du 22 novembre 2018
Date

Choisir une autre édition

En Allemagne, il était possible de contourner l'identification en ligne via la puce RFID des cartes d'identité

Le chercheur en sécurité Wolfgang Ettlinger rappelle que, depuis 2010, l'Allemagne a ajouté une puce RFID à ses cartes d'identité. Elle permet par exemple de prouver son identité et son âge sur des sites en ligne, et de s'identifier automatiquement pour peu qu'on dispose d'un lecteur de carte RFID et d'un logiciel compatible sur son ordinateur.

Bien évidemment, les données envoyées sont signées pour éviter toute modification par des pirates. Problème, les chercheurs du SEC Consult Vulnerability Lab ont trouvé « une vulnérabilité permettant à un attaquant de manipuler les données de manière arbitraire sans invalider la signature », comme le rapporte Bleeping Computer . Elle se trouve dans le SDK Governikus Autent en version 3.8.1 ou inférieure.

Ainsi, « un attaquant pourrait exploiter cette vulnérabilité pour modifier les données provenant d'une carte d'identité, par exemple en changeant l'âge ou en s'identifiant sous un autre nom ». Les détails techniques de cette faille sont disponibles par ici.

Les autorités ont été informées de cette vulnérabilité en juillet et une version corrigée du SDK (estampillée 3.8.1.2) a été mise en ligne en août. Il est évidemment recommandé aux organisations utilisant encore une ancienne version de se mettre à jour au plus vite.

Les chercheurs indiquent enfin que cette attaque laisse « des traces identifiables » dans les logs.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En août, Spotify a annoncé du changement pour son offre Famille lancée en 2016. Elle s'appelle désormais Premium Famille, permet toujours de gérer jusqu'à six comptes, mais avec des fonctions supplémentaires, dont Family Mix et Hub. 

En France, le déploiement a commencé et la plateforme envoie des emails à ses clients Family pour les prévenir de changements dans les conditions générales de l’Abonnement :  Les anciennes (336 mots) et les nouvelles (635 mots).

L'un des gros changements concerne « les informations relatives à l'éligibilité »  et « la manière dont nous vérifions cette éligibilité ». Jusqu'à présent, il était indiqué que « tous les titulaires de compte doivent résider à la même adresse pour être éligible à l’Abonnement Spotify Famille ». 

Désormais, « le titulaire principal du compte et les titulaires des comptes secondaires doivent appartenir à la même famille et résider à la même adresse ». De plus, « lors de l'activation d'un compte secondaire Premium Famille, vous serez invité à vérifier votre adresse personnelle ». Ce n'est pas tout : « Nous pouvons de temps à autre demander une nouvelle vérification de votre adresse personnelle afin de confirmer que vous remplissez toujours les critères d'éligibilité », explique Spotify.

« Nous utilisons la recherche d'adresses Google Maps pour vous aider à trouver et à enregistrer votre adresse. L'adresse que vous saisissez lors de l'activation ou de la nouvelle vérification est soumise aux Conditions de service complémentaires de Google Maps et à la Politique de confidentialité de Google ». 

Pour rappel, Spotify avait mené des « tests » en septembre 2018 demandant à ses utilisateurs d'activer le GPS pour vérifier leur adresse. Face à la grogne, la plateforme de streaming avait rapidement fait demi-tour. Elle revient donc à la charge avec un changement de ses conditions générales.

Il faudra maintenant voir comment seront gérés les cas d'enfants en internat en semaine, ou des familles recomposées avec des enfants alternants entre plusieurs logements. Dans tous les cas, Spotify semble bien décidé à faire la chasse aux partages de comptes.

Copié dans le presse-papier !

Alors que la plupart des applications dites « sociales » se concentrent sur l’immédiateté et une véritable documentation de l’existence, Google préfère une approche plus nostalgique.

Depuis hier est déployée une nouvelle fonction baptisée Memories. Elle affiche en haut de la galerie des collections de photos rarement consultées ou semblant liées par une thématique particulière : visages repérés, lieu, date, évènement, etc.

Si la présentation rappelle les fameuses Stories popularisées par Snapchat et désormais omniprésentes, la comparaison s’arrête là. Les Memories ne sont en effet pas publiques. Dans Google Photos, les contenus restent privés jusqu’à ce que l’utilisateur décide spécifiquement de les partager.

L’éditeur se veut également rassurant : « Nous savons que vous ne voudrez peut-être pas revisiter tous vos souvenirs, vous pourrez donc cacher certaines personnes ou périodes, et vous aurez l’option de désactiver entièrement la fonction ».

Dans les mois à venir, la fonction s’étoffera de capacités de partage direct avec les personnes repérés dans un souvenir. Une conversation pourra alors être ouverte avec les concernés, s’ils possèdent eux aussi Google Photos. Ce ne sera jamais qu’une application Google de plus à créer une messagerie dédiée.

Enfin, aux États-Unis, l’application permet dorénavant de demander une impression directe des clichés en 4x6 et les récupérer chez CVS Pharmacy ou Walmart, partenaires de la fonction. Pour l’instant, environ 11 000 points d’impression sont concernés. Google ne dit pas si les partenariats seront étendus au reste du monde.

Copié dans le presse-papier !

Hier, l'éditeur d'Angry Birds annonçait qu'il prévoyait désormais des revenus de 295 et 310 millions d’euros sur le second semestre, contre 300 à 330 millions auparavant. La marge opérationnelle baisse de 3 ou 4 points pour arriver entre 5 et 8 %.

Sont notamment mis en cause les coûts marketing et d'acquisition d'utilisateurs pour les jeux Angry Birds Dream Blast et Sugar Blast. « Nous considérons qu'il y a une opportunité à saisir et qu'il faut intensifier la promotion de nos titres phares », affirme Kati Levoranta, la patronne de Rovio.

La sanction ne s'est pas fait attendre en bourse avec une belle claque : une baisse de 25 %. Le titre est désormais à 4,11 euros, contre 5,40 euros auparavant. Il était monté à plus de 7 euros en juin. 

Copié dans le presse-papier !

Ce n’est plus qu’une question de temps avant que des appareils comme le Galaxy Fold deviennent plus courants, plus abordables et – disons-le – plus fiables.

L’un des problèmes majeurs actuellement est d’adapter les interfaces des applications. L’ergonomie doit être entièrement revue, de nouveaux usages doivent être invités et les développeurs font face à des défis inédits.

Parmi ces derniers, on trouve des questions telles que : la zone de pliure peut-elle afficher des informations ? Comment gérer les différences matérielles et d’approche par les constructeurs ? Une interface sera-t-elle encore valide sur le matériel suivant ? Comment gérer l’occlusion des éléments système comme le clavier virtuel ou les notifications selon l’écran ?

Microsoft propose une API pour préparer le terrain, tout particulièrement pour le web. Baptisée Window Segments Enumeration, elle divise les zones logiques en segments dont la taille s’exprime en pixels via les CSS. Ils sont ensuite exposés en JavaScript et manipulables en l’état, permettant un réarrangement dynamique en fonction de la situation.

L’éditeur précise que son API ne représente pas l’alpha et l’oméga de la gestion d’interfaces pour écrans pliables, mais offre une éventuelle nouvelle manière d’aborder certaines problématiques. Elle ne remet pas en cause les approches existantes et ne sera pas adaptée à tous les cas de figure. Sur Android, elle ne remplacera donc pas les propres interfaces fournies par Google dans Android 10.

Notez que les sources et la documentation de l'API sont sur GitHub. Microsoft a cependant choisi une licence CC BY 4.0 pour les sources, plutôt qu'Apache 2.0 ou MIT, utilisées habituellement. Elle reste considérée comme libre.

Copié dans le presse-papier !

Réalisée en partenariat avec Artips,  elle ambitionne de donner envie aux lycéens de se tourner vers les métiers de la science : « Technicien·ne en chimie, chercheur·se en mathématiques ou encore ingénieur·e en physique, les chercheurs du CEA dévoilent les coulisses de leur métier ».

Après un rapide test de personnalité, des algorithmes identifient ce qu'ils pensent être le ou les métiers les plus en phase avec le lycéen. Ensuite, « chaque métier brosse, en 4 épisodes de 8 minutes chacun, les fondements de sa discipline, le quotidien qui attend le·la lycéen·ne qui choisira cette voie, des exemples concrets de métiers actuels et d’avenir, et les études pour y accéder ».

Pour rappel, le CEA propose aussi des fiches métiers ainsi que des témoignages et parcours de ses scientifiques.