Cette semaine, l’ancien Le chef de la sécurité de Twitter, Peiter “Mudge” Zatko, a déposé une plainte pour dénonciation explosive contre l’entreprise. Les allégations, que Twitter conteste, affirment que la société de médias sociaux présente de multiples failles de sécurité qu’elle n’a pas prises au sérieux. Zatko allègue que Twitter a mis un agent du gouvernement indien sur sa liste de paie et n’a pas corrigé les serveurs et les ordinateurs portables de l’entreprise. Parmi les affirmations, cependant, une se démarque : la suggestion que les ingénieurs de Twitter pouvaient accéder au logiciel en direct et avaient un accès pratiquement non suivi à son système.
Dans une victoire en matière de confidentialité pour les étudiants à travers les États-Unis, un juge de l’Ohio a statué qu’il est inconstitutionnel de scanner les maisons des étudiants pendant qu’ils passent des tests à distance. Nous avons également détaillé la faille de confidentialité qui menace la démocratie américaine – un manque de protections fédérales de la vie privée signifie que les systèmes de surveillance de masse pourraient être utilisés contre les citoyens de nouvelles façons.
Ailleurs, alors que l’invasion à grande échelle de l’Ukraine par la Russie dure depuis six mois, les forces militaires se tournent de plus en plus vers les données open source pour soutenir leurs efforts. La police indienne utilise la reconnaissance faciale avec des taux de précision très faibles – la technologie est largement utilisée à Delhi mais pourrait générer de nombreux faux positifs. Et nous avons plongé profondément (peut-être trop profondément) dans la façon dont quatre lycéens ont piraté 500 caméras de leurs écoles, sur six sites, et ont rickrollé des milliers d’élèves et d’enseignants. C’est une farce de fin d’études élaborée.
Et il y a plus. Chaque semaine, nous mettons en lumière les actualités que nous n’avons pas couvertes en profondeur nous-mêmes. Cliquez sur les titres ci-dessous pour lire les histoires complètes. Et restez en sécurité là-bas.
Depuis que les trolls soutenus par la Russie ont inondé Facebook et Twitter de désinformation autour des élections américaines de 2016, les entreprises de médias sociaux ont amélioré leur capacité à démanteler les réseaux de désinformation. Les entreprises suppriment fréquemment des comptes de propagande liés à des États autoritaires, tels que l’Iran, la Russie et la Chine. Mais il est rare que les efforts de désinformation occidentaux soient découverts et exposés. Cette semaine, l’Observatoire Internet de Stanford et la société d’analyse des médias sociaux Graphika ont détaillé une opération de cinq ans qui poussait les récits pro-occidentaux. (La recherche suit Twitter, Facebook et Instagram alors qu’ils suppriment une série de comptes de leurs plateformes pour “comportement inauthentique coordonné”.)
Les comptes de propagande utilisaient des mèmes, de faux sites Web d’information, des pétitions en ligne et divers hashtags dans le but de promouvoir des opinions pro-occidentales et étaient liés à des opérations d’influence ouvertes et secrètes. Les comptes, dont certains semblent utiliser des images de profil générées par l’IA, ciblaient des internautes en Russie, en Chine et en Iran, entre autres pays. Les chercheurs affirment que les récits ont “fortement critiqué” la Russie après son invasion à grande échelle de l’Ukraine en février et ont également “promu des messages anti-extrémismes”. Twitter a déclaré que l’activité qu’il a vue provenait probablement des États-Unis et du Royaume-Uni, tandis que Meta a déclaré qu’il s’agissait des États-Unis.
De nombreuses techniques utilisées par l’opération d’influence en ligne semblent imiter celles que les comptes soutenus par la Russie ont utilisées lors de la préparation des élections de 2016. Il est probable, cependant, que les opérations d’influence occidentale n’aient pas été aussi fructueuses. “La grande majorité des publications et des tweets que nous avons examinés n’ont reçu qu’une poignée de likes ou de retweets, et seulement 19 % des actifs secrets que nous avons identifiés avaient plus de 1 000 abonnés”, expliquent les chercheurs.
Ces dernières années, Charming Kitten, un groupe de piratage lié à l’Iran, est connu pour ses “campagnes de phishing agressives et ciblées”. Ces efforts de phishing visent à recueillir les noms d’utilisateur et les mots de passe des comptes en ligne des personnes. Cette semaine, le groupe d’analyse des menaces (TAG) de Google a détaillé un nouvel outil de piratage utilisé par Charming Kitten, capable de télécharger l’intégralité des boîtes de réception des e-mails. Surnommé Hyperscrape, l’outil peut voler les détails des personnes de Gmail, Yahoo et Microsoft Outlook. “L’attaquant exécute Hyperscrape sur sa propre machine pour télécharger les boîtes de réception des victimes à l’aide d’informations d’identification précédemment acquises”, explique TAG dans un article de blog. L’outil peut également ouvrir de nouveaux e-mails, télécharger leur contenu, puis les marquer comme non lus, afin de ne pas éveiller les soupçons. Jusqu’à présent, Google dit avoir vu l’outil utilisé contre moins de deux douzaines de comptes appartenant à des personnes basées en Iran.
La société de gestion de mots de passe LastPass affirme avoir été piratée. “Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l’environnement de développement LastPass”, a écrit la société dans un communiqué cette semaine. LastPass indique qu’une “partie non autorisée” a pu accéder à son environnement de développement via un compte de développeur compromis. Alors que le pirate (ou les pirates) se trouvaient dans les systèmes de LastPass, ils ont pris une partie de son code source et des “informations techniques propriétaires de LastPass”, indique la société dans son communiqué. Il n’a pas précisé quels éléments de son code source ont été pris, ce qui rend difficile l’évaluation de la gravité de la violation. Cependant, la société affirme que les mots de passe et les données des clients n’ont pas été consultés – les utilisateurs de LastPass n’ont rien à faire en réponse au piratage. Malgré cela, l’acte d’accusation risque toujours d’être un casse-tête pour les équipes techniques de LastPass. (Ce n’est pas non plus la première fois que LastPass est ciblé par des pirates.)
Le directeur des communications de l’échange cryptographique Binance affirme que les escrocs ont créé une version deepfake de lui et ont incité les gens à assister à des réunions d’affaires sur les appels Zoom avec son faux. Dans un article de blog sur le site Web de la société, Patrick Hillmann de Binance a déclaré que plusieurs personnes lui avaient envoyé un message pour son temps. “Il s’avère qu’une équipe de piratage sophistiquée a utilisé des interviews et des apparitions télévisées précédentes au fil des ans pour créer un” deepfake “de moi”, a écrit Hillmann, ajoutant que le prétendu deepfake était “suffisamment raffiné pour tromper plusieurs membres très intelligents de la communauté crypto. ” Ni Hillmann ni Binance n’ont publié d’images montrant le deepfake revendiqué. Depuis que les deepfakes sont apparus pour la première fois en 2017, il y a eu relativement peu d’incidents de fausses escroqueries vidéo ou audio se faisant passer pour des personnes. (La grande majorité des deepfakes ont été utilisés pour créer des images pornographiques non consensuelles). Cependant, des rapports récents indiquent que les escroqueries deepfake sont en augmentation, et en mars de l’année dernière, le FBI a averti qu’il prévoyait une augmentation des deepfakes malveillants dans les 12 à 18 prochains mois.
