Mamori'nsight - Mars 2025

Firefox a attiré l’attention en supprimant toute mention de son engagement à ne pas revendre les données de ses utilisateurs. Si cela a été justifié par Mozilla par des contraintes de rédaction juridique, tout ceci, associé aux changements de gouvernance récents de cette organisation, permet d’envisager que Firefox puisse s’ouvrir à une éventuelle réutilisation des données de ses utilisateurs. 

🔹 Pour l’instant, Firefox reste un navigateur qui limite efficacement le tracking.  
🔹 Si cela vous donne envie d’explorer d’autres navigateurs, pensez à Brave, LibreWolf, Tor Browser… 
🔹 Dans tous les cas, le choix d’un navigateur se réfléchit : il n’y a pas de solution parfaite, pensez à ce qui est le plus important pour vous (compatibilité, confidentialité, rapidité… ).

De son côté, Qwant a écopé d’un rappel public de la CNIL sur certaines données transmises à Microsoft (les données concernées sont pseudonymes (non anonymes), donc soumises au RGPD). 

Qwant s'est mis en conformité et aucune sanction n'a été prononcée, mais cela rappelle l'importance de la bonne qualification juridique des données traitées.

🔹 Vidéoprotection algorithmique : un rapport du Sénat préconise de prolonger l'expérimentation de ce mode de surveillance, au-delà des JO de 2024.

🔹 Vérification de l'âge : l'Europe fournit de nouvelles recommandations au sujet des différentes façons de vérifier l’âge des internautes. Ce document tente d'équilibrer la protection des mineurs et de la vie privée, ce qui n'est souvent pas simple à appliquer en pratique. 

🔹 Chiffrement : le gouvernement britannique a exigé un accès aux fichiers des utilisateurs d’Apple chiffrés de bout en bout (voir plus bas, dans le paragraphe sur Signal, pour une définition). Face à cette contrainte, la société a choisi d'abandonner cette fonctionnalité pour ses clients britanniques, plutôt que de fournir l'accès demandé et de compromettre la sécurité de tous ses utilisateurs.

Des pratiques récentes font évoluer le “carding” (vol et réutilisation de numéros de CB). 

Partant d’un phishing, les victimes sont incitées à effectuer de faibles paiements et à les valider avec un code unique reçu par SMS. Mais en réalité, cette opération ajoute leur carte bancaire au Wallet (Android ou Apple) d’un smartphone contrôlé par l’attaquant. 💳
Le fait d’être soi-même un utilisateur d’un Wallet n’impacte en rien ce scam ; c’est plutôt le mode de vérification par la banque qui est ici instrumentalisé pour récupérer le moyen de paiement de la victime à son insu, et pouvoir l'utiliser plus tard.  

🔎 Du côté des moyens de paiement, on note une autre fraude en cours utilisant une adresse e-mail légitime de PayPal pour piéger les victimes, afin de les entraîner dans une arnaque au faux support informatique.

🔹 La Commission Européenne a publié des lignes directrices sur la définition des systèmes d'IA interdits, afin d’accompagner l’entrée en application de l'AI Act.

🔹 Un rapport du Parlement Européen explore les conflits potentiels entre RGPD et AI Act dans le cadre des discriminations.

🔹 La CJUE rappelle que toute décision automatisée concernant une personne physique doit lui être expliquée clairement.

Signal chiffre automatiquement les messages de bout en bout (= seuls l’émetteur et le destinataire peuvent les lire ; personne d’autre, pas même le fournisseur de service, ne peut y accéder en clair), ce qui apporte de bonnes garanties pour la confidentialité des conversations. 

L’application permet d’utiliser des QR codes pour deux usages très différents : 
🔹 L’ajout d’un contact dans Signal.
🔹 La connexion de son compte sur un nouvel appareil.

❌ Or, des attaquants envoient à leurs victimes des QR codes de connexion en les faisant passer pour des ajouts de contact. En cas de scan du QR code, l’appareil de l’attaquant est alors relié au compte de la victime et accède à tous ses nouveaux messages (ce qui porte donc atteinte à la confidentialité).
Si certaines personnes en ont parlé comme d’une faille technique de Signal ; il s’agit en réalité d’une manipulation l’utilisateur. Parmi les améliorations envisageables : un avertissement renforcé ou une demande de confirmation supplémentaire avant de valider la connexion d’un nouvel appareil.

✅ Mes conseils si vous utilisez Signal
🔹 Ne scannez que les QR codes provenant de sources sûres (ou utilisez d’autres moyens d’ajout de contact).
🔹 Vérifiez quels appareils sont connectés à votre compte (comme ceci).
🔹 Pas besoin d’abandonner Signal, mais vérifiez l’origine des QR codes que vous scannez.

ℹ️ Le saviez-vous ?
QR code est l’abrégé de “quick-response code”. C’est un code-barre en deux dimensions inventé en 1994 au Japon pour les besoins de l’industrie automobile !