannies du réseau social qu'après une enquête du Wall Street Journal.
Si pour M. Heslault, le problème découvert par Symantec "est plus proche du bug que de l'agression caractérisée". L'intérêt des pirates et des escrocs pour les réseaux sociaux s'est accru ces dernières années, d'abord en raison de leur succès. "Le raisonnement est le même que pour le spam ou les virus : il vaut mieux viser les plus populaires. C'est vrai pour Windows comme pour Facebook. Par ailleurs, les réseaux sociaux sont une cible de choix en raison de la confiance que l'on portera plus facilement à ses 'amis' en ligne, ce qui rend l'utilisateur moins méfiant lorsqu'il clique sur un lien. Là aussi, il y a un travail de pédagogie à faire, notamment auprès des plus jeunes, grands utilisateurs de ces sites", estime M. Heslault.
To get content containing either thought or leadership enter:
To get content containing both thought and leadership enter:
To get content containing the expression thought leadership enter:
You can enter several keywords and you can refine them whenever you want. Our suggestion engine uses more signals but entering a few keywords here will rapidly give you great content to curate.
Your new post is loading...
