du 17 décembre 2018
Date

Choisir une autre édition

Facebook : le régulateur irlandais enquête après un « bug » sur des photos de 6,8 millions d'utilisateurs

Depuis plusieurs mois, Facebook enchaîne les « bugs ». En juin, nous apprenions que les statuts privés de 14 millions d'utilisateurs avaient pu être rendus publics. En juillet, des contacts de 800 000 utilisateurs avaient pu être débloqués. Plus récemment, en novembre, des informations personnelles étaient accessibles en manipulant le Graph Search.

C'est désormais au tour de l'API Photo d'être victime d'un « bug » dans le langage de Facebook, d'une faille pour les autres : près de 1 500 applications tierces (de 867 développeurs) ont pu accéder sans autorisation à certaines photos des utilisateurs. L'incident s'est déroulé du 13 au 25 septembre 2018.

Lorsqu'un utilisateur laisse une application tierce accéder à ses photos, elle ne peut normalement récupérer que celles ayant déjà été partagées sur le réseau social. Cette faille permettait aux applications d'accéder aux clichés de la Marketplace, des Stories et même ceux n'ayant jamais été publiés. Facebook explique que lorsqu'un utilisateur envoie une photo sans la mettre en ligne, elle est conservée pendant trois jours pour être récupérée facilement si besoin.

« Au début de la semaine prochaine, nous proposerons aux développeurs des outils leur permettant de déterminer leurs utilisateurs susceptibles d'être affectés par ce bug », explique le réseau social. Ce dernier précise qu'il travaillera avec les développeurs pour supprimer les éventuelles photos récupérées. Une notification sera également envoyée aux utilisateurs concernés.

Le régulateur irlandais (le siège européen de Facebook est à Dublin pour rappel) a d'ores et déjà annoncé qu'il enquêtait sur cette fuite de données afin de « déterminer si Facebook s'était conformée aux nouvelles règles strictes de l'Union européenne en matière de protection de la vie privée dans sa réponse à un certain nombre failles, notamment celle qui exposait les photos ». De son côté, la société indique travailler avec le régulateur.

Ce dernier se penche notamment sur le délai entre la période où la faille était active (13 au 25 septembre) et la date à laquelle les autorités ont été informées : le 22 novembre. Facebook affirme l'avoir fait immédiatement après avoir « établi que l'incident était considéré comme une infraction à signaler ».

Pour rappel, en cas de condamnation, l'amende peut atteindre 4 % du chiffre d'affaires mondial, soit près de 1,6 milliard de dollars (en se basant sur les revenus de 2017).

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Des chercheurs ont révélé que Steam contenait une faille qui, exploitée, pouvait permettre une exécution de code arbitraire sur la machine.

La faille résidait dans toutes les versions du client, mais les chercheurs ne sont arrivés à l’exploiter que sous Windows. Les chances de succès étaient d’environ 0,2 % à chaque fois. Le chiffre peut paraître faible, mais les chercheurs évoquent une victime toutes les 512 tentatives, un ratio bien assez dangereux.

La vulnérabilité se situait dans le navigateur de serveurs. Ce dernier permet aux joueurs de chercher un serveur disponible pour certains jeux, dont CS:GO, Half-Life 2 et Team Fortress 2. Les chercheurs ont montré qu’il était possible d’y placer un serveur malveillant.

Valve a été averti du problème en décembre et a corrigé depuis la faille sur l’ensemble des plateformes. Les chercheurs ont été récompensés de 15 000 dollars, auxquels est venue s’ajouter une prime de 3 000 dollars.

On ne sait cependant pas si la faille a eu le temps d’être exploitée, ni Valve ni les chercheurs n’abordant ce point.

Copié dans le presse-papier !

Elle sera proposée de série sur toutes les voitures du constructeur à partir de 2021. Le propriétaire de la voiture peut ainsi définir une limite de vitesse pour lui-même, les membres de sa famille ou des amis à qui il prête son véhicule.

Cette annonce intervient peu de temps après celle d'une limite de vitesse à 180 km/h sur toutes ses voitures « à compter de 2020 ». Le constructeur veut ainsi « envoyer un message fort sur les dangers de la vitesse au volant ».

Håkan Samuelsson, directeur général de Volvo Cars, en profite pour affirmer que son entreprise « entend engager un dialogue portant sur le droit, voire l’obligation, pour les constructeurs de doter leurs véhicules d’équipements technologiques susceptibles de modifier le comportement de leurs utilisateurs ».

Copié dans le presse-papier !

Le régulateur explique que son « tableau de bord trimestriel vise à mettre en lumière l’état des déploiements des opérateurs mobiles au regard de ces nouvelles obligations de déploiement ». Il a été mis à jour pour intégrer les données du quatrième trimestre 2018.

Les informations sont également disponibles en open data sur cette page.

Dans le même temps, un arrêté ministériel publié ce matin au JO définit « les premières listes des zones à couvrir pour l’année 2019 ». Une centaine de zones sont ainsi mises en avant. Une consultation publique avait été lancée en février, justement pour définir les zones à couvrir en priorité pour 2019.

« Dans chaque zone, les opérateurs désignés sont tenus de fournir des services de radiotéléphonie mobile et d'accès mobile à très haut débit [...] au moyen de l'installation de nouveaux sites dont le nombre est défini en annexe, en vue notamment d'assurer la couverture des points d'intérêt de la zone ».

Copié dans le presse-papier !

L'ESA rappelle qu'il s'agit de sa première mission consacrée à l’étude des exoplanètes. Le lancement à bord d'une fusée Soyouz est prévu entre le 15 octobre et le 14 novembre 2019.

Une fois dans l'espace, « le satellite observera les étoiles brillantes dont on sait qu’elles abritent des exoplanètes, en ciblant plus particulièrement les planètes d’une taille comprise entre celles de la Terre et de Neptune », explique l'agence spatiale européenne.

Copié dans le presse-papier !

La CISA (Cybersecurity and Infrastructure Security Agency), du département américain de la Sécurité intérieure, vient de publier une alerte anxiogène : des défibrillateurs implantables sont vulnérables à plusieurs failles de sécurité.

Selon le bulletin, les modèles connectés Medtronic seraient susceptibles d’être attaqués par des pirates ayant suffisamment de connaissances techniques et se trouvant près des personnes concernées. Selon le Star Tribune, 750 000 de ces appareils seraient concernés.

Les risques potentiels sont évidemment grands, puisque le ou les pirates auraient la main sur le fonctionnement du défibrillateur, pouvant dérégler l’appareil et donc entrainer un vrai danger pour le patient.

D'après Ars Technica, ces vulnérabilités ne sont pas nouvelles. Elles auraient été signalées en janvier 2018 à Medtronic par des chercheurs de Clever Security.

Les problèmes remontés étaient sérieux : pas de chiffrement, pas d’authentification et différentes failles permettant de capter sans problème les informations circulant entre le défibrillateur connecté et les appareils conçus pour en exploiter les données. En plus d’une action directe, il est donc simple de dérober des données médicales.

Medtronic ne s’était pas exprimée l’année dernière, mais le bulletin d’alerte de la CISA, accompagné d’une note de sévérité de 9,3 sur 10, a forcé l’entreprise à communiquer.

Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un défibrillateur de son rôle.

Pour chaque patient, un pirate devrait connaître le modèle précis implanté, quels changements pourraient réellement entraîner des conséquences, sur quels paramètres agir, les commandes télémétriques pour le faire, si tant est que le modèle permette ce genre de manipulation.

En accord avec la FDA (Food and Drugs Administration), Medtronic recommande donc que les patients et médecins continuent d’utiliser les appareils normalement. La société précisé toutefois qu’elle développe actuellement des mises à jour.