du 15 février 2018
Date

Choisir une autre édition

Facebook : le numéro donné pour l'authentification 2FA utilisé pour des notifications

C'est une drôle d'affaire dans laquelle est empêtrée Facebook. Quand l'authentification à deux facteurs est activée, l'internaute peut donner son numéro de téléphone, afin qu'il reçoive un code. Problème, des utilisateurs l'ayant fait reçoivent maintenant des notifications par SMS.

Ces notifications ont trait aux statuts publiés par leurs amis. Le cas, notamment présenté par le développeur Gabriel Lewis, s'est vite répandu sur Twitter, notamment repris par le sociologue Zeynep Tufekci. Les critiques sont nombreuses et franches. Les utilisateurs ont également remarqué qu'en cas de réponse à ces SMS, le message était automatiquement publié sous forme de statut sur Facebook.

Facebook a fini par répondre, notamment à The Verge. L'entreprise indique qu'elle va examiner le problème. Elle rappelle toutefois que le numéro de téléphone n'est pas obligatoire, puisque l'on peut utiliser une application de type Authenticator ou même une clé U2F.

Certes, mais le porte-parole n'a pas indiqué s'il s'agissait d'un comportement voulu ou d'un bug. Car utiliser le même numéro pour les authentifications et de simples notifications n'a rien de très sécurisé. Rien non plus que la publication automatique d'un statut en cas de réponse au SMS.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En avril, le réseau social promettait un partenariat avec des chercheurs pour étudier les fake news. L'organisation est désormais officielle : Social Science One.

Sa première mission est d'étudier un pétaoctet de données de partage et de métadonnées. Il contient l'ensemble des URL cliquées et partagées par les membres de Facebook, soit deux millions par semaine, et potentiellement 30 milliards de lignes au total.

Les métadonnées incluent les pays, l'âge du membre ou encore son affiliation idéologique, en plus d'informations précises comme la position dans le flux d'actualités, le nombre de partages, de J'aime, etc.

Le but est de construire des ensembles cohérents de données, par un groupe de scientifiques triés sur le volet, avec l'aide du Social Science Research Council. TechCrunch prend l'exemple imaginaire de publications dans la semaine du référendum sur le Brexit.

La documentation de chaque ensemble de données sera accompagné d'appels à propositions de projets de recherche. Ceux choisis pourront obtenir un financement, les données, sans restriction sur les articles produits.

D'autres sujets sont dans les cartons, comme la polarisation des élections, la publicité politiques et l'engagement civique.

Copié dans le presse-papier !

En septembre dernier, la société lançait sa Data Box. Il s'agit d'une grosse boîte de 20 kg environ proposant 100 To de stockage, censée répondre à la Snowball d'Amazon Web Services, mais pas à la Snowmobile qui grimpe jusqu'à 100 Po.

Une fois la Data Box récupérée, il suffit de transférer ses documents (via Ethernet Gigabit ou 10 GbE) et de retourner la boite à Microsoft, qui envoie ensuite ces données sur un maximum de 10 comptes Azure. De quoi éviter d'interminables sessions de mise en ligne (même avec de la fibre optique).

La société propose une nouvelle version, plus accessible : la Data Box Disk. Cette fois-ci, jusqu'à 40 To de stockage sont proposés, via 5 SSD de 8 To maximum. La connectique n'est plus qu'en USB ou SATA, le transfert est limité à un seul compte Azure et le chiffrement passe de 256 bits sur la Data Box à 128 bits sur la Data Box Disk. Un comparatif entre les deux offres est disponible par ici.

Cette nouvelle offre n'est pour le moment disponible qu'en preview pour les clients dans l'Union européenne et les États-Unis.

Copié dans le presse-papier !

La société déclare que cette affaire remonte au 19 décembre 2017. Utilisant des identifiants valides, une personne non autorisée se connecte sur l'interface de son fournisseur de « Cloud Computing ». Elle crée un compte administrateur et en profite pour effectuer quelques opérations de reconnaissance dans l'environnement de travail.

À l'époque, aucune information personnelle des utilisateurs n'était présente, le pirate est donc reparti bredouille. En avril, un employé de TimeHop y transfère une base de données contenant des informations personnelles de clients et celle-ci est détectée par le pirate lorsqu'il revient en juin. Le 4 juillet, il dérobe les informations.

Le pirate est ainsi reparti avec les nom, prénom, date de naissance, genre, code pays, numéro de téléphone et email de près de 21 millions de clients de TimeHop. Aucune information bancaire, photo ou message n'est concerné affirme l'éditeur.

Plus embêtant, des jetons d'accès aux comptes des réseaux sociaux des utilisateurs étaient également présents (afin de récupérer vos images pour les utiliser dans TimeHop). Ils ont rapidement été révoqués, mais peuvent avoir théoriquement permis un accès au pirate pendant un court laps de temps. Aucune preuve n'indique que cela soit arrivé, assure la société.

Elle propose un tableau détaillé des fuites et du nombre de clients concernés à chaque fois. Une colonne est dédiée à ceux se trouvant dans une zone couverte par le RGPD.

Copié dans le presse-papier !

Le géant de Santa Clara avale donc cette société spécialisée dans les « ASIC structurés », c'est-à-dire des circuits intégrés développés spécifiquement pour un client.

eASIC n'est pas une jeune pousse puisque la société a été créée il y a maintenant 18 ans. L'équipe d'eASIC intégrera le Programmable Solutions Group d'Intel, mis en place suite au rachat d'Altera.

Le montant de la transaction n'est pas précisé.

Copié dans le presse-papier !

Sylvain Szewczyk, ancien rédacteur en chef et directeur artistique de Golden Moustache (M6) et créateur de Bescherelle ta mère, a lancé une chaîne YouTube où il dénonce certains comportements.

Après avoir pisté un harceleur en ligne en mars dernier, il s'attaque cette fois à un phénomène connu : la copie de contenu sur les réseaux sociaux, mise au service des marques et de leur « croissance digitale ».

Il y détaille sa conversation avec une société demandant de 5 000 à 10 000 euros pour engranger des abonnés avec des publications humoristiques, pour partie via de la simple reprise de publications trouvées ici et là. Mais aussi par « l'activation » d'influenceurs.

Une mécanique qui n'est que l'adaptation aux réseaux sociaux des fermes de contenus qui publient des articles, souvent traduits et parfois faux, dont l'unique objectif est de faire réagir (et cliquer) l'internaute. De quoi l'attirer sur des pages bourrées de pubs et autres contenus sponsorisés, et de générer de véritables machines à cash.