Dans quelques heures, nous fermerons définitivement le chapitre 2017 pour entamer celui de 2018. Avant cela, intéressons-nous aux plus grands scandales et ratés qu’a connus l’industrie de la technologie en 2017. Cette liste n’est pas exhaustive.Equifax
Dans un communiqué de presse datant de septembre, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.
Pour rappel, les sociétés de renseignement de crédit travaillent à réunir des informations sur les personnes contractant un emprunt et émettent à leur propos un « credit score » censé mesurer leur solvabilité. Ce type de société collecte donc de nombreuses données personnelles et financières sur ses clients afin de mesurer leur capacité à rembourser leurs dettes.
Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.
Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.
L’entreprise a pointé du doigt une faille dans Apache Struts qui aurait servi de vecteur de pénétration, mais cela ne l’a pas dédouanée pour autant : deux de ses cadres supérieurs ont été contraints à démissionner (notamment son PDG et son DSI), elle a fait face à des plaintes et le Congrès a lancé une enquête pour déterminer ce qui s’est passé. Néanmoins, l’entreprise a affirmé n’avoir perdu aucun de ses gros clients.
WannaCry
S’appuyant sur deux exploits de la NSA qui ont fuité par les Shadow Brokers, le ransomware WannaCry a fait parler de lui suite à sa vitesse de propagation dans le monde entier. Pour faciliter sa diffusion, les pirates se sont appuyés sur un exploit, au nom de code EternalBlue, utilisé par la NSA qui a été diffusé récemment et qui s’appuie sur une faille dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local.
Microsoft assure avoir colmaté cette faille le 14 mars dernier avec une mise à jour de sécurité. L’Américain note que bien que ces systèmes et ordinateurs Windows plus récents protégés aient permis à Windows Update d'appliquer cette dernière mise à jour, nombreux sont les ordinateurs qui ne l’ont pas appliquée à l'échelle mondiale. En conséquence, les hôpitaux, les entreprises, les gouvernements et les ordinateurs dans les maisons ont été touchés.
Face à la propagation de l’attaque, Microsoft a dû réagir et a fourni à Windows XP son premier correctif de sécurité en trois ans. Windows 8 et Windows Server 2003 ont eux aussi eu droit à un correctif de sécurité. L’entreprise en a profité pour rappeler aux utilisateurs l’importance de mettre à jour leur système.
Ce mois-ci, les États-Unis ont officiellement rendu responsable la Corée du Nord pour ce logiciel malveillant.
Obsolescence programmée d’Apple
Suite à une analyse de données de performances, il a été démontré qu’Apple réduit la vitesse des processeurs dans les iPhone avec des piles usagées ou usées, les rendant plus lents. Cette analyse a été la conséquence de plaintes d’utilisateurs selon lesquels les anciens iPhone avec des batteries vieillissantes ont été moins performants que les mêmes smartphones avec des batteries de remplacement, le fondateur de l'entreprise de benchmark Primate Labs John Poole, a collecté des données du programme Geekbench de la société sur des milliers d'iPhone afin de vérifier les allégations.
La marque à la pomme a reconnu le 20 décembre que certaines mises à jour de son système d‘exploitation avaient pour effet de ralentir le fonctionnement d‘anciennes versions de son iPhone dans le souci de préserver la batterie et les composants du smartphone. Une décision qui n’a pas su calmer la colère des utilisateurs et qui a valu à Apple une multiplication d’actions intentées en justice, notamment aux États-Unis, en France et en Israël.
Le silence acheté d’Uber
En novembre dernier, Dara Khosrowshahi, PDG de l’entreprise de VTC, a déclaré dans une annonce que des pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs à Uber Technologies Inc., une violation massive que l'entreprise a dissimulée pendant plus d'un an. Par conséquent, le même mois, la firme de transport a renvoyé son chef de la sécurité et l'un de ses adjoints pour leur rôle pour cacher cette violation, qui comprenait un paiement de 100 000 $ aux assaillants.
L’ingénieur de Google renvoyé après avoir créé une polémique
James Damore a publié une note interne dans laquelle il a voulu expliquer les inégalités salariales, entre autres, entre hommes et femmes dans le milieu de la technologie. Pour lui, cela semblait surtout être un coup de gueule contre les tendances à trop favoriser les femmes. Les géants de l’IT font en effet des efforts pour assurer la diversité dans leurs effectifs, alors que les femmes restent encore très minoritaires. C’est le cas également de Google surtout que le géant de l’Internet est déjà accusé, par le département américain du Travail, de discrimination salariale « extrême » basée sur le genre. Mais pour James Damore, ces inégalités ne sont pas le résultat d’une discrimination basée sur le sexe, mais s’expliquent par des « différences biologiques ».
L’ingénieur de Google, qui a été renvoyé par la suite, a donc fustigé les initiatives de diversité que son employeur essaie de mettre en place pour ne plus être dans le viseur des régulateurs américains. Dans son texte de dix pages, il indique avant tout que la diversité et l’inclusion sont importantes à ses yeux et qu’il ne nie pas non plus que le sexisme existe. Mais James Damore pense qu’il faut « arrêter de prétendre que la différence de salaire implique forcément du sexisme. » Il affirme que « les choix et les capacités des hommes et des femmes divergent, en grande partie, en raison de causes biologiques et que ces différences pourraient expliquer pourquoi les femmes ne sont pas représentées de manière égale dans la tech et [aux postes de responsabilité]. »
Suite à son renvoi, il a porté plainte contre Google.
Les portes dérobées sur Intel ME
Dans un billet de blog, l’EFF a fait état de vulnérabilités dans le module d’administration active (Active Management Technology, AMT), une couche micrologicielle, s’appuyant sur le moteur d’administration Intel, pour permettre à des administrateurs système de contrôler des ordinateurs via les réseaux d’entreprise dans lesquels ils sont insérés.
« Depuis 2008, la plupart des jeux de puces Intel contiennent un minuscule ordinateur appelé Management Engine (ME). La semaine dernière des vulnérabilités dans le module AMT de certains moteurs d’administration ont laissé beaucoup d’ordinateurs équipés de processeurs Intel vulnérables à des attaques locales et distantes. Bien qu’AMT puisse être désactivée, il n’existe présentement aucun moyen de désactiver ou limiter le moteur d’administration en général. Intel doit absolument en fournir un », prévenait alors l’organisation, soulignant au passage la relation entre l’AMT et le module d’administration.
CoinHive et le cryptojacking
Alors que l’industrie de la pub et les adblockers se sont livré une guerre sans répit, CoinHive a proposé sa solution : un script de minage de cryptomonnaie (en l’occurrence Monero) qui, une fois placé sur son site, leur permettrait d’avoir un revenu alternatif.
Seulement, avec CoinHive est né le cryptojacking, qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie. Parmi les sites Web qui l’ont adopté, figurent The Pirate Bay, le site de partage P2P, la chaîne de télévision Showtime et le site officiel de la star du Real Madrid, Cristiano Ronaldo, qui avaient déployé le script de CoinHive sans en avertir leurs utilisateurs.
Selon les statistiques d’AdGuard, près d’un milliard d’internautes sont désormais exposés au cryptojacking. L’entreprise a noté que quatre sites très populaires, qui totalisent à eux seuls 992 millions de visites mensuelles, font appel au cryptojacking et que « Les gains mensuels totaux issus de leurs activités de cryptojacking, en tenant compte du taux actuel du monero, peuvent atteindre les 326 000 $. »
Premiers pas vers la fin de la neutralité du Net
Sans surprise, la FCC, l’organisme américain chargé de réguler les télécommunications, a voté en faveur d’une nouvelle politique mettant fin à la neutralité du Net en décembre 2017.
D’après le commissaire démocrate Clyburn : « ;il y a une erreur fondamentale sous-jacente aux actions et à la rhétorique de la majorité actuelle : l’hypothèse selon laquelle ce qui est mieux pour les fournisseurs de haut débit serait forcément la meilleure chose pour l’Amérique. Ce qui m’attriste, c’est que l’agence qui est censée protéger tourne ainsi le dos à ses devoirs. Mais ce que je suis heureux de pouvoir dire, c’est que la lutte pour sauver la neutralité du Net ne se termine pas aujourd’hui. Cette agence n’a pas le dernier mot, Dieu merci. »
Des informations classées « Top Secret » exposées en ligne
La société de sécurité Upguard a révélé que la documentation de trois bases de données du ministère américain de la Défense est restée publiquement accessible pendant des mois, voire des années, depuis les infrastructures d’Amazon Web Services (AWS). Il suffisait d’avoir un compte AWS pour accéder à ces archives et tout télécharger.
Ces archives ouvertes contenaient « plusieurs téraoctets » de données extraites depuis des sites web publics : des articles d’actualités, des textes Facebook, des commentaires YouTube, des tweets, des messages de forums, des blogs, etc. Ces données étaient réparties sur trois serveurs intitulés « centcom-backup », « centcom-archive » et « pacom-archive ». Centcom et Pacom désignent respectivement les états-majors US Central Command et US Pacific Command
D’après Upguard, certaines de ces données étaient collectées par un logiciel Big Data baptisé « Outpost ». Édité par la société VendorX, il s’agit d’un outil « d’analyse sociale multilingue » utilisé de manière exclusive par le Pentagone. Il permettrait même de créer des campagnes d’influence dans « les régions instables du monde ». D’autres données étaient visiblement destinées au logiciel « Coral Reef », un outil interne du Pentagone qui permet d’analyser les relations entre personnes.
« Cette fuite en ligne est une illustration frappante de la façon dont le recours à des fournisseurs tiers peut être dommageable, capable même d’affecter les plus hauts échelons du Pentagone », soulignait alors la société.
Munich a décidé d'abandonner LiMux pour Windows 10 à partir de 2020
Un peu plus d’une décennie après avoir déployé LiMux, une version personnalisée de Linux, sur son parc informatique pour se libérer des « vendor lock-in », la ville de Munich a décidé de revenir à Windows. Une migration dont le coût total est estimé à 50 millions d’euros
Et vous ?
Quels sont les scandales ou ratés dans l'industrie de la technologie qui vous ont le plus marqué en 2017 ? Pourquoi ?Voir aussi :
Apple confirme ralentir intentionnellement les vieux iPhone officiellement pour préserver la batterie et les composants du téléphone Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale des rançons de 300 $ minimum sont exigées Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage, d'une société de renseignement de crédit Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers, pour étouffer l'affaire Un employé de Google crée la polémique en expliquant que les femmes ne sont pas faites pour la tech et finit par être viré de l'entreprise 
Envoyé par ZenZiTone
