du 14 novembre 2018
Date

Choisir une autre édition

Encore un « bug » Facebook qui pouvait révéler des informations personnelles

Il a été identifié par l'équipe d'Imperva et signalé au réseau social en mai dernier. Évidemment, il a été corrigé avant sa divulgation.

Pour l'exploiter, il fallait attirer un utilisateur sur une page spécialement conçue pour cette attaque. Il devait ensuite cliquer dessus (n'importe où) pour ouvrir une popup ou un nouvel onglet sur la page de recherche de Facebook.

Si l'utilisateur était identifié sur son compte, le site piégé pouvait alors récupérer des informations via du cross-site request forgery (CSRF) : « Étant donné que le nombre d'éléments iframe sur la page [de recherche de Facebook, ndlr] reflète le nombre de résultats de la recherche, nous pouvons simplement les compter en accédant à la propriété fb.frames.length ».

Ainsi, « en manipulant le Graph Search de Facebook, il est possible de créer des requêtes qui renvoient des informations personnelles sur l'utilisateur ». Par exemple : en cherchant la liste des pages qu'il aime et qui s'appellent « Imperva », la recherche renverra une iframe (contenant un descriptif rapide et lien vers Imperva) si c'est le cas, ou aucune dans le cas contraire. Un simple décompte permet d'en déduire un oui ou un non, sans accéder au contenu de l'iframe.

Les chercheurs expliquent qu'il est possible d'aller plus loin avec des recherches savamment ciblées sur le Graph Search : regarder si l'utilisateur identifié sur Facebook a des amis provenant ou vivant dans un pays en particulier, s'il a pris des photos dans certains lieux, si lui ou ses amis ont publié un contenu contenant des mots clés, etc.

Bref, en manipulant adroitement le moteur de recherche sémantique avec des questions calibrées, il était possible d'en déduire des informations personnelles sur l'utilisateur connecté sur le navigateur et sur ses « amis ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le 14 mars, Orange annonçait sans détour qu'il proposerait ses Livebox fibre « sur tous les réseaux d’initiative publique de France ». Une belle promesse, mais sans date.

Trois mois plus tard, nouvelle annonce importante : « un accord permettant à Orange de déployer ses offres sur les réseaux FTTH de Covage ». Les forfaits Livebox Fibre et Fibre Up, mais aussi La Boîte de Sosh.

Covage est pour rappel un important acteur puisqu'il exploite 46 réseaux d’initiative publique ou privée. « Le périmètre de Covage couvre aujourd’hui 2,3 millions de prises dont 600 000 sont en exploitation. À terme, l’ambition du Groupe est de déployer plus de 3 millions de prises », explique Orange dans son communiqué.

Copié dans le presse-papier !

C'est en effet le 19 juin 1999 qu'est sortie la première version bêta du célèbre jeu. Il s'agissait alors d'un mod de Half Life. Il faudra attendre un peu plus d'un an pour que la mouture finale arrive.

Pour l'occasion, une version rétro de la carte Dust II est disponible dans Counter-Strike: Global Offensive. D'autres petits ajustements sont apportés dans la mise à jour d'hier (voir les notes de version).

Copié dans le presse-papier !

Il ne reste que quelques dizaines d'heures, mais la barrière fatidique des 19 600 euros a été franchie avec près de 400 contributeurs. Le projet étant sur le principe du « tout ou rien », le documentaire verra donc normalement le jour.

Il « se penchera sur des besoins concrets en matière de vie privée : hygiène numérique au quotidien, alternatives aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft), logiciels libres, moyens de réduire son exposition face aux risques de harcèlement et de piratage », explique le réalisateur.

Marc Meillassoux avait déjà réalisé Nothing to Hide qui s'attaquait au sempiternel argument  « je n’ai rien à cacher ». Il est désormais disponible en ligne sous licence Creative Commons.

Copié dans le presse-papier !

Les testeurs du nouveau navigateur Edge basé sur Chromium peuvent depuis cette nuit passer à la version 77 dans le canal Dev. Ce dernier est pour rappel mis à jour chaque semaine, contre chaque jour pour le canal Canary.

On note surtout l’apparition d’un nouveau SDK (Software Development Kit) pour le contrôle WebView2. Un composant essentiel puisqu’il sert de base aux développeurs voulant intégrer du contenu web dans leurs applications, voire proposer une application intégralement web (comme une PWA).

Il ne s’utilise pour l’instant que via des API C++ pour Win32, mais Microsoft promet la prise en charge pour plus tard d’autres environnements comme UWP (évidemment), WinForms et WPF. La nouvelle version tient compte de plusieurs demandes des développeurs. Il est par exemple possible désormais désactiver les barres de statut et les outils de développement. Le contrôle 32 bits peut en outre fonctionner sur des ordinateurs 64 bits.

WebView2 sera mis à jour à chaque nouvelle version de « Edgium », ce qui devrait largement réduire la fragmentation. Plus tard, les développeurs auront la possibilité d’empaqueter une version spécifique du contrôle dans leur application.

Copié dans le presse-papier !

Microsoft a publié la première préversion de Windows Server sur la branche 20H1, qui désigne pour rappel la première évolution semestrielle prévue pour l’année prochaine. L’éditeur n’évoque pratiquement pas la branche 19H2, qui devrait être une révision mineure.

Plusieurs nouveautés font leur apparition dans cette build 18917, dont une réclamée depuis longtemps. Les administrateurs peuvent en effet choisir indépendamment les mises à jour à installer.

Ils peuvent également déclarer désormais dans l’Admin Center que le serveur est déconnecté, quel que soit la raison. À la différence d’une déconnexion accidentelle, Windows ne préviendra plus d’erreurs liées à Azure, aux mises à jour d’extensions et autres.

Un outil d’import/export des machines virtuelles a été ajouté. L’import permet de choisir un nouvel ID et de copier ou laisser sur place les données. L’export peut se faire vers un volume local ou distant. Les machines virtuelles peuvent également être labellisées sur un serveur Hyper-V.

Quelques autres nouveautés sont à signaler, comme le chargement du contenu depuis un flux pour l’outil Azure Hybrid services ou la possibilité de basculer entre plusieurs comptes Azure depuis le menu idoine.