du 16 novembre 2017
Date

Choisir une autre édition

AgileBits vient d'annoncer la mise en place d'une toute nouvelle génération d'extension pour son gestionnaire de mot de passe (voir notre analyse) : 1Password X.

« Est-ce que ça ne serait pas cool si on pouvait proposer une version X ? est une question que l'on se pose souvent » précise en introduction l'équipe, non sans ironie. 1Password s'était fait connaître par le monde Apple, il a été décidé de rendre hommage à l'iPhone X pour cette extension qui doit représenter le futur du service.

Elle rattrape surtout le retard pris sur la concurrence dans l'intégration au sein des navigateurs, tout en reprenant une partie de l'existant. Il est donc question de remplissage automatique des champs, de génération de mot de passe, d'affichage des différents comptes et de fonctionnement sous Linux. Une navigation est aussi proposée au clavier au sein de l'extension, avec une recherche dite « intelligente ».

Pour le moment, 1Password X est disponible (notamment en Français) uniquement à travers Chrome, elle doit arriver plus tard pour les autres navigateurs.

1Password X : une nouvelle extension Chrome pour rattraper le retard sur la concurrence
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Deux mois avant la sortie dans les salles du troisième opus de la troisième trilogie de Star Wars, Disney a mis en ligne une nouvelle bande-annonce.

Le studio a un message : « La saga prend fin, l'histoire vit pour toujours ». On retrouve évidemment l'ensemble des personnages attendus, avec une émouvante scène autour de 3-PO.

Copié dans le presse-papier !

Le régulateur vient de mettre en ligne la 20e édition de son enquête annuelle, qui compte plus de 1,5 million de mesures en 2G, 3G et 4G, pour 243 indicateurs de performances.

Dans l'ensemble, « Orange en tête, Bouygues Telecom tend à s’affirmer comme deuxième opérateur de qualité, SFR progresse, Free s'améliore fortement mais reste sensiblement en retrait ».

Bien évidemment, il s'agit d'une moyenne grossière et il faut regarder plus précisément ce qu'il est en fonction des zones denses, intermédiaires, rurales ou des axes de transports pour se faire une idée plus fine. 

Par exemple, « En zone rurale, Bouygues Telecom obtient les meilleurs résultats, juste devant Orange et SFR. Free Mobile progresse sensiblement en ce qui concerne les débits descendants mais la qualité d’expérience (streaming vidéo et navigation web) proposée par cet opérateur en zone rurale, reste loin derrière les autres opérateurs ».

Copié dans le presse-papier !

Le 6 novembre 2018, la CNIL diffusait une liste importante : les traitements où une analyse d’impact est toujours obligatoire.

Cette analyse, selon l’article 35 du RGPD, est exigée dès lors qu’un traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Cela concerne en particulier les traitements à grande échelle portant sur des données sensibles ou encore la surveillance systématique à grande échelle d’une zone accessible au public. 

Ce matin, la même autorité de contrôle a diffusé cette fois la liste des opérations pour lesquelles une analyse d’impact n’est jamais requise. Une option ouverte par l’article 35.5 du texte européen.

Dans cet inventaire, on trouve les traitements relatifs à « la gestion de la relation fournisseurs », ceux concernant le fichier électoral des communes.

S’y ajoutent les traitements mis en œuvre par les médecins ou les avocats, dans le cadre d’une profession exercée à titre individuel, ceux relatifs aux éthylotests lorsqu’il s’agit d’empêcher les conducteurs de conduire sous l'influence de l'alcool ou de stupéfiants.

Remarquons encore les traitements « mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d'affaires scolaires, périscolaires et de la petite enfance ».

Évidemment, la CNIL rappelle que ces exemptions ne permettent pas au responsable d’échapper au règlement. Il continue par exemple à être soumis à l’obligation de sécurité imposée par l’article 32 par exemple.

Copié dans le presse-papier !

Le terme approche à grands pas. Le 24 octobre, la loi transposant les droits voisins entrera en application. Les sites qui diffusent des extraits devront alors négocier et sans doute payer les éditeurs et agences de presse.

Google a désamorcé ce dispositif, tout taillé contre lui : comme expliqué en septembre dernier, les extraits vont disparaître de sa page « actualités », tout comme d’ailleurs des autres services du géant. 

D’ici là, les éditeurs et agences ont toujours la possibilité de réactiver ces snippets, mais ils doivent faire une démarche en ce sens, via une balise « méta », et surtout accepter de ne pas être rémunérés. Une situation qui a provoqué la colère des principaux concernés, gouvernement compris. 

Des cris d'orfraie à la pratique, il y a un monde. Le Journal du Net a ausculté l’ensemble des 30 principaux sites de presse (France Info, le Figaro, Le Parisien, Le Monde, LCI, L’Obs…). Au 21 octobre, 26 ont déjà implanté ce bout de code, acceptant bon gré mal gré le marché proposé par Google. 

Copié dans le presse-papier !

Une rumeur circulait autour du prestataire : au moins un serveur aurait été compromis. L’entreprise a confirmé l’attaque, qui s’est produite en mars 2018.

À TechCrunch, la porte-parole Laura Tyrell a déclaré : « On a accédé sans autorisation à l’un des centres de données que nous louons en Finlande. Le serveur lui-même ne contient aucun journal d’activité. Aucune de nos applications n’envoie d’identifiants créés par l’utilisateur pour authentification, ils n’auraient donc pas pu être interceptés ».

L’accès a pu se faire par la conjonction de deux facteurs. Une vieille clé expirée de NordVPN, et surtout une fonction d’administration à distance laissée active par le prestataire louant les centres de données. NordVPN a indiqué ne pas avoir été au courant de ce service.

L’entreprise n’a été informée qu’il y a quelques mois et voulait être « sûre à 100 % » que l’ensemble des composants étaient désormais sécurisés. En outre, la fameuse clé expirée n’aurait jamais pu servir à déchiffrer le contenu.

NordVPN ne nie pas qu’une récupération des contenus circulant dans son produit aurait pu se faire, mais au prix d’une « attaque personnalisée et complexe » pour chaque connexion.

Un chercheur intervenant anonymement auprès de TechCrunch se veut pour sa part beaucoup plus pessimiste. En dépit des annonces rassurantes, il estime que NordVPN a tout ignoré d’une brèche majeure dans sa sécurité pendant de longs mois.

L’entreprise a depuis installé diverses technologies de détection d’intrusions, mais elles auraient dû être en place depuis longtemps plutôt que de « dépenser des millions de dollars en publicité ». Une campagne en fait proche du matraquage, tant NordVPN était visible partout, notamment en sponsorisant des youtubeurs très en vue.

Le chercheur met également en garde : le cas devrait au moins interroger sur la fiabilité générale des VPN. Il ne s’agit pas de solutions magiques, même si le concept central est aussi séduisant que pratique : faire transiter tout le contenu à travers un canal chiffré, permettant en théorie d’échapper à toute détection.

D’autant que NordVPN n’était pas seul. TorGuard a confirmé qu’un serveur avait été compromis en 2017, sans accès aux données. VikingVPN serait également concerné, mais n’a pas encore réagi.