397 liens privés
Dans ce film de propagande, on essaie de nous persuader que le "quantify-self" est indispensable pour mieux se sentir dans notre vie ou pour diagnostiquer des problèmes de santé en avance...
Le problème c'est que ces données sont aujourd'hui mesurées par des dispositifs (boîte noires) qu'on ne maitrise pas . La grande question c'est: "Que deviennent ces données??".
Je pense que ces données de santé ont bien plus de valeur que des "likes" sur facebook.
Elles peuvent intéresser des assurances (doit-on assurer cette personne), des banques (doit-on prêter de l'argent à cette personne), des sociétés (est-il "valable" d'embaucher cette personne) etc. bref je pense que beaucoup d'entreprises sont prêtes à dépenser de l'argent pour mettre la main sur ces données.
L'auteur de la vidéo utilise la géo-localisation de twitter/instagram pour récupérer des informations personnelles des gens autour de lui. Il piege ensuite ces gens en leur faisant croire qu'il connait des informations sur eux... alors que ce sont les gens eux-mêmes qui les ont donné... publiquement.
J'adore à la fin, un mec qui s'est fait piegé dit: "Thanks for invading my privacy. I'll call the police if you do that again."
Les developpeurs d'applications mobiles font appel à une sorte de "google analytics" appelé Flurry (http://www.flurry.com/). Flurry traque actuellement 400000 applications sur iOS, Android, Windows Phone, HTML5/Hybrid Apps/MobileWeb, BlackBerry et JavaME.
Morceaux choisis:
"More than 400,000 apps now use the tool and, in return, funnel much of that user data back to Flurry."
"Flurry thus has a pipe into more than 1.2 billion devices globally and is inside seven to ten apps per device. It continuously triangulates among them all, collecting on average 3 terabytes of data each day. "
"Mobile phones don’t have cookies in their browsers, so Flurry’s analytics tool crowd-sources that data through apps instead. It encrypts and combines identifying bits of data to create an anonymous ID for each device, lumping them into one or more of 40 “personas” (psychographic profiles like “business traveler” and “sports fanatic”) that it edits every two weeks for each Flurry ID. Khalaf is aiming for up to 100 personas by the end of 2013. They won’t get more granular, he says, just “better” for advertisers. "
Secure webmail. HTTPS only. GPG for the masses.
doc: https://scramble.io/doc/
why: https://scramble.io/doc/why.html
code: https://github.com/dcposch/scramble
à lire absolument
En gros linkedin a mis en place un espèce de proxy IMAP qui fait de la réécriture des mails pour les enrichir avec des données venant de leur réseau. Ces informations sont lisibles par une nouvelle application directement intégrée dans la boite mail - pour iOS uniquement aujourd'hui.
Qui dit proxy IMAP, dit enregistrement des identifiants de connexions IMAP chez linkedin. Par exemple, si vous êtes chez google, linkedin doit connaitre vos identifiants IMAP pour se connecter à votre place sur le serveur IMAP google depuis leur proxy IMAP. Cela veut simplement dire que vous "donnez" votre compte mail à linkedin...
Ca va encore siphonner de la donnée (mail+contacts) à plein tube.... et rendre un gros service à leur "big data" pour mieux monétiser les utilisateurs.
N'utilisez pas ce service, par pitié!
Pour plus d'infos techniques, lire: http://engineering.linkedin.com/mobile/linkedin-intro-doing-impossible-ios
Je m'explique, je viens de changer d'email perso (gmail->autohébergé).
En faisant gaffe de créer autant d'alias que j'ai de comptes (twitter, linkedin, linuxfr, etc..), j'ai donc une cinquantaine d'alias qui mène vers mon adresse perso. En cas de spam, je sais d'où ça vient et je récréé un alias pour le service, ou bien je me désinscris. Cela permet de cacher mon adresse perso et de la préserver le plus possible de merde.
Tout cela marche bien dans le meilleur des mondes.
La faille se sont les amis qui ajoutent leurs carnet d'adresses entier dans linkedin ou pire facebook. Ce faisant, ils donnent les emails et numéros de tout le monde, gratuitement, et parmis ces données on retrouve mon adresse email PERSO que je voulais protéger.
Aujourd'hui j'ai reçu des invits automatiques de 2 de mes amis qui ont manifestement mis à jour leurs carnet d'adresses gmail et qui ont manifestement une connection entre leur compte linkedin et leur compte google. Linkedin a donc eu accès à ma nouvelle adresse et lui a envoyé des invitations.
Mais putain! Faut que je fasse un alias spécial 'amisboulets' ou quoi?
Le truc c'est qu'une fois que c'est fait, c'est fait. L'info est dans la base, de linkedin, dans mon cas. Pour enlever les autorisations, ça se passe du coté du prestataire depuis lequel les données sont syphonnées. Si par exemple vous voulez supprimer une autorisation qui permet à Linkedin de pomper le carnet d'adresse google, allez sur cette page qui recense toutes les autorisations vers un compte google: https://accounts.google.com/b/0/IssuedAuthSubTokens?hl=en
Vous devriez voir "www.linkedin.com — Google Contacts" et un bouton pour révoquer cette autorisation en face. Pour microsoft c'est là: https://account.live.com/consent/Manage
Je viens de le faire enlever à une amie en tentant de lui expliquer. Mais c'était extremement compliqué. Quand est-ce qu'il y aura des cours à l'école pour sensibiliser les gens au respect de la vie privée?
edit: je rajoute quelques autre exemples que sebsauvage a donné dans sa réponse (http://sebsauvage.net/links/?m267XA) à ce coup de gueule
- L'application Twitter siphonne vos contacts: http://sebsauvage.net/links/?3TTjIw
- LinkedIn pioche les listes de contacts pour les spammer: http://sebsauvage.net/links/?3o54gQ
- 80% des développeurs d'applications pour mobile repiquent le carnet d'adresse: http://sebsauvage.net/links/?ZMK5xg
- Pour pouvoir poster un commentaire, certains sites demandent à accéder à votre carnet d'adresse complet: http://sebsauvage.net/rhaa/index.php?2012/02/21/12/19/21-le-lol-du-jour-le-titre-du-huffpo
via https://www.schneier.com/blog/archives/2013/10/me_on_surveilla_1.html
bon il y a aussi Jacob Appelbaum, là http://slideshot.epfl.ch/play/cops_appelbaum
La news du jour :
"Google is developing an anonymous identifier for advertising, or AdID, that would replace third-party cookies as the way advertisers track people's Internet browsing activity for marketing purposes."
"Advertisers will get access to these AdIDs, as long as they adhere to the terms of the program. However, users may be able to change the list of approved advertisers, through controls in the browser, to exclude specific firms, the person added."
Est-ce un paramètre lié à un compte google ou est-ce une feature coté navigateur?
J'attends plus d'infos pour me prononcer.
premier jet pour les spécifications de Caliop.
TL;DR;
tout est dans le titre
hum, en fait l'option de blocage des cookies tiers existe déja dans la version 23 de firefox. Une option propose de toujours les refuser ou de les accepter si on a déja visité le domaine du cookie.
en rapport à http://jeekajoo.eu/links/?b3_4xQ
hum, en fait l'option de blocage des cookies tiers existe déja dans la version 23 de firefox. Une option propose de toujours les refuser ou de les accepter si on a déja visité le domaine du cookie.
en rapport à http://fralef.me/links/?b3_4xQ
Apparemment Mozilla s'oriente sur un mécanisme de blocage des cookies tiers basé - non plus sur les visites de l'utilisateur - mais sur la whitelist/backlist communautaire "Cookie Clearinghouse" http://cch.law.stanford.edu/.
Autre source : https://air.mozilla.org/3rd-party-cookies/
il me semble que si vous utilisez une extension comme ghostery ou disconnect et que les js responsables de fingerprinting sont dans la blacklist : vous êtes déja couverts.
Quand je parle de fingerprinting je parle d'un truc assez poussé comme l'ensemble navigateur, résolution, plugins installés, IP, etc..
On peut aussi faire un fingerprinting moins précis sans utilisé de javascript, simplement en associant le user-agent et l'IP de l'utilisateur via les logs du serveur web.
un p'tit hacker a découvert que android 4.3 cachait un gestionnaire de permission pour les applications.
ce n'est pas encore "prêt" donc google a décidé de le cacher.
quelqu'un a fait une application (un simple raccourci) pour y accèder
https://play.google.com/store/apps/details?id=com.appaholics.applauncher
installé en 10minutes, ça marche nikel.
prerequis = root.
pas besoin de compiler ou d'utiliser une rom custom tel cyanogen - comme c'est le cas avec PDroid.
c'est bourré d'anectodes interessantes. et c'est un bon rappel de bonnes pratiques de sécurité autour de la crypto.
via Neros