Je pose ça là.
Grosse dédicace à tous les DSI d'entreprise qui utilisent les solutions Microsoft :
"A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft."
Le rapport en question :
https://nuage.herbinet.fr/index.php/s/t8KWZ3ZAcDcLeS5
ou
https://sebsauvage.net/files/articles/Wavestone%20-%20Rapport%20technique%20-%20Analyse%20donn%C3%A9es%20-%20Exp%C3%A9riences%20connect%C3%A9es%20Microsoft%20365%20Apps%20for%20entreprise-1.pdf

Je l'aime bien, Meredith Whittaker.
Ce projet européen d'espionner la totalité des conversations privées de ses citoyens revient régulièrement. Il faut rester vigilants. Pour le moment ce projet a été "mis en pause".

La meilleure "privacy policy" que j'ai jamais lue pour une application android 😄
(C'est le développeur de XScreenSaver qui trolle Google car ce dernier exige que toute application publiée sur le PlayStore possède une politique de confidentialité.)

Plus tu collectes de données, plus tu risques de faire de la merde avec.
Et Google est l'une des entreprises qui collecte le *plus* de données.
(Article source : https://www.404media.co/google-leak-reveals-thousands-of-privacy-incidents/)

Les objets connectés ça va bien se passer...

Où on apprend qu'Apple a fait comme Google : Dès qu'un iPhone est passé près de votre box, il a enregistré l'adresse unique MAC et la position GPS et a tout envoyé à Apple.
Apple et Google sont donc capables de dire où se trouvent géographiquement toutes les box et routeurs Wifi du monde.
J'ai un fort doute sur le fait que ça soit conforme au RPGD, ça.

From "Tout ce que vous faites sur votre iPhone reste sur votre iPhone" to "Tout ce que vous faites sur votre iPhone reste chez Apple" very quick.

EDIT: La suite : https://www.bleepingcomputer.com/news/security/apple-wasnt-storing-deleted-ios-photos-in-icloud-after-all/

Microsoft annonce "Recall", un truc dans Windows 11 qui va enregistrer TOUT ce que vous faites sur votre PC, tout le temps, et une IA ira voir dedans afin que vous puissiez lui poser des questions dessus.
PAS.
DU.
TOUT.
FLIPPANT.

Cette technologie vous est présentée par l'entreprise qui récupère vos clés de chiffrement BitLocker, qui a implémenté de la télémétrie jusque dans la purin de calculatrice et dont le navigateur avait envoyé à Microsoft "par erreur" toutes les URLs que vous avez visitées.

PS: il existe un logiciel sur Mac qui est également capable de tout enregistrer.

EDIT: Tous les spécialistes en sécurité sont d'accord pour dire que c'est un cauchemard.
https://securite.developpez.com/actu/358111/La-nouvelle-fonctionnalite-Microsoft-Recall-pour-Windows-11-serait-un-risque-pour-la-securite-d-apres-des-chercheurs-qui-y-voient-un-oeil-ouvert-sur-la-vie-privee-des-utilisateurs-et-un-potentiel-infostealer/
https://www.bleepingcomputer.com/news/microsoft/microsofts-new-windows-11-recall-is-a-privacy-nightmare/
https://www.malwarebytes.com/blog/news/2024/05/microsoft-ai-recall-feature-records-everything-secures-far-less
https://doublepulsar.com/recall-stealing-everything-youve-ever-typed-or-viewed-on-your-own-windows-pc-is-now-possible-da3e12e9465e
https://arstechnica.com/ai/2024/06/windows-recall-demands-an-extraordinary-level-of-trust-that-microsoft-hasnt-earned/
https://www.antipope.org/charlie/blog-static/2024/06/is-microsoft-trying-to-commit-.html
https://eric.freyssi.net/2024/06/03/recall-une-fausse-bonne-idee-et-des-risques-trop-forts-pour-notre-securite/

Derrière le marketing de ProtonMail, il faut savoir que Proton donnera vos adresses IP ou votre email de récupération sur demande des autorités.

EDIT: La messagerie chiffrée Wire a également fournit aux autorités l'adresse email qui avait servi à créer le compte : https://techcrunch.com/2024/05/08/encrypted-services-apple-proton-and-wire-helped-spanish-police-identify-activist/

Aux USA, les policiers peuvent vous obliger à déverouiller votre téléphone, y compris en pressant par la force votre doigt sur le smartphone.

Tiens les USA veulent aussi se doter d'une loi fédérale dans le genre RGPD.
Les GAFAM doivent flipper leur race.

Fuite de données chez le plus gros fournisseur d'accès américain : 73 millions de personnes dont les données partent dans la nature : Nom, prénom, adresse, numéro de téléphone, date de naissance et numéro de sécurité sociale.
Oui 73 millions c'est à peu près la population française en entier.

PURIN J'EN AI MARRE DES GAFAM QUI NOUS MARCHENT SUR LA GUEULE POUR ASSURER LEUR BUSINESS.
On ne peut pas leur faire confiance : Elles se torcheront avec notre vie privée pour assurer que le fric coule à flot.
Je sais, je me répète.

Là, lors d'un procès, on découvre que :
- Facebook envisageait de lancer un service de streaming.
- Pour ne pas fâcher un de ses plus gros annonceurs (Netflix), Facebook a abandonné le projet et donné à Netflix (et des douzaines d'autres boîtes, comme Spotify) un ACCÈS AUX MESSAGES PRIVÉS DES UTILISATEURS DE FACEBOOK quand ils utilisent l'option "Recommander à mes amis sur Facebook" dans l'application.
- Ce qui permet à Netflix de mieux "sentir" les tendances.
- En échange, Netflix renvoie des informations sur les tendances et films/séries les plus populaires à Facebook.

Donc on va le répéter: Vous n'avez pas de vie privée chez les GAFAM. Ils sont là pour presser et tirer un maximum de jus de tout ce que vous faites.
Pour échanger vraiment en privé, utilisez Signal, bon sang.

Où on reparle d'Onavo : C'était un service VPN qui a été secrètement racheté par Facebook. Le VPN proposait de *payer* les ados s'ils utilisent le VPN. Facebook avait en fait modifié le VPN pour observer le trafic des utilisateurs, afin de voir comment ils utilisent les applications et services concurrents (Snapchat, YouTube, Amazon...). Ce qui est bien sûr parfaitement illégal.
Des mails internes de Facebook ont même montré que les ingénieurs de Facebook étaient mal à l'aise à propos de ça. Tu m'étonnes.

Répétons-le : On ne peut pas faire confiance aux GAFAM. Ils piétineront votre vie privée si ça peut leur faire gagner plus d'argent.

Tiens c'est nouveau, ça.
Tout ce que vous regardez sur YouTube pourra être retenu contre vous.

Bah quoi ? Y'a juste les noms et prénoms, les numéros de sécurité sociale, les identifiants France Travail, les adresses mail et postales ainsi que les numéros de téléphone de 43 millions de français dans la nature ! C'est quoi le problème ?
Voir aussi : https://www.zdnet.fr/blogs/zapping-decrypte/quand-france-travail-se-fiche-du-rgpd-39964910.htm

Édit : la fuite pourrait être moins importante que prévu : https://next.ink/132025/france-travail-un-piratage-limite-a-3-des-43-millions-des-victimes-potentielles/
Et c'était pas les Russes, finalement : https://www.lemonde.fr/pixels/article/2024/03/19/cyberattaque-contre-france-travail-trois-personnes-interpellees_6222906_4408996.html

Imagines, tu utilises un service en ligne pour faire signer électroniquement tes documents (parfois confidentiels), et tu apprends que l'entreprise utilise tes documents pour entraîner ses I.A.   Doh. 😣

La version 7 de Signal est sortie, et elle règle enfin un des plus gros problèmes : Vous n'êtes plus obligé·e de donner votre numéro de téléphone à quelqu'un pour communiquer avec.
Il y a donc désormais deux réglages dans Signal : le "username" et le "phone number privacy". Quelques explications pour bien comprendre:

🔵Username :
Vous pouvez vous créer un username (nom d'utilisateur): Quelques lettres (au choix), un point et des chiffres (que vous pouvez modifier aussi). Exemple : nestor.88
Notez :
- Il ne sert qu'à une seule chose: Permettre aux gens d'entrer en contact avec vous.
- Une fois la discussion entammée, vous pouvez sans problème supprimer ou modifier votre username.
- lI est donc pensé pour être éphémère, mais rien ne vous empêche de le conserver.
- Ce username n'est jamais affiché dans votre compte Signal (et il n'est donc pas visible des autres utilisateurs Signal).

Pour entrer en contact avec vous, à la place du username lui-même vous pouvez aussi donner une URL (sur le domaine "signal.me") ou un QR-Code.
(Signal possède aussi désormais un scanner de QR-Code, ce qui permet - quand vous êtes en face de la personne - d'ouvrir une discussion Signal simplement en partageant votre QR-Code).

🔵Phone Number Privacy :
- Par défaut, votre numéro de téléphone ne sera plus visibles des autres utilisateurs Signal (sauf ceux qui sont entrés en contact avec vous via votre numéro).
- Vos contacts peuvent encore vous trouver sur Signal s'ils ont votre numéro de téléphone, mais cette option est désactivable. (Dans ce cas, il ne pourront entrer en contact avec vous sur Signal que si vous leur donnez votre username).

Petites notes concernant la confidentialité:
- Avec ces deux ajouts, votre numéro de téléphone peut désormais rester confidentiel dans Signal à tout moment.
- Notez qu'il reste obligatoire de le fournir à la Fondation Signal pour l'inscription (mais c'est tout).
- La fondation Signal n'a non seulement aucun accès aux messages, mais également aucun accès aux métadonnées des messages : La seule chose que peut donner la fondation, c'est 1) la date d'inscription au service.  2) la date de dernière connexion au service.  3) le numéro de téléphone utilisé lors de l'inscription.  Ils n'ont aucune autre donnée (ni le contenu des messages, ni même avec qui vous avez échangé, ni quand).  C'est ce qui la distingue des autres applications (WhatsApp a certes des communications chiffrées de bout en bout, mais ils savent qui a communiqué avec qui, et quand.)
- Si vous avez un username actif, la Fondation peut savoir à quel compte il est rattaché, mais ils ne peuvent pas accéder au contenu du compte (photo, nom, etc.)
- Si vous supprimez ou modifiez votre usename, la Fondation n'a aucun moyen de savoir quel compte Signal l'utilisait (En fait, les serveurs Signal n'ont même jamais ce username en clair, juste son hash).
- De même, la Fondation ne peut pas savoir quels username passés un compte a utilisé.

Cela fait de Signal la messagerie la plus sécurisée *et* simple à l'heure actuelle.

Tiens... Au boulot je constate que l'icône de CoPilot est apparue dans Outlook. Il propose des options du genre "Fais-moi un résumé de mes mails récents".
Ça veut dire que l'I.A. de Microsoft a accès au contenu de nos boîtes mail professionnelles ? Super, on bosse dans la santé publique. 🙃

Il y a au moins une bonne nouvelle.

Ça y est ? Les journalistes tech commencent à comprendre que Windows n'est pas un système d'exploitation en qui ont peut avoir confiance ?  Et Microsoft, de manière plus générale ? On progresse. Et je sens qu'avec Windows 12, on va progresser à marche forcée.

« pour une durée de trois ans. Et ce, malgré "le risque de communication à des puissances étrangères". »
Groumpf  :-(

Google: "Regardez notre IA trop cool dans Android !"
L'IA trop cool: Ne peut pas fonctionner sans que vous donniez accès à Google à l'intégralité de vos messages privés, depuis toujours, messages qui seront envoyés sur les gros serveurs de Google pour entraîner l'I.A., stockés 18 mois, et qui seront potentiellement mis à disposition d'humains pour vérification.

Alors merci mais non merci.

« We had four lawyers, three privacy experts, and two campaigners look at Microsoft's new Service Agreement, and none of our experts could tell if Microsoft plans on using your personal data – including audio, video, chat, and attachments from 130 products, including Office, Skype, Teams, and Xbox – to train its AI models. »
Ah ouais ça calme.