du 20 avril 2018
Date

Choisir une autre édition

Des extensions malveillantes ont été trouvées par le chercheur Andrey Meshkov. Elles totalisaient plus de 20 millions d'installations, tout de même. AdRemover for Google Chrome, uBlock Plus, Adblock Pro, Superblock ou encore Superblock Extended font partie des noms signalés à Google, qui a fait le ménage.

Ces extensions émettaient des informations de navigation à des serveurs, qui répondaient avec des commandes cachées dans des images. Elles pouvaient ainsi changer le comportement de Chrome pendant le surf.

Les extensions malveillantes ne sont pas un phénomène nouveau, mais la découverte rappelle que leurs auteurs sont évidemment prêts à sauter sur n'importe quelle occasion, surtout des noms capables d'attirer au mieux le chaland.

Les conseils sont ainsi toujours les mêmes : n'installez que celles jugées réellement nécessaires, et uniquement celles publiées par des éditeurs de confiance.

De faux bloqueurs de publicités dans le Chrome Store
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sur Twitter, « supprimer » ne veut pas forcément dire « supprimer ». Les messages directs envoyés à d’autres comptes restent en effet stockés pendant des années, même s’ils ont été supprimés ou échangés avec des comptes aujourd’hui suspendus ou supprimés.

On se rappelle que la société avait changé le comportement des messages directs il y a quelques années : supprimer un message envoyé ne l’enlevait plus de la conversation pour tous les participants, mais uniquement pour l’expéditeur.

En utilisant l’outil intégré de récupération des données du compte, on peut donc remettre la main sur des messages reçus de comptes aujourd’hui disparus ou suspendus par Twitter.

Problème, la société affirme qu’après suppression d’un compte, les données sont gardées pendant une « brève période » pour des impératifs juridiques. TechCrunch affirme au contraire que les archives peuvent contenir des données datant de plusieurs années après la fermeture des comptes.

Twitter a simplement réagi en indiquant se pencher sérieusement sur la question pour en délimiter le périmètre exact.

Comme le rappellent nos confrères, Twitter s’expose à des poursuites dans le cadre du RGPD. Le fonctionnement du bouton Supprimer dans les DM est expliqué par l’entreprise, mais elle peut difficilement défendre la présence de vieilles données de comptes supprimés.

Supprimer un compte reste l’expression directe du droit d’effacement que toute entreprise doit respecter en Europe.

Copié dans le presse-papier !

Attendu de pied ferme par les joueurs, loin d'être convaincus pour le moment, le titre de Bioware est disponible aux abonnés EA Access depuis quelques jours.

Pour assurer sa promotion, l'éditeur s'est payé les services du réalisateur de District 9, Neill Blomkamp. Présentée comme une bande-annonce du jeu, dévoilant une partie de son histoire, la vidéo mise en ligne dure un peu moins de quatre minutes.

Elle est plutôt de bonne tenue. On espère donc qu'Anthem sera aussi réussi, tant dans sa qualité graphique que son gameplay. Réponse à sa sortie, le 22 février.

Copié dans le presse-papier !

Il y a un peu plus d'un an, la société avait évoqué une offre en partenariat avec Bimbox : le Neo Cloudbook. Si le projet semble abandonné, l'idée de base est encore là.

Thomson vient ainsi d'annoncer un partenariat avec le français Blacknut dans le domaine du Cloud gaming. Il sera mis en avant à l'occasion du MWC de Barcelone : « Blacknut sera préinstallé sur les notebooks de Thomson et également disponible sur les téléviseurs Android et sur les smartphones de la marque ».

La première mensualité est offerte, il faudra ensuite payer 14,99 euros par mois.

Copié dans le presse-papier !

Comme l'a repéré 9to5 Google, une prochaine évolution du navigateur devrait limiter les possibilités pour les développeurs d'utiliser l'API Filesystem de vérifier si ce mode est actif.

Celle-ci y étant désactivée, un simple appel permettait de savoir si l'utilisateur cherchait à rester discret sur ses visites ou non. Certains éditeurs s'en servaient par exemple pour éviter que des lecteurs contournent leurs paywall, interdisant la navigation privée.

Ils devront désormais faire autrement, ou éviter de telles pratiques.

Copié dans le presse-papier !

Selon une étude de l’ICSI (International Computer Science Institute), environ 17 000 applications Android violeraient les conditions d’utilisation de la boutique Google Play pour cibler plus efficacement les utilisateurs.

Au lieu de se contenter du seul Advertising ID, ces applications s’abreuvent d’autres informations identifiantes : adresse MAC, IMEI et Android ID. Or, ces données ne peuvent pas être modifiées, ou très difficilement. Ensemble, elles constituent un redoutable moyen d’identification.

Comme le rapporte CNET, l’ICSI a transmis le résultat de ses recherches à Google, qui dit prendre le sujet très au sérieux. Des actions auraient déjà été entreprises contre certaines applications, mais on ne connait pas la portée de ces représailles.

L’éditeur confirme que des conditions d’utilisation sont bien violées par ces applications, mais sans dire lesquelles. Il est peu probable malheureusement que Google puisse rétablir la « justice » sans modifier profondément le fonctionnement de sa boutique.

Les développeurs ont en effet le droit d’utiliser l’adresse MAC, l’IMEI et le reste pour des raisons spécifiques, mais pas pour le ciblage publicitaire. Problème, Google ne peut vérifier cette bonne pratique que s’ils passent par son propre réseau publicitaire. Si les applications s’adressent à une autre crèmerie, il n'y a rien à faire.

Certaines des applications sont connues, mais ont été mises à jour entre temps. Cheetah Mobile par exemple, éditeur de Cheetah Keyboard et Mobile Doctor, ne se servirait de l’Android ID que pour le seul suivi du nombre d’installations. Mobile Doctor a par ailleurs été mis à jour en 2018 pour ne plus capter l’IMEI.

Le fait est que les résultats obtenus par l’ICSI ne font que braquer un peu plus les projecteurs sur un problème plus global : les activités secrètes des applications mobiles par manque de surveillance.

Apple a récemment eu le problème avec les fameux certificats d’entreprise, que des développeurs n’hésitaient pas à utiliser pour récupérer des données personnelles. Microsoft n’est pas épargnée, avec plusieurs PWA de son Store contenant des cryptominers, d’après des recherches de Symantec.

Les grandes plateformes n’ont donc pas le choix : elles doivent resserrer le contrôle et prendre des mesures plus radicales en cas de contournement ou violation. La peur de voir le nombre d’applications baisser sur une boutique n’est plus un argument depuis longtemps.