du 13 mars 2018
Date

Choisir une autre édition

L'exécuteur, confessions d'un DRH : l'identité d'employés dévoilée par mégarde par Envoyé Spécial ?

La semaine dernière, l'émission s'intéressait à Didier Bille, dans une vidéo intitulée « L'exécuteur : confessions d'un DRH ». Nos confrères expliquent sa méthode : « le ranking forcé, une pratique en vogue dans de nombreuses entreprises selon lui. Elle consiste à mal noter des salariés pourtant irréprochables afin d'avoir un prétexte pour les licencier ».

Durant le reportage, des documents apparaissent à l'écran, avec le nom des employés masqué... mais pas suffisamment, comme l'explique Rupert Schiessl dans une publication diffusée sur LinkedIn. « Il s'agit en effet d'un simple changement de police dans Microsoft Excel, qui propose depuis la sortie de Windows 3.1 une série de polices composées de pictogrammes. Dans notre cas, M Bille a substitué la police Wingdings 2 à la police d'origine. Or, avec une simple table de transcription cette police devient aussi facilement lisible qu'Arial ».

Une fois les prénoms récupérés, Rupert Schiessl s'est lancé dans une enquête afin de trouver une correspondance entre les prénoms et les anciens employeurs de Didier Bille. « Seulement quelques minutes plus tard j'ai à nouveau eu du succès : tous les prénoms de ma liste pouvaient être associés à la société Nortel Network ».

Cette affaire soulève de nombreuses questions : pourquoi un artifice aussi basique a-t-il été utilisé ? Comment se fait-il que l'ancien DRH était encore en possession de telles données confidentielles ? Les personnes exposées ont-elles été prévenues ?

France 2 ne semble pas avoir réagi, mais nous tâcherons d'en savoir plus.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La plateforme de streaming propose depuis déjà longtemps des contenus interactifs vous permettant de décider de certaines orientations dans le déroulement de la vidéo.

Après l'épisode Bandersnatch de Black Mirror, Netflix prépare une série complète : You vs Wild, dont la première saison sera disponible le 10 avril. Le personnage principal est incarné par Bear Grylls de l'émission Man vs Wild. Cette fois-ci, vous devrez l'aider à faire les bons choix pour survivre.

Copié dans le presse-papier !

Le fabricant annonce fièrement que son portefeuille électronique pour cryptomonnaies est « le premier et le seul » sur le marché à être certifié par l’agence nationale de la sécurité des systèmes d’information.

La CSPN, ou Certification de Sécurité de Premier Niveau, a été mis en place par l’ANSSI en 2008. L'agence explique qu'elle « consiste en des tests en "boîte noire" effectués en temps et délais contraints ». Les procédures et méthodologies sont détaillées par ici, tandis que la liste des produits certifiés CSPN se trouve par là.

L'ANSSI précise par contre que « la certification ne constitue pas en soi une recommandation du produit par l’agence nationale de la sécurité des systèmes d’information (ANSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables ».

Ledger ne compte pas s'arrêter en si bon chemin et veut obtenir cette certification pour d'autres produits, notamment le portefeuille Bluetooth Nano X.

Copié dans le presse-papier !

Lundi prochain, la marque à la Pomme tiendra une conférence de presse sur le thème « En scène ». Sont attendus un bouquet de presse et une offre de streaming, les deux avec un abonnement.

Dans le second cas, les contenus exclusifs de Netflix ne seront pas disponibles affirme Reed Hastings : « Nous préférons laisser nos clients visionner nos contenus sur notre plateforme », comme l'indique Reuters.

Selon des sources de nos confrères, le service d'Apple pourrait reprendre des contenus de CBS, Viacom et Lions Gate Entertainment, en plus de certaines exclusivités maison. Disney va aussi lancer sa propre plateforme Disney+ avec l'ensemble de ses contenus.

Copié dans le presse-papier !

13 pays et 19 médias – dont l'AFP, le Monde, Libération et 20 Minutes – se sont regroupés « pour répondre à vos questions sur les élections européennes », et uniquement ce genre de sujets.

La plateforme propose des « articles de vérifications sur les élections publiés par les partenaires, des analyses et réponses sur les idées reçues sur l'Europe, et toutes les réponses à vos interrogations sur ces élections ».

Tous les participants ont signé le code de conduite de l'International Fact-Checking Network (IFCN). Le financement provient de divers organismes, comme le détaille les Echos : 10 000 euros de l'IFCN, 40 000 euros de l'Open Society for Initiative for Europe et 44 000 euros de Google.

Jules Darmanin, coordinateur éditorial du projet, le site devrait « à priori » fermer quelques semaines après les élections de mai… « mais cela dépendra de son succès ».

Copié dans le presse-papier !

En fin de semaine dernière, un chercheur en sécurité découvrait un serveur Elasticsearch laissant aux quatre vents des données personnelles de ses clients. Contactée avant la divulgation, la société n'avait pas réagi.

C'est désormais chose faite par l'intermédiaire de sa page Facebook. Le revendeur affirme avoir découvert la fuite via la publication de Noam Rotem, sans préciser comment elle est passée à côté des sollicitations du chercheur ni de celles de TechCrunch.

Elle dit avoir inspecté son infrastructure, concluant que tous ses « serveurs et bases de données sont protégés avec du chiffrement et sont absolument sécurisés ». Néanmoins, elle reconnaît que « des tiers ont pu accéder à des outils externes utilisés pour stocker temporairement des données », donc que « la sécurité des données a pu être compromise ».

Normalement ces serveurs sont derrière de « puissants firewalls », mais ces derniers ont été désactivés par erreur par l'un des membres de son équipe. La raison n'est pas précisée.

Les données qui étaient librement accessibles concernent des achats effectués entre le 1er et le 15 mars précise Gearbest, et environ 280 000 clients sont impactés. Une campagne de réinitialisation des mots de passe des clients concernés est en cours.

Enfin, la société affirme avoir agi en moins de deux heures après la découverte de cette importante fuite de données. Dommage d'avoir attendu qu'elle arrive dans la presse pour prendre des mesures, Gearbest aurait pu être plus réactif avec la divulgation en amont de Noam Rotem ou en répondant à TechCrunch.