OWNI

Google alerte ses utilisateurs espionnés

Andréa Fradin — Wed, 03 Oct 2012 17:41:24 +0000

“Gmail m’annonce que des attaques menées par des États tenteraient de s’infiltrer dans mon compte ou mon ordinateur.” C’est la mauvaise surprise qu’ont constatée hier Noah Schactman, journaliste pour le blog Danger Room de Wired, et un expert en antiterrorisme Daveed Gartenstein-Ross du think-tank américain Foundation for Defense of Democracies, avant de la partager sur Twitter.

Contacté par Owni, Daveed Gartenstein-Ross indique sur Twitter ne pas en savoir davantage : “Gmail a simplement fait une alerte, ainsi que des suggestions pour protéger son compte.”

Aaaaand I just got Google’s “you may be a victim of a state-sponsored attack” notice. support.google.com/mail/bin/answe… #WhatTookYouSoLong?

— Noah Shachtman (@dangerroom) Octobre 2, 2012

Gmail tells me that state-sponsored attackers may be attempting to compromise my account or computer. Looks like I’ve arrived!

— D. Gartenstein-Ross (@DaveedGR) Octobre 2, 2012

Selon nos informations, plusieurs milliers de personnes seraient concernées par cette alerte pointant vers des tentatives d’intrusions principalement en provenance d’États du Moyen-Orient. Sur ce point, Daveed Gartenstein-Ross nous informe que Google ne lui a donné aucune précision sur l’origine de l’attaque :

Je soupçonne un gouvernement du Moyen-Orient, étant donné que mes recherches couvrent la région. Mais ça peut aussi être la Chine, ou la Russie, ou tout autre gouvernement cherchant à apprendre plus d’info via le hacking.

Mise en place par Google en juin dernier, cette procédure d’alerte prend la forme d’une bannière rouge s’affichant au-dessus de la boîte de réception et consiste à informer les utilisateurs de Gmail de tentatives d’accès à leurs comptes, qui “suggèrent fortement l’implication d’Etats ou de groupes soutenus par des Etats.” Elles prendraient la forme de phishing, de mails demandant des informations à l’utilisateur en se faisant passer pour certains prestataires de service, ou de malware, de messages comportant des logiciels malveillants en lien ou en pièce jointe.

Difficile en revanche d’en savoir davantage sur le mécanisme d’identification mis en œuvre par Google, qui écrivait en juin sur son blog :

Vous vous demandez certainement comment nous parvenons à savoir que cette activité est menée par un État. Nous ne pouvons pas rentrer dans les détails sans donner des informations susceptibles d’être utiles à ces acteurs malveillants, mais notre analyse détaillée -ainsi que les témoignages de victimes- suggère fortement une implication d’États ou de groupes soutenus par des États.

En 2010, suite à une série d’attaques en provenance de la Chine, connue sous le nom “opération Aurora” Google avait entériné un rapprochement avec la NSA, l’agence de surveillance des télécommunications américain, visant à “une meilleure protection du propriétaire du moteur de recherche et de ses utilisateurs”, expliquait alors Le Monde. Une proximité qui pousse certains commentateurs à s’interroger sur la nature des alertes de Google mises en place en juin dernier : oseraient-ils dénoncer des actions américaines ?

De son côté, le géant de Moutain View déclare sur son blog qu’il est de son “devoir d’être pro-actif en avertissant ses utilisateurs en cas d’attaques ou de potentielles attaques afin qu’ils puissent faire le
nécessaire pour protéger leur information.” Il y a 15 jours, il faisait l’acquisition de l’antivirus en ligne Virustotal, afin de renforcer la “sécurité en ligne” de ses utilisateurs.

Contacté, Google France n’a pour le moment pas réagi.

Mise à jour : suite à notre demande, Google nous a fait parvenir le communiqué d’un porte-parole du groupe : “Google travaille dur chaque jour pour aider nos utilisateurs à protéger leurs informations. C’est pourquoi nous avons développé cette alerte pour compléter nos systèmes de sécurité des comptes. Nous espérons que ces messages bien visibles encourageront les utilisateurs concernés de prendre des mesures pour renforcer la sécurité de leurs comptes et leurs ordinateurs.”

Photo par John Biehler (CC-by-nc-sa) remixée par Ophelia Noor

]]>

Yahoo et Gmail lisent vos mails

Benoit Le Corre — Tue, 25 Oct 2011 07:45:15 +0000

Le 13 octobre, Yahoo! a lancé un site pour vanter la popularité de sa messagerie avec une carte interactive baptisée Visualizing Yahoo!. Celle-ci propose notamment de visualiser en temps réel les mots les plus employés par ses utilisateurs, en analysant le contenu de leurs mails. Pour cette opération marketing, Yahoo! promet qu’elle lit uniquement la ligne de l’objet du message. N’empêche, à cette occasion, on découvre que Yahoo! peut lire l’intégralité de vos mails.

Interrogé à ce sujet, Yahoo! désapprouve le verbe “lire” mais reconnaît l’existence de cette pratique. Pierre Landy, responsable juridique de Yahoo! Europe évoque plutôt “des systèmes automatiques”, autrement dit des programmes qui “scannent et analysent l’ensemble des messages envoyés et reçus d’un compte utilisateur”. Pièce jointe, objet, corps du texte, tout y passe. Aucune intervention humaine n’est a priori requise. Comprendre que l’analyse n’est pas effectuée par des être humains mais des robots. Méconnu, ce processus est pourtant présent dans de nombreuses messageries gratuites.

Gmail aussi aime lire

Gmail, l’autre géant américain des correspondances numériques fonctionne de la même manière. La totalité du contenu des messages de ses utilisateurs est automatiquement scanné et analysé, en vue de générer des “mots clés”. Les trois dernières lignes de la partie “Publicité et confidentialité” des Conditions générales d’utilisation :

Google analyse le texte des messages Gmail afin de filtrer les spams et détecter les virus. Le système de filtrage Gmail permet également d’analyser les mots clés contenus dans les e-mails afin de cibler l’audience des annonces diffusées.

Yahoo! et Google revendiquent la légitimité de leur procédé. Pierre Landy de Yahoo! Europe explique :

Cela permet de bloquer près de 550 milliards de spams atterrissant dans les boîtes mails de nos utilisateurs chaque mois dans le monde, soit aux alentours de 1800 mails par utilisateur.

Et si, en même temps, cette analyse permet d’identifier les centres d’intérêts des utilisateurs, c’est pour “améliorer la pertinence des annonces” et leur proposer une publicité adaptée à leurs besoins. Autrement appelée de la publicité contextualisée.

Quant à la légalité de cette pratique, une piste de réponse semblait être apportée par l’application “Visualizing Yahoo!”. L’onglet “What am I seeing?”, en dessous du fil des mots clés, apprend que les données n’ont pas été utilisées en Italie, au Royaume-Uni, en Allemagne, en Espagne et en France.

Une violation potentielle d’un droit fondamental

La liste des cinq pays internes à l’UE laissait présager que le droit européen constituait un rempart aux analyses des contenus des mails. Ou au moins à leur diffusion. Une version confortée par le Contrôleur européen de la protection des données. Contacté par OWNI, il estime que “le système de scan implique une potentielle violation de la confidentialité des correspondances”. Donc une violation d’un droit fondamental de la Charte européenne des droits de l’Homme.

De son côté, Pierre Landy de Yahoo! Europe assure que la collecte des données est légale :

Le projet a été initié aux États-Unis et il n’est pour le moment pas prévu de le déployer localement dans d’autres pays (…) Ceci explique que les données relatives à la France, l’Espagne, l’Italie, l’Allemagne et le Royaume-Uni, si elles sont effectivement collectées n’y sont pas présentées.

Une directive adoptée en 2002 par le Parlement européen n’interdit effectivement pas l’analyse des contenus mais oblige les sociétés à informer l’utilisateur sur cette pratique. Elle vient appuyer la directive 95/46/CE qui est un texte de référence en matière de protection des données personnelles. De fait, l’internaute devrait avoir la possibilité de refuser ce service. Un autre groupe de travail européen, constitué en 2006, a légitimé le scan – appelé “filtrage” dans le texte de loi – au vu des spams massifs.

Pour vulgariser à l’extrême, ce type d’analyse n’est pas inquiété par la justice européenne puisqu’il

a été jugé nécessaire,
est robotisé,
accepté par l’utilisateur lors de son inscription.

Au niveau du droit français, la loi du 6 janvier 1978 pose la même base. Selon Cédric Manara, spécialiste du droit sur Internet et professeur à l’EDHEC:

cette loi dit que si l’on collecte des informations, il faut que l’utilisateur soit informé, qu’il accepte le principe et qu’il soit informé des conditions dans lesquelles les données seront utilisées.

D’où l’importance du bouton “J’accepte” lors de la création d’un compte Yahoo! Mail ou Gmail.
A défaut de désactiver le scan qui sera toujours effectif, il est possible de désactiver les publicités contextualisées.

* Pour pénétrer la “mémoire cachée ” de Facebook, RDV ici : http://www.ecrans.fr/Facebook-la-memoire-cachee,13424.html

Illustration FlickR Éole

]]>

Facebook Messages, le piège qui va asseoir la suprématie de Facebook

Damien Douani — Tue, 16 Nov 2010 14:55:09 +0000

Facebook a annoncé hier soir sa nouvelle messagerie « sociale » qui a pour but d’agréger l’intégralité des échanges entre deux personnes, qu’ils soient issus d’un chat, de SMS ou de courriels.

À ce titre, même si Facebook se défend de vouloir tuer l’e-mail (dont les poids lourds sont Hotmail et Yahoo aux États-Unis avec à eux deux presque autant de comptes que Facebook !), il est clair que la société du petit Mark essaye de réinventer un outil vieillissant mais toujours très utilisé.

Rendre service plutôt que de ré-inventer le courrier électronique

Il essaye surtout d’éviter l’écueil rencontré par Google et Wave : en clair, on vous rend d’abord service en agrégeant les conversations, et en vous donnant un outil intelligent vous permettant de trier entre messages importants (ses amis proches) et moins importants (les messages d’invitation à des groupes, des soirées, des contacts moins récurrents).

Et seulement si vous le voulez, s’ouvrir sur sa messagerie actuelle en échangeant avec les personnes qui n’ont pas Facebook.

Cliquer ici pour voir la vidéo.

Facebook en veut toujours plus

C’est là que la mécanique virale de type « stratégie du dealer » entre en jeu : en se connectant à des personnes qui n’ont pas Facebook mais qui ont un courriel, Facebook les intègre dans sa base.

Outre grossir artificiellement le nombre d’utilisateurs potentiels, le réseau de Mark Zuckerberg va peu à peu devenir l’outil indispensable pour les deux parties (l’utilisateur de Facebook et celui de courriel), poussant l’utilisateur de courriel à aller vers Facebook car finalement « s’il était membre de cette communauté il pourrait avoir accès à bien plus sur ses amis » : photos, invitations, statuts, etc. Ce que ne manquera pas de lui faire remarquer son amis facebookien (je suis en train de faire cela avec ma petite sœur, c’est vous dire si je vois très bien la mécanique se mettre en place).

Facebook ne veut pas tuer le mail

Conclusion : Facebook Mail ne veut pas tuer le mail, et c’est vrai. C’est au contraire un formidable outil de recrutement et d’évangélisation basé sur des usages de chaque côté de la barrière : « le mail c’est limité regarde tout ce que tu peux faire avec Facebook. » / « Finalement ma boite mail elle est limitée et j’y reçois des tonnes de spam, sur Facebook il n’y a que mes amis qui me parlent et tout est agrégé simplement. »

Sans oublier que c’est un nouveau levier pour augmenter la captation de temps passé sur le réseau et afficher plus de pub. D’ailleurs, rien ne dit que Facebook ne va pas screener les messages à la mode Gmail pour associer des annonces de marques ou bien proposer des rapports d’usages à des marques présentes sur la plateforme.

La timide riposte Gmail

Côté Gmail, Google a d’abord proposé Buzz, pour agréger les flux sociaux de type « statut » (Twitter, Friendfeed…), puis a sorti assez discrètement en septembre 2010 une boite aux lettres « intelligente », basée sur la fréquence d’utilisation et de réponse à certains messages, et triant automatiquement les messages importants ou pas pour l’utilisateur.

Cliquer ici pour voir la vidéo.

Mais le tri reste basé sur le contenu, pas sur les interactions sociales. C’est là qu’intervient Facebook et la force de son “social graph”, qui devient l’outil d’analyse pour classer l’information non pas en fonction de sa teneur mais de son émetteur et de sa proximité sociale.

Asseoir sa suprématie commerciale

Facebook ne veut donc pas tuer le mail mais le ré-inventer en douceur, toujours en s’appuyant sur sa force première : les usages sociaux de sa communauté de plusieurs centaines de millions de membres.

Tout en posant les incontournables questions de confidentialité des échanges, et de marchandisation de ceux-ci, Facebook ainsi en sa possession une formidable base de données qui comporte à la fois les profils des membres, les actions de ceux-ci en temps réel (statuts) ou différé (photos…), leurs goûts (I Like), leurs envies (invitations, pages de fans), et maintenant une vision précise de qui échange fortement avec qui y compris en dehors de la plate-forme (avec, à la clé, l’affinage du graphe social, la base de l’algorithme du site).

Une mine d’or pour les marques, une datamining hallucinant, et, il faut le reconnaitre, une addiction toujours plus forte des utilisateurs qui voient leurs usages placés au centre du mécanisme. Superbe piège.

—

Billet initialement publié sur Stan et Dam

Image CC Flickr smlions12

]]>