du 19 mars 2019
Date

Choisir une autre édition

Importante faille Gearbest : le revendeur confirme, s'explique en partie et corrige le tir

En fin de semaine dernière, un chercheur en sécurité découvrait un serveur Elasticsearch laissant aux quatre vents des données personnelles de ses clients. Contactée avant la divulgation, la société n'avait pas réagi.

C'est désormais chose faite par l'intermédiaire de sa page Facebook. Le revendeur affirme avoir découvert la fuite via la publication de Noam Rotem, sans préciser comment elle est passée à côté des sollicitations du chercheur ni de celles de TechCrunch.

Elle dit avoir inspecté son infrastructure, concluant que tous ses « serveurs et bases de données sont protégés avec du chiffrement et sont absolument sécurisés ». Néanmoins, elle reconnaît que « des tiers ont pu accéder à des outils externes utilisés pour stocker temporairement des données », donc que « la sécurité des données a pu être compromise ».

Normalement ces serveurs sont derrière de « puissants firewalls », mais ces derniers ont été désactivés par erreur par l'un des membres de son équipe. La raison n'est pas précisée.

Les données qui étaient librement accessibles concernent des achats effectués entre le 1er et le 15 mars précise Gearbest, et environ 280 000 clients sont impactés. Une campagne de réinitialisation des mots de passe des clients concernés est en cours.

Enfin, la société affirme avoir agi en moins de deux heures après la découverte de cette importante fuite de données. Dommage d'avoir attendu qu'elle arrive dans la presse pour prendre des mesures, Gearbest aurait pu être plus réactif avec la divulgation en amont de Noam Rotem ou en répondant à TechCrunch.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques mois, Facebook ajoutait de nouvelles informations sur ses publicités. Les utilisateurs pouvaient notamment voir de manière plus précise pourquoi ils avaient été ciblés, et par qui.

Le réseau social passe à la phase suivante. Les informations données sont encore plus détaillées. En particulier, l’internaute pourra savoir quels intérêts particuliers sur le réseau ou Pages visitées lui ont valu telle publicité.

Des outils font également leur apparition, pour contrôler comment les informations personnelles sont utilisées pour le ciblage. On ne peut évidemment pas bloquer les publicités. L’utilisateur peut en outre ajuster ses centres d’intérêt s’il préfère au contraire, quitte à être ciblé, des publicités plus spécifiques.

Dans les options liées aux préférences publicitaires, on trouve enfin deux onglets. Le premier affiche la liste des entreprises ayant utilisé les informations pour du ciblage direct, le second celles qui opèrent pour le compte d’autres acteurs. Les régies ayant utilisé ces données durant les 90 derniers jours sont également listées.

L'offensive pour redorer le blason de l'entreprise continue donc, après des années de scandales liés à la vie privée, tout particulièrement le catastrophique Cambridge/Analytica.

Copié dans le presse-papier !

Twitter déploiera la semaine prochaine une nouvelle fonction permettant de masquer une réponse à un tweet. Elle ne sera dans un premier temps disponible qu’au Canada, à des fins de tests.

Un utilisateur va donc pouvoir masquer une réponse à l’un de ses tweets (et uniquement les siens), la faisant disparaître de son écran et, par défaut, de tous ceux qui viendront lire le tweet.

Si un tweet a des réponses effacées, une petite icône grise apparaitra en bas à droite du texte. En appuyant dessus, on pourra consulter la liste. La fonction a, selon Twitter, été conçue pour ne plus afficher les réponses offensantes ou sortant clairement du cadre de la conversation.

Il ne s’agit que d’un début, Twitter précisant être continuellement en recherche d’améliorations pour la fonction. En l’état actuel, elle peut être malheureusement utilisée pour masquer des réponses intéressantes mais ne « faisant pas plaisir » à l’auteur. Par exemple du fact-checking sur une affirmation.

Copié dans le presse-papier !

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

Copié dans le presse-papier !

Les investissements d’Opera dans les cryptomonnaies continuent. La version Android bêta du navigateur s’ouvre ainsi aux blockchains bitcoin et TRON, qui rejoignent Ethereum (et les jetons ERC-20) dans le Crypto Wallet.

Au-delà de cette annonce, il n’y a rien de plus à en dire. Mais elle permet à Opera de présenter son navigateur comme le premier à vraiment se tenir pour le Web3.

La dénomination est soutenue par une fondation qui décrit l’appellation comme l’ensemble « des technologies et applications dans le domaine des protocoles pour logiciels web décentralisés, particulièrement ceux utilisant des méthodes cryptographiques modernes pour préserver la décentralisation, au bénéfice et pour la stabilité de l’écosystème Web3 ».

Les blockchains sont en effet le plus souvent abordées dans le cadre des cryptomonnaies, mais l’éditeur tient à ce que son navigateur soit prêt pour la prochaine génération d’applications décentralisées, qui devraient avoir leur mot à dire dans les années à venir.

Copié dans le presse-papier !

Dans une affaire ressemblant fortement à celle d’Amazon très récemment, un article du média belge VRT annonçait que les employés de Google pouvaient accéder aux enregistrements audio par l’Assistant maison, notamment à travers toutes les enceintes connectées l’utilisant.

On apprenait également que des sociétés tierces étaient payées pour travailler sur des échantillons vocaux, sans que l’on sache très bien dans quelle mesure la vie privée pouvait en être affectée. Une manière de rappeler cependant que tout ce qui se passe autour des enceintes est écouté.

En outre, grâce à une fuite, VRT a pu écouter environ un millier d’enregistrements audio, dont 153 paraissaient clairement accidentels, dans le sens où il s’agissait de conversations courantes, ne relevant pas d’une requête (à moins qu'Assistant ait cru l'inverse). Certaines étaient très intimes, de type « conversations au lit ».

Google n’a pas nié. L’éditeur s’est fendu d’un billet de blog pour expliquer sa position. Le travail avec des « experts » du monde entier est « essentiel » pour améliorer la technique de reconnaissance. Ces personnes ou entreprises travaillent sur un lot ne dépassant jamais 0,2 % du total.

La firme insiste : aucune de ces données n’est associée à un compte Google. En outre, elles ne correspondent normalement qu’à des requêtes clairement exprimées de l’utilisateur à l’Assistant. Une réponse ne cadrant pas avec les découvertes de VRT.

C’est d’ailleurs là que la réponse de Google s’éloigne de ce que l’on aurait pu en attendre. Plutôt que de s’excuser du manque de transparence autour du processus, la firme annonce qu’elle prend très au sérieux cette fuite et que le responsable sera poursuivi.