du 17 décembre 2018
Date

Choisir une autre édition

Facebook : le régulateur irlandais enquête après un « bug » sur des photos de 6,8 millions d'utilisateurs

Depuis plusieurs mois, Facebook enchaîne les « bugs ». En juin, nous apprenions que les statuts privés de 14 millions d'utilisateurs avaient pu être rendus publics. En juillet, des contacts de 800 000 utilisateurs avaient pu être débloqués. Plus récemment, en novembre, des informations personnelles étaient accessibles en manipulant le Graph Search.

C'est désormais au tour de l'API Photo d'être victime d'un « bug » dans le langage de Facebook, d'une faille pour les autres : près de 1 500 applications tierces (de 867 développeurs) ont pu accéder sans autorisation à certaines photos des utilisateurs. L'incident s'est déroulé du 13 au 25 septembre 2018.

Lorsqu'un utilisateur laisse une application tierce accéder à ses photos, elle ne peut normalement récupérer que celles ayant déjà été partagées sur le réseau social. Cette faille permettait aux applications d'accéder aux clichés de la Marketplace, des Stories et même ceux n'ayant jamais été publiés. Facebook explique que lorsqu'un utilisateur envoie une photo sans la mettre en ligne, elle est conservée pendant trois jours pour être récupérée facilement si besoin.

« Au début de la semaine prochaine, nous proposerons aux développeurs des outils leur permettant de déterminer leurs utilisateurs susceptibles d'être affectés par ce bug », explique le réseau social. Ce dernier précise qu'il travaillera avec les développeurs pour supprimer les éventuelles photos récupérées. Une notification sera également envoyée aux utilisateurs concernés.

Le régulateur irlandais (le siège européen de Facebook est à Dublin pour rappel) a d'ores et déjà annoncé qu'il enquêtait sur cette fuite de données afin de « déterminer si Facebook s'était conformée aux nouvelles règles strictes de l'Union européenne en matière de protection de la vie privée dans sa réponse à un certain nombre failles, notamment celle qui exposait les photos ». De son côté, la société indique travailler avec le régulateur.

Ce dernier se penche notamment sur le délai entre la période où la faille était active (13 au 25 septembre) et la date à laquelle les autorités ont été informées : le 22 novembre. Facebook affirme l'avoir fait immédiatement après avoir « établi que l'incident était considéré comme une infraction à signaler ».

Pour rappel, en cas de condamnation, l'amende peut atteindre 4 % du chiffre d'affaires mondial, soit près de 1,6 milliard de dollars (en se basant sur les revenus de 2017).

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Mozilla vient de mettre à jour toutes les versions supportées de Firefox pour corriger une faille critique 0-day.

Rapportée à l’éditeur par le chercheur Samuel Groß pour le compte du Google Project Zero, la brèche peut permettre à un pirate d’exécuter à distance un code arbitraire, pouvant mener à une prise totale de contrôle. Soit le pire des scénarios.

Estampillée CVE-2019-11707, la vulnérabilité peut affecter tout utilisateur de Firefox sur ordinateur, donc sous Linux, macOS ou Windows. Elle réside dans la manière dont Firefox manipule des objets JavaScript à cause d’un problème dans Array.pop, le navigateur souffrant d’une « confusion de types ». Aucun détail supplémentaire ni prototype d’exploitation n’a encore été révélé.

Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.

Copié dans le presse-papier !

Les testeurs du nouveau navigateur Edge basé sur Chromium peuvent depuis cette nuit passer à la version 77 dans le canal Dev. Ce dernier est pour rappel mis à jour chaque semaine, contre chaque jour pour le canal Canary.

On note surtout l’apparition d’un nouveau SDK (Software Development Kit) pour le contrôle WebView2. Un composant essentiel puisqu’il sert de base aux développeurs voulant intégrer du contenu web dans leurs applications, voire proposer une application intégralement web (comme une PWA).

Il ne s’utilise pour l’instant que via des API C++ pour Win32, mais Microsoft promet la prise en charge pour plus tard d’autres environnements comme UWP (évidemment), WinForms et WPF. La nouvelle version tient compte de plusieurs demandes des développeurs. Il est par exemple possible désormais désactiver les barres de statut et les outils de développement. Le contrôle 32 bits peut en outre fonctionner sur des ordinateurs 64 bits.

WebView2 sera mis à jour à chaque nouvelle version de « Edgium », ce qui devrait largement réduire la fragmentation. Plus tard, les développeurs auront la possibilité d’empaqueter une version spécifique du contrôle dans leur application.

Copié dans le presse-papier !

C’est décidé : il n’y aura plus de versions 32 bits pour les variantes officielles d’Ubuntu à compter de la prochaine version majeure, à savoir la 19.10 prévue pour octobre.

Canonical ne va donc plus compiler aucun élément vers l’architecture i386, y compris les bibliothèques. La conséquence la plus directe est que les utilisateurs de l’actuelle version 19.04 en 32 bits ne pourront pas migrer vers la 19.10 quand elle sera disponible.

Environ 1 % seulement des utilisateurs se serviraient de ces versions, et cela faisait plus d’un an que l’éditeur réfléchissait à cet abandon. La question s’est accentuée avec les réflexions en cours pour la future version LTS 20.04. Les développeurs ont finalement décidé d’être « plus proactifs ».

Toutes les distributions Linux basées sur Ubuntu (comme Mint) seront obligées de suivre le même chemin. Se pose encore la question des applications nécessitant des bibliothèques 32 bits pour fonctionner, même si elles ne sont plus guère nombreuses.

Copié dans le presse-papier !

Microsoft a publié la première préversion de Windows Server sur la branche 20H1, qui désigne pour rappel la première évolution semestrielle prévue pour l’année prochaine. L’éditeur n’évoque pratiquement pas la branche 19H2, qui devrait être une révision mineure.

Plusieurs nouveautés font leur apparition dans cette build 18917, dont une réclamée depuis longtemps. Les administrateurs peuvent en effet choisir indépendamment les mises à jour à installer.

Ils peuvent également déclarer désormais dans l’Admin Center que le serveur est déconnecté, quel que soit la raison. À la différence d’une déconnexion accidentelle, Windows ne préviendra plus d’erreurs liées à Azure, aux mises à jour d’extensions et autres.

Un outil d’import/export des machines virtuelles a été ajouté. L’import permet de choisir un nouvel ID et de copier ou laisser sur place les données. L’export peut se faire vers un volume local ou distant. Les machines virtuelles peuvent également être labellisées sur un serveur Hyper-V.

Quelques autres nouveautés sont à signaler, comme le chargement du contenu depuis un flux pour l’outil Azure Hybrid services ou la possibilité de basculer entre plusieurs comptes Azure depuis le menu idoine.

Copié dans le presse-papier !

Deux semaines seulement après l'annonce du partenariat entre Amazon et ModiFace (L'Oréal), YouTube se lance aussi dans le maquillage virtuel.

Lorsque vous regardez un tuto par exemple, l'écran peut se diviser en deux avec le youtubeur en haut et votre visage en réalité augmentée en bas. Pendant que la vidéo vante les mérites d'un rouge à lèvres, vous pouvez essayer en réalité augmentée différentes nuances.

S'agissant d'un produit publicitaire, un lien est évidemment présent pour acheter le maquillage. Cette fonctionnalité, pour le moment en test (version alpha), est disponible sur FameBit, la plateforme des contenus de marque de YouTube.