du 14 novembre 2018
Date

Choisir une autre édition

Encore un « bug » Facebook qui pouvait révéler des informations personnelles

Il a été identifié par l'équipe d'Imperva et signalé au réseau social en mai dernier. Évidemment, il a été corrigé avant sa divulgation.

Pour l'exploiter, il fallait attirer un utilisateur sur une page spécialement conçue pour cette attaque. Il devait ensuite cliquer dessus (n'importe où) pour ouvrir une popup ou un nouvel onglet sur la page de recherche de Facebook.

Si l'utilisateur était identifié sur son compte, le site piégé pouvait alors récupérer des informations via du cross-site request forgery (CSRF) : « Étant donné que le nombre d'éléments iframe sur la page [de recherche de Facebook, ndlr] reflète le nombre de résultats de la recherche, nous pouvons simplement les compter en accédant à la propriété fb.frames.length ».

Ainsi, « en manipulant le Graph Search de Facebook, il est possible de créer des requêtes qui renvoient des informations personnelles sur l'utilisateur ». Par exemple : en cherchant la liste des pages qu'il aime et qui s'appellent « Imperva », la recherche renverra une iframe (contenant un descriptif rapide et lien vers Imperva) si c'est le cas, ou aucune dans le cas contraire. Un simple décompte permet d'en déduire un oui ou un non, sans accéder au contenu de l'iframe.

Les chercheurs expliquent qu'il est possible d'aller plus loin avec des recherches savamment ciblées sur le Graph Search : regarder si l'utilisateur identifié sur Facebook a des amis provenant ou vivant dans un pays en particulier, s'il a pris des photos dans certains lieux, si lui ou ses amis ont publié un contenu contenant des mots clés, etc.

Bref, en manipulant adroitement le moteur de recherche sémantique avec des questions calibrées, il était possible d'en déduire des informations personnelles sur l'utilisateur connecté sur le navigateur et sur ses « amis ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En juillet dernier, la société roubaisienne a lancé une nouvelle offre baptisée Cloud Web. Il s'agit d'un mélange entre Public Cloud et hébergement Web classique avec, selon OVH, « la liberté de configuration d’un serveur isolé, la rapidité d’un disque SSD, la simplicité d’un hébergement managé ».

Deux nouveaux paliers sont désormais disponibles : Cloud Web 2 et 3. La différence se fait principalement sur le nombre de vCores (1 ou 2), la quantité de mémoire vive (2, 4 ou 8 Go) et de stockage (10, 25 ou 65 Go de SSD).

Cloud Web 3 (qui dispose de deux vCores) permet aussi « d'activer deux environnements d'exécution simultanés en même temps et d'activer simultanément des langages de codage tels que PHP et Node.js ». Tous les détails sont disponibles par ici.

Voici les tarifs actuels : 11,99 euros pour Cloud Web 1, 22,79 euros pour Cloud Web 2 et 40,79 euros pour Cloud Web 3. Chaque offre peut, selon les estimations d'OVH, accueillir environ 100, 200 ou 300 visiteurs en simultanés.

Copié dans le presse-papier !

Voilà un mouvement que l’on n’attendait pas : plutôt que de publier une première build de la branche 19H2 (pour la seconde mise à jour semestrielle de 2019), Microsoft a fourni hier soir une préversion pour la branche 20H1. Soit celle qui devrait aboutir à l’April 2020 Update, si l'éditeur garde la nomenclature actuelle.

Cette build 18836 est réservée aux testeurs qui se sont inscrits dans le canal Skip Ahead, qui permet de sauter la branche de développement en cours pour se concentrer sur la suivante.

Microsoft n’explique pas son choix. Il pourrait exprimer un prochain recentrage des canaux de distribution avec des builds 19H1 dans le canal lent et des 19H2 dans le canal rapide. Mais il reste encore au moins un bon mois de test avant la version finale de la 19H1, soit l’April 2019 Update.

Quant à cette préversion 18836, elle n’apporte en elle-même aucune nouveauté, uniquement des corrections de bugs. Une situation habituelle, les premières builds d’une nouvelle branche n’ayant jamais d’apports significatifs.

Mais quelles que soient les explications, on reste bien sur un comportement nouveau. Après tout, l’April 2019 Update n’est pas terminée, on ne sait rien de la branche 19H2 mais une build 20H1 est disponible.

La conférence Build en mai serait une bonne occasion d’éclaircir la situation. À tout le moins, on peut tabler sur des prévisions à long terme : peut-être la version 20H1 doit-elle accueillir d’importantes nouveautés qui nécessiteront des tests poussés sur une plus longue période.

Notez que Microsoft publie habituellement les nouvelles préversions du canal rapide le vendredi soir. Il se pourrait donc que les testeurs en aient une nouvelle ce soir, qui embarquerait alors les mêmes correctifs que la 18836.

Copié dans le presse-papier !

JP Morgan Chase est devenue la première banque à créer sa cryptomonnaie maison, le JPM Coin. Celle-ci a pour particularité d'avoir sa valeur garantie à un dollar, et de cibler un marché très précis : celui des transferts d'argent interentreprises.

La banque y fait transiter chaque jour quelque 6 000 milliards de dollars, au travers du vieillissant réseau Swift, pouvant causer parfois des délais d'une journée pour la prise en compte d'une transaction. Avec son JPM Coin, la banque veut permettre à Facebook et à ses autres clients de pouvoir transférer quasi immédiatement les fonds nécessaires à leurs opérations, comme le versement des salaires dans le monde entier.

Le JPM Coin trouverait également un intérêt dans le domaine des smart contracts, très en vue dans le domaine de l'assurance. Ils permettraient là aussi de procéder instantanément à des versements lors de l'exécution d'un contrat, plutôt que de passer par le réseau bancaire classique et ses délais.

Il n'est pour l'instant pas prévu que les particuliers puissent se procurer des JPM Coin. Pour l'heure, la cryptomonnaie n'est qu'en phase de test grandeur nature avec quelques entreprises triées sur le volet.

Copié dans le presse-papier !

La conférence du 20 février promet d'être chargée. Samsung y présentera évidemment ses nouveaux Galaxy S10 (dont les fuites ne cessent de se multiplier), un smartphone pliable qui pourrait s'appeler Galaxy Winner et une série d'accessoires, comme le rapporte The Verge.

Dans le lot, on retrouverait une nouvelle montre Galaxy Watch Active, des bracelets Fit (e) et des écouteurs Buds. Particularité de ces derniers : ils devraient pouvoir être rechargés directement par le Galaxy S10, à confirmer évidemment.

Copié dans le presse-papier !

À l'approche du MWC de Barcelone, les constructeurs fourbissent leurs armes et multiplient les annonces sur des briques logicielles et matérielles que l'on retrouvera dans leurs smartphones haut de gamme.

LG vient ainsi de présenter sa technologie Crystal Sound OLED (CSO) « qui utilise l’écran OLED du téléphone comme amplificateur audio » : « En faisant vibrer toute la surface, CSO transforme l'écran OLED en diaphragme pour produire un son d'un volume impressionnant ».

Le fabricant ajoute qu'elle permet d'améliorer notamment la clarté des voix. Il faudra certainement attendre l'ouverture du MWC (le 25 février) pour en apprendre davantage sur le Crystal Sound OLED.