La plaie Tiktok va peut-être enfin disparaître

Comme vous le savez peut-être déjà, Tiktok est interdit d’utilisation pour les fonctionnaires fédéraux.

Récemment, un examen mené par la dirigeante principale de l’information (DPI) du Canada, Catherine Luelo, qui a déterminé que TikTok présentait un niveau de risque inacceptable pour la vie privée et la sécurité.

Tiktok représenterait donc un risque important pour la vie privée et la sécurité des fonctionnaires, mais pas celle des citoyens?

Quels sont les risques de Tiktok?

Dans mon billet Pourquoi il faut bannir Tiktok du Canada, j’expliquais que Tiktok fait du keylogging (enregistrement de frappe) et qu’il peut suivre et transférer chacune de frappes de clavier que vous faites sur le mobile incluant vos mots de passe, informations bancaires et autres. Ils peuvent donc suivre votre navigation en tout temps et même hors de Tiktok.

Je citais même Radio-Canada qui révélait que

Au-delà des données liées à l’activité d’un utilisateur sur la plateforme (comptes suivis, vidéos écoutées, messages privés échangés dans l’application, etc.), TikTok peut avoir accès à d’autres informations liées à l’appareil que vous utilisez, selon le Washington Post et la firme Disconnect. Les voici :
• Liste de contacts (si vous accordez votre permission)
• Microphone et caméra (en tournant des vidéos dans l’application, si vous accordez votre permission)
• Bibliothèque de photos (si vous accordez votre permission)
• Géolocalisation approximative (si vous accordez votre permission)
• Identifiant publicitaire (si vous accordez votre permission)
• Adresse courriel et/ou numéro de téléphone (utilisés pour créer le compte)
• Date de naissance (utilisée pour créer le compte)
• Adresse IP
• Les contenus du presse-papier
• Frappes sur le clavier en se servant de l’application
• Le type d’appareil utilisé
• Certaines données de navigation hors TikTok

En outre, Bytedance (maison mère de Tiktok) a même avoué avoir utilisé Tiktok pour traquer des journalistes.

C’est aussi un terreau fertile pour l’exploitation humaine, l’escroquerie et la manipulation. D’ailleurs, Selon Amnistie Internationale, Tiktok comporte des risques pour la santé mentale des jeunes et pousse à l’automutilation et aux idées suicidaires. En outre, je ne compte déjà plus le nombre d’articles à propos des nombreuses blessures et mortalités associées à la pluralité des « tiktok challenge » tous plus décadents les uns que les autres.

Mais il semble que ce ne soit que des peccadilles. Le Journal de Montréal va même jusqu’à titrer :

Interdire TikTok aux É.-U. serait «dramatique» pour les utilisateurs québécois, selon une experte

Disons que tous les experts n’ont pas le même sens des priorités. Parlant d’expert, voici ce que partageait en commentaire l’expert en sécurité Steve Waterhouse à mon statut LinkedIn relatant la connerie journalistique du Journal de Montréal :

Dans le cas de la plateforme TikTok, c’est un instrument de guerre cognitive appliqué contre les ennemis du régime chinois.

La guerre cognitive est l’application délibérée de données pour atteindre des objectifs en influençant, dégradant ou manipulant les processus mentaux d’individus ou de groupes. La guerre cognitive utilise des tactiques psychologiques plutôt que la force physique. Elle utilise le mensonge, la propagande et les opérations psychologiques (PSYOP) pour atteindre ses objectifs. La guerre cognitive englobe un large éventail de tactiques conçues pour exploiter les biais cognitifs, manipuler les réactions émotionnelles et modifier la mémoire collective et l’identité des populations cibles. Elle va au-delà de la simple guerre de l’information.

Il est plus que pressant de mieux gérer ces moyens d’influence envers nos jeunes et moins jeunes DQP, augmenter la sensibilisation et l’éducation envers ces dernières, afin de réduire les risques d’influences indues.

Médias sociaux, criminalité urbaine, gestion des risques et enquêtes

C’est demain que j’ouvrirai par une courte conférence, un panel Criminalité urbaine et médias sociaux lors du colloque Synergie du Pôle Lavallois d’Enseignement Supérieur en Arts numériques et Économie Créative.

Les médias sociaux ne sont pas étrangers à la criminalité de toutes sortes. Des crimes sont commis sur les plateformes ou grâce à ces plateformes, mais elles peuvent aussi être un outil de gestion des risques, d’enquêtes et même de sensibilisation à la criminalité. J’ai eu la chance lors de la dernière année, de tester deux technologies de monitorage web, utilisées par les forces de l’ordre de différents pays, afin de minimiser les risques d’événements criminels ou à des fins d’investigations subséquentes à des actes criminels. Je testais ces technologies pour un client international oeuvrant dans la gestion des risques pour de très grandes chaînes de commerce de détail ici et ailleurs. J’ai été estomaquée de la pertinence de ces outils et de leurs efficacités. Il s’agit de Babel Street (acheté à plusieurs dizaines de milliers de licences pour le FBI) et DigitalStakeout. Mais il existe de nombreux autres logiciels de ce type. Là où le bât blesse est le coût astronomique des licences de ces outils. Par usagers il en coûte de $30 000 à $200 000 annuellement. Et c’est sans additionner le coût des analystes qui devront passer des heures à comprendre la technologie, puis qui passeront le reste de l’année à monitorer différents sujets et événements. Ces technologies font partie des outils OSINT (Open Source intelligence ou renseignement de sources ouverte). Ce sont donc les informations qui sont libres de droits et disponibles gratuitement, pas les outils.

Aussi, il a été remarqué par certains chercheurs que les médias sociaux , dans certains cas, amplifient la criminalité (comme dans le cas des récentes émeutes en France lors de la mort de Nahel Merzouk). On remarque aussi qu’il y a recrudescence de statuts médias sociaux incluant des armes et liés aux gangs de rues. Je rappellerai aussi que les médias sociaux ont été instrumentalisés afin de servir d’outil de recrutement et de planifications des émeutes du printemps érables et de coordination des émeutiers sur le terrain durant les événements.

Nous discuterons donc de comment les médias sociaux sont à la fois une source possible de croissance de la criminalité tout en étant à la fois des outils permettant de prévenir des crimes ou de trouver des coupables dans un processus d’enquête. Vous trouverez plus bas, le PowerPoint de ma courte conférence.

C-18 et les médias canadiens ou comment se tirer dans le pied

Bloquage des médias par Meta

C’est à la lecture d’un statut LinkedIn du pote Bernard Prince, que j’ai décidé de moi aussi mettre mon grain de sel dans les discussions autour de C-18 et du boycotte que fait déjà Meta (Facebook) et que fera probablement Google de ces mêmes médias. Mais avant de donner mon point de vue, je rappelle que pas plus tard qu’hier, les médias ont décidé de porter plainte au Bureau de la concurrence pour « abus de position dominante » par Facebook. Donc le nerf de la guerre pour les médias est l’accès à la publicité qui leur échappe depuis l’avènement massif des GAFAM.

Comme je l’écrivais en commentaire sous le statut de Bernard Prince :

Les hôteliers ont eu le même problème en l’an 2000 avec Hotels.com, Expedia et autres. Cependant eux se sont réveillés, pas les médias. Tu as tout à fait raison. Et le plus ironique, est que ces mêmes médias vomissent sur Twitter qui leur fait une pub gratis alors qu’ils valorisent à outrance Threads qui appartient à Meta et qu’une fois levée avec la super belle presse gratis de nos médias, feront comme ils ont fait avec Facebook et les banniras pratiquement de l’accueil des usagers…

Bernard a aussi ce commentaire :

Il y a effectivement un beau parallèle à faire! Un autre point à l’origine je pense, c’est la responsabilité de la plateforme face aux commentaires diffamatoires et les risques de poursuite. Au-delà de leur faire un pub gratis, les Meta, Twitter et autres ont aussi servi de sous-traitants pour la gestion des commentaires sur les nouvelles et chroniques.

Établir clairement le rôle et la limite de responsabilité d’un média VS la responsabilité personnelle de chaque internaute serait aussi une bonne façon pour les gouvernements d’aider ce secteur.

En résumé, tout comme la majorité des entreprises, lors de l’apparition de Facebook, tous disaient « Venez nous voir sur Facebook », plutôt que « Venez nous voir sur notre site web ». Cela a permis à Facebook de devenir gratuitement le Béhémoth qu’il est aujourd’hui. En outre, il est faux de dire que Facebook jouit des contenus médiatiques sur sa plate-forme. Il faudrait plutôt dire que Facebook permettait le partage des hyperliens médiatiques sur sa plate-forme, ce qui obligeait les usagers à cliquer et à aller sur les médias pour lire les contenus. Mais depuis ce matin, il ne m’est plus possible de partager ma revue de presse sur Facebook, qu’elle soit canadienne ou même internationale.

À propos de Google

Google a aussi menacé de retirer les hyperliens des médias canadiens de son engin. Mais au moment d’écrire ces lignes, il ne l’a pas encore fait.

Pourquoi Facebook et Google ont raison dans leurs positions?

L’ensemble des entreprises payent pour apparaître dans l’accueil des usagers de Google ou Facebook. Par contre, s’ils y mettent de l’effort, ils pourront apparaître dans les résultats naturels à l’aide des tactiques de référencement (ce qui n’est pas gratuit). En outre, les médias jouissent dans Google d’une visibilité accrue et gratuite dans la section actualité. Je rappelle aussi que ce sont les usagers de Facebook (et non pas Facebook) qui partagent les contenus des médias via des hyperliens. Ça donne donc du trafic au médias. Trafic qui ne leur coûte absolument rien. Il est donc tout à fait compréhensible que Google et Facebook refusent de payer pour du contenu qu’ils ne partagent pas eux-mêmes et qui de plus, permet une visibilité gratuite aux médias. À l’instar de tout autre type d’organisation qui se doit de payer pour une même visibilité. L’argument des médias est donc fallacieux.

Pourquoi les médias ont raison dans leurs positions?

Il est vrai que les médias souffrent énormément de la fuite des capitaux publicitaire de leurs plateformes, vers le numérique et en particulier vers Google et Facebook. Il est aussi vrai que le gouvernement se doit de faire quelque chose. Cependant, je ne crois pas que d’attaquer Facebook et Google soit la bonne solution. D’autant plus que l’offre publicitaire des médias est déficiente depuis de très nombreuses années et que comme le mentionne Bernard Prince, leur incapacité à s’adapter aux changements numériques est de leurs fautes, de leurs très grandes fautes. En outre, si jamais Google et Facebook devaient capituler, les médias ne récolteraient que des miettes. Quelques dizaines de millions au plus. Le réel problème de la fuite des capitaux publicitaire vers le numérique est la grande facilité à acheter de la pub et l’adage selon lequel « on peut réellement tout mesurer sur le web ». Cela était tout à fait vrai à mes débuts, il y a plus de 20 ans. Ce n’est plus le cas aujourd’hui. La pub numérique est maintenant gangrenée de fraude à grande échelle. Plus de 50% des pubs numériques ont des vues et des clics frauduleux. Des milliards de dollars de publicité alimentent les réseaux de trafic d’armes, de pédopornographie, de pornographie, de terrorisme et autres problèmes mondiaux majeurs. Google et Facebook ne sont pas responsables de ça, mais ils n’ont aucun intérêt à se couper de 50% de leurs chiffres d’affaires. Car, plus de 50% de la pub numérique est frauduleuse. C’est le plus grand crime internet non criminalisé. Si les médias traitaient intelligemment de cette question et instruisaient les entreprises de cette réalité, les milliards ainsi détournées reviendraient dans leurs propres coffres. Pour cela, il suffirait que le gouvernement criminalise la fraude publicitaire, qu’il développe les outils et processus pour vérifier ces fraudes et qu’il poursuive les auteurs.

Vous croyez que j’exagère?

Il vous suffit de lire ma référence dans le domaine, le Dr. Augustine Fou de NYU. Depuis plus de 30 ans, il traque les pratiques douteuses des fraudeurs et de l’ANA (Association of national Advertisers), des soi-disant entreprises de détection de « bots » et des agences qui joueront les vierges offensées si la question leur est soulevée.

Vous pourriez aussi aimer
Petite histoire des mensonges des GAFA et des autres médias sociaux
Forbes: What Your Fraud Detection Vendor Misses
Percent Fraud is the Wrong Way to Assess Quality. Use Percent Human Instead
What Helped Digital Ad Fraud Spread Like a Disease For A Decade?
L’alternative à l’endémique fraude par clic
La fraude publicitaire en ligne est le crime numérique le plus payant, aperçu de la cybercriminalité

Pourquoi il faut bannir Tiktok du Canada

Ces jours-ci, après ChatGPT c’est au tour de Tiktok de faire les manchettes. Certains disent qu’il faut conserver Tiktok parce qu’étant le média social préféré des jeunes, il faut être capable d’y avoir un accès afin de pouvoir les rejoindre. Je trouve cet argument vide de sens. Parce que ce n’est pas à cause d’un média ou d’un média social qu’on pourra enfin rejoindre nos jeunes. La communication avec « la jeunesse » a toujours été problématique depuis la nuit des temps. Si Tiktok n’existait pas, ils seraient sur d’autres plateformes. Si nous bannissions Tiktok, ils trouveraient d’autres moyens de communiquer entre eux et très possiblement qu’un équivalent à Tiktok apparaîtrait à très courts termes. La difficulté à rejoindre les jeunes est qu’ils ont toujours voulu être différents de leurs ainés et qu’ils se sont toujours trouvé des expressions et des lieux d’expressions que leurs parents ne comprenaient pas ou qu’ils ne fréquentaient pas. C’est la nature même de l’adolescence d’être « différent » et la raison pour laquelle ils délestent Facebook. Le vide créé par le bannissement de Tiktok serait donc vite comblé.

Mais pourquoi Tiktok est-il dangereux.

Tout d’abord, il est fondamental de savoir que Tiktok vous suit à la trace et est même capable d’espionner en temps réel, chacune des lettres et chacun des chiffres que vous tapez sur un autre site web, à partir de l’interface de navigation Tiktok que vous ne quittez pas lorsque vous cliquez sur un hyperlien y résidant. C’est le chercheur en cybersécurité Félix Krause qui a dévoilé cette faille de sécurité majeure :

TikTok monitoring all keyboard inputs and taps

When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.

• TikTok iOS subscribes to every keystroke (text inputs) happening on third party websites rendered inside the TikTok app. This can include passwords, credit card information and other sensitive user data. (keypress and keydown). We can’t know what TikTok uses the subscription for, but from a technical perspective, this is the equivalent of installing a keylogger on third party websites.
• TikTok iOS subscribes to every tap on any button, link, image or other component on websites rendered inside the TikTok app.
• TikTok iOS uses a JavaScript function to get details about the element the user clicked on, like an image

C’est déjà très inquiétant et si Tiktok est utilisé par des gens de pouvoir (député, haut fonctionnaire, baron d’industrie, chercheur scientifique) c’est un risque majeur pour la sécurité nationale.

Mais ce n’est pas tout. En plus d’espionner vos frappes, Tiktok avait laissé une vulnérabilité dans son logiciel, permettant même de prendre le contrôle entier de votre téléphone et de votre identité. Selon Rockcontent.com :

(…) Recent research led by Microsoft 365 Defender Research team shows that TikTok had a breach that was leading users to extremely vulnerable experiences. This issue could allow attackers to hijack a user’s account with literally a single click of a crafted link.

Hijack according to the Cambridge Dictionary means “to force someone to give you control of a vehicle, aircraft, or ship that is in the middle of a trip.” In this case, the breach could be used to steal or “kidnap” one’s account with a single click. Then, attackers could have access to the in-app features of a user account, such as publishing videos, sending messages, interacting with other accounts and even changing personal information. The issue was more likely to happen with Android users.

Fortunately, TikTok has already fixed it and the Microsoft 365 Defender Research Team has not identified any major exploitation. So, it is strongly recommended that users keep their app up to date, using the latest version of it.

Selon Radio-Canada

Au-delà des données liées à l’activité d’un utilisateur sur la plateforme (comptes suivis, vidéos écoutées, messages privés échangés dans l’application, etc.), TikTok peut avoir accès à d’autres informations liées à l’appareil que vous utilisez, selon le Washington Post et la firme Disconnect. Les voici :
• Liste de contacts (si vous accordez votre permission)
• Microphone et caméra (en tournant des vidéos dans l’application, si vous accordez votre permission)
• Bibliothèque de photos (si vous accordez votre permission)
• Géolocalisation approximative (si vous accordez votre permission)
• Identifiant publicitaire (si vous accordez votre permission)
• Adresse courriel et/ou numéro de téléphone (utilisés pour créer le compte)
• Date de naissance (utilisée pour créer le compte)
• Adresse IP
• Les contenus du presse-papier
• Frappes sur le clavier en se servant de l’application
• Le type d’appareil utilisé
• Certaines données de navigation hors TikTok

Avec toutes ces inquiétudes en regard des informations personnelles, en quoi Tiktok est-elle différente des autres applications sociales?

J’ai toujours dit préférer être espionné par les Américains qui sont nos alliés, que par les Chinois avec qui nous avons de nombreux problèmes géopolitiques, commerciaux et géostratégiques. D’ailleurs, les différentes lois de protections des données, bien qu’encore imparfaites, nous garantissent une certaine protection en Amérique et en Europe. Ce n’est pas le cas avec Tiktok qui contrairement à ses prétentions, a continué d’alimenter le Parti communiste chinois avec les données récoltées en Amérique. C’est ce que confirme Buzzfeed :

For years, TikTok has responded to data privacy concerns by promising that information gathered about users in the United States is stored in the United States, rather than China, where ByteDance, the video platform’s parent company, is located. But according to leaked audio from more than 80 internal TikTok meetings, China-based employees of ByteDance have repeatedly accessed nonpublic data about US TikTok users — exactly the type of behavior that inspired former president Donald Trump to threaten to ban the app in the United States.

The recordings, which were reviewed by BuzzFeed News, contain 14 statements from nine different TikTok employees indicating that engineers in China had access to US data between September 2021 and January 2022, at the very least. Despite a TikTok executive’s sworn testimony in an October 2021 Senate hearing that a “world-renowned, US-based security team” decides who gets access to this data, nine statements by eight different employees describe situations where US employees had to turn to their colleagues in China to determine how US user data was flowing. US staff did not have permission or knowledge of how to access the data on their own, according to the tapes.

Et selon TheGuardian, Tiktok a aussi utilisé son application pour espionner des journalistes. Le pas à franchir n’est pas si grand pour qu’ils espionnent aussi nos élus et avec le récent scandale de l’ingérence chinoise dans nos élections fédérales, il y a de quoi être sérieusement inquiété…

TikTok has admitted that it used its own app to spy on reporters as part of an attempt to track down the journalists’ sources, according to an internal email.

Illustration of smart devices saying ‘this holiday season invite big tech into your home’
Are your gadgets watching you? How to give the gift of privacy
Read more
The data was accessed by employees of ByteDance, TikTok’s Chinese parent company and was used to track the reporters’ physical movements. The company’s chief internal auditor Chris Lepitak, who led the team involved in the operation, has been fired, while his China-based manager Song Ye has resigned.

They looked at IP addresses of journalists who were using the TikTok app in an attempt to learn if they were in the same location as employees suspected of leaking confidential information. The effort, which targeted former BuzzFeed reporter Emily Baker-White and Financial Times reporter Cristina Criddle among other reporters, was unsuccessful, but resulted in at least four members of staff based in both the US and China improperly accessing the data, according to an email from ByteDance general counsel Erich Andersen. All four have been fired. Company officials said they were taking additional steps to protect user data.

ChatGPT, le nouveau casse-tête

Il faut certainement applaudir les avancées de l’intelligence artificielle et en particulier, celle d’une avancée majeure de ChatGPT, un agent conversationnel qui permet désormais à quiconque, de créer des contenus étonnants et rapidement simplement à partir d’un questionnement. J’ai moi-même testé ChatGPT à partir de l’examen que j’ai soumis à mes étudiants de HEC lors de la dernière session du cours de 2e cycle de marketing entrepreneurial. Les réponses étaient pertinentes.

Mais il faut aussi s’inquiéter de ses avancées. La technologie n’est pas neutre et le droit des technologies est toujours à la remorque des innovations, et ne la précède pas. D’ailleurs, un nouveau livre que je devrai me procurer L’innovation hors-la-loi : les origines de la techno-normativité, semble traiter de ce sujet délicat dans un résumé :

Ce livre, unique sur le marché, présente une réflexion sur le rôle du droit dans notre société, à la fois comme vecteur de techno-normativité, mais aussi comme solution ou limitation des effets négatifs de la technologie sur la société.
En partant des écrits les plus récents sur la philosophie, la sociologie et le monde numérique, l’ouvrage propose une lecture critique du rapport entre droit et innovation qui intéressera tant un public universitaire qu’un public de professionnels du numérique.

D’ailleurs, pas plus tard que la semaine dernière, je publiais l’article Porn, Piracy, Fraud: What Lurks Inside Google’s Black Box Ad Empire.

And if you have a website and want to earn money from digital ads, you can join the Display Network, where Google places ads on what it has publicly said are more than 2 million websites and an untold number of mobile apps. It’s the modern equivalent of a national network of billboards on nearly every highway being controlled by a single company — and reportedly generated $31 billion in revenue for Google last year.

But if you’re Slapinski, Google’s Display Network has another benefit besides its market share: its secrecy. Google is the only major ad platform that hides the vast majority of its ad-selling partners. This means Google does not disclose all the websites and apps where it places ads or the people and companies behind them. The company conceals this information even after helping establish and publicly supporting an industry transparency standard for disclosing such sellers, which its competitors have largely adopted.

Tout ça pour dire que 20 ans après l’apparition des moteurs de recherches et 10 ans après l’explosion des médias sociaux, on commence à peine à déceler les limites de ces outils et à songer et à commencer à les réguler. Nous sommes conscients du mal économique (des milliards de dollars en faux clics) et du mal sociologique et démocratique (détournement politique des médias sociaux, planification de révolutions, censure, pédopornographie, cybercriminalité, endoctrinement, propagande, etc.) que ces outils ont permis de générer. Il en sera certainement de même pour l’intelligence artificielle et les robots conversationnels. Déjà, certaines écoles bannissent ChatGPT pour les professeurs et les étudiants NYC Bans Students and Teachers from Using ChatGPT. D’autres au contraire, comme l’un de mes collègues professeurs à HEC, s’en serviront comme outil pédagogique ou comme dans cet article, se questionnent sur l’utilisation en classe dans l’article L’IA au service de l’enseignement : conversation avec une IA.

D’autres encore ont déjà développé un outil pour détecter le plagiat : ChatGPT : un étudiant a développé une appli pour identifier les textes générés par le chatbot d’OpenAI.

Entretemps, certains se demandent si l’IA pourrait un jour remplacer les avocats : Could you replace your lawyer with a chatbot? Next month an AI attorney will defend a client in court et bientôt, ce sera peut-être les professeurs, les députés, les médecins et autres professionnels et métiers. Néanmoins, ce qui rassure est que ChatGPT est basé sur des textes en lignes pré-2021 et n’est donc pas en mesure de discuter de sujets contemporains. De plus, bien que la lecture des réponses coule aisément, ChatGPT ne fait preuve d’aucune créativité et comporte des biais flagrants de même que des erreurs comme on peut le noter dans Wikipedia :

Inexactitude et ambiguïté des réponses
L’exactitude de certaines réponses de ChatGPT a cependant été remise en question.

Le journaliste Mike Pearl de Mashable a notamment testé ChatGPT en lui posant plusieurs questions factuelles. Dans une conversation, il demande par exemple au modèle quel est « le plus grand pays d’Amérique centrale qui n’est pas le Mexique ». ChatGPT répond qu’il s’agissait du Guatemala, alors que la réponse est plutôt le Nicaragua. Cette erreur provient de l’interprétation de la question par ChatGPT, qui a cru que l’on s’intéressait à la taille de la population plutôt qu’à la superficie du territoire.

Même si les résultats peuvent être spectaculaires, l’un des dirigeants d’OpenAI, Sam Altman, admet que l’application comporte encore des erreurs sur des sujets importants, et que les retours des utilisateurs sont nécessaires pour corriger les erreurs.

En conclusion, question de vous faire « badtriper » juste un peu, la vidéo du controversé (mais pertinent dans ce cas-ci) psychologue Jordan Peterson.

POUR EN FINIR AVEC L’INTIMIDATION DES FEMMES EN POLITIQUE, RFEL

conférencière cyber-intimidation

C’est le 29 septembre prochain au Château Joliette, à Joliette que je serai conférencière pour le RFEL (Réseau des Femmes Élues de Lanaudière). J’y discuterai des sujets suivants :

• Survol des statistiques de cyberintimidation
• La différence légale et technique entre insulte, diffamation et harcèlement criminel.
• Le processus judiciaire et les coûts associés aux poursuites.
• Les variables risques communicationnelles des différentes plateformes médias sociaux
• Les outils et politiques de modération et les stratégies de mitigation de l’intimidation (la prévention)
• La gestion de crise
• Les bienfaits de la critique
• Comment faire du monitorage et la collecte de preuves numériques et comment monter un dossier de preuve
• Comment se remettre des agressions numériques

Vous pouvez acheter des billets sur la page web du RFEL.

Voici donc le PowerPoint de ma conférence :

Petite histoire des mensonges des GAFA et des autres médias sociaux

Lorsque j’ai commencé ma carrière, je disais que l’audience publicitaire télévisuelle était une création de l’esprit. Lorsqu’on disait que telle émission de tv avec 1 million de téléspectateurs, on ne savait pas combien se levaient pour aller aux toilettes durant les pauses publicitaires. Et avec l’arrivée des enregistreurs numériques personnels, les gens enregistraient leurs émissions favorites et zappaient en grande vitesse les pubs. C’était le cas ici au Canada puisqu’à l’époque, les Américains eux avaient TIVO qui escamotait automatiquement les pubs. Mais ici, étant donné que les câblodistributeurs étaient aussi des producteurs de contenus (songeons à Bell, Rogers ou Videotron), ils avaient toujours refusé de faire entrer cette technologie ici. Alors lors de mes conférences, je disais on compare les chiffres d’audience télévisuelle qui sont une création de l’esprit, aux chiffres du web qui eux sont fiables puisque nous mesurons les clics et la conversion, qui bien que ces chiffres sont beaucoup moins imposants, eux par contre sont vrais.

En 20 ans, les chiffres du numérique ont explosé et les fraudes numériques aussi

Même si les chiffres télévisuels sont une forme de création de l’esprit, il demeure qu’ils sont colligés par des agences indépendantes des diffuseurs. Nielsen, étant le leader mondial en ce domaine. Ces chiffres, quoiqu’imparfaits, sont tout de même neutres et l’imperfection est égale pour tous les diffuseurs. On peut donc objectivement comparer la popularité d’une émission télévisuelle à une autre, et un diffuseur à son compétiteur. Il en est de même pour la radio. D’ailleurs je dis à mes clients que s’ils tiennent à faire de la pub télévisuelle, ils devraient privilégier les canaux sportifs, la météo et les canaux d’information continue puisque ce sont le genre d’émission qu’on écoute en direct sans enregistrer au préalable.

À mes débuts, il y avait un foisonnement d’outils d’analyse statistique de fréquentation de site indépendant. Mais ils étaient tous payants. L’arrivée de Google Analytics bouleversa ce marché. Comme Google Analytics était gratuit, il tua la compétition. Selon Wikipédia, Google Analytic aurait même 80% du marché mondial. Cette réalité est déjà en soi problématique. Comment peut-on objectivement faire confiance à un outil d’analyse d’audience qui mesure lui-même l’efficacité de sa sœur Google, comme outil de création d’achalandage vers un site web?

Mais on pouvait toujours se fier à d’autres outils pour mesurer le trafic mondial. Il y avait toujours Alexa, qui nous donnait une idée externe à Google. Alexa s’est aussi associé à Internet Archive et Wayback Machine. Or que s’est-il passé en 1999? Alexa fut acheté par Amazon.

Quelques années plus tard, on vit naître Twitter, Facebook, YouTube et tous les autres. Il s’avère que chacun d’eux offre généreusement ses outils d’analyse statistique interne. À plusieurs reprises, ces outils ont été sévèrement critiqués pour avoir grossi les chiffres de fréquentation ou de visionnement. D’ailleurs Facebook a plusieurs fois été critiqué pour ses chiffres suspects, voire carrément frauduleux. (dans Wikipédia)

In July 2012, startup Limited Run claimed that 80% of its Facebook clicks came from bots Limited Run co-founder Tom Mango told TechCrunch that they “spent roughly a month testing this” with six web analytics services including Google Analytics and in-house software. Click fraud (Allege reason) Limited Run said it came to the conclusion that the clicks were fraudulent after running its own analysis. It determined that most of the clicks for which Facebook was charging it came from computers that were not loading Javascript, a programming language that allows Web pages to be interactive. Almost all Web browsers load Javascript by default, so the assumption is that if a click comes from one that is not, it’s probably not a real person but a bot.
(…)
Facebook offers an advertising tool for pages to get more “like”. According to Business Insider, this advertising tool is called “Suggested Posts” or “Suggested Pages”, allowing companies to market their page to thousands of new users for as little as $50.

Global Fortune 100 firms are increasingly using social media marketing tools as the number of “likes” per Facebook page has risen by 115% globally. Biotechnology company Comprendia investigated Facebook’s “likes” through advertising by analyzing the life science pages with the most likes. They concluded that at as much as 40% of “likes” from company pages are suspected to be fake. According to Facebook’s annual report, an estimated 0.4% and 1.2% of active users are undesirable accounts that create fake likes.

(…)
In August 2012, Facebook revealed that more than 83 million Facebook accounts (8.7% of total users) are fake accounts. These fake profiles consist of duplicate profiles, accounts for spamming purposes and personal profiles for business, organization or non-human entities such as pets. As a result of this revelation, the share price of Facebook dropped below $20. Furthermore, there is much effort to detect fake profiles using automated means, in one such work, machine learning techniques are used to detect fake users.

Pour YouTube, vous pouvez lire l’excellent article The Flourishing Business of Fake YouTube Views, qui encore une fois, explique comment on peut s’acheter des « vues » sur Youtube, via de faux comptes. Déjà en 2014, dans mon billet Click Farms (les fermes de clics) ou comment se faire fourrer heureux, comment il était facile et payant, de frauder les statistiques numériques et en 2007, je parlais de la conférence AirWeb qui avait pour mission de partager les connaissances contre le pourriel des moteurs de recherche et en 2006, Google et Yahoo se faisaient ramasser pour les fraudes par clic.

J’y disais :

Le hic, Google et Yahoo ne sont pas transparents sur les procédures qu’ils utilisent afin d’identifier et de neutraliser les fraudeurs de clics. Autre os dans le discours des moteurs de recherche, dans le même souffle ils disent protéger leurs clients, mais ne pas avoir suffisamment de données pour le faire !??

Mais si vous étiez l’une de ces entreprises, seriez-vous réellement convaincus que de lutter pour éliminer 20% de votre chiffre d’affaires (à l’époque) ou 50% de votre chiffre d’affaires (aujourd’hui) soit une bonne chose votre entreprise? Poser la question, c’est y répondre. D’ailleurs, outre les scandales sporadiques à ce sujet, tout est bien dans le meilleur des mondes. Comme ils ont des algorithmes secrets, des bases de données « barrées à double tour » et que leurs outils statistiques sont internes, il est plutôt facile de dire n’importe quoi. Or, pour la première fois, le voile sera levé sur « ces secrets professionnels » par nul autre que Elon Musk. Comme je l’expliquais dans mon récent billet : Twitter, Musk et la fondamentale et perturbante question des bots (robots).

Comme pour tous les autres médias sociaux, les algorithmes sont secrets, nous n’avons pas d’informations précises sur le nombre de vrais et de faux abonnés et ce qui est encore pire pour certains autres joueurs du web, dont Facebook et Google, nous ne savons que peu de choses sur le réel taux de « faux clics » et de ce que ces entreprises font réellement pour les enrayer. J’ai écrit une couple de fois ici à propos du chercheur Augustine Fou, qui prétend que 50% des clics publicitaires seraient de faux clics (à mes débuts il y a 20 ans, on parlait de 20%). Mais comme ces monstres ne sont pas sur le point de se faire acheter, donc auditer, nous n’avons réellement aucun outil indépendant pour valider les prétentions qu’ils mettent de l’avant depuis toutes ces années.
Voilà donc une autre des raisons pourquoi l’achat de Twitter par Musk, est l’équivalent d’un tremblement de terre sur la planète des médias sociaux et des GAFA…

Dans l’article Ad Fraud – The Hidden Way Ad Tech Is Stealing Your Ad Dollars, on apprend que

Today, ad fraud is perpetrated in several different ways:
• Hidden ads: Ads are displayed in such a way that the user doesn’t actually see them. For example, ads are just 1×1 pixel ads, are displayed outside the viewing area, or are overlapping in an iframe. This kind of ad fraud targets ad networks that pay based on impressions vs clicks.
• Click hijacking: Hackers insert malware into computers to redirect a click from one ad to another one
• Bot ad fraud: Hackers use bots to generate thousands of fake clicks on an ad or fake visits to a website displaying the ads. Bots fake legitimate human website visitors and fake real browsers by declaring they are Chrome, Safari, or Firefox.
• Fake websites: Today, there is a significant number of fake websites that have no content except ads. Moreover, since the sites contain only random ads, no humans visit them. These fake websites were created solely to make money from advertising. Fake websites can mimic real websites by simply passing false information in bid requests.

Ad networks and ad exchanges have turned a blind eye to ad fraud as their existence helps to line their pockets. What makes matters even worse is that advertisers rely on data from attribution platforms like Google Analytics to understand the marketing interactions customers have with their brand so they can make better ad buys. However, clicks can be manufactured out of thin air by directly loading click-through URLs, affiliate links, or click trackers. Hackers can also imitate humans using mobile devices to record and replay fake engagement.

La solution est donc d’investir dans le marketing de contenus sur son propre site, dans les publicités sur les sites web qu’on visite soi-même, sur les médias télévisuels en temps direct ou à la radio, dans l’imprimé et dans tous les cas, d’impérativement mesurer les ventes réelles tributaires de la conversion des abonnés en se foutant des métriques de vanités.

Je rappelle aussi encore une fois que Procter & Gamble a coupé son budget de publicité numérique de $200 Millions sans aucun impact sur ses ventes et en augmentant sa portée de 10%. Ça devrait, en principe, en faire réfléchir une couple…

Ha oui, il semblerait, selon Newsweek, que 50% des abonnés Twitter de Joe Biden, soient de faux comptes! Cela semble très loin du compte de 5% de faux compte qu’avance Twitter…

Twitter, Musk et la fondamentale et perturbante question des bots (robots)

La question des faux comptes et des robots (bots) sur Twitter est loin d’être nouvelle. Elle revient d’ailleurs d’actualité parce que la semaine dernière, dans un rapport officiel aux actionnaires (selon Reuter), Twitter annonçait qu’il y avait moins de 5% de faux comptes sur son engin social. Musk affirma qu’il demanderait à ses experts de sélectionner un échantillon de 100 comptes Twitter pour valider les prétentions de Twitter.

@elonmuskTo find out, my team will do a random sample of 100 followers of @twitter. I invite others to repeat the same process and see what they discover …

Encore une fois, selon plusieurs analyses médiatiques, le méchant Elon Musk serait en train de tenter de foutre le trouble pour faire baisser la valeur de Twitter, pour se dégager de son offre hostile d’achat parce qu’il serait un être capricieux ou une « drama queen ». Le fait est plutôt que le problème des comptes automatisés et autres robots sur Twitter est un problème de longue date. Déjà en 2015, on crucifiait l’ex-maire Denis Coderre, parce que plus de la moitié de ses 219 000 abonnés seraient de faux comptes. (dans LeDevoir).

Le maire de Montréal ne serait pas aussi populaire sur Twitter que le laisse croire son nombre d’adeptes sur le réseau de microblogage. Plus de 63 % de ses 219 000 adeptes sont en vérité de faux comptes, rapporte The Gazette. Le journal a commandé une analyse à une entreprise indépendante, afin d’évaluer la portée réelle de celui dont on vante la notoriété en ligne. Un gonflement artificiel pourrait être rendu possible grâce à des opérations automatisées rémunérées, mais Denis Coderre assure n’avoir jamais acheté de partisans Twitter en ligne.

Nous sommes donc très loin du 5% de faux comptes revendiqués par Twitter.

Pourquoi le pourcentage de faux comptes Twitter est-il important?

Ce pourcentage est fondamental puisque depuis des années, Twitter présente ce même pourcentage aux actionnaires et aux publicitaires de la plate-forme. Si ce pourcentage était un mensonge prouvé par les analyses forensiques qui sont faites présentement dans le processus de « due dilligence » associées à la vente de l’entreprise ou une fois que Musk aura le plein contrôle de la plate-forme, ça prouverait une fraude de grande échelle des dirigeants actuels de Twitter, que ça ferait baisser substantiellement la valeur de Twitter et que ça ouvrirait la porte à une avalanche de poursuite, tant par les actionnaires que par les publicitaires qui auraient été lésés toutes ces années par des chiffres frauduleux. Disons que c’est potentiellement une méchante boîte de crabes.

Un très intéressant billet publié sur Substack traite dans le détail de ce sujet. About those Twitter Bot accounts présente que:

There is an interesting game of chess going on here between Elon and the management of Twitter over the proportion of accounts on Twitter that are “genuine”—that is, real people—as opposed to various kinds of automated accounts or information warfare sock puppets.

Both sides know a lot more than they are letting on, and both are playing a game of chess over it.

On the surface, it matters a lot because Twitter, as a public company, has made statements to its advertisers and investors through the years about the size, growth and makeup of its Twitter account user base, and if it is revealed that they “fudged the numbers”, there will be hell to pay.

Now that a well-heeled buyer is involved with doing due diligence prior to closing a transaction to take Twitter private—it really matters in a legal sense, too.

Is the number of “fake” accounts 5% or less — as Twitter itself claims — or is it closer to 50%?

It’s portrayed (in a Nelsonian Knowledge sort of way, by some) as though it’s some big unsolvable mystery. Maybe it is, to people without technical skill in data analytics.

But to those of us who know this stuff—it’s outrageous that it is even a point of debate. We know they know—and they know that we know they know.

Checkmate will come, I assure you.

Comme pour tous les autres médias sociaux, les algorithmes sont secrets, nous n’avons pas d’informations précises sur le nombre de vrais et de faux abonnés et ce qui est encore pire pour certains autres joueurs du web, dont Facebook et Google, nous ne savons que peu de choses sur le réel taux de « faux clics » et de ce que ces entreprises font réellement pour les enrayer. J’ai écrit une couple de fois ici à propos du chercheur Augustine Fou, qui prétend que 50% des clics publicitaires seraient de faux clics (à mes débuts il y a 20 ans, on parlait de 20%). Mais comme ces monstres ne sont pas sur le point de se faire acheter, donc auditer, nous n’avons réellement aucun outil indépendant pour valider les prétentions qu’ils mettent de l’avant depuis toutes ces années.

Voilà donc une autre des raisons pourquoi l’achat de Twitter par Musk, est l’équivalent d’un tremblement de terre sur la planète des médias sociaux et des GAFA…

La mauvaise idée pour les entreprises, du code QR comme outil d’identification du certificat de vaccination.

Code QR

À ce que je comprends des annonces du gouvernement, le code QR et plus spécifiquement le code QR dynamique risquent de devenir l’outil de vérification des gens qui seraient vaccinés. Chez Radio-Canada :

(…)Qui plus est, a ajouté Christian Dubé, si elle devait être utilisée, la preuve vaccinale n’empêcherait personne, vacciné ou non, de recevoir des services jugés essentiels. Seuls les activités et les services non essentiels pourraient être assujettis à sa présentation.
(…) Cette preuve vaccinale devrait prendre la forme d’un code QR transmis aux personnes pleinement vaccinées par voie électronique.

Les services non essentiels seront ceux offerts par les entreprises privées. Soit les restaurants, bars, gymnases, théâtres en autres. Ils seront ceux qui devront scanner les codes QE afin de valider (ou pas) la vaccination de leurs clients. Or, le code QR est une technologie particulièrement pernicieuse, permettant de très nombreux types de cybercrimes. Ce seront donc les entreprises (et/ou leurs employés qui vérifieraient le code QR à partir de leurs téléphones personnels) qui seront les premières victimes de l’usage généralisé de cette technologie.

Sur le site Avantdecliquer on peut lire :

Le QR code, une cyber-menace en vogue.
Omniprésents dans nos vies, les utilisateurs n’ont pas pleinement conscience des risques liés à l’utilisation des QR codes. Les hackers exploitent cette technologie en partageant une URL malveillante vers un site de phishing. Ils peuvent également propager un malware ou encore collecter des données personnelles.
Ces agissements malveillants peuvent déclencher différentes actions :
• Ajouter une liste de contacts et s’en servir pour lancer des campagnes de phishing
• Lancer des appels téléphoniques vers des services payants
• Envoyer des SMS aux personnes avec une mauvaise réputation ou recherchées par les forces de l’ordre
• Écrire des e-mails
• Effectuer des paiements
• Accéder à vos comptes bancaires
• etc..
La difficulté est de ne pas savoir où mènera ce code avant de l’avoir scanné.

Scénario catastrophe

Supposons un filou qui veut pénétrer les systèmes informatiques du Centre Bell, ou acquérir les informations confidentielles de la jolie serveuse du resto du coin. Il n’aura qu’à présenter un code QR de son propre cru, le faire scanner par le préposé à l’accueil, être surpris que le code ne mène pas à la page des informations sur la vaccination Covid, être refusé d’entrer et simplement partir en marchant. Ce seront donc l’entreprise et/ou leurs employés, qui récolteront les retombées négatives potentielles d’une telle opération.

L’inutilité du code QR comme outil de validation

Supposons aussi qu’un personne particulièrement habile avec Photoshop, recrée le formulaire de validation de vaccination de la page de Santé Québec, dans les moindres détails, incluant la signature du ministre et une fausse page Chrome avec l’URL de destination, il suffira par la suite de créer son propre Code QR et de le diriger vers une page Web avec l’image Photoshopée, pour paraître avoir été vacciné alors que ce ne serait pas le cas.

Dans ces deux cas de figure, nous pouvons conclure que le code QR engendrera un très grand risque informatique pour les entreprises et leurs employés et qu’il pourrait être relativement facile de déjouer le système de vérification de qui est vacciné ou pas.

Vous pourriez aussi aimer:
Chez Forbes, I Don’t Scan QR Codes, And Neither Should You
Chez Radio-Canada Facile à décoder, le code QR des vaccinés inquiète des experts en cybersécurité
Chez Phonandroid QR Codes : attention, les hackers s’en servent pour pirater les smartphones

Conférencière à propos de la Cybercriminalité web et médias sociaux

C’est pour l’Association Québécoise des Tarificateurs-vie que dans deux semaines, je serai conférencière à propos de la cybercriminalité web et médias sociaux. J’y parlerai du web, du deepweb et du darkweb, de hacking, de fraude publicitaire, des dangers des médias sociaux, de haine, de cyberagression sexuelle, de gestion des risques et de solutions possibles. Il s’agit d’un très vaste sujet que je ne pourrai que couvrir partiellement. Vous pouvez trouver mon PowerPoint ici-bas.