Les experts en sécurité étaient sceptiques quant au passage du MTA de New York à un système de paiement par simple contact OMNY lorsque cela a été annoncé il y a plusieurs années. Puis, en août, une enquête de 404 Media a révélé que les usagers avaient raison d’être concernés. Il s’est avéré que la possibilité de consulter l’historique des trajets pouvait être utilisée par pratiquement n’importe qui pour suivre les pattern de déplacements de personnes précises. MTA a désactivé cette fonctionnalité, mais cela a mis en lumière un problème plus profond qui existe à travers les différents systèmes de transport public modernes : ils rendent plus difficile de refuser que nos données sensibles soient collectées. « Vous améliorez le système, mais vous vous engagez également dans un véritable champ minier dangereux en matière de cybersécurité », a déclaré Brendan Saltaformaggio, professeur associé spécialisé en cybersécurité à l’Institut de technologie de Géorgie. Les informations de paiement, les données de localisation et les pattern de trajets peuvent tous être associés à nos données de fréquentation. Les agences affirment qu’elles les utilisent pour mieux comprendre comment les usagers utilisent les services et apporter des améliorations. Mais l’inconvénient est que les agences de transport public vendent des données d’utilisateur à des annonceurs comme de nombreuses entreprises privées le font, ou les partagent avec les forces de l’ordre. Nous avons soumis des demandes d’accès à l’information à plusieurs grandes police à travers le pays – y compris à New York, Baltimore et Chicago – afin d’obtenir plus d’informations sur les demandes qu’elles ont adressées aux agences de transport locales au cours des 10 dernières années. Mais même si les données ne sont pas utilisées, elles sont de plus en plus vulnérables en cas de violation sans une infrastructure sécurisée en place pour les protéger. La plupart des gangs de rançongiciels sont motivés par l’argent. Ainsi, bien que vos données puissent être compromises, les pirates informatiques cherchent en réalité à mettre les agences de transport public sous pression en exigeant un paiement afin d’éviter une fuite de données ou d’être bloqués hors de leurs systèmes. Cela leur est arrivé à l’Authority de transport métropolitain de Washington plus tôt cette année, et un attaque par rançongiciel a perturbé le système d’autobus de l’état de Washington en mars. Cela étant dit, les données personnelles peuvent toujours être compromises dans le processus. Les pirates informatiques ont diffusé des données personnelles après avoir accédé au Bay Area Rapid Transit de San Francisco au début de cette année. « Ce sont des organisations qui fonctionnent avec des budgets de chaussettes, généralement largement soutenues par les contribuables, qui ne seront probablement pas très enthousiastes à l’idée de voir tout cet argent dépensé uniquement en matière de cybersécurité dans l’espoir de ne pas avoir d’incident en tête », a déclaré Saltaformaggio.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du
