du 15 octobre 2018
Date

Choisir une autre édition

Faille Facebook : 30 millions de comptes touchés, secret sur l'identité des pirates

Fin septembre, Facebook comblait une faille de sécurité qui a exposé les données de 50 millions d'internautes, via la fonction « Voir le profil en tant que ». Une faille présente depuis juillet 2017.

La société revient sur ses chiffres. L'accès à 30 millions de comptes a effectivement été récupéré, soit 40 % de moins qu'envisagé au départ, assure Facebook. Pour près de la moitié, des données de localisation et orientations personnelles étaient exposées.

Les pirates contrôlaient certains comptes, qui leur ont permis de récupérer les jetons d'accès de 400 000 membres, en sautant automatiquement  de ces comptes à ceux d'amis et ainsi de suite.

Le fil d'actualité, le nom des amis, les groupes auxquels le compte est abonné et le nom des conversations Messenger récentes étaient visibles pour ces profils. Dans le cas des administrateurs de Pages, le dernier message reçu était aussi accessible.

Ces 400 000 comptes ont ensuite servi à accéder aux données de 30 millions de comptes. Pour 15 millions, le nom et les coordonnées étaient visibles.

Pour 14 autres millions, de nombreuses autres données s'ajoutent : « le nom d'utilisateur, le genre, la langue, le statut amoureux, la religion, la ville de naissance et l'actuelle, la date de naissance, les types de terminaux utilisés, le cursus scolaire, l'emploi, les derniers dix endroits visités ou marqués par des tiers, le site web, les Pages ou personnes suivies et les 15 dernières recherches ».

Enfin, les attaquants n'auraient récupéré aucune donnée du dernier million d'utilisateurs, promet le groupe.

Dans une conférence de presse le 12 octobre, le vice-président Guy Rosen a refusé de révéler la moindre information sur les pirates ou leurs intentions. La société aurait interdiction de s'exprimer sur le sujet, dans le cadre de son enquête avec le FBI. Elle souligne tout de même que les attaquants étaient bien organisés, avec l'infrastructure adéquate.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'application proposait depuis longtemps un mode nuit, mais pas de thème réellement noir. Un manque corrigé depuis longtemps sur iOS, et désormais disponible sur Android.

Pour l'activer, il suffit de cliquer sur votre image de profil en haut à gauche de l'application, puis d'éteindre la lumière en bas à gauche. 

Copié dans le presse-papier !

Lancé en mars de cette année sous la forme d'une bêta, il est désormais disponible en version finale. Il exploite pour rappel TensorFlow, l'outil open source d'apprentissage automatique de Google.

La partie matérielle comprend une puce TPU Edge (un ASIC) de Google et le SoC NXP IMX8M, en plus du Wi-Fi, du Bluetooth, de la mémoire et du stockage. Le System-on-Module (SOM) est vendu 114,99 dollars et de la documentation technique est disponible par ici. D'autres produits sont également disponible sur cette page.

Copié dans le presse-papier !

L'annonce a été faite par Gwynne Shotwell, directrices des opérations chez SpaceX, lors d'une table ronde avec plusieurs journalistes, comme le rapporte SpaceNews.

Avant d'ouvrir son service aux utilisateurs, la société doit procéder à six ou huit lancements (en comptant celui de mai dernier), avec une soixantaine de satellites à bord à chaque fois. 

Le service sera alors limité à certaines zones géographiques : « Nous avons besoin de 24 lancements pour avoir une couverture mondiale », ajoute Gwynne Shotwell. La constellation comprendra alors plus d'un millier de satellites. 

Pour rappel, les plans de la société sont d'envoyer près de 12 000 satellites en orbite, et SpaceX a même demandé à l'International Telecommunication Union (ITU) des autorisations pour 30 000 de plus...

Autre point à ne pas négliger : les terminaux mobiles permettant d'exploiter le réseau de Starlink. Pas un souci pour Elon Musk, qui affirme avoir envoyé hier son premier tweet en utilisant le réseau Starlink.

Copié dans le presse-papier !

La nouvelle version du navigateur est disponible pour Windows, macOS, Linux, Android et iOS.

Les nouveautés sont nombreuses et leur liste n’a pas changé depuis la bêta : CSS Properties, API Values, API Native File System pour appeler la fenêtre locale d’ouverture/enregistrement des fichiers, des options de personnalisation supplémentaires pour la page Nouvel onglet, du ménage dans les flags, etc.

Les options de personnalisation commencent tout juste leur déploiement. Si vous ne souhaitez pas attendre, il faudra activer les deux flags suivants, qui débloqueront les thèmes : 

  • chrome://flags/#ntp-customization-menu-v2
  • chrome://flags/#chrome-colors-custom-color-picker

Deux autres fonctions sont en cours de déploiement. D’une part, la possibilité de surligner un numéro de téléphone pour que l’appareil Android ciblé puisse appeler directement. D’autre part, le partage du presse-papier, qui nécessite la dernière version de Chrome sur l’ordinateur et le smartphone Android, avec synchronisation du compte active.

Enfin, Chrome 78 pour ordinateurs corrige 37 failles de sécurité, dont trois critiques.

Sur Android et iOS, la nouvelle mouture se concentre sur le mode sombre, enfin disponible. La version iOS ajoute la présentation en cartes pour les favoris, l’historique, les onglets récents et la liste de lecture.

Copié dans le presse-papier !

Des chercheurs de SRLabs (Security Research Labs) ont mis au point des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo.

Elles ont passé sans problème les processus de contrôle des deux géants du Net et étaient utilisables sur n'importe quelle enceinte connectée (les applications ont depuis été supprimées).

Deux attaques différentes ont été menées. La première fait croire que l'application n'est pas disponible dans votre pays, l'utilisateur pensant alors que l'application s'est arrêtée. En fait, elle laisse seulement une minute de blanc avant d'annoncer une mise à jour pour l'enceinte connectée, en demandant à l'utilisateur son mot de passe.

Dans la seconde attaque, l'application semble fonctionner correctement et fait croire à l'utilisateur que la session est terminée et qu'elle arrête donc d'écouter. En réalité, ce n'est pas le cas.

Amazon et Google ont été contactées en amont. Les deux sociétés ont affirmé à Ars Technica qu'elles avaient mis en place des changements dans leurs procédures de validation, sans plus de détail.

Rien ne dit non plus que des applications malveillantes de ce genre ne sont pas encore disponibles sur les deux assistants numériques. Une preuve qui montre une fois de plus qu'il faut être prudent face à ce genre de produits.