du 16 novembre 2017
Date

Choisir une autre édition

La cour d'appel d'Anvers a rejeté le recours de Microsoft, qui refusait de fournir des données d'un suspect. Cela dans le cadre d'une enquête sur le crime organisé.

La justice réclame ces informations, que les opérateurs télécoms sont tenus de fournir aux autorités. Le service de messagerie déclare ne pas en être un. La cour d'appel a tranché : Skype est bien un opérateur, la définition comprenant les « communications électroniques ». Le groupe est aussi condamné à 30 000 euros d'amende.

Le débat a été le même en France, l'Arcep pouvant forcer la main à Microsoft pour qu'il enregistre son outil comme opérateur, le soumettant de fait aux obligations d'interception des conversations, qui ne sont pas chiffrées de bout en bout.

La situation rappelle aussi le combat de Microsoft contre la justice américaine, que la Cour suprême a désormais la charge de trancher. Le groupe refuse aux autorités l'accès à des e-mails stockés en Irlande, quand le ministère de la Justice clame que la nationalité de Microsoft prime sur toute autre considération.

En Belgique, Skype sommé de fournir des appels et messages par une cour d'appel
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'agence explique que les changements sont censés « refléter les ambitions futures de l'ESA, avec une plus grande attention portée aux images et aux vidéos ». Cette mouture est évidemment en « responsive web design » pour s'adapter à tous les formats d'écrans.

La page d'accueil est désormais scindée en quatre piliers : Science & Exploration, Safety & Security, Applications et Enabling & Support.

Copié dans le presse-papier !

Comme l’a noté Techdows, une recherche Google sur « Microsoft Edge stable » renvoie un lien dans les premiers résultats. Cliquer dessus n’ouvre pas le site, mais lance directement un téléchargement.

Si vous choisissez d’installer cette version, l’ancien Edge sera supprimé et la nouvelle ne pourra plus l’être. La mouture installée est la 78.0.276.19, soit la dernière disponible de la branche Beta.

Il semble bien qu’il s’agisse de la version finale. L'annonce officielle pourrait donc avoir lieu très prochainement, potentiellement dans les heures qui viennent.

Copié dans le presse-papier !

Une rumeur circulait autour du prestataire : au moins un serveur aurait été compromis. L’entreprise a confirmé l’attaque, qui s’est produite en mars 2018.

À TechCrunch, la porte-parole Laura Tyrell a déclaré : « On a accédé sans autorisation à l’un des centres de données que nous louons en Finlande. Le serveur lui-même ne contient aucun journal d’activité. Aucune de nos applications n’envoie d’identifiants créés par l’utilisateur pour authentification, ils n’auraient donc pas pu être interceptés ».

L’accès a pu se faire par la conjonction de deux facteurs. Une vieille clé expirée de NordVPN, et surtout une fonction d’administration à distance laissée active par le prestataire louant les centres de données. NordVPN a indiqué ne pas avoir été au courant de ce service.

L’entreprise n’a été informée qu’il y a quelques mois et voulait être « sûre à 100 % » que l’ensemble des composants étaient désormais sécurisés. En outre, la fameuse clé expirée n’aurait jamais pu servir à déchiffrer le contenu.

NordVPN ne nie pas qu’une récupération des contenus circulant dans son produit aurait pu se faire, mais au prix d’une « attaque personnalisée et complexe » pour chaque connexion.

Un chercheur intervenant anonymement auprès de TechCrunch se veut pour sa part beaucoup plus pessimiste. En dépit des annonces rassurantes, il estime que NordVPN a tout ignoré d’une brèche majeure dans sa sécurité pendant de longs mois.

L’entreprise a depuis installé diverses technologies de détection d’intrusions, mais elles auraient dû être en place depuis longtemps plutôt que de « dépenser des millions de dollars en publicité ». Une campagne en fait proche du matraquage, tant NordVPN était visible partout, notamment en sponsorisant des youtubeurs très en vue.

Le chercheur met également en garde : le cas devrait au moins interroger sur la fiabilité générale des VPN. Il ne s’agit pas de solutions magiques, même si le concept central est aussi séduisant que pratique : faire transiter tout le contenu à travers un canal chiffré, permettant en théorie d’échapper à toute détection.

D’autant que NordVPN n’était pas seul. TorGuard a confirmé qu’un serveur avait été compromis en 2017, sans accès aux données. VikingVPN serait également concerné, mais n’a pas encore réagi.

Copié dans le presse-papier !

Le 6 novembre 2018, la CNIL diffusait une liste importante : les traitements où une analyse d’impact est toujours obligatoire.

Cette analyse, selon l’article 35 du RGPD, est exigée dès lors qu’un traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Cela concerne en particulier les traitements à grande échelle portant sur des données sensibles ou encore la surveillance systématique à grande échelle d’une zone accessible au public. 

Ce matin, la même autorité de contrôle a diffusé cette fois la liste des opérations pour lesquelles une analyse d’impact n’est jamais requise. Une option ouverte par l’article 35.5 du texte européen.

Dans cet inventaire, on trouve les traitements relatifs à « la gestion de la relation fournisseurs », ceux concernant le fichier électoral des communes.

S’y ajoutent les traitements mis en œuvre par les médecins ou les avocats, dans le cadre d’une profession exercée à titre individuel, ceux relatifs aux éthylotests lorsqu’il s’agit d’empêcher les conducteurs de conduire sous l'influence de l'alcool ou de stupéfiants.

Remarquons encore les traitements « mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d'affaires scolaires, périscolaires et de la petite enfance ».

Évidemment, la CNIL rappelle que ces exemptions ne permettent pas au responsable d’échapper au règlement. Il continue par exemple à être soumis à l’obligation de sécurité imposée par l’article 32 par exemple.

Copié dans le presse-papier !

En 2017, Nielsen présentait son service Subscription Video on Demand Content Ratings. Il était initialement capable de mesurer les audiences sur Netflix, et devait prendre en charge Amazon prime Video l’année suivante.

Cette compatibilité arrive finalement avec un an de retard, comme l'indique TechCrunch. Le service s’adresse aux sociétés productrices de contenus qui souhaiteraient des statistiques précises sur la manière dont ils sont regardés. Le service n’est pour le moment utilisable qu’aux États-Unis, comme pour Netflix.

Les mesures s’effectuent via les appareils connectés, de type TV, Roku, Apple TV, boitiers et équipements Android TV, etc. le visionnage sur mobile ou via un navigateur sur ordinateur n’est pas pris en charge, mais un article publié dans Variety l’année dernière montrait que les statistiques de Nielsen étaient proches des propres affirmations de Netflix.