1 commentaires

 
GN⁺ 2024-08-15
Avis de Hacker News
  • Communiqué de presse associé : https://www.texasattorneygeneral.gov/news/releases/attorney-...

  • En tant que propriétaire d’un véhicule GMC, j’ai reçu un e-mail d’apparence innocente indiquant que OnStar Smart Driver, le service en question, allait être arrêté.
    Étant donné que ce service enfreignait plusieurs lois américaines et envoyait des données aux assureurs sans l’accord des clients, ce genre de comportement ne s’arrêtera pas tant que l’on n’aura pas récupéré des sommes énormes auprès des responsables comme GM ; j’espère donc que GM prendra cher.

    • Une somme simplement énorme ne suffit pas : elle devrait être au moins d’un ordre de grandeur supérieure à ce qu’ils ont gagné avec ces transactions.
      Trop souvent, les entreprises s’en tirent avec une tape sur les doigts, pour des montants très inférieurs à ce qu’elles ont gagné par leurs actes illégaux.
      Un particulier pris à vendre des biens volés doit rendre tout ce qu’il a gagné, plus payer une amende ; je ne comprends pas pourquoi on n’applique pas la même logique aux entreprises.
    • Si une personne morale est une personne, je me demande pourquoi son autorisation d’existence en tant que société n’est pas révoquée pendant qu’elle « purge sa peine ».
    • Envoyer les dirigeants concernés en prison et leur infliger plusieurs fois le chiffre d’affaires des transactions illégales serait probablement une incitation suffisante pour que le secteur comprenne le message.
    • Pour les infractions dépassant un certain montant, j’aimerais qu’on confisque l’intégralité de la rémunération des personnes qui siégeaient au conseil d’administration afin de payer l’amende.
      Qu’on saisisse aussi les résidences secondaires ou autres actifs des administrateurs en poste et anciens administrateurs, puis, une fois ces ressources épuisées, qu’on vide les caisses de l’entreprise et que la charge retombe sur les actionnaires.
      Bien sûr, on verrait apparaître des méthodes du type « comment cacher mon bonus au cas où l’on viendrait me chercher demain », mais l’arrogance et l’imprévisibilité feront quand même émerger des exemples tellement énormes qu’ils feront sortir les yeux de la tête.
      Ceux qui ont fauté et en ont tiré profit doivent payer : c’est conforme à la justice.
    • On pourrait aussi donner le choix : soit l’entreprise paie une amende suffisamment élevée, soit les dirigeants au niveau du conseil d’administration qui ont encouragé ce comportement vont réellement en prison pour une certaine durée.
      Il y a trois options : ne pas se comporter comme des salauds, payer plus que ce qu’on a gagné, ou aller en prison aussi longtemps que si l’on avait volé l’argent correspondant à la deuxième option.
      Pas un bouc émissaire : les vrais responsables doivent y aller.
  • Je dis rarement ça, mais bien joué, Texas ! Tous les États devraient s’en prendre à tous les constructeurs qui font ce genre de choses.

    • Comme on dit, même une horloge arrêtée donne l’heure juste deux fois par jour.
  • Paxton est corrompu, mais sur ce dossier il mène un bon combat.
    Le Texas a obtenu un accord de 1,4 milliard de dollars concernant le scan de reconnaissance faciale de Meta, et dans cette affaire-ci, le préjudice financier subi par les victimes est bien plus important, via la hausse des primes d’assurance.
    https://boingboing.net/2024/07/31/meta-to-pay-1-4bn-for-unau...
    Ensuite, il faudrait remonter jusqu’aux assureurs qui ont utilisé ces données, leur faire restituer les profits excédentaires tirés de l’utilisation de données illégales et, si possible, leur infliger une amende triplée.

    • Dans un marché efficient, les primes d’assurance sont essentiellement proches d’un jeu à somme nulle.
      Si une personne paie davantage pour refléter son risque, les autres paient d’autant moins.
      Les conducteurs prudents subventionnent les conducteurs à risque ; avec de meilleures informations prédictives, cette subvention peut et doit être réduite.
    • Quand on dit « Paxton est corrompu », je me demande si cela veut dire qu’on croit qu’il vole réellement, qu’il a été condamné, ou qu’il devrait être condamné.
      Paxton a-t-il déjà été reconnu coupable d’un crime ? Ou a-t-il été inculpé pour un crime dont vous le pensez coupable ?
    • Je ne vois pas pourquoi l’utilisation de ces données par les assureurs serait illégale.
      S’il n’est pas possible de prouver une discrimination envers une catégorie protégée, je ne vois pas clairement en quoi ce serait illégal.
    • Le procureur général du Texas n’est pas une seule personne, mais toute une organisation.
      C’est bien de voir que, même si l’on a envie de juger aux apparences, on peut s’en détacher dans ce cas.
      Je trouve toujours étrange de ressentir le besoin de faire ce genre de déclaration.
    • Meta a fait quelque chose qui nuit aux individus, et au final l’État du Texas empoche 1,4 milliard de dollars : je ne vois pas bien en quoi c’est un « bon combat ».
      Très peu pour moi.
  • Ce qui m’a frustré, c’est qu’il est difficile de désactiver facilement le système cellulaire des véhicules.
    Sur les anciens véhicules, il suffisait de débrancher le bon câble, mais sur les modèles récents le système cellulaire est intégré à d’autres composants, si bien que le couper allume définitivement le voyant moteur, par exemple.
    Idéalement, il faudrait une sorte de module CAM à intercaler entre le système d’antennes et l’ECM, capable de jeter sélectivement les paquets de télémétrie.

    • J’ai trouvé l’antenne, je l’ai remplacée par une résistance de 50 Ω, puis j’ai enveloppé le tout dans du papier aluminium relié à la masse du châssis.
      Pas de voyant moteur, pas de signal.
    • Je ne l’ai pas encore fait sur ma Bolt, mais j’ai entendu dire que retirer ce fusible coupe aussi le micro des appels mains libres.
      C’est potentiellement un inconvénient plus gênant que le voyant moteur.
      Il faudra probablement débrancher l’antenne et mettre une charge fictive.
      Avec l’affaire LexisNexis, il faut vraiment que je le fasse.
    • Même en neutralisant l’antenne, je me demande si cela ne casserait pas d’autres fonctions au-delà d’un voyant d’alerte.
      Si le cellulaire sert à « augmenter » le GPS, le GPS intégré ne risque-t-il pas aussi d’être cassé ?
      Quels autres risques existe-t-il ? N’a-t-on pas déjà vu des cas où un bus CAN avait été « piraté » sans fil et où la voiture avait été arrêtée ? Sans même parler des fonctions que les constructeurs auraient volontairement laissées aux forces de l’ordre.
    • Ma voiture n’a pas de système cellulaire :)
      Elle est de 2004.
  • Le même GM qui dit arrêter l’intégration d’Android Auto et de CarPlay pour des raisons de « sécurité » et de « protection de la vie privée » ?

    • C’est parce qu’ils veulent collecter et monétiser ces données eux-mêmes.
  • Lors de l’achat de ma voiture la plus récente, j’avais dressé une liste d’exigences, et décidé que si je ne trouvais pas de voiture qui y corresponde, je n’en achèterais tout simplement pas.
    Tout en haut de la liste figurait « ne pas me surveiller », et j’ai fini par trouver une voiture qui remplissait toutes les conditions en retirant le fusible du Data Communications Module (DCM).

    • Selon le constructeur, il peut être impossible de l’emmener chez le concessionnaire sans faire une réinitialisation d’usine.
      L’infodivertissement se connecte au Wi‑Fi lancé par le mécanicien, et s’il y a des données stockées, il les téléverse toutes.
      Bien sûr, cela suppose aussi de ne pas utiliser d’apps intégrées comme Android Auto ni d’autres apps tierces ; ces apps aussi récupèrent des données.
      J’ai été ingénieur logiciel sur ce type de systèmes à une époque, et c’est l’une des raisons pour lesquelles je suis parti.
      La philosophie de base, c’est qu’une fois que le client a acheté la voiture et quitté le magasin, ce n’est plus sa voiture.
    • Tu ne partages pas les résultats ? Il n’y en avait qu’une seule ?
  • Les données dangereusement intrusives, comme la localisation, devraient être soumises à une réglementation du type HIPAA.
    En cas de fuite ou de vente sans autorisation, il suffirait d’infliger 100 000 dollars par point de données de localisation non autorisé et par utilisateur.
    Ces données deviendraient alors un passif plutôt qu’un actif, et le problème serait presque réglé.

    • Répétons tous ensemble : « Transposez le RGPD de l’UE dans le droit américain, et ce depuis hier ! »
  • Le même Texas qui disait avoir le droit de recevoir les données médicales privées de patients d’autres États ?
    https://www.thestranger.com/news/2023/12/21/79315926/texas-t...
    Il n’est pas surprenant que le Texas se soucie davantage de la vie privée liée aux biens que de celle liée au corps.

  • Si l’on tolère depuis longtemps les pratiques d’entreprises comme les opérateurs télécoms ou Facebook, qui collectent et vendent des données personnelles sans donner de droit de refus, j’ai du mal à imaginer pourquoi cette affaire devrait aboutir.
    Si le Texas avait vraiment du cran, il aurait adopté une loi interdisant la collecte et la vente de données personnelles sans consentement explicite.
    Mais évidemment, il ne l’a pas fait.

    • Au moins dans le cas de Facebook, les utilisateurs ont consenti à le faire.
    • Aux États-Unis, ce type de bouton de consentement est souvent activé par défaut, mais dans mon ancien emploi, l’équipe juridique s’assurait qu’il soit désactivé par défaut dans l’UE.
    • La TDPSA semble exiger le consentement, comme la CCPA/CPRA de Californie, la VCDPA de Virginie et le RGPD de l’UE.