du 14 novembre 2018
Date

Choisir une autre édition

Encore un « bug » Facebook qui pouvait révéler des informations personnelles

Il a été identifié par l'équipe d'Imperva et signalé au réseau social en mai dernier. Évidemment, il a été corrigé avant sa divulgation.

Pour l'exploiter, il fallait attirer un utilisateur sur une page spécialement conçue pour cette attaque. Il devait ensuite cliquer dessus (n'importe où) pour ouvrir une popup ou un nouvel onglet sur la page de recherche de Facebook.

Si l'utilisateur était identifié sur son compte, le site piégé pouvait alors récupérer des informations via du cross-site request forgery (CSRF) : « Étant donné que le nombre d'éléments iframe sur la page [de recherche de Facebook, ndlr] reflète le nombre de résultats de la recherche, nous pouvons simplement les compter en accédant à la propriété fb.frames.length ».

Ainsi, « en manipulant le Graph Search de Facebook, il est possible de créer des requêtes qui renvoient des informations personnelles sur l'utilisateur ». Par exemple : en cherchant la liste des pages qu'il aime et qui s'appellent « Imperva », la recherche renverra une iframe (contenant un descriptif rapide et lien vers Imperva) si c'est le cas, ou aucune dans le cas contraire. Un simple décompte permet d'en déduire un oui ou un non, sans accéder au contenu de l'iframe.

Les chercheurs expliquent qu'il est possible d'aller plus loin avec des recherches savamment ciblées sur le Graph Search : regarder si l'utilisateur identifié sur Facebook a des amis provenant ou vivant dans un pays en particulier, s'il a pris des photos dans certains lieux, si lui ou ses amis ont publié un contenu contenant des mots clés, etc.

Bref, en manipulant adroitement le moteur de recherche sémantique avec des questions calibrées, il était possible d'en déduire des informations personnelles sur l'utilisateur connecté sur le navigateur et sur ses « amis ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Cette mission de moyenne catégorie fait partie du programme Vision Cosmique de l'Agence spatiale européenne, dont le but est d'étudier l’expansion de l’Univers au cours des derniers dix milliards d’années.

« Le satellite étudiera des galaxies qui se trouvent à différentes distances de la Terre au moyen d’un télescope de 1,2 m de diamètre qui embarque deux instruments : l’imageur observant en lumière visible (VIS) et le spectro-imageur proche infrarouge (NISP) », explique l'ESA.

Elle aura pour objectif de réaliser « une image en 3D de l’évolution de la distribution de la matière noire et de la matière ordinaire (baryonique) dans le cosmos ». Les scientifiques espèrent ainsi « estimer l’accélération causée par la mystérieuse énergie noire avec une précision au pour cent près, et les éventuelles variations d’accélération avec une précision de 10 % ».

Pour rappel, le CNES explique que « l’Univers reste très mystérieux : 95 % de son contenu, la matière noire et l’énergie noire, nous sont invisibles alors qu’elles ont un effet gravitationnel ». Les conséquences peuvent être importantes : « Elle expliquerait pourquoi notre Univers se compose de galaxies, d’amas de galaxies mais aussi de vides immenses ».

L'assemblage du satellite Euclid devrait avoir lieu en 2021 pour un lancement en 2022.

Copié dans le presse-papier !

Chaque fois qu’un nouveau macOS arrive, la version intégrée de Safari est répercutée sur les deux versions précédentes du système. Catalina n’est pas encore là, mais High Sierra (10.13.6) et Mojave (10.14.5) peuvent récupérer Safari 13 depuis hier soir.

Parmi les nouveautés, un écran d’accueil revisité (avec notamment des suggestions de Siri), des notifications pour alerter l’utilisateur quand il se connecte avec un mot de passe faible, le support des thèmes sombres des sites web ou encore l’accès simplifié aux onglets déjà ouverts lors d’une recherche.

Safari 13 peut être récupéré depuis les mises à jour système.

Copié dans le presse-papier !

Comme prévu, le fabricant a présenté hier ses smartphones Mate 30 et Mate 30 Pro, y compris une déclinaison 5G pour ce dernier.

Le premier dispose d'un écran de 6,62" (2 340 x 1 080 pixels) contre 6,53" (2 400 x 1 080 pixels) pour le second, avec écran légèrement courbé sur les côtés. Un SoC Kirin 990 est aux commandes, avec 6 ou 8 Go de mémoire suivant les cas. 

Bien évidemment, la photo est à l'honneur avec quatre capteurs à l'arrière sur les deux smartphones. La version Pro a droit à plus de pixels et deux caméras avec une stabilisation optique, contre une seule pour le Mate 30. 

Le Mate 30 sera vendu à partir de 799 euros, contre 1 099 euros pour le Mate 30 Pro et 1 199 euros pour le Mate 30 Pro 5G. Si ce n'est pas encore assez cher, il y a aussi une version Porsche Design (Mate 30 RS) à 2 095 euros avec 12 Go de mémoire et 512 Go de stockage.

Passons rapidement sur le reste des caractéristiques techniques pour arriver au point saillant : Android 10 est bien aux commandes, avec la surcouche maison EMUI… mais sans les applications, les services et le Play Store de Google. À la place, une Apps Gallery maison, avec « seulement » 45 000 applications. C'est la conséquence de l'embargo imposé par les États-Unis. 

« Nous réfléchissons à l'opportunité ou non d'une commercialisation, d'ici à la fin de l'année, en Europe et en France » explique au Parisien Stéphane Curtelin, directeur marketing de Huawei France. 

Le fabricant présente aussi une nouvelle montre, la Watch GT 2. Elle dispose d'un écran AMOLED de 1,39", d'un SoC Kirin A1 et fonctionne sous Lite OS. Elle peut relever le rythme cardiaque sous l'eau et supporte 15 styles de sports différents, en plus d'une fonction pour surveiller la qualité de votre sommeil évidemment.

L'autonomie annoncée par le fabricant est de deux semaines. Toutes les caractéristiques techniques sont disponibles par ici. Elle sera vendue à partir de 229 euros en octobre. 

Copié dans le presse-papier !

Une semaine et demie après la sortie de cette mouture, Google publie une mise à jour de sécurité sans attendre Chrome 78.

Quatre failles sont pointées du doigt : une critique (remontée à Google le 5 septembre) et trois avec un niveau de dangerosité élevé. Les détails techniques seront dévoilés ultérieurement, lorsqu'une majorité des utilisateurs aura installé la mise à jour. Selon The Hacker News, un attaquant pourrait en profiter pour exécuter du code arbitraire.

Man Yue Mo, qui a découvert deux des quatre failles, a obtenu une récompense de 40 000 dollars (20 000 dollars pour chacune), tandis que le montant des deux autres (notamment celle critique) n'est pas précisé.

Dans tous les cas, il est urgent de se mettre à jour si ce n'est pas déjà fait. Vérifier que vous avez bien la version 77.0.3865.90 au minimum (sur Windows, macOS et Linux).

Copié dans le presse-papier !

La ville a publié un communiqué expliquant que les services de police ont reçu un appel le 19 septembre à 11h30 (heure locale) leur « signalant qu'un homme adulte de sexe masculin avait sauté du 4e étage d'un immeuble ».

Sur place, les services de secours ont trouvé la personne inanimée. Ils n'ont rien pu faire, si ce n'est constater le décès. La ville ajoute que l'enquête préliminaire laisse penser qu'il n'y a aucun acte criminel dans « cet apparent suicide ».

Un porte-parole de Facebook confirme la situation à TechCrunch, mais ne donne aucun détail supplémentaire. Pour l'instant, aucune piste n'est évoquée concernant les raisons qui ont poussé cet homme à sauter du 4e étage.