Surveillance numérique

[devadip]

Des milliers de sites Internet enregistrent les données des formulaires, avant même que le bouton « envoyer » ait été utilisé
Une nouvelle étude montre que, sur certains sites, s’abstenir de finaliser un formulaire ne garantit pas que vos données n’aient pas déjà été récupérées. Et ce, dans le but de proposer des publicités toujours plus personnalisées.

C’est l’une des plus anciennes craintes sur Internet, qui, au fil du temps, en était presque devenu un mythe : les sites Web espionneraient la moindre lettre tapée sur notre clavier. Dans une récente étude menée par des chercheurs de trois universités néerlandaise, suisse et belge, dont la version définitive sera présentée en août à la conférence Usenix Security, des chercheurs en cybersécurité montrent que le mythe est, en partie, fondé.

Pour cela, ils ont analysé plus de 2,8 millions de pages, provenant des cent mille sites les plus visités au monde. Leur constat est sans appel : lors d’une requête depuis l’Europe, 1 844 d’entre eux récupèrent l’adresse e-mail de l’utilisateur avant même qu’il n’ait cliqué sur le bouton « envoyer ». « S’il y a un bouton “envoyer” sur un formulaire, l’attente la plus logique est qu’il serve à quelque chose – et n’envoie vos données que lorsque vous cliquez dessus, réagit, auprès du magazine américain Wired, Güne Acar, chercheur en sécurité numérique à l’université de Radboud et membre de l’étude. Nous avons été très surpris par les résultats. On pensait qu’on allait peut-être trouver une petite centaine de sites où votre adresse e-mail est récupérée avant que vous ne l’envoyez, mais le résultat a largement dépassé nos attentes. »
Le nombre de sites recourant à cette pratique est encore plus élevé lorsque l’on se connecte depuis les Etats-Unis (2 950 cas). Une différence notable de 60 % par rapport à l’Europe, que les scientifiques attribuent en partie au Règlement général pour la protection des données personnelles (RGPD), qui oblige depuis 2018 un site Web à demander le consentement d’un utilisateur avant de collecter des informations à son sujet.

Un processus automatisé
Comment les sites procèdent-ils ? Concrètement, alors que vous n’avez pas encore cliqué sur le bouton « envoyer », votre adresse e-mail est transmise – de but en blanc ou hashée, c’est-à-dire cryptée – à des sites tiers, généralement des entreprises de publicité, qui récupèrent les données et peuvent ainsi créer des annonces personnalisées. En Europe, par exemple, selon les chercheurs, la majorité des adresses e-mails sont envoyées à Taboola, une entreprise publicitaire en ligne.

Dans certains cas, le procédé peut s’apparenter à un key logger (un enregistreur de touches). Les chercheurs ont pu prouver que, pour une partie des sites, les données étaient envoyées aux sites tiers « caractère par caractère, en même temps que l’utilisateur était en train de taper son adresse ». Un comportement qu’ils attribuent à « un programme de relecture » qui « collecte les interactions de l’utilisateur avec la page, incluant les touches tapées et les mouvements de souris ».

Mieux cibler le consommateur
Parmi les sites recourant le plus à ce type de pratiques, la catégorie mode-beauté est en tête des fautifs, à niveau égal avec le commerce en ligne. A l’opposé, les sites d’information publics, gouvernementaux et militaires représentent moins de 1 % des fuites constatées. Un classement qui fait sens au vu du but recherché : pousser l’internaute à acheter. Car c’est bien pour mieux séduire le consommateur que ce processus existe. Aujourd’hui, relève l’étude, les simples cookies (des petits fichiers stockés sur votre ordinateur ou votre téléphone par les sites que vous visitez) ne permettraient plus aux annonceurs de cerner précisément le profil du visiteur. « Avec l’étalement des utilisateurs sur différents supports connectés, les tracer seulement sur des sites Internet ne suffit pas », expliquent les auteurs. Or, ils avancent que « l’adresse e-mail est un identifiant idéal, car elle est unique, persistante et peut même être utilisée hors ligne ».

Ces envois illicites concernent également des réseaux sociaux. En effet, les chercheurs ont trouvé que Meta Pixel (propriété de Meta, anciennement Facebook) et TikTok Pixel – des programmes utilisés en temps normal pour suivre l’activité d’un visiteur sur un site, afin de lui proposer des contenus plus pertinents – récupéraient de manière automatique des adresses e-mails. Cette collecte s’effectue quel que soit le site visité, par exemple, d’information ou de livraison à domicile.

En Europe, cela concernerait plus de sept mille sites pour Meta, et presque cent cinquante pour TikTok. Sollicité par les chercheurs, le réseau social de Mark Zuckerberg a répondu, à la fin du mois de mars, avoir « transmis le problème à leur équipe d’ingénieurs ». Au moment de la publication de leur étude, TikTok n’avait pas donné de suite à leur sollicitation.

Source: https://www.lemonde.fr/pixels/article/2 ... 08996.html

[devadip]

Facebook est une application dangereuse pour la vie privée des utilisateurs, révèle une étude. En plus de collecter une montagne de données personnelles sur ses membres, le réseau social est l’une des cibles préférées des hackers.

Les experts en sécurité informatique de TechShielder viennent de publier une étude consacrée aux données collectées par les applications pour smartphone. Le rapport s’est concentré sur les dix applications « de communication, de réseaux sociaux et de divertissement » les plus populaires, que ce soit sur Android ou iOS, à savoir :

- Facebook
- Facebook Messenger
- Instagram
- WhatsApp
- Snapchat
- Twitter
- YouTube
- Netflix
- Twitch
- Telegram

On y découvre que les applications les plus téléchargées au monde collectent une quantité massive de données personnelles sur leurs utilisateurs. Pour dresser la liste des informations siphonnées, TechShielder a simplement consulté les politiques de confidentialité des applications. En effet, les apps ne se cachent pas de réunir des données sur leurs usagers.

Les données collectées par les applications sur votre smartphone
Selon les experts, toutes les applications étudiées collectent le numéro de téléphone et l’adresse mail des utilisateurs pour les partager avec des tiers, vraisemblablement des annonceurs publicitaires. De plus, 90 % des apps s’emparent du nom, de données concernant la carte de crédit et des cookies. Il s’agit de fichiers générés par le serveur du site web que vous visitez. Ces données servent à vous reconnaître en tant qu’internaute sur un site. Les cookies peuvent notamment servir aux agences publicitaires. Malheureusement, les criminels exploitent très souvent les cookies pour contourner les mécanismes de protection mis en place par les plates-formes.

D’après l’enquête de TechShield, 80 % des applications Android et iOS s’emparent également de la liste de contacts de l’utilisateur. Elles récupèrent par ailleurs des informations concernant l’utilisation de l’application. Des données, comme la durée et la fréquence d’utilisation, les interactions avec une page et les achats effectués en ligne, sont collectés par 70 % des apps. Plus globalement, la moitié des applications analysent et surveillent tout ce que vous faites en ligne.

Enfin, les applications n’hésitent pas à amasser des informations sur les contenus que vous créez à l’aide de votre téléphone. Par exemple, 80 % des apps de la liste amassent des données liées aux messages que vous envoyez à vos proches. Pour 60 % des apps, ce sont les données concernant les services de messagerie instantanée, comme WhatsApp, Messenger, Telegram ou Signal, qui sont récupérées.

Notez aussi que la moitié des applications canalisent des données au sujet des photos et des vidéos que vous stockez dans la mémoire de votre mobile. Cette pratique représente un danger non négligeable pour la vie privée des internautes.

« Si des images et des vidéos sensibles sont obtenues par des parties indésirables, vous pourriez être victime de chantage ou subir des conséquences juridiques en fonction du contenu. Par exemple, si un pirate récupère des photos indécentes de quelqu’un, il aurait l’effet de levier pour vous soudoyer », explique TechShielder.

Facebook, un danger pour les utilisateurs de smartphone
Sans surprise, Facebook est l’application qui collecte le plus de données personnelles sur ses utilisateurs. Le réseau social, dont le business model est basé sur l’exploitation de données à des fins publicitaires, « collecte plus de données que toute autre application », note TechShielder. C’est également le cas de Messenger, la messagerie instantanée intégrée à la plate-forme de Meta.

Les apps de Meta amassent des informations comme la localisation, les habitudes en matière de shopping en ligne, le numéro de téléphone, l’adresse, l’adresse de courriel électronique, voire des informations liées à la santé. En miroir de Google ou TikTok, Meta surveille ce que les internautes consultent sur Internet, en dehors ses apps, par le biais de traqueurs publicitaires.

De plus, Facebook s’impose par ailleurs comme l’application la plus visée par les pirates. Comme le montrent les recherches réalisées sur le moteur Google, les mots clés « Facebook piraté » sont régulièrement tapés par les internautes.

« Les trois applications les plus piratées sont les plates-formes appartenant à Meta ; Facebook, Instagram et WhatsApp », résume la société britannique dans son rapport.

Les cybercriminels savent que pirater un compte Facebook permet d’obtenir une vaste quantité de données sur les internautes. De plus, Facebook reste le réseau social le plus utilisé au monde, avec plus de 2,93 milliards d’utilisateurs actifs par mois. C’est pourquoi il suscite l’intérêt des hackers.

« L’immense popularité de Facebook, ainsi que le fait qu’il collecte plus de données que toute autre application (70 % de tous les points de données possibles), signifie que l’utilisation de la plate-forme comporte un risque massif d’être ciblée par des cybercriminels et des pirates informatiques », avance la firme londonienne.

Enfin, les pirates sont conscients que la sécurité informatique de la plate-forme californienne laisse parfois à désirer. En effet, il n’est pas rare que les données personnelles d’utilisateurs Facebook se retrouvent à la merci de n’importe quelle entité. L’an dernier, une fuite a d’ailleurs exposé les informations privées de plus d’un demi-milliard d’utilisateurs Facebook sur la toile. Ces données en fuite sont un excellent point de départ pour opérer une attaque. La gestion des données personnelles chez Meta serait par ailleurs chaotique. D’après la transcription de l’audition d’un ingénieur Facebook, les cadres du réseau social sont incapables de déterminer quelles données personnelles sont traitées par quels systèmes à quel moment.

Si votre compte Facebook est piraté, l’attaquant obtiendra des informations clés permettant d’usurper votre identité, de commettre une fraude ou d’exiger une rançon. Le hack de votre compte est par ailleurs susceptible de mettre vos proches en danger. D’après les experts de TechShielder, les informations collectées peuvent aider un criminel à se faire passer pour vous. Ils peuvent alors escroquer votre famille ou vos amis, par exemple en déployant une attaque phishing.

Dans ces conditions, on ne s’étonnera pas que de nombreux experts en cybersécurité recommandent purement et simplement de désinstaller Facebook et Facebook Messenger.

https://www.01net.com/actualites/pourqu ... 39qcx-q8y4
https://techshielder.com/hacker-hotspot ... rable-apps

[devadip]

Comment TikTok vous suit sur le Web, même si vous vous n'utilisez pas l'application

https://www.consumerreports.org/electro ... 383537813/

https://www.lemonde.fr/pixels/article/2 ... 08996.html

[devadip]

TikTok reconnaît que les données de ses utilisateurs européens sont accessibles de Chine
C’est la première fois que la plate-forme le déclare publiquement. Les données sont chiffrées et ne sont accessibles qu’à un faible nombre d’employés, selon le réseau social.


Dans un post de blog publié mercredi 2 novembre, TikTok a publiquement reconnu pour la première fois que des données de ses utilisateurs européens peuvent être consultées, « selon les besoins du service », par des employés dans plusieurs pays, dont la Chine.

Les données des personnes en Europe utilisant l’application, très populaire auprès des adolescents dans le monde entier, peuvent être consultées par « certains employés de notre groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux Etats-Unis », détaille Elaine Fox, responsable de la protection de la vie privée pour TikTok en Europe.

Certains de ces pays, dont les Philippines, correspondent à des endroits où TikTok, comme d’autres réseaux sociaux, disposent de centres de modération des contenus.

Obligations légales
« Nos efforts se concentrent sur la limitation du nombre d’employés ayant accès aux données de nos utilisateurs européens, et sur la limitation des flots de données en dehors de l’Europe ainsi que sur le stockage en Europe des données de ces utilisateurs », écrit Mme Fox.

Le degré d’accès que ByteDance, la maison mère de TikTok, fournit aux autorités chinoises, fait l’objet d’intenses discussions et spéculations, notamment aux Etats-Unis. En juin, des échanges internes à l’entreprise, révélés par le site américain Buzzfeed, laissaient ainsi entendre que des ingénieurs de l’application avaient eu accès depuis la Chine aux informations des usagers américains, au moins entre septembre 2021 et janvier 2022.

Comme tout réseau social, ByteDance est soumise aux contraintes légales du pays où est situé son siège, laissant craindre que les services de sécurité et de renseignement chinois peuvent accéder à de vastes quantités d’informations sur les utilisateurs européens ou américains de l’application.
Le Monde

Source: https://www.lemonde.fr/pixels/article/2 ... 08996.html