du 01 juillet 2019
Date

Choisir une autre édition

La fondation OpenID demande à Apple de corriger sa solution de login

Dans une lettre ouverte adressée à Craig Federighi, vice-président d’Apple en charge de l’ingénierie logicielle, la fondation OpenID félicite l’entreprise pour avoir « largement adopté » OpenID Connect pour son module de connexion Sign In with Apple, ou en tout cas « semble l’avoir fait ».

Mais des différences d’implémentation, résumées dans un document, créent plusieurs problèmes selon la fondation. Les utilisateurs seraient ainsi exposés à d’éventuels problèmes de sécurité et de vie privée. Un comble quand on connait la force avec laquelle Apple martèle désormais son orientation dans ce domaine.

Toujours selon la fondation, l’implémentation déplace inutilement un poids sur les épaules des développeurs, tant ceux de la solution Apple que d’OpenID. Elle invite donc l’entreprise à corriger ces écarts, ainsi que quelques démarches supplémentaires.

Elle aimerait ainsi qu’Apple se mette totalement en conformité avec le standard OpenID Connect, via trois actions très concrètes :

  • Utiliser la suite logicielle de certification pour améliorer l’interopérabilité entre les deux systèmes de connexion
  • Faire savoir publiquement que Sign In with Apple est compatible avec OpenID Connect
  • Rejoindre la fondation

On peut s’en douter, la fondation ne peut que lorgner sur un ajout de poids dans sa liste de membres, qui contient déjà plusieurs grands noms de l’industrie, dont Google, Microsoft et PayPal. Autant militer un peu pour sa paroisse.

Apple n’a pour l’instant pas réagi. L’entreprise n’a jamais évoqué la moindre reprise des spécifications OpenID, mais la fondation semble sûre de son fait après analyse du comportement de Sign In with Apple.

Rappelons que ce système de connexion doit combattre notamment les solutions de Facebook et Google, avec un angle très axé sur la vie privée. Aucune donnée n’est ainsi transmise à Apple ou à un partenaire.

« SIWA » sera par ailleurs imposé aux développeurs dès lors que leurs application proposeront au moins un système de connexion tiers, quel qu’il soit. En outre, les conditions d’Apple obligent à proposer SIWA en tête de liste.

La firme aurait cependant tout intérêt à accepter les demandes de la fondation OpenID. Son module gagnerait en visibilité en établissant une parenté avec un « standard » soutenu par une structure à but non lucratif et reposant massivement sur le protocole OAuth 2.0.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques mois, Facebook ajoutait de nouvelles informations sur ses publicités. Les utilisateurs pouvaient notamment voir de manière plus précise pourquoi ils avaient été ciblés, et par qui.

Le réseau social passe à la phase suivante. Les informations données sont encore plus détaillées. En particulier, l’internaute pourra savoir quels intérêts particuliers sur le réseau ou Pages visitées lui ont valu telle publicité.

Des outils font également leur apparition, pour contrôler comment les informations personnelles sont utilisées pour le ciblage. On ne peut évidemment pas bloquer les publicités. L’utilisateur peut en outre ajuster ses centres d’intérêt s’il préfère au contraire, quitte à être ciblé, des publicités plus spécifiques.

Dans les options liées aux préférences publicitaires, on trouve enfin deux onglets. Le premier affiche la liste des entreprises ayant utilisé les informations pour du ciblage direct, le second celles qui opèrent pour le compte d’autres acteurs. Les régies ayant utilisé ces données durant les 90 derniers jours sont également listées.

L'offensive pour redorer le blason de l'entreprise continue donc, après des années de scandales liés à la vie privée, tout particulièrement le catastrophique Cambridge/Analytica.

Copié dans le presse-papier !

Twitter déploiera la semaine prochaine une nouvelle fonction permettant de masquer une réponse à un tweet. Elle ne sera dans un premier temps disponible qu’au Canada, à des fins de tests.

Un utilisateur va donc pouvoir masquer une réponse à l’un de ses tweets (et uniquement les siens), la faisant disparaître de son écran et, par défaut, de tous ceux qui viendront lire le tweet.

Si un tweet a des réponses effacées, une petite icône grise apparaitra en bas à droite du texte. En appuyant dessus, on pourra consulter la liste. La fonction a, selon Twitter, été conçue pour ne plus afficher les réponses offensantes ou sortant clairement du cadre de la conversation.

Il ne s’agit que d’un début, Twitter précisant être continuellement en recherche d’améliorations pour la fonction. En l’état actuel, elle peut être malheureusement utilisée pour masquer des réponses intéressantes mais ne « faisant pas plaisir » à l’auteur. Par exemple du fact-checking sur une affirmation.

Copié dans le presse-papier !

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

Copié dans le presse-papier !

Hier soir, les utilisateurs de Twitter étaient bien ennuyés : impossible de tweeter ou même de lire le flux, que ce soit sur le web ou dans l’un des multiples clients, officiels ou tiers.

Le problème a été identifié et corrigé en environ une heure. Sur sa page de statut, l’éditeur indique simplement que la panne était due à « un changement de configuration interne ». Le retour à la normale s’est fait ensuite progressivement. 

Copié dans le presse-papier !

Valve vient de lancer ses Steam Labs, qui permettent de tester en avance certaines fonctionnalités dans le client Steam.

Trois sont pour l’instant proposés : 

  • Micro Trailers : permet aux éditeurs de créer un court clip vidéo de six secondes pour présenter un jeu, qui apparaîtra au survol de la souris sur la vignette du titre
  • Recommander : utilise le machine learning pour examiner les titres joués (et combien de temps) et proposer des recommandations adaptées, avec des filtres de préférences
  • The Automated Show : générera à terme automatiquement une vidéo récapitulative des titres populaires du moment (elle est pour l’instant validée et commentée par un employé)

L’arrivée de ces expérimentations peut surprendre, car on attendait plutôt de Valve qu’il officialise la bêta du nouveau client, dont l’interface modernisée est attendue. Elle ne devrait plus tarder, puisque l'éditeur avait signalé mi-juin son arrivée au cours des « prochaines semaines ».