du 17 décembre 2018
Date

Choisir une autre édition

Facebook : le régulateur irlandais enquête après un « bug » sur des photos de 6,8 millions d'utilisateurs

Depuis plusieurs mois, Facebook enchaîne les « bugs ». En juin, nous apprenions que les statuts privés de 14 millions d'utilisateurs avaient pu être rendus publics. En juillet, des contacts de 800 000 utilisateurs avaient pu être débloqués. Plus récemment, en novembre, des informations personnelles étaient accessibles en manipulant le Graph Search.

C'est désormais au tour de l'API Photo d'être victime d'un « bug » dans le langage de Facebook, d'une faille pour les autres : près de 1 500 applications tierces (de 867 développeurs) ont pu accéder sans autorisation à certaines photos des utilisateurs. L'incident s'est déroulé du 13 au 25 septembre 2018.

Lorsqu'un utilisateur laisse une application tierce accéder à ses photos, elle ne peut normalement récupérer que celles ayant déjà été partagées sur le réseau social. Cette faille permettait aux applications d'accéder aux clichés de la Marketplace, des Stories et même ceux n'ayant jamais été publiés. Facebook explique que lorsqu'un utilisateur envoie une photo sans la mettre en ligne, elle est conservée pendant trois jours pour être récupérée facilement si besoin.

« Au début de la semaine prochaine, nous proposerons aux développeurs des outils leur permettant de déterminer leurs utilisateurs susceptibles d'être affectés par ce bug », explique le réseau social. Ce dernier précise qu'il travaillera avec les développeurs pour supprimer les éventuelles photos récupérées. Une notification sera également envoyée aux utilisateurs concernés.

Le régulateur irlandais (le siège européen de Facebook est à Dublin pour rappel) a d'ores et déjà annoncé qu'il enquêtait sur cette fuite de données afin de « déterminer si Facebook s'était conformée aux nouvelles règles strictes de l'Union européenne en matière de protection de la vie privée dans sa réponse à un certain nombre failles, notamment celle qui exposait les photos ». De son côté, la société indique travailler avec le régulateur.

Ce dernier se penche notamment sur le délai entre la période où la faille était active (13 au 25 septembre) et la date à laquelle les autorités ont été informées : le 22 novembre. Facebook affirme l'avoir fait immédiatement après avoir « établi que l'incident était considéré comme une infraction à signaler ».

Pour rappel, en cas de condamnation, l'amende peut atteindre 4 % du chiffre d'affaires mondial, soit près de 1,6 milliard de dollars (en se basant sur les revenus de 2017).

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sur son blog, la société explique avoir détecté une activité anormalement élevée d'un groupe de pirates qu'elle surveille. Dans le même temps, elle identifie du code malveillant dans pas moins de 277 sites de vente en ligne. 78,6 % des attaques se sont déroulées en France.

Après des recherches approfondies, Trend Micro affirme que la source du problème ne se trouvait pas directement sur les sites, mais dans une bibliothèque JavaScript tierce provenant d'Averline. Il s'agit d'une régie publicitaire appartenant à Médiapost, une filiale de La Poste. Une fois cette dernière contactée, la brèche a été rapidement colmatée.

Le code en question surveillait l'URL des pages à la recherche de certains mots clés comme checkout, billing, purchase et panier. Ensuite, un script essayait de récupérer les informations de paiement (numéro de carte bancaire et code CCV).

Comme pour l'attaque de Newegg, de la British Airways et de TicketMaster, le groupe de pirates Magecart serait derrière cette attaque.

Copié dans le presse-papier !

Isabelle Falque-Pierrotin, la présidente de la Commission nationale de l’informatique et des libertés, fera partie des cinq « garants » du « grand débat national » voulu par Emmanuel Macron. Matignon a confirmé ce choix hier à l’AFP.

Isabelle Falque-Pierrotin rejoindra notamment le politologue Pascal Perrineau, ou bien encore Guy Canivet (ancien membre du Conseil constitutionnel). Cette désignation pourrait être bien vue par ceux qui s’inquiétaient des premiers « bugs » entourant le site « granddebat.fr », qui fera office de plateforme de consultation en ligne à partir du 21 janvier.

Copié dans le presse-papier !

Le 18 décembre, l’autorité des télécoms a mis en demeure l’opérateur historique sur son offre de gros généralistes et pour entreprises sur le réseau téléphonique (xDSL).

La décision, publiée le 16 janvier, marque le constat d’une dégradation de la qualité de service de la boucle locale (le dernier kilomètre jusqu’au client). Orange avait donc jusqu’au 1er janvier pour respecter ses obligations et fournir des indicateurs trimestriels à l’Arcep, déjà réclamés par ailleurs.

L’Arcep a attaqué Orange sur ces manquements en octobre, déclenchant la colère de l’opérateur, qui y voyait une tentative d’influer sur le cours de son action.

Copié dans le presse-papier !

Hier, la société annonçait de nouvelles règles pour les vendeurs proposant un essai gratuit avant facturation.

Il était ainsi question d'« obtenir l'approbation du titulaire de la carte à la fin de l'essai avant de commencer à le facturer » et d'envoyer, « par courrier électronique ou texto, le montant de la transaction, la date de paiement, le nom du commerçant ainsi que des instructions explicites sur la procédure à suivre pour annuler son essai ».

Dans une mise à jour de son communiqué, la société précise désormais « que le changement des règles est applicable aux produits physiques », pas aux ventes dématérialisées. Un soin ou un produit de santé est concerné, pas un abonnement à un service Internet.

Cette mention n'était pas présente dans la première version du billet, toujours consultable dans le cache de Google. Mastercard n'explique pas cet oubli crucial.

Copié dans le presse-papier !

Nouvelle étape de la conquête des réseaux d'initiative publique (RIP), montés par les départements et régions en zones rurales, par les fournisseurs d'accès nationaux.

Le 17 janvier, Free et Covage ont signé un accord pour connecter les Freebox sur près de 1,4 million de lignes prévues d'ici 2023. Free compte débarquer dans les prochains mois.

Les réseaux concernent plusieurs départements (Calvados, l’Hérault, la Haute-Savoie, la Seine-et-Marne et la Somme) et agglomérations (Dunkerque, Essonne Numérique, la Métropole Européenne de Lille, Paris-Saclay et Sénart), selon le communiqué.

Ces réseaux, situés dans des zones jugées trop peu rentables par les quatre grands FAI du pays pour les construire à leurs frais, les intéressent depuis un peu plus d'un an. Ils exploitent la concentration des projets entre les mains de quelques opérateurs, avec lesquels ils peuvent passer des accords nationaux.