du 08 février 2019
Date

Choisir une autre édition

Apple chasse les applications enregistrant les interactions sans consentement

Air Canada, Expedia, Hotels.com, Hollister, Singapore Airlines, Abercrombie & Fitch… Ces applications ont en commun d’utiliser un outil tiers, Glassbox, qui permet d’enregistrer l’activité tactile de l’utilisateur pendant qu’il se sert de l’une d’elles.

Les règles de l’App Store imposées aux développeurs sont claires : tout enregistrement d’activité, quel qu’il soit, doit être expressément validé et consenti par l’utilisateur. Ce qui suppose un message et une acceptation via action.

Glassbox lui-même n’a rien d’un outil malveillant. Il fournit essentiellement des capacités de « replay » pour les sessions utilisateurs, permettant aux développeurs de mieux connaître les interactions. Rien n’oblige une application à préciser qu’elle utilise Glassbox, mais le problème n’est pas là.

TechCrunch, qui avait révélé le problème, s’est vu confirmer par Apple qu’un message clair avait été envoyé à toutes les applications concernés pour imposer un choix : demander clairement l’autorisation de l’utilisateur ou supprimer le code concerné.

Selon l’un des développeurs toutefois, le message envoyé par Apple était plus « brutal » : il avait moins de 24 heures pour supprimer le code et publier à nouveau son application, sous peine de retrait de cette dernière du Store.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Copié dans le presse-papier !

En préparation de la loi contre la cyberhaine, dite loi Avia, la commission des Lois de l’Assemblée nationale lance une consultation sur les contenus haineux ou injurieux en ligne sur Internet. Jusqu’au 12 mai, il est possible de répondre à un questionnaire sur le site officiel.

Les réponses « alimenteront la réflexion des membres de la commission des Lois et de leurs collègues ». Anonymes, elles seront dans un format ouvert et librement réutilisable.

Parmi les questions, vous devrez indiquer si vous avez déjà été victime ou témoin de contenus « haineux ou injurieux » (racistes, antisémites, sexistes, etc.) mais aussi les suites apportées aux éventuels signalements effectués auprès de l’hébergeur ou à la justice.

Autre question : « qui doit, selon vous, réguler les contenus haineux ou injurieux sur internet ? ». Dans les différents scénarios, il est envisagé l’intervention d’une administration ou d’une « autorité indépendante », qui pourrait être le Défenseur des droits, le CSA, l’HADOPI ou encore l’ARCEP. Et s’agissant des sanctions à l’encontre de ces propos, est imaginée une peine « d’interdiction temporaire d’accéder à Internet ou à un ou plusieurs sites »

Deux pistes respectivement dessinées par l’auteur de la PPL, la députée Laetitia Avia, et Emmanuel Macron.

Copié dans le presse-papier !

Après deux ans de travail, WebThings est presque prêt à prendre son envol. Cette implémentation du standard Web of Things du W3C par Mozilla permet le contrôle et la surveillance d’une infrastructure d’objets connectés.

WebThings est composé de deux éléments centraux :

  • WebThings Gateway, une distribution centrée sur la vie privée et la sécurité pour les passerelles matérielles
  • WebThings Framework, une bibliothèque de composants réutilisables pour les développeurs

La version actuellement fournie de Gateway, la 0.8, contient encore un certain nombre de fonctions expérimentales, notamment l’enregistrement des informations émanant des appareils connectés dans la maison. Cas le plus classique : la température, avec graphique à la clé.

L’idée derrière Gateway est à la fois de contrôler les appareils et d’en surveiller le fonctionnement. De nouvelles alarmes ont été ajoutées pour la fumée, le monoxyde de carbone ou encore la détection de mouvements.

WebThings Gateway va également bénéficier d’une autre version, développée sur la base de la distribution Linux OpenWrt, conçue justement pour les appareils embarqués. Il pourra alors être installé dans certains routeurs qui serviront de passerelles et de point d’accès Wi-Fi.

Copié dans le presse-papier !

La société a récemment déposé son dossier d'introduction en bourse, mais sans dévoiler la date de la première cotation ni le montant de la valorisation visé. D'après certains, il pourrait être aux alentours de 100 milliards de dollars.

En attendant, le VTC annonce une bonne nouvelle : Toyota et sa filiale DENSO vont investir 667 millions de dollars, tandis que SoftBank va injecter 333 millions. Toyota s'est également engagé à débourser 300 millions de dollars de plus sur les trois prochaines années.

Dans tous les cas, les fonds sont pour Uber ATG (Advanced Technologies Group), une branche d'Uber désormais valorisée 7,25 milliards de dollars. Le but de l'opération est « d'accélérer le développement et la commercialisation de services de covoiturage automatisés ».

C'est donc un signe fort pour les véhicules autonomes alors qu'une des voitures d'Uber était impliquée dans un accident mortel en mars dernier.

Copié dans le presse-papier !

La décision était prévisible, mais elle n’en reste pas moins le témoin du temps qui passe et de l’évolution des habitudes.

BlackBerry Messenger (BBM) cessera de fonctionner dès le 31 mai, et les utilisateurs ont moins d’un mois et demi pour basculer sur d’autres solutions.

Ce sont cependant ces autres solutions qui ont condamné le service. Selon BlackBerry, les utilisateurs existants sont partis petit à petit vers d’autres services, tandis que les nouveaux arrivants étaient trop peu nombreux.

Difficile finalement de résister aux deux poids lourds appartenant à Facebook que sont Messenger et WhatsApp, tous deux bien au-delà du milliard d’utilisateurs.

En outre, et en dépit d’une disponibilité sur Android et iOS, BlackBerry ne s’est pas vraiment rendu compte de l’importance de la partie UI/UX. L’interface vieillotte de BBM faisant pâle figure devant des réalisations plus modernes, comme Viber et Telegram, ce dernier misant en plus sur la personnalisation.

L’équipe de développement espère que les utilisateurs en garderont tout de même un bon souvenir.