du 24 septembre 2018
Date

Choisir une autre édition

Depuis le nouvel iOS, Apple collecte quelques informations sous forme chiffrée, afin de lutter contre certaines formes de piratage. Elles doivent surtout permettre de mieux contrôler si un achat sur iTunes est bien réalisé par le détenteur de la carte bancaire et diminuer le nombre de faux positifs.

L’appareil mobile obtient donc un score de confiance basé sur des informations simples comme le nombre d’appels passés ou d’emails échangés.

Selon Apple, qui s’en est expliquée à VentureBeat, l’indice de confiance est une valeur numérique et n’est basé sur aucune information personnelle. Dans les conditions d’utilisation d’iTunes (quatrième puce), l’entreprise précise que l’indice reste « une durée déterminée » sur ses serveurs, mais ne dit pas laquelle.

On notera que cet indice est créé depuis des appareils iOS, mais pas depuis des Mac ou une Apple TV, des appareils pouvant pourtant réaliser des achats simplifiés sur iTunes.

iOS 12 génère un indice de confiance propre à l'appareil pour les achats sur iTunes
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

C'est au tour de Google de dévoiler son classement de l'année qui se termine.

Dans les paroles de chansons les plus recherchées, Bella Ciao et Bohemian Rhapsody occupent les deux premières places, faisant écho à la série Casa de Papel et au film éponyme. Freddy Mercury arrive d'ailleurs en troisième position des vedettes, derrière Laeticia Hallyday et Meghan Markle.

Au niveau mondial, World Cup, Avicii et Mac Miller occupent les trois premières places des recherches. Mention spéciale pour les émissions de télévision avec 延禧攻略, Altered Carbon et บุพเพสันนิวาส dans le top 3.

Le moteur de recherche explique comment devenir un pompier, un agent immobilier et un mannequin sont les trois questions les plus posées. Dans la série des « pourquoi », les internautes se sont demandé pourquoi Griezmann joue en manches longues, pourquoi Agathe Auproux quitte TPMP et pourquoi… les poilus ! En politique, les gilets jaunes, grève SNCF et Alexandre Benalla arrivent en tête.

Copié dans le presse-papier !

Lundi 10 décembre, le Parlement, le Conseil et la Commission européenne se sont accordés sur ce paquet, centré sur la sécurité informatique de l’Union.

L’ENISA, l’agence de cybersécurité européenne, obtient un mandat permanent. Il remplace l’actuel, censé expirer en 2020. L’agence obtient aussi des capacités d’assistance aux États dans la réponse aux cyberattaques.

Certains voulaient voir l’ENISA devenir un cyberpompier, capable d’intervenir dans n’importe quel pays. L’idée était rejetée par la France, qui voulait garder cette compétence nationale et renforcer les capacités permanentes de chaque autre pays.

Un système de certification de sécurité, avec guichet unique pour les entreprises, doit aussi permettre de valider « produits, processus et services ». Cette certification (logiquement à trois niveaux) devra être validée dans plusieurs pays, rapporte Euractiv. La principale cible sont les objets connectés, dont la sécurité déplorable a permis d’importants dégâts depuis deux ans.

Une liste des produits destinés à être obligatoirement certifiés doit être finalisée en 2023. Il n’est pas dit que les objets connectés grand public ou professionnels soient obligés de subir cette validation.

Copié dans le presse-papier !

Dans un billet de blog, le géant du Net explique que de nouvelles conditions d'utilisation et règles de confidentialité entreront en vigueur le 22 janvier 2019 pour ses utilisateurs de l'Espace économique européen (EEE), soit les 28 États membres de l'Union européenne, l'Islande, la Norvège et le Liechtenstein, ainsi que la Suisse.

Premier changement, Google Ireland deviendra « le "fournisseur de services" responsable de la plupart des services aux consommateurs » du moteur de recherche à Gmail, en passant par Maps. Il remplacera ainsi Google LLC. Le même genre de modification est apporté aux conditions de Drive, Play et YouTube.

Dans le même temps, Google Ireland sera en charge de « répondre aux demandes concernant les données des utilisateurs, y compris celles des services répressifs de l'UE, conformément au droit irlandais » Google Ireland sera également responsable du respect du RGPD.

La société de Mountain View explique que le but de l'opération est de « faciliter la collaboration avec les autorités européennes de protection des données, via le mécanisme de "guichet unique" du GDPR créé pour assurer une cohérence des décisions réglementaires pour les entreprises et les citoyens de l'UE ».

Copié dans le presse-papier !

Le 30 novembre, SFR plaçait son activité de déploiement de fibre en zones peu denses dans une entreprise dédiée, dont 49,99 % a été vendue à trois investisseurs.

Cette fois, Bouygues Telecom et Axione signent un accord sur 30 ans avec le fonds Mirova, pour déployer 3,4 millions de prises restant en zones très denses (les 100 agglomérations les plus peuplées), rapportent Les Échos. Une nouvelle société nait, CityFast, détenue par Axione et Mirova.

Pour rappel, Axione est une filiale de Bouygues Construction, à la collaboration longtemps difficile avec la partie Telecom du groupe. Elle gère désormais des réseaux d’initiative publique (RIP) en zones rurales pour le compte de départements.

Selon le quotidien, le contrat est en négociation depuis un an et demi. Jusqu’ici, Bouygues Telecom comptait principalement sur SFR pour déployer la fibre en zones très denses, s’évitant cette charge sur trois millions de lignes.

La contrepartie a été un long gel des déploiements après le rachat de SFR par Numericable, qui lui a valu une sanction de 40 millions d’euros par l’Autorité de la concurrence. Malgré ce contrat signé en 2010, Bouygues Telecom devait encore connecter lui-même les lignes restantes. CityFast récupère les infrastructures de l’opérateur, qui gagne entre 43 et 45 millions d’euros.

Copié dans le presse-papier !

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.