du 27 novembre 2018
Date

Choisir une autre édition

En plus d'interdire l'équipementier chinois, les États-Unis enjoindrait ses « alliés » à faire de même. Mais qu'en est-il de la position de la France ?

Selon un conseiller ministériel à Bercy cité par les Échos, « il n'y a pas assez de raisons suffisantes pour justifier une interdiction totale. Si Huawei installe une antenne-relais à Nantes, ce n'est pas pareil qu'une antenne en face de l'Élysée... Nous avons une analyse fine de la situation ».

Du côté de Huawei, le numéro deux français (Zhang Minggang) marche dans les pas de son directeur : « Nous sommes extrêmement vigilants et depuis très longtemps, bien avant la 5G. Il y a des garde-fous partout sur nos équipements. Une fois qu'ils sont installés chez le client, nous n'y avons plus accès, sauf quand l'opérateur nous demande d'en faire la maintenance ».

L'enjeu est important puisque les fréquences 5G devraient être libérées l'année prochaine avec une ouverture commerciale des réseaux dès 2020.

Équipements Huawei en France ? Pas « de raisons suffisantes pour justifier une interdiction totale »
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sur Twitter, « supprimer » ne veut pas forcément dire « supprimer ». Les messages directs envoyés à d’autres comptes restent en effet stockés pendant des années, même s’ils ont été supprimés ou échangés avec des comptes aujourd’hui suspendus ou supprimés.

On se rappelle que la société avait changé le comportement des messages directs il y a quelques années : supprimer un message envoyé ne l’enlevait plus de la conversation pour tous les participants, mais uniquement pour l’expéditeur.

En utilisant l’outil intégré de récupération des données du compte, on peut donc remettre la main sur des messages reçus de comptes aujourd’hui disparus ou suspendus par Twitter.

Problème, la société affirme qu’après suppression d’un compte, les données sont gardées pendant une « brève période » pour des impératifs juridiques. TechCrunch affirme au contraire que les archives peuvent contenir des données datant de plusieurs années après la fermeture des comptes.

Twitter a simplement réagi en indiquant se pencher sérieusement sur la question pour en délimiter le périmètre exact.

Comme le rappellent nos confrères, Twitter s’expose à des poursuites dans le cadre du RGPD. Le fonctionnement du bouton Supprimer dans les DM est expliqué par l’entreprise, mais elle peut difficilement défendre la présence de vieilles données de comptes supprimés.

Supprimer un compte reste l’expression directe du droit d’effacement que toute entreprise doit respecter en Europe.

Copié dans le presse-papier !

Attendu de pied ferme par les joueurs, loin d'être convaincus pour le moment, le titre de Bioware est disponible aux abonnés EA Access depuis quelques jours.

Pour assurer sa promotion, l'éditeur s'est payé les services du réalisateur de District 9, Neill Blomkamp. Présentée comme une bande-annonce du jeu, dévoilant une partie de son histoire, la vidéo mise en ligne dure un peu moins de quatre minutes.

Elle est plutôt de bonne tenue. On espère donc qu'Anthem sera aussi réussi, tant dans sa qualité graphique que son gameplay. Réponse à sa sortie, le 22 février.

Copié dans le presse-papier !

Le Conseil constitutionnel a censuré vendredi l’ancien régime du droit de communication des données de connexion dont bénéficiaient les agents des douanes. Après avoir considéré que ce régime était conforme au bloc de constitutionnalité le 27 janvier 2012, la haute juridiction est finalement revenue sur son analyse en raison d’un « changement des circonstances ».

Poussé par la jurisprudence de la Cour de justice de l’Union européenne (et son fameux arrêt Télé2), il a finalement estimé que le législateur ne pouvait pas organiser un tel droit contre les FAI et les hébergeurs sans prévoir de garanties particulières.

« Le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions » écrit-il avant de censurer ce mécanisme.

Dans sa grande mansuétude, il a néanmoins déporté dans le temps cette censure, afin de sanctuariser les procédures en cours sur l’autel de la sauvegarde de l’ordre public et la recherche des auteurs d’infractions, deux objectifs à valeur constitutionnelle.

Le défaut d’encadrement sanctionné ici a été depuis corrigé par la loi du 23 octobre 2018 relative à la lutte contre la fraude.

Depuis, les agents des douanes ayant au moins le grade de contrôleur peuvent se faire communiquer les données de connexion chez les opérateurs, les hébergeurs et les FAI, mais cette demande ne peut viser que les infractions les plus graves et l’accès doit être autorisé par le procureur de la République. Les données communiquées doivent enfin être détruites « à l’extinction de l’action pour l’application des sanctions fiscales ».

Dans cette QPC, notons l’intervention de la Quadrature du Net, et d’autres associations (Franciliens.net, FAImaison, Midway's Network et Rézine), toutes représentées par Me Alexis Fitzjean Ó Cobhthaigh.

Copié dans le presse-papier !

Une équipe de chercheurs, réunissant notamment certains ayant participé à la découverte des failles Meltdown et Spectre, a mis la main sur un sérieux problème de sécurité avec la fonctionnalité SGX (Software Guard eXtensions) des processeurs Intel.

Présente depuis la génération Skylake, elle permet à un code de résider dans une mémoire isolée du système et – normalement – de toute tentative d’accès, à moins d’être expressément autorisée. Ces espaces protégés, appelés enclaves, ne peuvent même pas être lus par le noyau du système ou le BIOS/UEFI.

Problème, les chercheurs ont réussi à implanter un malware dans une enclave. Ils se sont servis des TSX (Transactional Synchronization eXtensions) pour vérifier si une adresse virtuelle était accessible par le processus en cours. Une opération que le système d’exploitation ne peut pas détecter du fait de l’architecture de SGX.

Les chercheurs tentent ensuite de savoir s’il est possible d’écrire dans cette plage mémoire, via une technique baptisée CLAW (Checking Located Addresses for Writability). L’instruction d’écriture est alors encapsulée dans une transaction TSX, donc toujours indétectable.

On comprend la dangerosité de la méthode, comme chaque fois qu’un malware peut tirer parti du matériel : il se cachera dans une zone protégée que rien ne peut atteindre, et certainement pas un antivirus. Les chercheurs craignent particulièrement une nouvelle génération de ransomwares presque impossibles à déloger.

Selon les chercheurs, les modifications à réaliser peuvent être matérielles comme logicielles. Dans le premier cas, Intel pourrait renforcer l’isolation des enclaves, sans impact sur les performances. Les changements logiciels, eux, arriveraient plus rapidement, mais entraineraient une légère chute des performances.

Intel a reconnu l’existence du problème, sans remettre en question sa fonction SGX. Le fondeur rappelle que son objectif est de protéger ce qui y est placé, non de contrôler qui a le droit d’y entrer : « SGX ne garantit pas que le code exécuté dans l’enclave provient d’une source de confiance ».

La société ne dit pas un mot sur d’éventuelles mesures. En attendant, les chercheurs ont publié un prototype d’exploitation et le rapport complet de leurs travaux.

Copié dans le presse-papier !

Selon une étude de l’ICSI (International Computer Science Institute), environ 17 000 applications Android violeraient les conditions d’utilisation de la boutique Google Play pour cibler plus efficacement les utilisateurs.

Au lieu de se contenter du seul Advertising ID, ces applications s’abreuvent d’autres informations identifiantes : adresse MAC, IMEI et Android ID. Or, ces données ne peuvent pas être modifiées, ou très difficilement. Ensemble, elles constituent un redoutable moyen d’identification.

Comme le rapporte CNET, l’ICSI a transmis le résultat de ses recherches à Google, qui dit prendre le sujet très au sérieux. Des actions auraient déjà été entreprises contre certaines applications, mais on ne connait pas la portée de ces représailles.

L’éditeur confirme que des conditions d’utilisation sont bien violées par ces applications, mais sans dire lesquelles. Il est peu probable malheureusement que Google puisse rétablir la « justice » sans modifier profondément le fonctionnement de sa boutique.

Les développeurs ont en effet le droit d’utiliser l’adresse MAC, l’IMEI et le reste pour des raisons spécifiques, mais pas pour le ciblage publicitaire. Problème, Google ne peut vérifier cette bonne pratique que s’ils passent par son propre réseau publicitaire. Si les applications s’adressent à une autre crèmerie, il n'y a rien à faire.

Certaines des applications sont connues, mais ont été mises à jour entre temps. Cheetah Mobile par exemple, éditeur de Cheetah Keyboard et Mobile Doctor, ne se servirait de l’Android ID que pour le seul suivi du nombre d’installations. Mobile Doctor a par ailleurs été mis à jour en 2018 pour ne plus capter l’IMEI.

Le fait est que les résultats obtenus par l’ICSI ne font que braquer un peu plus les projecteurs sur un problème plus global : les activités secrètes des applications mobiles par manque de surveillance.

Apple a récemment eu le problème avec les fameux certificats d’entreprise, que des développeurs n’hésitaient pas à utiliser pour récupérer des données personnelles. Microsoft n’est pas épargnée, avec plusieurs PWA de son Store contenant des cryptominers, d’après des recherches de Symantec.

Les grandes plateformes n’ont donc pas le choix : elles doivent resserrer le contrôle et prendre des mesures plus radicales en cas de contournement ou violation. La peur de voir le nombre d’applications baisser sur une boutique n’est plus un argument depuis longtemps.