Brèves du 5 au 11 avril 2020

Bonsoir, voici les brèves de la semaine. Excellente lecture à tous !

Le piratage des données de 533 millions d’utilisateurs de Facebook

Véritable séisme virtuel pour les utilisateurs de Facebook, ou du moins pour 533 millions d’entre eux pour lesquels leurs données personnelles telles que numéro de téléphone, nom et prénom, adresse électronique ou encore date de naissance ont été divulguées cette semaine sur différents forums de piratage de basse échelle. Concernant 106 Etats et pas moins de 20 millions d’usagers français, cette fuite d’une ampleur inégalée a été révélée par le média américain Business Insider et largement désavouée par la compagnie « victime ».

Selon Liz Bourgeois, la porte-parole de Facebook sur l’affaire, la fuite de ces données qu’elle qualifie « d’anciennes » provenait d’une vulnérabilité du système d’information déjà identifiée en janvier 2019 et qui aurait été corrigée au mois d’août de la même année. Défense que nous pouvons contester avec une simple question : qui parmi vous change régulièrement de numéro de téléphone, d’adresse mail ou bien de date de naissance ? Personne. Cette brèche dans la confidentialité et la sécurité des données positionne les utilisateurs de Facebook à la merci des cybercriminels auteurs de phishing ou de fraudes à l’identité, dès lors que leurs données sensibles sont actuellement abondamment diffusées sur ces plateformes malveillantes.

Plutôt que de mettre en avant sa responsabilité, Facebook s’est limité à recommander à ses usagers de mettre à jour eux-mêmes leurs paramètres de confidentialité et de redoubler de prudence à l’égard de leurs données : plutôt audacieux pour ce géant de la tech dont la valeur dépasse les 300 milliards de dollars. Facebook avait déjà pourtant promis de sévir à l’encontre de ce data-scraping, après que Cambridge Analytica eut accédé aux données de 80 millions d’utilisateurs américains pour les cibler de publicités politiques lors de l’élection présidentielle de 2016.

Sur le plan légal, cette violation des données est couverte par le Règlement Général sur la Protection des Données, entré en vigueur en mai 2018. Ce règlement impose à toute compagnie procédant à la collecte ou au traitement de données à caractère personnel de témoigner de toutes les garanties suffisantes et nécessaires pour assurer leur sécurité, intégrité et confidentialité. L’éminent membre des GAFAM se trouverait-il au-dessus des lois à ce sujet ? De son côté, la Data Protection Commission de Dublin, où se situe le siège social européen de Facebook, a réprimandé la société pour ne pas l’avoir informée de cette faille de sécurité. Les investigations se poursuivent, mais il ne serait pas étonnant que le groupe de Mark Zuckerberg soit une nouvelle fois condamné pour avoir trompé ses utilisateurs et pour avoir failli à protéger leurs données personnelles. Quant à ce dernier, ses données ont également été diffusées lors de la fuite, révélant par la même occasion qu’il faisait usage de l’application de messagerie hautement sécurisée Signal, qui n’appartient pas (encore ?) à Facebook. Peut-être ferions-nous mieux de suivre son exemple…

Mathieu GALLOT

 

Sources :

 

 

Loi « anti-Huawei » : Le Conseil d’État rejette les recours des opérateurs télécoms

Le jeudi 8 avril, nous apprenions que le Conseil d’État a rejeté les requêtes de Bouygues Telecom et de SFR formées contre la loi « anti-Huawei » votée en 2019.

Photographie : Marie-Lan Nguyen – Wikimedia Commons

Ladite loi a pour ambition de contraindre les opérateurs à obtenir, pour toute installation d’antenne 5G, après un avis favorable de l’Anssi, (Agence nationale de sécurité des systèmes d’information) une autorisation du Premier ministre. 

Ainsi, le gouvernement vient contrôler les déploiements de la nouvelle génération de réseau cellulaire sur le territoire. Implicitement, l’État vient fermer la porte aux équipements du géant chinois Huawei, soupçonné de servir les renseignements des autorités chinoises. 

Seulement, tous les opérateurs ne partent pas sur un même pied d’égalité. Si Orange et Free sont des clients de Huawei, ils utilisent les antennes de l’équipementiers chinois uniquement pour les marchés extérieurs. Ce n’est pas le cas de Bouygues Telecome ni de SFR qui, ayant déjà eu recours à l’équipementier pour ces technologies antérieures, prévoyaient de se baser sur ce dernier pour implanter son réseau 5G dans l’Hexagone.       

Furieux de la manœuvre de 2019, ces deux opérateurs, après s’être vus refuser leur demande devant le Conseil constitutionnel, se sont tournés, sans se faire trop d’illusions, vers le Conseil d’État.

Alors, quels sont les arguments invoqués par les deux opérateurs ? D’abord, il a été pointé du doigt la violation du principe de confiance légitime. L’État se serait engagé auprès des deux opérateurs qui se sont donc basés dessus pour développer leur réseau. Ils estiment que la loi de 2019 serait contraire à ces promesses. Seulement, le Conseil d’État n’a trouvé aucune trace de ces engagements.

En outre, le second motif portait sur l’atteinte excessive au droit de la propriété garanti pour la Convention de sauvegarde des Droit de l’Homme et des libertés fondamentales. Encore ici, l’argument a été écarté.

Pour autant, puisque l’interdiction de certains matériels 5G vient contraindre les opérateurs à changer leurs antennes, le Conseil reconnaît que la loi vient les limiter, proportionnellement au but recherché, dans leur droit de propriété

En conséquence, les opérateurs pourront donc faire reconnaître leur droit à être indemnisés devant le tribunal administratif si le dommage causé résulte d’aléas au caractère grave et spécial.

Ainsi, si le message est bien passé, le prochain combat sera celui de l’indemnisation… 

 Pierrine CERVI 

 

Sources :

 

 

Fuite des données de 500 millions d’utilisateurs de LinkedIn 

Quelques jours après la mise en ligne de plusieurs millions de numéros de téléphone en provenance de Facebook, c’est au tour de LinkedIn d’être victime d’une fuite des données de 500 millions de ses utilisateurs.  

En effet, 500 millions de données auraient été extraites et mises en vente pour plusieurs milliers de dollars. Parmi les données en question, des ID de profils LinkedIn, des adresses e-mails, des numéros de téléphone, des noms ou encore des lieux de travail auraient été extraits puis mis en ligne sur un forum de hacking. C’est ainsi deux tiers des utilisateurs du réseau social professionnel qui serait impacté par la divulgation de leurs données. 

Selon CyberNews, deux millions de profils ont été divulgués par l’auteur du message comme preuve, et les utilisateurs du forum peuvent consulter les échantillons pour environ deux dollars. 

Face à l’inquiétude, la plateforme LinkedIn se veut rassurante : « Ce n’est pas un piratage de LinkedIn et aucune donnée privée ne figure dans ce que nous avons vu jusqu’à présent » a indiqué le réseau social dans une note sur son blog. Ainsi, les données récupérées se limiteraient à des informations déjà rendues publiques sur les profils, et les profils privés ne seraient pas concernés. Le tout résulte d’un « scraping » de données provenant de diverses entreprises et sources. Cette fuite apparaît moins préjudiciable que celle du réseau de Mark Zuckerberg, notamment car les données ne sont pas accessibles gratuitement. 

Il est aussi précisé qu’ aucune information bancaire ni aucun document juridique ne sont inclus dans l’échantillon publié par le pirate. 

Cependant, un tel piratage n’est pas non plus sans conséquences. Il pourrait servir à mener des attaques de phishing ciblées, spammer 500 millions d’e-mails et numéros de téléphone pour saisir les mots de passe LinkedIn et les adresses e-mails des utilisateurs. Le problème qui se pose est qu’une simple adresse e-mail peut parfois suffire à usurper l’identité d’une personne. Cette fuite reste donc problématique. Aussi, si les données ne sont pas accessibles gratuitement sur le forum de hacking, elles pourraient le devenir comme cela a été le cas avec les données extraites de Facebook…

LinkedIn n’a pas indiqué s’il comptait informer chaque utilisateur concerné par la fuite de données. FaceBook avait annoncé qu’il n’avait pas prévu de prévenir ceux dont les informations avaient été divulguées. Néanmoins, un outil de vérification a été mis en place par CyberNews (https://cybernews.com/personal-data-leak-check/). Il permet à chacun de vérifier si son adresse e-mail a fait l’objet d’un piratage, que ce soit lors de la fuite des données sur Facebook ou sur LinkedIn. 

La multiplication des fuites de données, si elle est le revers de la médaille de l’essor du numérique, peut inquiéter. Jamais deux sans trois? On se demande désormais qu’elle sera la prochaine plateforme victime de hacking… 

Audrey NICOLLE

 

Sources : 

 

 

Après 11 ans de batailles judiciaires la Cour suprême des États-Unis met un terme au litige opposant Oracle à Google en donnant raison à Google.

Le temps passe vite, début octobre 2020 était publié les toutes premières brèves de cette année universitaires qui touche désormais bientôt à sa fin, parmi ces 4 brèves l’une d’elles vous informaient que l’affaire opposant Oracle à Google arrivait devant la Cour suprême des Etats-Unis après plus de 10 ans de litiges entre les deux sociétés.

Six mois après l’audience la Cour suprême a mis fin au suspense ce lundi 5 avril mettant ainsi un point final à ce litige aux enjeux importants. En effet en 2010 Oracle accusait Google d’avoir copié sans autorisation « la structure, la séquence et l’organisation » de 37 interfaces de programmation d’applications (API) du langage de programmation Java afin de créer Android. Une violation de son de droit de propriété intellectuelle pour l’éditeur américain de logiciel qui demandait pas moins de 9 milliards de dollars en dédommagements à Google. Après deux décisions rendues en première instance en faveur de Google et une décision d’une cour fédérale d’appel en faveur d’Oracle en 2018, la Cour suprême mettant ainsi un terme à cette saga judiciaire débuté il y a 11 ans déboute Oracle de sa demande en jugeant que « Google n’a pas violé les règles du copyright​ en développant son système d’exploitation mobile Android à l’aide du code d’Oracle ».

Tout l’enjeu du litige reposait sur la question de fond suivante : Les interfaces de programmation d’applications doivent-elle être protégée par le droit d’auteur ?

Pour affirmer le contraire, Google comparait les API à un alphabet ou à une grammaire, les présentant comme des éléments fondamentaux afin de créer de nouveaux programmes. Une approche soutenue par bon nombre de programmeurs pour qui une protection par le droit d’auteur des API constituerait une menace grave pour l’innovation numérique. En effet la reprise des API un l’est des meilleurs moyens afin de développer de nouvelles applications et d’en faciliter leur interopérabilité. C’est-à-dire le fonctionnement d’un même programme à la fois par exemple sur un ordinateur Microsoft ou Apple. Ainsi Microsoft pourtant concurrent de Google a dans son amicus curiae déposé devant la Cour suprême, pris position en faveur de Google en affirmant qu’en cas d’impossibilité pour les programmeurs de réutiliser librement les codes fonctionnels afin de créer de nouveaux produits et fonctionnalités que « le développement innovant serait compromis ».

La société Oracle quant à elle, arguait de la protection des API par la propriété intellectuelle. Ainsi Google aurait ainsi dû lui demander l’autorisation pour avoir utilisé une partie des API de Java comme l’a fait Amazon qui avait payé Oracle afin d’obtenir une licence Java pour sa liseuse Kindle.

Ainsi la solution de la Cour était particulièrement attendue dans le monde de la tech et si Google se réjouit du jugement voyant en ce dernier « une victoire pour les consommateurs, pour l’interopérabilité et pour l’informatique » c’est un coup dur pour Oracle. Le directeur juridique de l’éditeur de logiciels, Dorian Daley affirme « Ils ont volé Java et passé une décennie à plaider comme seul un monopole peut le faire. C’est précisément en raison de ce comportement que les pratiques commerciales de Google sont surveillées de près par les autorités de régulation du monde entier. »

Cependant en s’intéressant un plus précisément à la décision rendue par la Cour suprême des Etats-Unis on peut remarquer que cette dernière n’a pas répondu à la question de fond. En effet pour dédouaner Google la Cour suprême a retenu que Google n’avait fait que réaliser un « usage légitime » en matière de propriété intellectuelle. En effet le juge Stephen Breyer a souligné au nom de la majorité des juges que « Google a réutilisé une interface utilisateur en ne prenant que ce qui était nécessaire pour permettre aux utilisateurs de mettre à profit le cumul de leurs talents, la copie par Google de l’interface de programmation Sun Java représente un usage légitime de ce contenu sur le plan du droit ». En effet Google n’aurait repris que 11 500 lignes de code de Java, c’est-à-dire 0,4% de l’ensemble du langage de programmation composé de 2,86 millions lignes de code. Ainsi la Cour suprême ne répond pas directement à la question de la protection des API par la propriété intellectuelle en estimant que le « fair use », l’usage loyal par Google des API était ici suffisant pour trancher l’affaire. Dès lors, cela signifie que tout programmeur peut utiliser librement des API afin de créer de nouveaux programmes en dépit d’une protection par le droit de la propriété intellectuelle dès lors que l’usage est considéré comme étant légitime.

Une solution que déplore le Juge Clarence Thomas, l’un des deux juges ayant voté contre Google, ce dernier affirmant que « Les codes informatiques occupent une place unique pour la propriété intellectuelle ». Le responsable des opérations mondiales chez Google Kent Walker y voit quant à lui une solution conduisant à une meilleure « sécurité juridique pour la prochaine génération de développeurs dont les nouveaux produits et services bénéficieront aux consommateurs. »

Florent EL ABIDI

 

Sources : 

Promotion 2020/2021 

MasterIPIT