Un conflit entre Apple et le Royaume-Uni s’amorce. Apple, le géant de la technologie basé à Cupertino, est en désaccord avec une proposition législative récente du Royaume-Uni. Cette proposition pourrait affaiblir le chiffrement de bout en bout, une technologie essentielle pour la sécurité des communications numériques. Si ces propositions sont adoptées, Apple envisage de bloquer l’accès à ses services de messagerie, iMessage et FaceTime, pour les utilisateurs britanniques.

Les implications de l’Investigatory Powers Act

La loi en question est l’Investigatory Powers Act (IPA) de 2016. La mise à jour proposée donnerait au ministère de l’Intérieur britannique de nouvelles prérogatives en matière de sécurité numérique. Actuellement, l’IPA permet au gouvernement britannique de demander aux services de messagerie de désactiver certaines fonctionnalités de sécurité, sans en informer le public. De plus, il n’y aurait plus de délai entre la demande et la désactivation effective de la fonctionnalité concernée.
Une des modifications proposées inclut la possibilité d’imposer une porte dérobée au niveau du chiffrement de bout en bout. Cette proposition est particulièrement controversée car une porte dérobée, bien qu’elle puisse être utilisée par les forces de l’ordre pour des enquêtes légitimes, constitue une faiblesse logicielle qui pourrait être exploitée par des pirates informatiques ou des puissances étrangères.

Quel avenir pour les applications de messagerie sécurisée chiffrée ?

Face à ces préoccupations, les utilisateurs peuvent se tourner vers des alternatives de messagerie sécurisée chiffrée. Signal et Telegram sont les deux options les plus populaires actuellement.

Signal : Cette application de messagerie open source est largement reconnue pour sa forte sécurité et son engagement en faveur de la confidentialité. Signal menace de quitter le Royaume Uni depuis plusieurs mois déjà.

Telegram : Bien que son chiffrement de bout en bout ne soit pas activé par défaut, Telegram offre cette option dans ses chats secrets.

Ces alternatives sont également menacées par des propositions législatives similaires car elles reposent sur le même principe de chiffrement de bout en bout qu’Apple utilise pour iMessage et FaceTime.

Ce type de chiffrement garantit que seules les personnes participant à une conversation peuvent lire les messages échangés, rendant toute interception par des tiers, y compris les gouvernements, inutile.

Par conséquent, toute loi qui affaiblit le chiffrement de bout en bout menace la sécurité et la confidentialité des utilisateurs de ces applications de messagerie sécurisée.

Un VPN gratuits pour iPhone/iPad peut-il contourner le problème ?

Non.

Si Apple décide de bloquer l’accès à iMessage et FaceTime au niveau de l’App Store pour les utilisateurs au Royaume-Uni, un VPN gratuit pour iPhone ne serait pas en mesure de contourner cette restriction. Un VPN permet masquer l’emplacement d’un utilisateur et contourner les restrictions géographiques sur Internet, mais il ne peut pas débloquer une application qui a été retirée de l’App Store.

Noter que même si iMessage et FaceTime venaient à être bloqués, un VPN reste un outil précieux pour la confidentialité et la sécurité en ligne. Il peut aider à protéger contre la surveillance de réseau, à sécuriser les données lors de l’utilisation de réseaux Wi-Fi publics non sécurisés, et à préserver l’anonymat en ligne. De plus, il peut toujours être utile pour accéder à d’autres applications ou services qui pourraient être bloqués ou limités dans certains pays comme par exemple, certains réseaux sociaux.

Pour conclure

La position d’Apple, ainsi que celle d’autres entreprises technologiques comme Signal ou encore Threema qui a déclaré qu’il ne baisserait pas son niveau de chiffrement, souligne l’importance de la confidentialité des données et de la cybersécurité dans le monde numérique d’aujourd’hui.

Alors que les gouvernements cherchent à accroître leurs capacités de surveillance pour lutter contre le crime, il est essentiel de trouver un équilibre qui respecte également le droit des individus à la confidentialité et à la sécurité de leurs communications.

Réputé pour sa vigilance en matière de sécurité, Apple a toujours été considéré comme très regardant en ce qui concerne les applications disponibles sur l’App Store qu’elles soient payantes ou non. Selon un article récemment publié sur le site d’Apple, l’App Store a bloqué plus de 2 milliards de dollars de transactions frauduleuses en 2022 et rejeté plus de 900 000 applications en raison de violations de la vie privée entre 2020 et 2022.

Les efforts d’Apple pour protéger la vie privée de ses utilisateurs

Les chiffres montrent que le nombre d’applications rejetées pour des problèmes de vie privée a presque doublé, passant de 215 000 rejets en 2020 à 400 000 en 2022. Nous n’avons pas de chiffre concernant les VPN gratuits qui ont été supprimés. Apple a mis en place diverses mesures pour protéger la vie privée des utilisateurs, notamment des directives d’examen des applications, des étiquettes de confidentialité et des fonctionnalités de suivi des applications.

La fonction de transparence du suivi des applications, ajoutée à l’infrastructure de l’App Store en 2021, oblige les applications à demander la permission des utilisateurs pour les suivre. C’est un pas important vers une plus grande transparence et un meilleur contrôle pour les utilisateurs. Cela explique également, qu’il y a beaucoup plus d’applications payantes sur l’App Store que sur le Google Play Store. En effet, les applications dont le modèle économique repose exclusivement sur le siphonnage abusif de données ne peuvent pas se permettre une gratuité totale.

En dépit des efforts de la marque à la pomme, le processus d’examen des applications est loin d’être idéal, réactif et fiable à 100%.
A titre d’exemple, au moment où je rédige cet article, je constate pourtant que SuperVPN, qui a été victime d’une fuite de données massives, est toujours disponible.

SuperVPN est toujours disponible au téléchargement sur l’App Store

Une stratégie contestée : le monopole d’Apple remis en question

L’un des principaux points de la stratégie de prévention de la fraude d’Apple est la prévention des transactions frauduleuses. Depuis 2020, Apple a empêché plus de 5,09 milliards de dollars en paiements potentiellement frauduleux. C’est énorme si l’on considère que l’achat d’une application s’apparente dans la majorité des cas à ce que l’on nomme des micropaiements.

Apple a commencé à publier ses rapports de prévention de la fraude pour contrer la pression constante visant à ouvrir les iPhones et iPads à d’autres magasins applications tiers. En soulignant le nombre d’applications rejetées pour des problèmes de confidentialité ou de sécurité, Apple justifie indirectement son monopole sur la distribution des applications.

Bien que l’argument sécuritaire soit parfaitement compris, cette stratégie rencontre un écho négatif chez les développeurs. Ils estiment que la firme californienne limite la concurrence et l’innovation. En maintenant un contrôle strict sur la distribution d’applications et en interdisant la présence de magasins d’applications tiers, Apple garde la mainmise sur un marché estimé à plusieurs milliards de dollars.

L’App Store est une importante source de revenus pour Apple, qui prélève une commission de 30 % sur la plupart des achats d’applications et transactions effectuées au sein des applications. L’ouverture à des magasins d’applications tiers pourrait perturber ce modèle financier, ce qui est contraire aux intérêts économiques d’Apple.

Apple se trouve donc face à un dilemme : protéger les utilisateurs et leur vie privée tout en répondant aux demandes toujours plus pressantes d’une concurrence équitable et d’une innovation ouverte.

Pour conclure

Apple, en brandissant le drapeau de la sécurité des utilisateurs, maintient un contrôle ferme sur son App Store, comme le démontrent clairement les données de son rapport annuel. Pourtant, en dépit de cette stratégie de vigilance, les défis en matière de fraude et de protection de la vie privée restent prégnants dans l’écosystème de l’App Store.

La question clé demeure : comment Apple, tout en sauvegardant les intérêts économiques et la confiance des utilisateurs, pourra-t-elle accueillir une plus grande ouverture et innovation ? Les prochaines années seront cruciales pour observer comment Apple et d’autres géants technologiques évolueront pour répondre à cette demande.

Dans un contexte de préoccupations croissantes concernant la confidentialité et l’utilisation des données par l’intelligence artificielle (IA), la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé une amende de 5,2 millions d’euros à CLEARVIEW AI pour non-conformité avec une injonction précédente.

Clearview AI, une entreprise spécialisée dans la technologie de reconnaissance faciale, a été reconnue coupable d’exploitation illégale de données personnelles sur le territoire français. En exploitant des photos aspirées de nombreux sites web, dont des réseaux sociaux, l’entreprise a créé une base de données d’images qu’elle a ensuite vendue sous forme de moteur de recherche. Cette technologie a été proposée, entre autres, aux forces de l’ordre pour permettre l’identification d’individus à partir de leurs photographies.

La CNIL avait déjà sanctionné CLEARVIEW AI en octobre 2022, lui infligeant une amende de 20 millions d’euros. Elle avait également ordonné à la société de cesser la collecte et le traitement illégaux de données en France et de supprimer toutes les données de citoyens français de ses serveurs. L’injonction comprenait une astreinte de 100 000 euros par jour si la société ne se conformait pas à la décision dans un délai de deux mois.

CLEARVIEW AI n’a présenté aucune preuve de mise en conformité avec cette injonction à l’expiration du délai, poussant ainsi la CNIL à liquider l’astreinte pour un montant total de 5,2 millions d’euros le 13 avril 2023.

En plus de la récente condamnation par la CNIL, Clearview AI fait face à une autre décision défavorable, cette fois en Autriche. L’autorité autrichienne de protection des données a jugé illégal le traitement par Clearview des données biométriques, exigeant la suppression des données existantes. L’entreprise doit désormais se conformer au GDPR, soulignant l’illégalité de la collecte d’images pour un moteur de recherche biométrique. Contrairement à d’autres autorités, la DPA autrichienne n’a pas infligé d’amende.

Cette affaire souligne les défis croissants liés à la confidentialité des données à l’ère de l’IA. Avec l’augmentation de l’utilisation de technologies telles que les chatbots et la reconnaissance faciale, la collecte de données devient presque inévitable. En conséquence, la protection de la vie privée et la régulation de l’utilisation des données deviennent d’autant plus essentielles.

Cette décision intervient dans un climat d’incertitude croissant sur la scène de l’IA en Europe. Le 31 mars 2023, l’Italie a provoqué un choc dans le paysage numérique du pays en ordonnant la fermeture immédiate de ChatGPT, l’assistant conversationnel d’OpenAI. Cette décision, motivée par des inquiétudes relatives à la confidentialité des données et à l’absence de contrôle de l’âge des utilisateurs, a entraîné une augmentation significative des ventes de VPN dans le pays pour contourner l’interdiction.

La CNIL a entamé des discussions avec son homologue italienne pour échanger sur les observations faites et clarifier le cadre juridique à l’avenir.

Alors que l’IA offre de nombreuses opportunités d’innovation et d’amélioration de nos vies quotidiennes, beaucoup s’interrogent sur une utilisation responsable de ces informations. Des entreprises comme Clearview AI, qui exploitent illégalement des données personnelles sont dans le collimateur de beaucoup d’organismes de défense de la vie privée comme la CNIL en France.

Cette affaire sert également de rappel à toutes les entreprises travaillant avec l’IA : la collecte de données doit toujours être effectuée dans le respect des lois et des droits des individus. En fin de compte, l’avenir de la vie privée à l’ère de l’IA dépendra de la manière dont nous régulons et contrôlons l’utilisation de ces technologies.

La route est longue, surtout que ces entreprises ne se conforment pas aux injonctions.

Les pirates informatiques réclament une rançon d’un montant minimum à huit chiffres en échange de la non-publication des données volées suite à l’attaque qui a eu lieu en mars 2023.

Le géant de l’industrie du stockage de données, Western Digital, a été victime d’une cyberattaque en mars dernier, lors de laquelle des pirates informatiques ont dérobé des données sensibles appartenant à ses clients. L’entreprise a temporairement fermé sa boutique en ligne et envoyé des notifications de violation de données aux clients concernés.

Western Digital a simplement déclaré avoir découvert qu’une partie non-autorisée avait obtenu une copie de l’une de ses bases de données contenant des informations personnelles limitées de ses clients en ligne. Parmi ces informations figurent les noms des clients, leurs adresses de facturation et de livraison, leurs adresses e-mail et leurs numéros de téléphone. Les mots de passe et les numéros de carte de crédit partiels étaient également stockés, mais chiffrés.

Selon un article de TechCrunch*, un groupe de pirates informatiques non identifié a revendiqué la responsabilité de l’attaque, affirmant avoir volé 10 téraoctets de données. Ils exercent une pression sur l’entreprise pour négocier une rançon d’un montant minimum à huit chiffres en échange de la non-publication des données volées.

Le 3 avril 2023, Western Digital a indiqué un « incident de sécurité réseau » sans donner de détails sur la nature des données volées. Un pirate aurait (c’est du conditionnel) fourni à TechCrunch des preuves supplémentaires pour vérifier leurs affirmations, notamment un fichier signé numériquement avec le certificat de signature de code de Western Digital et des captures d’écran montrant divers documents internes et appels de groupe.

Les pirates affirment que leur objectif initial en attaquant Western Digital était de gagner de l’argent. Pour autant, ils déclarent ne pas avoir eu recours à un ransomware pour chiffrer les fichiers de l’entreprise. Ils ont tenté de contacter plusieurs dirigeants de WD en utilisant leurs adresses e-mail personnelles, car le système de messagerie d’entreprise était hors service, pour exiger un « paiement unique ».

La boutique en ligne de Western Digital est actuellement hors ligne, affichant un message indiquant qu’elle reviendra bientôt et qu’il est impossible de passer des commandes pour le moment. L’entreprise prévoit de rétablir l’accès à ses services en ligne le 15 mai 2023.

Suite à cette cyberattaque, Western Digital a également averti les clients touchés de rester vigilants face aux tentatives de hameçonnage ciblé, où les pirates informatiques pourraient se faire passer pour l’entreprise et utiliser les données volées pour recueillir davantage d’informations personnelles.

Un porte-parole de Western Digital, Charlie Smalling, a déclaré que l’entreprise refusait de commenter ou de répondre aux questions sur les affirmations des pirates. Effectivement, en dehors de quelques Tweets sur l’état actuel du service, je n’ai rien trouvé.

Les pirates ont déclarés avoir exploité des vulnérabilités au sein de l’infrastructure de l’entreprise et avoir réussi à obtenir un accès d’administrateur global à leur environnement Microsoft Azure. Ils indiquent être prêts à commencer à publier les données volées sur le site Web du groupe de ransomware Alphv.

La cyberattaque contre Western Digital soulève de sérieuses préoccupations concernant la sécurité des données des clients et la capacité des entreprises à protéger leurs systèmes contre de telles menaces. Les clients touchés doivent être vigilants face aux tentatives de hameçonnage ciblé et surveiller étroitement leurs informations personnelles.

Alors que l’entreprise travaille à la réouverture de sa boutique en ligne et à la restauration de la confiance de ses clients, il est essentiel que des mesures de sécurité renforcées soient mises en place pour éviter de futures violations de données. Western Digital doit également collaborer avec les autorités compétentes pour enquêter sur cette attaque et prendre les mesures appropriées contre les pirates informatiques responsables.

Hier, c’était la journée mondiale du mot de passe. C’est Intel Security en 2013 qui est à l’origine de cette initiative. La journée mondiale du mot de passe a lieu depuis sa création, le premier jeudi du mois de mai.
Le but de cette initiative est de sensibiliser le public à l’importance des mots de passe dans la sécurisation de nos vies numériques. Elle vise également à promouvoir les meilleures pratiques en matière de création et de gestion des mots de passe. Cependant, face à l’évolution rapide des technologies et des menaces en ligne, des solutions alternatives, telles que les clés de passe, sont en cours d’étude pour offrir une sécurité renforcée. Je fais le point sur les sujets qui ont été évoqués pendant cette journée.

Sensibiliser le public quant à l’importance des mots de passe forts.

L’importance des mots de passe forts ne saurait être sous-estimée pour assurer la sécurité de nos informations en ligne. Un mot de passe fort est généralement long, aléatoire et comprend plusieurs types de caractères, tels que des lettres majuscules et minuscules, des chiffres et des symboles.

Je ne le dirais jamais assez, mais il est essentiel d’utiliser un mot de passe unique pour chaque compte, car cela réduit les risques associés à l’utilisation du même mot de passe pour plusieurs comptes.

Les recherches montrent que les mots de passe faibles, tels que ‘password’ ou ceux contenant seulement six caractères, peuvent être facilement craqués par des attaques informatiques.

Un mot de passe plus long et complexe peut prendre des millions d’années à être déchiffré s’il est bien conçu. Il offre ainsi une bien meilleure protection contre les tiers malveillants.

Alors que certains s’en remettent exclusivement à leur navigateur, d’autres ont choisi d’utiliser un gestionnaire de mots de passe.

Les gestionnaires de mots de passe sont des outils conçus pour stocker et gérer nos identifiants de manière sécurisée. Ils peuvent non seulement générer des mots de passe forts et uniques pour chaque compte, mais aussi les enregistrer pour nous, de sorte que nous n’ayons pas à nous souvenir de chaque mot de passe individuel.

En utilisant un gestionnaire de mots de passe, nous réduisons notre dépendance à l’égard de notre mémoire et évitons surtout les mauvaises habitudes telles que la réutilisation des mots de passe ou la création de mots de passe trop simples. Bien que certains gestionnaires de mots de passe aient été victimes de piratage, leur utilisation reste globalement assez sûre et permet de minimiser les risques d’attaques.

Parmi les gestionnaire de mot de passe gratuits les plus connus, on peut citer NordPass ou Bitwarden (Open Source).

Interface de NordPass

Des nouvelles solutions ont été évoquées lors de la journée mondiale du mot de passe 2023.

Certaines nouvelles technologies émergentes visent à remplacer ou à compléter les mots de passe pour renforcer la sécurité. Les clés de passe, par exemple, utilisent des clés cryptographiques stockées sur nos appareils au lieu de mots de passe.

Ces clés sont inconnues de tous, y compris de l’utilisateur, et fonctionnent en combinaison avec une clé publique stockée dans le service en ligne avec lequel nous avons un compte.

Pour accéder au compte, il suffit de fournir des données biométriques, telles qu’une empreinte digitale ou un scan du visage.

Des grandes entreprises telles qu’Amazon, Google, Microsoft et Apple soutiennent l’utilisation des clés de passe et travaillent ensemble au sein de l’alliance FIDO pour établir les normes de cette technologie. À titre personnel, ça ne me rassure pas.

Bien que cette technologie en soit encore à ses débuts, elle présente un potentiel considérable pour améliorer la sécurité en ligne en éliminant les risques associés aux mots de passe faibles ou compromis.

Avantages :

• Résistance au phishing : Les clés de passe et les solutions biométriques sont moins susceptibles de tomber dans le piège des attaques de phishing, car elles ne reposent pas sur des mots de passe que les utilisateurs pourraient divulguer involontairement.
• Sécurité renforcée : Les clés cryptographiques sont plus difficiles à compromettre que les mots de passe traditionnels, ce qui réduit les risques de vol d’identité ou d’accès non autorisé.
• Facilité d’utilisation : Les systèmes biométriques, tels que les scans d’empreintes digitales ou faciaux, offrent une méthode d’authentification rapide et pratique sans avoir à mémoriser des mots de passe complexes.
• Adoption par les grandes entreprises : De nombreuses entreprises technologiques majeures soutiennent et développent ces technologies, ce qui pourrait conduire à une adoption plus large et à des normes de sécurité plus élevées.

Inconvénients (dangers potentiels) :

• Confidentialité des données biométriques : L’utilisation de données biométriques soulève des préoccupations en matière de confidentialité et de protection des données, car ces informations sont uniques et liées à l’identité de l’individu. Si ces données sont compromises, elles pourraient être utilisées à des fins malveillantes et avoir de très lourdes conséquences.
• Dépendance aux dispositifs : Les clés de passe et les authentifications biométriques reposent sur des dispositifs spécifiques. En cas de perte, de vol ou de dysfonctionnement de ces dispositifs, l’accès aux comptes et aux services peut être compromis.
• Sécurité des fournisseurs : Les solutions biométriques et les clés de passe sont dépendantes des fournisseurs et de leurs pratiques de sécurité. Si un fournisseur est compromis, les informations des utilisateurs peuvent également être exposées.

Certains utilisateurs, dont je fais partie, expriment déjà des inquiétudes quant à la sécurité de leurs données biométriques et à la manière dont elles pourraient être utilisées à des fins malveillantes ou commerciales. En fin de compte, le succès de ces technologies alternatives dépendra de la manière dont elles sont mises en œuvre et de leur capacité à offrir un équilibre entre sécurité et facilité d’utilisation.

Pour conclure

Les mots de passe forts et les gestionnaires de mots de passe jouent un rôle important dans la protection de nos informations personnelles et sensibles. Pourtant, en 2022, le mot de passe le plus utilisé en France était « doudou ». Partant de ce constat, la journée mondiale du mot de passe a encore de beaux jours devant elle…

La responsabilité de la sécurité en ligne incombe à chacun d’entre nous. En nous informant et en adoptant des pratiques de sécurité robustes, nous pouvons contribuer à créer un environnement numérique plus sûr.

Hier le 3 mai 2023, se déroulait la journée mondiale de la liberté de la presse. Cette année marque un tournant important, car plus de 40 organisations dont Tor, Tutanota, Fight for the Future, Mullvad, Proton ou encore Mozilla et Nextcloud exhortent les dirigeants mondiaux à respecter le chiffrement et le droit à la vie privée en ligne.

Cette initiative est née en réaction à des projets de loi et des régulations dans des pays comme le Royaume-Uni, les États-Unis et l’Union européenne. Ces projets gouvernementaux cherchent à diminuer le niveau de chiffrement des communications, ce qui compromettrait la vie privée, la liberté d’expression, la liberté de la presse et d’autres droits de l’homme.

Matthias Pfau, cofondateur de Tutanota, a déclaré : « De nombreux décideurs politiques pensent qu’ils peuvent disposer d’une ‘clé magique’ pour accéder aux communications cryptées, en ignorant complètement les faits techniques : Soit le chiffrement sécurise tout le monde, soit il est cassé pour tout le monde ».

Si les gouvernements interdisent le chiffrement, ils risquent de nuire à la sécurité de tous les citoyens, y compris les journalistes et les lanceurs d’alerte qui en dépendent pour dénoncer certains problèmes sociétaux.

Isabela Fernandes, directrice exécutive du projet Tor, a souligné l’importance du chiffrement pour les journalistes : « Le chiffrement est un outil nécessaire pour sauvegarder nos droits numériques et les principes d’une société libre et ouverte. En défendant le chiffrement au sein des applications de messagerie, des sites web, du partage de fichiers et d’autres services en ligne, nous permettons aux journalistes de rendre compte de questions importantes tout en protégeant leurs sources sans craindre la surveillance et les représailles. »

Ces organisations appellent les gouvernements démocratiques du monde entier à s’engager à protéger le chiffrement et la vie privée et à garantir un Internet libre et ouvert pour tous.

Les experts expliquent que pour se conformer à ce type de législation, des applications de messagerie sécurisées comme Signal ou Threema devront affaiblir leur sécurité, ce qui représente un réel danger pour les journalistes qui dépendent de cette protection. Threema a d’ailleurs déclaré dans un tweet qu‘il ne baisserait pas son niveau de chiffrement.

Pour conclure

Cela soulève l’importance de trouver un équilibre entre la protection de la vie privée et la sécurité publique en ligne. Les experts craignent que la mise en place de lois compromettant le chiffrement n’ouvre une porte dérobée dangereuse pour la vie privée des citoyens, qui pourrait également être exploitée par des tiers (encore plus qu’actuellement).