du 20 novembre 2017
Date

Choisir une autre édition

Sur Twitter, le compte Elliot Alderson interpelle le français : « Parlons des applications ApeSaleTracker et ApeStsMonths trouvées dans vos téléphones. Ce sont des applications système pré-installées qui envoient régulièrement et silencieusement des informations de l'utilisateur à un tiers chinois appelé Tinno, par HTTP ou SMS sans le consentement de l'utilisateur ».

Pour rappel, Tinno fabrique justement les smartphones pour le compte de Wiko. Parmi les informations renvoyées vers le serveur eservice.tinno.com, il est question du numéro IMEI, la position de la cellule GSM à laquelle le smartphone est connecté, le numéro de série et le numéro de Build ; le tout en texte clair, sans chiffrement.

Elliot Alderson ajoute que l'utilisateur ne peut pas désactiver cette fonctionnalité. Pour le moment, le fabricant n'a pas réagi officiellement. Nous tâcherons évidemment d'en savoir plus rapidement.

Les smartphones Wiko enverraient des données personnelles sur un serveur en Chine
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Selon Reuters, la Commission européenne goûterait peu les méthodes d'Altice. Le groupe de Patrick Drahi pourrait être sanctionné pour la prise de contrôle de Portugal Telecom en 2015, avant d'en avoir l'autorisation officielle. L'enquête, annoncée en mai 2017, trouverait donc ici sa conclusion.

Altice avait conclu le rachat en décembre 2014 avant de le notifier à Bruxelles en février 2015. Pour la Commission, le groupe était déjà en mesure d'avoir une influence déterminante sur l'opérateur portugais avant la validation en avril 2015.

L'amende pourrait grimper à 10 % du chiffre d'affaires annuel mondial d'Altice, dans le pire des cas.

En France, la société a subi une amende de 80 millions d'euros par l'Autorité de la concurrence en novembre 2016, pour le même motif. Le groupe avait pris des décisions trop précoces pour SFR, lors de son rachat fin 2014. Le « gun jumping » risque donc d'encore de lui coûter cher.

Copié dans le presse-papier !

La société de sécurité Radware alerte sur l'infection de plus de 40 000 internautes via Relieve Stress Paint, un logiciel de dessin promettant la relaxation des utilisateurs. Cela en quelques jours.

Poussé vers les internautes via du spam par e-mail ou sur Facebook, il collecte des identifiants et cookies de comptes dans Google Chrome, en particulier de ceux gérant des Pages ou ayant enregistré un moyen de paiement. La société a eu accès au panneau d'administration de la campagne, et suspecte une extension à venir aux comptes Amazon.

En parallèle, TechCrunch rapporte que des trackers javascript aspirent les identifiants Facebook via Facebook Login sur des sites tiers. Les scripts auraient été trouvés sur 434 sites parmi le million les plus visités, dont ceux de Bandsintown, Fivver et MongoDB.

Selon ce que l'internaute fournit aux sites concernés, le nom, l'adresse e-mail, la classe d'âge, le genre, la langue et la photo de profil peuvent être récupérés. Les sociétés exploitant ces scripts, dont AudienceStream, Lytics, ProPS et Tealium commercialiseraient des services à partir de ces données, même si l'ampleur du phénomène n'est pas connue.

À nos confrères, Facebook déclare enquêter sur l'affaire.

Copié dans le presse-papier !

Le mouvement peut surprendre, mais c'est une manière de rappeler aux utilisateurs du navigateur le plus utilisé que l’éditeur a des technologies à faire valoir.

L’extension intègre simplement Smart Screen dans Chrome : toute adresse visitée sera comparée à une liste interne capable de pointer les sites malveillants. Auquel cas une alerte rouge s’affichera en pleine page, avec possibilité de passer outre si l’on est sûr de soi.

Selon NSS Labs, Smart Screen fait mieux que le Safe Browsing, en bloquant 99,5 % des menaces contre 87,5 %. On rappellera cependant que les deux protections impliquent un envoi systématique de l’historique aux serveurs de Google et Microsoft.

Copié dans le presse-papier !

L’application de Microsoft, disponible sur Android et iOS, embarque dans sa nouvelle révision un mode de fonctionnement capable de se passer de connexion pour faire ses traductions.

Selon les explications données à TechCrunch, l’éditeur a retravaillé ses modèles de machine learning pour en réduire la taille. Le travail a commencé sur la base d’une puce dédiée dans un smartphone Huawei, mais s’est ensuite élargi à l’ensemble des appareils.

De nouveaux packs de traduction sont donc disponibles pour l’arabe, le chinois simplifié, le français, l’allemand, l’italien, le japonais, le coréen, le portugais, le russe, l’espagnol et le thaïlandais, d’autres devant suivre.

Attention : selon ce qui est demandé, la traduction sera moins précise. On n’attend évidemment pas d’un smartphone qu’il déploie les mêmes capacités de calcul qu’un datacenter.

Copié dans le presse-papier !

La nouvelle version du navigateur de Google est disponible pour Linux, macOS et Windows. Elle apporte avec elle son lot de corrections de bugs et autres failles de sécurité (62 au total), mais pas seulement.

L'isolation de sites est désormais active, pour le moment sur une faible portion d'utilisateurs. Pour rappel, celle-ci est en test depuis Chrome 63 et permet de placer les différents éléments d'une page dans des processus séparés dans le cas des iFrames ou de certaines intégrations.

Google précise que cela permet de contrer différentes attaques, notamment Spectre. Mais comme nous l'évoquions en décembre, cette fonctionnalité n'est pas sans conséquences, notamment en mémoire consommée. D'où un essai limité dans un premier temps.

En cas de problème, un rapport peut être envoyé. De plus, un flag de désactivation a été mis en place :

chrome://flags#site-isolation-trial-opt-out

Comme évoqué lors de la bêta, les nouvelles règles en cas de lecture automatique avec du son sont modifiées. Elles ne sont pas pour autant durcies, tout dépend des cas. Comme nous l'avions détaillé, le mécanisme repose sur une analyse fine des interactions de l'utilisateur avec les sites via le Media Engagement Index, nécessitant la création d'un historique précis.