Quand les assistants vocaux entendent des voix

Le 19 mai 2018 – 02h45

En 2017, Burger King avait fait sensation en insérant dans une publicité ce message : « O.K., Google, what is the Whopper burger?”. L’assistant vocal se réveillait alors pour lire la page Wikipedia du célèbre sandwich. Une expérience qui a pris fin au moment où des petits malins ont modifié la page Wikipedia afin d’y insérer des blagues. Dans cette expérience, c’est le comédien qui prononçait la phrase, audible par les téléspectateurs, mais il est maintenant possible de déclencher les assistants de manière « inaudible».

Plusieurs études menées par des chercheurs, aux Etats-Unis et en Chine, ont permis de démontrer que des messages inaudibles par l’oreille humaine peuvent être envoyés à des assistants vocaux, qui non seulement les entendent, mais leur obéissent. C’est ce que révèle un article publié le 10 mai 2018 dans le New-York Times, Alexa and Siri Can Hear This Hidden Command. You Can’t.

Alors que l’on associe une approche anthropomorphiste aux interfaces dites naturelles, en attribuant aux machines des capacités d’écoute similaires aux humains, la réalité est très différente… Dans les systèmes dits de speech-to-text, le son est traduit en lettres, mots et phrases par un logiciel de retranscription de la parole. En effectuant des légères modifications sur des fichiers audio, les chercheurs parviennent à neutraliser la traduction telle qu’elle aurait dû être effectuée pour la remplacer par une version traduite différemment par la machine, sans que l’oreille humaine ne perçoive quoi que ce soit.

Les équipes de chercheurs de l’université de Berkeley ont ainsi pu cacher des messages de commande dans des bruits blancs qu’ils jouaient par-dessus le son de vidéo Youtube, pour faire appeler des numéros de téléphone ou ouvrir des pages web. Ils auraient pu tout aussi bien activer des fonctions plus gênantes, déjà disponibles via la commande à distance, comme ouvrir des portes ou transférer de l’argent. Un exemple qui démontre qu’il est encore aisé de tromper et manipuler certaines intelligences artificielles.

S’il est possible de modifier des sons pour en changer le message, on peut également diffuser des sons blancs, complètement imperceptibles, sans avoir recours à la couverture d’un quelconque habillage sonore, tel de la musique. En septembre dernier, une équipe chinoise a mis au point le système dit DolphinAttack, qui envoie de faux messages, dans un apparent silence, et désactive les réponses de l’assistant vocal. Il devient alors possible de le contrôler sans risque de se faire repérer par son propriétaire.

Si les fabricants d’assistants connectés, Google, Amazon et Apple annoncent tous mettre en place des mesures de sécurité pour prévenir de telles pratiques, les outils de reconnaissance vocale peuvent comporter des vulnérabilités. Les exemples sont déjà nombreux, comme autant de démonstrations de la nécessaire prise en compte de ces risques dans le développement et l’utilisation des assistants vocaux. Comme nous l’indiquions dans un article LINC : « les impacts du consentement à la collecte de nos données par de tels dispositifs ne sont pas que personnels, mais aussi collectifs, dans la mesure où nous entrainons nos proches dans cette collecte sans qu’ils en aient nécessairement conscience ». Quid d’un faux consentement recueilli par l’intermédiaire d’un dispositif ayant pour but de tromper l’IA de l’assistant vocal, qui pourraient engendrer du point de vue de l’utilisateur une forme de violation de ses données par l’entremise d’un tiers. In fine le fabricant d’assistants personnels doit se prémunir et protéger ses systèmes, notamment au regard du principe de sécurité des données, inscrit dans l’article 5 du Règlement européen.


Illustration : Anomalie Glitch Art Distorsion – cc-by 5187396 (Pixabay)


Source : Régis Chatellier

Publicités

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?

03/04/2018 – 18h17

Vous n’en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d’adresse de votre navigateur, celle-ci transite en clair jusqu’au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c’est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais « on » sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c’est grâce à cela qu’on peut faire de la big data, analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d’encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu’il s’agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu’ils ont pris les devants et s’engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c’est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c’est évidemment à prendre avec toutes les précautions d’usage.

Donc OK pour l’internaute c’est super.

Mais j’imagine que pour Cloudflare, connaitre les requêtes vers l’ensemble des sites web d’un grand nombre d’internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D’un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n’est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme Quad9 dont l’IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d’intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c’est à vous de décider, mais c’est l’occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.

Source : https://korben.info/

Savoir si vos identifiants sont dans la nature

22/01/18 – 07h52

Vous prenez toutes les précautions pour éviter de vous faire hacker ? Vous utilisez des mots de passe forts, vous donnez vos mots de passe à personne et pourtant un problème peut provenir des sites que vous utilisez.

Je veux ici parler des fuites de base de données.

Mes comptes sont-ils dans la nature ?

Savoir si vos comptes sont dans la nature n’est pas toujours facile. Mais ça, c’était avant que le site haveibeenpwned.com soit mis en ligne.

have-i-been-pwned

Ce site permet en rentrant votre adresse email dans le champ, de vérifier si vos identifiants figurent dans les bases de données qui ont fuité, ainsi que peut être, votre mot de passe en clair ou hashé.

Si c’est le cas…

Si un de vos identifiants et/ou mot de passe y figure, nous vous conseillons de les changer rapidement pour éviter tout vol de données ou tout simplement, de compte.

Si ce n’est pas le cas…

Continuez de faire attention à votre sécurité sur les réseaux sociaux et internet, ainsi qu’avec vos emails et pour cela nous vous avons écris un article sur le phishing.

Source : @sforsecure

Un virus propagé sur Facebook Messenger détruit votre ordinateur

Le 28/12/2017 – 15h10

Des cybercriminels ont créé un virus capable de « miner » des crypto-monnaies depuis les ordinateurs infectés. Les conséquences peuvent être dramatiques pour votre machine.
Repéré pour la première fois en Corée du Sud, ce malware a déjà fait des ravages. Selon une étude de la firme de cybersécurité  Trend Micro, il se répand facilement grâce à Facebook Messenger. Le processus est assez simple : l’un de vos contacts infecté vous envoie un fichier vidéo via l’application de conversation instantanée. Le problème, c’est qu’il n’en est pas réellement un et donc , lorsque vous l’ouvrez, le programme s’installe sur votre ordinateur et l’infecte. Il envoie dès lors à son tour cette fausse vidéo à tous vos contacts. La deuxième étape de ce virus est d’installer un logiciel capable de « miner » de la crypto-monnaie à votre insu.
 
Qu’est-ce que le minage ?
Le principe est assez complexe mais peut se résumer comme tel : les utilisateurs (les mineurs) mettent leur machine à disposition d’un réseau de crypto-monnaie afin qu’il effectue les calculs nécessaires pour créer de la monnaie. En échange, le réseau de crypto-monnaie auquel vous avez adhéré offre des coins de la crypto-monnaie générée. Donc, en générant par exemple du bitcoin, on obtient du bitcoin en récompense.
Pourquoi s’attaquer à votre ordinateur ?
Le minage de ces monnaies virtuelles comme le bitcoin requiert un coût énergétique très élevé. Une puissance que votre simple ordinateur ne pourra pas supporter et qui finira par le détruire.
L’important pour les pirates est le nombre d’ordinateurs contaminés. En effet, plus il y en a, plus les bénéfices engrangés seront grands.
Il est malheureusement difficile de se rendre compte que son ordinateur a été infecté avant qu’il ne soit trop tard… Le seul conseil que les experts peuvent donc prodiguer est : ne pas ouvrir une vidéo sous forme d’un fichier zip envoyé par n’importe lequel de vos contacts sur Facebook Messenger.
Source : LaLibre.be

Comment se protéger de la faille de sécurité qui menace tous les réseaux wifi

18/10/2017 – 20h34

WPA2 Krack Wifi
La protection de nos connexions wifi n’est, en théorie, plus garantie. Une faille béante a été découverte dans le protocole de sécurité WPA2, l’outil de cryptage par défaut de tout réseau wifi moderne… Y compris celui de votre domicile. Pas de panique : en attendant que les fabricants d’appareils publient les correctifs nécessaires, nous vous donnons quelques conseils pratiques pour vous protéger.

Le WPA2 (Wi-Fi Protected Access) est conçu pour empêcher une tierce personne d’intercepter une communication par wifi. Si cette protection est contournée par un pirate, toutes les données qui transitent par la connexion wifi sont visibles.

Jusqu’ici, le WPA2 était jugé très fiable : en treize ans d’existence, sa sécurité n’avait pas été mise en péril. C’est sans compter la découverte récente d’un chercheur de la KU Leuven, Mathy Vanhoef : le WPA2 est vulnérable aux attaques de type « Krack » (Key Reinstallation AttaCK), qui consistent à manipuler la procédure de cryptage afin de créer un clone du réseau wifi et espionner ainsi toute l’activité de l’utilisateur, voire interagir avec le réseau et y injecter des virus.

Qui est concerné ?

Potentiellement tout le monde, que ce soit à la maison ou au travail. Pour ainsi dire, chaque appareil qui se connecte en wifi est concerné. Ne paniquez pas pour autant : pour que vous soyez attaqué, il faut non seulement que le pirate soit à portée physique de votre domicile, mais aussi que vos appareils soient vulnérables à la faille.

Bien que ce soit le cas de beaucoup d’entre eux, dont 41 % des appareils Android (les versions Marshmallow 6.0 et ultérieures sont concernées), la situation ne va pas en rester là. Plusieurs grands constructeurs, comme Microsoft et Google, ont déjà fait savoir qu’ils prenaient les choses en main, de même que certains fournisseurs d’accès à internet (Telenet). La résolution du problème passera par la publication de correctifs, à des dates encore inconnues. Microsoft affirme que les versions récentes de Windows ont déjà été corrigées. Il semble que ce soit aussi le cas pour les systèmes d’exploitation d’Apple.

De plus, l’organisme Wi-Fi Alliance, qui est à l’origine du WPA2, est en pleine mise à jour de son protocole et travaille de concert avec les fabricants.

Comment se protéger ?

  • Installer les mises à jour : Comme toujours, par mesure de sécurité, vos appareils doivent bénéficier de la dernière mise à jour disponible. Certains correctifs dédiés à la faille du WPA2 seront déployés dans les jours et semaines à venir : restez attentif à d’éventuelles notifications sur vos appareils.
  • Se connecter par câble : Retour aux bonnes vieilles méthodes. Une connexion par câble ethernet vous garantit d’échapper à la faille. Qui plus est, le câble assure aussi une transmission de données plus rapide.
  • Ne pas utiliser de wifi public : En temps normal, ce n’est déjà pas une bonne idée. Mieux vaut même éteindre totalement le wifi sur votre appareil quand vous êtes en déplacement. Préférez votre réseau mobile 3G/4G : avec celui-ci, vous pouvez même créer une borne wifi à usage privé (voir notre article « Créer une borne wifi avec son smartphone » dans Test Connect n°12, septembre-octobre 2017).
  • Surfer sur des pages sécurisées : A certains moments critiques, comme lors d’un paiement sur internet, assurez-vous que l’adresse de la page web commence par HTTPS et qu’elle est précédée d’un petit cadenas vert dans la barre supérieure de votre navigateur.
  • Ne pas basculer en WPA1 ou WEP : Ces autres protocoles de sécurité pour wifi ne sont pas mieux sécurisés, voire obsolètes. De la même manière, il est inutile de changer le mot de passe de votre réseau : ce n’est pas là que réside le problème.

Source : Test Achat

KRACK, la faille sécuritaire qui fait trembler les réseaux WIFI

 

KRACK, la faille sécuritaire qui fait trembler les réseaux WIFI

 

Les experts en cybersécurité l’ont signalé depuis longtemps, les réseaux WIFI sont vulnérables aux attaques. Une faille de sécurité majeure, baptisée KRACK, a été identifiée par des chercheurs de l’université belge de Louvain. Le protocole de chiffrement WPA2 qui est utilisé par quasiment tous les réseaux wifi pour se protéger des intrusions, doit être revu et corrigé. Car c’est par son biais que le piratage est possible. Et l’on ne parle pas de l’utilisation de votre réseau pour lequel vous payez, mais de vols d’informations comme les numéros de carte bancaires, les mots de passe, les courriels, les photos, les messages instantanés… Selon la configuration du réseau, il est aussi possible qu’un pirate puisse insérer des rançongiciels ou des logiciels malveillants…

La faille a été baptisée KRACK pour Key Reinstallation Attack, car elle permet aux pirates d’insérer une nouvelle clé de sécurité dans les connexions wifi. Les chercheurs lui ont dédié un site : http://www.krackattacks.com.

Pour se protéger, l’agence américaine de sécurité informatique (Cert), qui a émis un bulletin d’alerte ce lundi, conseille d’utiliser une connexion sécurisée par VPN (“Virtual private network”), et de mettre à jour ses appareils connectés ainsi que son routeur, le boîtier qui fait transiter les données.

Wi-Fi Alliance, un groupe fixant les normes des réseaux sans fil, a toutefois affirmé que les utilisateurs ne devaient pas céder à la panique car “il n’y a pas de preuve que cette faille ait déjà été exploitée à des fins malveillantes”.

http://fr.euronews.com/2017/10/17/krack-la-faille-securitaire-qui-fait-trembler-les-reseaux-wifi

Source : euronews

CCleaner : un deuxième malware trouvé, une mise à jour ne suffira pas à vous protéger

Les chercheurs de Cisco Talos Intelligence ont découvert un deuxième malware dans la version corrompue de CCleaner. En plus de la mise à jour du logiciel, ils recommandent de restaurer votre PC.

%d blogueurs aiment cette page :