Liste de partage de Grorico
Avec 2 écrans HD planqués dans le mur façon fenêtre et une wiimote, il est possible de détecter la position d’une personne et changer le point de vue d’une jolie vidéo en fonction de son déplacement.
Cette technologie s’appelle Winscape et fera surement fureur chez les gens qui ont beaucoup de vis à vis 
Je trouve ça assez génial comme objet de déco, même si ça ne remplacera jamais une vraie lumière du jour
[Source]
Facebook affirme que les gens qui partagent de façon intensive leurs statuts et des messages sur Facebook réalisent un meilleur score sur des ‘tests de bonheur’ que ceux qui se contentent de consommer passivement les échanges réalisés par d’autres. La société a publié la semaine dernière le résultat de ses recherches, faites à partir d’un questionnaire croisé avec l’historique d’usage des personnes interrogées.
“Les résultats sont clairs” affirme Facebook. “Plus les gens utilisent Facebook, mieux ils se portent. Ils ont un meilleur niveau de confiance sociale, et se sentent moins seuls… quelque soit le temps passé sur Facebook par les personnes interrogées, leur nombre d’amis, et le nombre d’informations qu’ils y lisent, ceux qui interagissent directement avec leurs amis ont obtenu de meilleurs scores en terme de bien être.”
Bien sûr, aucune relation de cause à effet ne peut être prouvée ici, il s’agit juste d’une corrélation. Ceux qui sont déjà plus heureux que la moyenne sont probablement plus à même d’interagir plus activement sur Facebook – il n’a pas encore été prouvé qu’interagir sur Facebook vous rende plus heureux.
Mais des recherches plus sérieuses pourraient être faites par le monde de la recherche si Facebook ouvrait ses données. A défaut de le faire, un marché noir se développe pour combler le vide, et répondre à la demande émanant de sociétés peu scrupuleuses.
La valeur des données
L’analyse des données issues de Facebook est quelque chose que nous avons identifié comme une opportunité gigantesque depuis des années. Malheureusement, l’accès à ces données reste limité aux seules recherches menées en interne par la société ainsi qu’à un cercle restreint de collaborateurs. Les données ne sont pas partagées publiquement, nous n’avons droit qu’à quelques rares résultats d’analyses, de temps à autre.
Ce mois-ci, nous avons eu l’occasion de parler avec un chercheur en science sociale d’une importante société du secteur des NTIC qui nous a révélé que Facebook avait pour habitude d’offrir ses données à quiconque le leur demandait. Ces derniers temps, maintenant que Facebook est devenu gigantesque, ce n’est plus vraiment le cas, probablement pour des raisons légales.
En 2008, Facebook a analysé les conversations de ses utilisateurs et démontré qu’il pouvait prédire de façon exacte les évolutions des scrutins aux présidentielles US. Certains experts on démontré que l’ont pouvait faire des observations particulièrement intéressantes sur l’état du monde en se basant sur des données recueillies sur le site de Facebook, mais ce dernier a utilisé une armée d’avocats pour mettre fin au partage de ses données utilisateurs réalisé par des tiers.
Twitter est lui aussi réticent à l’idée de laisser un tiers récupérer de larges quantités de données à des fins d’analyse. Cette semaine, la société a fait don de l’intégralité de ses archives à la librairie du Congrès, mais si on regarde de plus près les détails de l’accord, il laisse peu de place à la possibilité pour un tiers d’accéder aux données d’une façon qui permettrait une analyse à des fins de recherche sociologique.
Le marché noir
Nous avons recueilli des témoignages faisant état d’un marché noir des données issues de Facebook et de Twitter, mais chaque fois que quelqu’un cherche à rendre ces données accessibles, ne serait-ce qu’auprès de la communauté scientifique, son site est fermé.
Pendant ce temps, des sociétés sans scrupules, qui ont à priori les moyens de payer pour ces données et se moquent des atteintes à la vie privée, les acquièrent et réalisent tout ce que l’on pouvait craindre en cas de mise à disposition publique de ces données. Nous sommes tentés de comparer cela à la situation que l’Amérique a connu sous la prohibition, mais Facebook n’a pas souhaité faire le moindre commentaire là dessus.
Le résultat, quoi qu’il en soit, est que l’on se retrouve face à une forme de criminalité qui foisonne dans les situations de prohibition, sans pour autant avoir les bénéfices, et il ne s’agit pas d’alcool, cette fois-ci, mais de découvertes qui sont à notre portée et qui nous permettrait de mieux comprendre les sociétés d’aujourd’hui.
Imaginez un instant ce qui pourrait être révélé à travers l’analyse des discussions et des liens qui prennent place sur Facebook, en croisant ces résultats avec une multitude d’autres données. La société dit être préoccupée par la vie privée de ses utilisateurs, mais de nombreuses évolutions récentes prouvent le contraire.
Ces derniers temps, la seule chose a être partagée est le résultats d’études menées en interne, qui sont très discutables : Facebook fera votre bonheur, par exemple. Du buzz marketing à deux balles.
C’est pour cette raison que nous continuons d’espérer que Facebook ouvrira ses données sur les activités de ses utilisateurs lors de sa conférence pour développeurs cette semaine. Les détails de la conférence sont désormais en ligne et elle sera retransmise en direct.
Chaque fois que Facebook démontre qu’il peut trouver des résultats intéressant à partir de l’analyse en masse de ses données utilisateurs et de leur croisement avec d’autres données (comme une enquête en ligne), il accumule les preuves que le monde entier devrait être en mesure d’analyser ces données également (anonymisées, cela va de soit). Les gens mal intentionnés le font déjà, alors pourquoi ne pas permettre à ceux dont les intentions sont plus respectables de la faire ?
Il suffirait de rentrer chez soi pour que le mobile ou l'ordinateur portable se rechargent sans intervention aucune. Le téléviseur, l'imprimante et le lecteur de DVD ne seraient plus reliés aux prises de courant. Bienv...
La HADOPI ou les ayants droit qui lui transmettront des adresses IP pourront-t-ils être poursuivis pour dénonciation calomnieuse si des avertissements infondés vont jusque dans les mains d’un juge ?
Nous avons déjà relevé la faiblesse du niveau de preuve exigé par la Haute Autorité de lutte contre le piratage, et expliqué maintes fois le risque d’injections de fausses adresses IP dans les relevés des chasseurs de pirates. Il est en effet très simple de faire en sorte, lorsqu’un utilisateur demande la liste des adresses IP qui partagent un fichier (le “swarm”), d’injecter au hasard des adresses innocentes qui ne partagent rien, pour tromper les prestataires des ayants droit.
Comme nous l’avait expliqué un expert de la gendarmerie, s’assurer que des adresses IP ne sont pas ainsi collectées par erreur constituerait un coût “colossal”, puisqu’il faudrait télécharger systématiquement les oeuvres pour s’assurer qu’elles sont bien partagées par chacune des adresses IP relevées, et conserver la trace de ce téléchargement pour solidifier la preuve.
Or comme nous l’apprend Bluetouff, l’Hadopi et les collecteurs d’adresses IP (en particulier la société nantaise TMG mandatée par les ayants droit) auront du souci à se faire :
Comme prévu, même un peu en avance sur le calendrier, un code de Torrent poisoning est maintenant disponible, l’info vient d’être publiée ici. Répondant au doux nom de seedfuck, il sert à inonder les trackers Torrent de fausses adresses IP, tout come The Pirate Bay l’avait promis. Le p0c est écrit en C Mono mais ne demande visiblement qu’à être porté.
Pour faire simple, voici comment ça fonctionne : on génère de fausses IP créant de l’activité sur un Hash (identifiant unique d’un fichier) donné, ces fausses ip génère du trafic et des events (donwload complété par exemple ou octets restants à télécharger).
Le code source en C# est disponible ici, et selon Bluetouff un binaire pour Windows serait bientôt disponible. Ce qui n’est pas surprenant puisqu’il suffit, a priori, de compiler la chose. Selon le commentaire du code, il permettrait de générer “des centaines d’annonces par minute“, et “avec une connexion haut-débit, vous pouvez souvent ajouter plus d’un millier de faux peers au swarm en moins de 5 minutes“.
Selon notre analyse du code, le script envoie cependant des adresses prises totalement au hasard. Pour être vraiment efficace contre l’Hadopi, il faudrait l’adapter pour générer exclusivement des adresses IP de la plage française.
Classé dans :Actu, Piratage, Securité, Security, vulnérabilité Tagged: Adresse IP, hadopi
Le cheval de Troie ZeuS, aussi connu sous ses petits noms « PRG », « Zbot », ou encore « WSNPoem », subit depuis fin 2009 des mutations particulièrement inquiétantes. Les chercheurs en sécurité qui observent le malware en laboratoire ont en effet noté l’apparition de fonctionnalités inédites depuis environs six mois, qui confirment que ZeuS reste à la pointe de l’innovation technique.
Ainsi, la version 1.4, identifiée pour la première fois en décembre 2009, inclut en standard une fonction d’injection de pages HTML dans FireFox, alors que cette fonctionnalité restait jusqu’ici accessible uniquement aux clients ayant fait l’acquisition d’un module externe ; elle inclut également un module de prise de contrôle à distance de la machine infecté via le protocole VNC, outil très répandu de « bureau à distance ». Mais surtout, la version 1.4 introduit un mécanisme de polymorphisme, le virus se ré-encryptant immédiatement sur la machine nouvellement infectée, de sorte que les anti-virus voient leur travail entravé.
La problématique, pour l’auteur de ZeuS, est donc clairement de valoriser le malware en innovant et en développant sa clientèle. Oui mais voilà, la plupart des versions de ZeuS en circulation se faisaient rapidement pirater, les clients n’hésitant pas à revendre leur acquisition à d’autres pirates – au rabais, et en injectant au passage une porte dérobée : il est extrêmement simple de trouver sur des forums différentes versions de ZeuS à très bas prix, voire gratuites, alors que la version payante peut être acquise auprès de l’auteur du malware pour plus de 5.000 dollars. Pour protéger son « œuvre » et ses « droits d’auteur », le développeur de ZeuS a ainsi inclus dès novembre 2009 un mécanisme de protection, basé sur une clef de licence unique, générée à partir des caractéristiques matérielles de la machine du pirate : ainsi, un autre pirate ne pourra pas installer sur son ordinateur le malware avec une clef de licence volée.
Ces innovations sont toutefois à un stade encore expérimental : les dernières versions de ZeuS (1.3.4 et supérieures) ne sont diffusées que sur un seul botnet, probablement destiné à tester les versions « beta » du malware. Le développeur dispose en effet des services d’un bon client, qui suit le malware depuis plusieurs années, au point que certaines fonctionnalités aient été codées à sa demande et soient restées en diffusion privée pendant longtemps. Ce groupe de fraudeurs, baptisé « JabberZeus » par les chercheurs, se spécialise dans le vol d’informations bancaires de comptes d’entreprises, en particulier aux Etats-Unis via le réseau de l’Automated Clearing House : à la mi-2009, les chercheurs attribuaient à ce seul groupe des tentatives de virement frauduleux de 50.000 à 100.000 dollars par jour.
On en sait aujourd’hui davantage sur le développeur du malware : celui-ci, qui revendiquait la paternité du code en 2007, possède une manière très personnelle de faire parler de lui. En effet, en septembre 2006, il débarque sur des forums criminels avec sa nouvelle identité, « UpLevel », après en avoir usé plusieurs autres, associées à une mauvaise réputation dont il se débarrasse du même coup. On sait peu de choses avant cette date, si ce n’est qu’il a servi dans l’armée de l’air russe, probablement à l’occasion de son service militaire. En décembre 2006, UpLevel parvient à attendrir le milieu en déclarant avoir subi un grave accident de moto (il en donne même la photo) : atteint à la colonne vertébrale, le médecin lui aurait interdit la position assise pendant plusieurs mois. La nouvelle provoque tellement d’émotion dans la communauté qu’il lance une collecte de dons pour financer son opération et sa rééducation. Il obtient très vite le statut honorifique de modérateur sur le forum, et devient un personnage reconnu et respecté de la communauté, intervenant souvent comme tiers de confiance dans des transactions sensibles.
Puis, en mai 2007, il retourne de nouveau sa chemise et disparaît du jour au lendemain, laissant derrière lui des dizaines de milliers de dollars de dettes à des créanciers particulièrement agacés. Il perd tous ses statuts honorifiques, est traité d’escroc sur la place publique, et est placé sur la liste noire Kidala.info. Cependant, tout semble indiquer que cette disparition est une nouvelle mise en scène, et que le pirate a simplement changé d’identité, avec la bénédiction des administrateurs du forum. Ainsi, trois jours après son évaporation, un certain « A-Z » prend le relais – identité qui était restée jusqu’ici inactive.
Coïncidence ? L’été 2007 est justement la période où, selon SecureWorks, le développeur aurait entamé une collaboration particulièrement fructueuse avec un groupe de criminels allemands, qui se sont illustrés par l’utilisation de ZeuS pour des attaques « Man-in-the-middle » (la fonction n’était, à l’époque, pas diffusée publiquement dans le malware).
S’ensuivent de longs mois de silence, la version publique de ZeuS n’ayant pratiquement pas évolué depuis ses premières versions diffusées en 2006-2007. Mais fin 2008, tout s’accélère, avec l’apparition de nouveaux mécanismes de chiffrement, et l’arrivée de la fameuse fonction BackConnect, permettant de prendre en main la machine infectée immédiatement après l’ouverture de la session sur le site de banque en ligne. Depuis, le procédé a été amélioré, le virus se connectant à un serveur SecureSocks pour notifier le pirate en temps réel via la messagerie instantanée Jabber.
Ces innovations ont conféré à ZeuS une versatilité hors du commun : le malware est en effet utilisé à la fois dans des attaques massives infectant des machines à grande échelle, et à la fois dans des attaques très ciblées visant des entreprises spécifiques.
En 2009, le codeur du malware devient également un peu plus visible ; il revendique la paternité du malware sur des forums, sous l’identité « Monstr » et sous plusieurs autres pseudonymes, que nous ne révélerons pas. Les innovations se succèdent jusqu’à la fin de l’année, jusqu’à un coup dur : en mars 2010, la chute de l’hébergeur pare-balles TROYAK (littéralement, « Troyen », en russe) provoqua la mise hors service de la moitié des serveurs de contrôle de ZeuS. Les pirates, visiblement échaudés par cet incident, ont depuis entrepris de dématérialiser leurs serveurs de contrôle, en les hébergeant en fast-flux – technique permettant d’héberger un contenu sur des milliers de machines compromises, configurées en proxy inversé.
Le Cert-Lexsi a eu l’opportunité de déchiffrer 3.500 fichiers de paramètres de souches ZeuS en circulation. Parmi les extensions présentant les cibles les plus populaires parmi les usagers du virus, on note évidemment l’extension .COM, au côté desquelles les extensions .ES (Espagne), .UK (Royaume-Uni), .DE (Allemagne), .RU (Russie), et .IT (Italie) figurent en bonne place. Quant à elle, l’extension .FR ne figure qu’à la neuvième place en termes de popularité des cibles nationales.
Et depuis le 13 avril, la version 2.0 de ZeuS, inédite, est diffusée sur le web. Ses innovations sont encore largement méconnues, mais on sait déjà que les identifiants volés sur une machine infectée ne sont plus stockés sur son disque dur, mais dans la base de registres Windows. Cette version est diffusée sur le fameux botnet JabberZeus : cela devrait assurer au nouveau-né un avenir doré.
Ces dernières semaines, plusieurs personnes m’ont fait savoir que leur page Facebook avait été fermée ou effacée de la plate-forme. D’abord, ce fut un ami du Maroc. Ensuite, une amie marocaine vivant à Boston. Ensuite, une femme indienne en Angleterre. Et d’autres ont suivi.
Après avoir enquêté un peu et parlé à chacun d’entre eux, j’ai réalisé que ces personnes avaient toutes quelque chose en commun : elles critiquaient toutes l’Islam (certaines sont athées, d’autres d’anciens musulmans ou encore des réformistes) et publiaient fréquemment des articles et des billets d’humeur sur la religion.
Quelqu’un m’a ensuite informée qu’un groupe avait été créé sur Facebook (en arabe) avec pour seul objectif de signaler aux modérateurs – et donc de faire fermer – les profils des athées arabes. Le groupe, qui semble lui-même avoir disparu, était nommé “Pesticide Facebook” et son propos était “d’identifier les athées, agnostiques, anti-religieux du monde arabe et spécialement de Tunisie…” Les membres de ce groupe tentaient de faire supprimer les comptes Facebook de ces utilisateurs après les avoir identifiés.
Bien entendu, il est problématique qu’un groupe de personnes cherchent à détruire les identités numériques d’un autre groupe spécifique d’utilisateurs, mais ce n’est pas le problème que je vais aborder ici. Ce dont je vais parler est de la stratégie de Facebook pour traiter ce genre de situations, et pourquoi elle est si problématique.
- Facebook permet trop facilement à ses utilisateurs de faire supprimer les comptes d’autres utilisateurs. N’importe qui peut signaler quelqu’un aux modérateurs, en cliquant simplement sur un bouton. Facebook n’a pas expliqué publiquement comment cette procédure fonctionne, mais je soupçonne que lorsqu’un certain nombres de membres signalent le même utilisateur aux modérateurs, le profil de ce dernier est automatiquement supprimé. Je ne peux que spéculer sur ce qui se passe ensuite mais d’après les témoignages que j’ai recueilli, Facebook ne contacte pas les utilisateurs [dont le profil est supprimé]. Par contre, ceux-ci auraient la possibilité d’écrire à desactivé@facebook.fr pour demander à être “réactivé”. Parfois cela marche, parfois pas.
Capture d’écran sur Facebook de la fonction “Signaler” - Les Termes et Conditions d’usage stipulent que les utilisateurs doivent utiliser leur véritable nom sur leur profil. Cela donne un prétexte tout trouvé aux “agresseurs” pour signaler un profil aux modérateurs. Particulièrement ceux des activistes arabes qui utilisent des pseudonymes en raison des risques qu’ils courent dans leur pays. Il est alors facile de les signaler aux modérateurs et de faire supprimer le profil d’un membre sous un prétexte “légitime”.
- Facebook n’informe pas les utilisateurs que leur profil a été supprimé et ne donne pas non plus les raisons de la suppression. Contrairement à YouTube, Flickr et d’autres réseaux sociaux, Facebook n’informe pas ses utilisateurs que leur profil a été supprimé, ni ne donne la raison de la suppression ; ils les désactivent, tout simplement. Le seul recours (envoyer un mail à “désactivé@facebook.fr“) ne garantit pas une réponse et bien souvent les utilisateurs disent n’en avoir jamais reçue. Sabina England, dont le profil a récemment été désactivé, dit qu’elle n’a jamais reçu d’explication ni de réponse à ses nombreux emails envoyés à Facebook.
- Facebook exige une preuve d’identité des utilisateurs pour prouver qu’ils sont qui ils disent être. Récemment, le profil de mon amie l’activiste Najat Kessler sur Facebook a été supprimé. Elle a écrit à Facebook et reçu rapidement la réponse suivante :
Lundi, 5 avril 2010 a 17h23 , L’Équipe Facebook <appeals+0pmdmcp@support.facebook.com> a écrit:
Bonjour,
Nous ne pouvons vérifier les droits du compte enregistré sous cette adresse. Merci de nous envoyer une image numérique (scan) d’une pièce d’identité fournie par un gouvernement et comportant une photo. Merci de cacher toutes les informations qui ne sont pas nécessaires pour vérifier votre identité (ex : numéro de sécurité sociale). Soyez assurée que nous effacerons complètement la copie de votre pièce d’identité de nos serveurs une fois l’authenticité de votre compte établie.
Merci de tenir compte du fait que les faux comptes sont une violation de notre Déclaration des Droits et Responsabilités. Facebook exige que ses utilisateurs s’enregistrent sous leur prénom et nom réels. Emprunter l’identité de qui que ce soit ou de quoi que ce soit d’autre est interdit.
Veuillez joindre à votre pièce d’identité toutes les correspondances précédentes sur ce sujet afin que nous puissions nous référer à votre email initial. Nous réévaluerons le statut de votre compte après avoir reçu ces informations. Nous ne traiterons que les demandes accompagnées d’une pièce d’identité. Nous nous excusons pour tout désagrément.
Cordialement,
Dominique
User Operations
Autrement dit, nous sommes supposés faire confiance à Facebook et leur confier une pièce d’identité ? Facebook, réputé pour ses revirements de politique en matière de protection de la vie privée ? Non merci !
Vous pouvez trouver plus d’informations sur cette affaire ici. Le problème est le suivant : les “termes et conditions d’utilisation” de Facebook ne sont simplement pas assez clairs, et les méthodes de Facebook pour effacer des profils et les réactiver ne sont pas transparentes.
Mes conseils à Facebook ?
- D’abord, et avant tout, offrez la transparence à vos utilisateurs. Oui, Facebook est une plateforme privée et gratuite, mais ses utilisateurs espèrent pouvoir s’en servir. C’est votre prérogative de définir vos conditions d’utilisation mais soyez clairs, logiques, et transparents quand vous les mettez en œuvre.
- Soyez logiques…. Il y a de multiples profils de Jésus Christ sur Facebook qui ont été autorisés à rester en ligne, alors que “Sabina England” (un pseudonyme très public représentant une personne réelle) n’est pas autorisée à garder son compte ? De plus, pourquoi insister pour que les utilisateurs se servent de leur véritable identité ? N’êtes-vous pas conscients des risques que les gens prennent dans certains pays ?
- Modifiez vos Termes et Conditions d’utilisation. Nous dire que nous ne devons pas utiliser Facebook d’une manière “qui porte atteinte aux droits d’autrui ou ne respecte pas la loi” est trop vague. Faites vous référence aux États-Unis ? Si c’est le cas, dites-le. Sinon, quelle loi ? Les lois d’Arabie Saoudite exigeraient qu’une femme ait la tête couverte [sur sa photo] par exemple. La loi allemande bannirait toute négation de l’Holocauste (que Facebook laisse exister sur son site). Soyez clairs avec vos utilisateurs.
Et vous, avez-vous d’autres conseils pour Facebook ?
Ce billet a été publié initialement sur le blog personnel de
Ce billet a été publié sur Global Voices Advocacy , l’un des sites de Global Voices, destiné à défendre la liberté d’expression en ligne et à combattre la cyber-censure.
