du 13 décembre 2018
Date

Choisir une autre édition

Office 365 : sérieuses failles corrigées, rien sur de potentielles victimes

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Alors que la plupart des applications dites « sociales » se concentrent sur l’immédiateté et une véritable documentation de l’existence, Google préfère une approche plus nostalgique.

Depuis hier est déployée une nouvelle fonction baptisée Memories. Elle affiche en haut de la galerie des collections de photos rarement consultées ou semblant liées par une thématique particulière : visages repérés, lieu, date, évènement, etc.

Si la présentation rappelle les fameuses Stories popularisées par Snapchat et désormais omniprésentes, la comparaison s’arrête là. Les Memories ne sont en effet pas publiques. Dans Google Photos, les contenus restent privés jusqu’à ce que l’utilisateur décide spécifiquement de les partager.

L’éditeur se veut également rassurant : « Nous savons que vous ne voudrez peut-être pas revisiter tous vos souvenirs, vous pourrez donc cacher certaines personnes ou périodes, et vous aurez l’option de désactiver entièrement la fonction ».

Dans les mois à venir, la fonction s’étoffera de capacités de partage direct avec les personnes repérés dans un souvenir. Une conversation pourra alors être ouverte avec les concernés, s’ils possèdent eux aussi Google Photos. Ce ne sera jamais qu’une application Google de plus à créer une messagerie dédiée.

Enfin, aux États-Unis, l’application permet dorénavant de demander une impression directe des clichés en 4x6 et les récupérer chez CVS Pharmacy ou Walmart, partenaires de la fonction. Pour l’instant, environ 11 000 points d’impression sont concernés. Google ne dit pas si les partenariats seront étendus au reste du monde.

Copié dans le presse-papier !

« L’amende prévue par la loi hongroise sur la taxe sur la publicité en cas de non-enregistrement d’une société étrangère est-elle conforme au droit de l’Union ? ». Voilà l’enjeu d’une affaire en cours devant la Cour de justice de l’Union européenne.  

Hier, l’avocat général a rendu son avis dans ce dossier opposant Google Ireland Limited à cet État membre. L’entreprise fut sanctionnée par une amende journalière de 33 000 euros faute de s’être enregistrée dans ce pays au titre de la taxe sur la publicité. 

L’amende hongroise a ceci de particulier qu’elle augmente du triple de la journée précédente jusqu’à ce que la somme totale atteigne plus de 3 millions d’euros (1 milliard de HUF). 

Dans ses conclusions, l’avocate générale Juliane Kokott estime ce dispositif dès lors disproportionné : « Un assujetti (…) se verrait infliger le premier jour une amende qui s’élèverait à 10 millions de HUF. Le deuxième jour l’amende s’élèverait à 30 millions de HUF et le troisième jour elle atteindrait déjà 90 millions de HUF ». 

Conclusion : « Après seulement trois jours, l’amende dépasserait le chiffre d’affaires qui constitue l’assiette de la taxe », laquelle est de 100 millions de HUF. 

Mieux, « dans le cas d’une marge de bénéfice de moins de 10 %, l’amende serait, dès le premier jour, plus élevée que le bénéfice qui était censé être taxé. La proportion par rapport à la taxe effectivement due apparaît encore moins appropriée dans cet exemple ».

Selon l’avocate générale, les modalités de l’astreinte sont disproportionnées. La restriction indirecte à la libre prestation des services n’est donc pas justifiée au regard du droit de l’Union. La cour rendra sa décision dans quelques mois. 

Copié dans le presse-papier !

La date était déjà connue, mais le responsable produit de Microsoft, Panos Panay, a indiqué hier sur Twitter qu'elle serait retransmise en direct. Une page dédiée à cet événement est disponible.

Selon The Next Web, Panos Panay et Satya Nadella sont attendus pendant la conférence, deux têtes d'affiche qui laissent penser que les annonces pourraient être nombreuses et/ou importantes. Réponse dans un peu plus de deux semaines. 

Copié dans le presse-papier !

Google Actualités avait été poursuivi par une société de gestion collective allemande. VG Media lui reprochait d’utiliser des extraits d’articles, de photos, de vidéo de presse sans verser la rémunération instaurée outre-Rhin depuis 2013. 

La loi du 7 mai 2013, en effet, a introduit en effet une compensation pour les éditeurs pour la reprise de ces contenus par les moteurs et les prestataires de services en ligne, sauf mots isolés ou très courts extraits. 

Sauf que l’Allemagne a fait cavalier seul, sans avoir pris soin de notifier préalablement la Commission européenne de l’existence de cette règle technique. Problème : une directive de 98 lui impose cette formalité préalable. 

C’est à cette conclusion qu’est arrivée la Cour de justice de l’Union européenne hier dans son arrêt. Les conséquences vont être douloureuses pour Berlin : la redevance sera considérée comme inapplicable.

Mais ces conséquences ne seront que temporaires. Les ayants droit du secteur ont pris soin d’introduire dans la toute récente a directive sur le droit d’auteur une telle compensation, très exactement à l’article 15 du texte.

Ainsi, les futures législations, qui s’appuieront sur ce texte européen, sécuriseront leur dispositif, comme c’est le cas en France avec la proposition de loi sur les droits des éditeurs et agences de presse, déjà adoptée par les députés.

Copié dans le presse-papier !

Après la pluie d'annonces autour d'Echo et de Fire TV de l'année dernière (lire notre compte rendu), le géant du Net a envoyé des invitations à nos confrères américains pour le 25 septembre.

Comme toujours en pareille situation, le détail des annonces n'est pas connu. L'invitation annonce simplement qu'il est question de « partager de nouvelles choses avec les équipes Devices et Services d'Amazon ».