News
Toutes les dépêches envoyées par nos professionnels patentés, implantés dans la Silicon Valley depuis 1835.
Selon un rapport du Department of Computer Science de l’Université d’Oxford, « l’App Tracking Transparency » d’Apple (ATT), chargé de limiter la casse en termes de collecte des données personnelles par les applications, souffre de failles permettant à Google, Facebook et consorts de contourner les protections en liant les adresses IP et les identifiants idoines utilisés à l’installation. (http://cpc.cx/AH431T1 - Crédit photo : Pexels - Pixabay)
Confidentialité mise en sourdine
Faut-il encore s’en étonner ? Une étude menée par deux chercheurs de l’Université du Wisconsin-Madison révèle que la majorité des applications de visioconférence continuent d’accéder au microphone de l’appareil et de collecter des données brutes – sporadiquement ou continuellement – même lorsque ce dernier est coupé (sourdine). Si la liste des applications concernées sera donnée en juillet prochain à l’occasion du PETS 2022 (Privacy Enhancing Technologies Symposium), absolument toutes les applications utilisées, dont les principales, souffrent de ce comportement. Les chercheurs expliquent également comment – à partir de l’analyse de la signature acoustique récupérée – il est possible d’identifier l’activité en cours de l’utilisateur parmi les six plus courantes : cuisiner, manger, nettoyer, écrire, jouer de la musique… Oui, il en manque une, on se demande bien laquelle. « Avec une caméra, vous pouvez l’éteindre ou mettre votre main dessus, et quoi que vous fassiez, personne ne peut vous voir. Je ne pense pas que cela existe pour les microphones », conclut le chercheur Kassem Fawaz à l’origine de l’étude. (http://cpc.cx/AH431N1 - Crédit photo : Université du Wisconsin-Madison)
L’IA voix en toi
Les délires permis par l’intelligence artificielle n’ont aucune limite. Ainsi, les travaux réalisés par le Computer Science and Artificial Intelligence Laboratory du MIT, initialement publiés en 2019 mais refaisant aujourd’hui surface pour une raison qui m’échappe (mieux vaut en parler tard que jamais, toutefois) – font état de l’algorithme Speech2Face, chargé de reconstituer un visage à partir d’un échantillon vocal de trois secondes et plus. Le réseau neuronal a été entraîné à l’aide de millions de vidéos sur Internet/YouTube, corrélant les caractéristiques vocales et faciales. Pour autant, les scientifiques s’empressent de préciser que l’algorithme ne peut « identifier un individu depuis sa voix », Speech2Face se limitant à recréer des traits faciaux génériques en rapport avec l’âge, le sexe et l’ethnie. Cependant, si les résultats sont loin d’être parfaits, certains exemples de reconstitution faciale interpellent en raison de leur similitude avec la personne réelle, ouvrant inévitablement la « voix » à de multiples écueils éthiques, pour autant que cet étrange concept ait encore un sens dans les années à venir. (http://cpc.cx/AH430N5 - Crédit photo : MIT CSAIL)
La force obscure de l'habitude
Des chercheurs des universités de Lancaster et de Bath, forcément beaux et sympas, ont mené une étude portant sur l’identification d’un utilisateur uniquement par l’analyse de l’usage de son intelliphone. Non pas celui concernant la navigation, mais plutôt les comportements routiniers d’utilisation des apps. 780 personnes se sont prêtées à l’expérience, tandis que 4 680 jours de données ont été passées à la moulinette des algorithmes afin d’établir les profils d’utilisation. Résultat, l’identification s’est avérée correcte dans un tiers des cas. De plus, il a été possible de voir les dix personnes les plus susceptibles d’appartenir à un jour spécifique de données. Cette fois, le bon utilisateur se trouvait parmi les dix candidats dans 75 % des cas. Publiée dans Psychological Science, l’étude attire également l’attention sur les conséquences d’un tel phénomène sur la sécurité et la vie privée. Encore un point en faveur des idiotphones. (http://cpc.cx/AH430N4 - Crédit photo : Pexels / Romain Odintsov)
D’après Douglas Leith, professeur d’informatique au Trinity College de Dublin, les apps Android Google Dialer et Messages ont transmis des données sur les communications des utilisateurs. Ambiance RGPD DTC. (http://cpc.cx/AH330M6)
L’enquête sur le groupe de hackers Lapsus$ – célèbre pour avoir piraté Samsung, Nvidia ou encore Vodafone – a abouti à l’interpellation de sept personnes par la police londonienne. « Breachbase », ou « White », la tête pensante du groupe, aurait 16 ans et vivrait chez sa mère près d’Oxford (avec ses 14 millions de dollars en Bitcoin).
Les recherches de la société Bulletproof ont démontré que les machines Linux et Raspberry Pi représentaient actuellement des cibles de choix pour les pirates, un grand nombre d’entre elles étant « protégées » par les mots de passe par défaut (http://cpc.cx/AH430M4).
Pays-Bas, amendes hautes. À raison d’une pénalité de 5 millions d’euros par semaine depuis le début 2022, Apple doit désormais 50 millions d’euros aux autorités néerlandaises, en raison de l’absence de système de paiement alternatif pour les applications de rencontre.
FIDO, de la bonne croquette sécuritaire
La FIDO Alliance, association d’industriels travaillant sur des standards d’authentification visant à éliminer l’usage des mots de passe, a publié un livre blanc faisant état de ses derniers travaux en la matière. Car en dépit des solutions FIDO existantes (biométrie, code PIN principal), les « 123456 », « password » et autres « azerty » restent des valeurs sûres pour sécuriser Internet et les systèmes sensibles, à l’instar d’un centre de commandement nucléaire. L’idée majeure du document – encore au stade du concept – consiste à utiliser l’intelliphone de l’utilisateur comme un gestionnaire de clés cryptographiques, synchronisé avec les appareils nécessitant une authentification. La connexion avec ces derniers sera uniquement Bluetooth, l’exigence d’une proximité physique éliminant le risque d’hameçonnage (« phishing »). En cas de perte ou de remplacement du téléphone, les données d’identification seront conservées grâce aux « authentificateurs » intégrés aux systèmes d’exploitation (FIDO multi-dispositifs). Une identification facilitée qui ravira petits et grands, utilisateurs et gouvernements. (http://cpc.cx/AH430N3 / Crédit photo : FIDO Alliance)
Le fabricant Clockwork Pi a lancé le DevTerm R-01, « le premier terminal portable embarquant un processeur monocœur RISC-V 64 bits », nous dit-on. Toute ressemblance avec un TRS-80 Model 100 existant ou ayant existé ne serait pas purement fortuite.
La tendance est palpable, un nombre croissant d’utilisateurs désireux de retrouver leur vie abandonnent l’intelliphone pour un idiotphone (« dumbphone »). Comprendre : un appareil ne servant qu’à téléphoner, écrire des SMS ou écouter de la musique, ambiance Nokia 3310 des années 2000. Un milliard d’unités auraient été vendues en 2021, contre 400 millions en 2019, alors que les recherches Google ont augmenté de 89 % entre 2018 et 2021, selon la société SEMruch. En qualité d’idiot professionnel, cette nouvelle me ravit. (Crédit photo : The Light Phone II/Light)
Le miyon ! Le miyon ! Le miyon !
C’est avec fierté et enthousiasme que Microsoft a communiqué sur « l’étape historique » franchie par le programme Azure Quantum, portant sur le développement d’un ordinateur quantique utilisant le « qubit topologique », une sorte de qubit maison assez sympa, toujours bien mis. Je sais, c’est assez technique comme description, mais c’est aussi ça, le journalisme scientifique total. Dans son billet, Microsoft parle d’une meilleure stabilité que le vulgaire qubit employé par la concurrence – forcément –, ouvrant la voie à des ordinateurs quantiques d’un million de qubits. Mince, un million, ça ne rigole plus. « Azure Quantum a conçu des dispositifs qui lui permettent d’induire une phase topologique de la matière délimitée par une paire de modes zéro de Majorana. Ces excitations quantiques n’existent normalement pas dans la nature et doivent être provoquées dans des conditions incroyablement précises. » OK, mais le plus important dans l’histoire, faut-il le rappeler, est sans conteste le calibrage cornecul de la prise Péritel. (http://cpc.cx/AH430N2 - Crédit photo : Microsoft)
Amis lecteurs utilisant Windows 1.0, apprenez l'incroyable existence d'une boîte de dialogue cachée à la fin du fichier bitmap du smiley – un œuf de Pâques découvert par Lucas Brooks, passionné de fenêtres depuis 1794 –, faisant office de crédits avec du Gabe Newell dedans.
Tout bon transhumaniste vous le dira, rien de tel que de s'implanter chirurgicalement un dispositif Bluetooth dans l'oreille pour mieux tricher à l'examen final d'une école de médecine. Un étudiant indien a tenté le coup, sans succès toutefois, trahi par l'intelliphone grossièrement caché dans la doublure du pantalon. Nul doute que son stratagème serait passé inaperçu s'il l'avait plutôt greffé dans l'oreille du grimpant. (Crédit photo : Pexels - RODNAE Productions)
Autopilot, t’es là ?
Les critiques continuent de viser Tesla et sa communication sur les systèmes de conduite Autopilot et Full Self-Driving (FSD), cette dernière option étant facturée pas moins de 12 000 USD. Les sénateurs Richard Blumenthal et Ed Markey ont ainsi adressé une lettre début février au constructeur automobile, faisant état de « préoccupations importantes » quant à la sécurité de ces systèmes et d'une potentielle mise en danger des usagers. Courrier auquel Rohan Patel, directeur général de la politique publique de Tesla, vient de répondre en expliquant que l'Autopilot et le FSD nécessitent bien une « surveillance et attention constantes » de la part du conducteur, alors qu’Elon Musk prédit une conduite autonome complète pour cette année. Pour autant, Rohan explique qu’avec un accident pour 6,94 millions de kilomètres parcourus par les Tesla en mode Autopilot, ces systèmes s’avèrent plus sûrs que la conduite humaine – un accident recensé tous les 779 000 km par la National Highway Traffic Safety Administration nord-américaine (NHTSA). (Crédit photo : Pexels - Pixabay)
Un décret publié au journal officiel le 18 février dernier encadre désormais l’appellation « reconditionné » des appareils de seconde main, obligeant les revendeurs à tester/restituer toutes les fonctionnalités et supprimer toute donnée en lien avec l’utilisateur précédent. (http://cpc.cx/AH429t7)
Une Amazon (moyennement) à risque
Des chercheurs en sécurité anglais et italiens ont publié un rapport intitulé Alexa vs Alexa (AvA), détaillant une nouvelle méthode d’attaque des enceintes connectées Amazon Echo. Le hack recourt au haut-parleur du périphérique pour transmettre des commandes vocales via l’appairage Bluetooth avec un intelliphone compromis, permettant ensuite d’effectuer toutes les opérations autorisées par l’utilisateur : acheter en ligne, passer des appels téléphoniques, déverrouiller les portes, modifier les calendriers, etc. En clair, l’attaque consiste à utiliser Alexa pour s’auto-hacker et accéder aux données confidentielles et autres systèmes connectés du foyer, avec un taux de réussite allant de 73 à 100 %. Un résultat qui invite les chercheurs à conseiller la désactivation du microphone lorsque l’appareil n’est pas utilisé. Pour autant, Amazon considère le niveau d’attaque comme « moyen », car la stratégie ne fonctionne pas via Internet. (http://cpc.cx/AH429n5 - Crédit Photo : Alexa vs Alexa)
Le retour des véhicules à vapeur
Lors d'un échange sur Twitter, Elon Musk a confirmé que Tesla travaillait sur le portage du catalogue Steam dans ses véhicules, plutôt que sur l'adaptation de jeux au compte-gouttes. Et ça ne rigole pas, puisqu'il est même question de faire tourner Cyberpunk dans le Cybertruck. Rappelons qu'il est déjà possible pour les passagers – et le conducteur – de jouer à quelques titres dans un Model S/X, alors même que la voiture est en mouvement. Chacun jugera de l'opportunité de la chose sur le plan de la sécurité, alors qu'auparavant, les fonctions vidéoludiques n'étaient accessibles qu'une fois la Tesla en stationnement. Un point qui a d'ailleurs interpellé la National Highway Traffic Safety Administration (NHTSA), en discussion avec Tesla sur ce sujet. Quoi qu'il en soit, Elon précise que le divertissement sera « essentiel » lorsque les véhicules seront totalement autonomes, ce qui devrait être le cas dès cette année. (Crédit Photo : Pexels / Pixabay)
Selon une analyse de la revue Joule, le bannissement en 2021 du minage de Bitcoin en Chine – représentant jusqu’alors 70 % de l’extraction mondiale – a aggravé l’émission globale de dioxyde de carbone. Les mineurs, privés de l’énergie hydraulique chinoise, ont depuis principalement trouvé refuge aux États-Unis et au Kazakhstan, recourant sans vergogne aux centrales à charbon et au gaz pour assouvir leur soif de cryptos. (http://cpc.cx/AH429T6 - Crédit photo : Pexels / Anthony Black)
Lapsus$ révélateur (forcément)
Le groupe de hackers sud-américain Lapsus$ Extortion Group s’en donne à cœur joie depuis quelques semaines. Le 25 février dernier, 1 To de données Nvidia confidentielles ont été piratées par ses soins, traitant des prochains CPU RTX 4000, de la technologie Deep Learning Super Sampling (DLSS), des micrologiciels et des pilotes. Alors que du code a déjà été relâché dans la nature, les hackers demandent publiquement à Nvidia de rendre ses pilotes open source et de retirer le Lite Hash Rate des RTX3000 – la technologie chargée de brider le minage de cryptomonnaies –, sous peine de vendre/publier le reste des données et des secrets industriels (1 million de dollars minimum demandés pour le code du LHR). Nvidia a répliqué en infectant le serveur de Lapsus$ avec un ransomware, mais sans autre conséquence puisque des sauvegardes avaient été effectuées. Tant qu’à risquer de passer les dix prochains siècles dans une geôle humide, Lapsus$ en a également profité pour divulguer 190 Go de données sensibles dérobées à Samsung, dont beaucoup de code source en rapport – ironiquement – avec la sécurité. (Crédit Photo : Lapsus$)
La patrouille qui fout la trouille
Les États-Unis testent actuellement des robots chiens autonomes développés par Ghost Robotics, afin d’effectuer des patrouilles le long de la frontière mexicaine. Selon le Science and Technology Directorate (S&T) – la division R&D du Department of Homeland Security (DHS) –, « la frontière sud peut être un endroit inhospitalier pour les hommes et les animaux, et c’est exactement pourquoi une machine peut y exceller ». Inhospitalier et dangereux, en raison des organisations criminelles à l'origine des divers trafics frontaliers : humains, drogues, armes, contrebande, etc. Pour autant, des voix s’élèvent contre les chiens robots, à l’instar de l'American Civil Liberties Union (ACLU) qui considère l’opération comme « un désastre en devenir pour les libertés civiles ». Pour l’heure les robots ne sont pas armés, gageons que ce n’est qu’une question de temps. (http://cpc.cx/AH429T5 - Crédit Photo : Ghost Robotics)
Apple a déposé une demande de brevet pour un ordinateur intégré dans un clavier. Une idée révolutionnaire, autrement originale qu'un Amstrad CPC, Commodore 64 ou tout autre ordinateur des années 1980. (http://cpc.cx/AH429T4)
Le vice-président de la division data storage de Huawei prédit la fin prochaine des disques durs mécaniques dans les centres de données, d'ici 2025. Selon lui, ces derniers seront alors équipés de SSD à hauteur de 80 % (30 % actuellement).
Un avenir « facinant »
Le Washington Post a relayé une présentation aux investisseurs de Clearview, la sympathique société d’identification faciale alimentant joyeusement ses bases de données à l’aide des visages grappillés sur Internet, notamment les réseaux sociaux. Une collecte sauvage s’effectuant sans demander l’accord de qui que ce soit, vous l’aurez compris. Non contente des dix milliards de tronches déjà stockées à leur insu et des 1,5 ajoutées chaque mois, l’entité vise désormais le stockage de 100 milliards de visages humains, afin que plus aucun Terrien ne puisse échapper au fichage non consenti. Rassurez-vous, tout cela, c’est pour notre bien afin de lutter – si vous en doutiez – contre le terrorisme, la pédocriminalité, etc. Ah… Attendez, grosse surprise, il semble que Clearview souhaiterait également vendre sa technologie à d’autres fins, comme la surveillance des travailleurs de « l’économie du concert ». C’est vrai que les roadies, mince, c’est un sacré problème de société. (http://cpc.cx/AH429T3 - Crédit photo : Pexels / Anna Shvets)