du 22 mai 2019
Date

Choisir une autre édition

Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie non chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Benoît Tabaka, directeur des relations institutionnelles et des politiques publiques de Google France, explique qu'une mise à jour du moteur de recherche « va prioriser les articles de presse à l'origine d'une information et permettre qu'ils soient en tête plus longtemps ».

Il s'agit d'un énième ajustement des algorithmes du géant du Net dans ce domaine. Pour rappel, il avait annoncé la mise en avant des contenus de fond en 2014… avec un résultat toujours mitigé plusieurs années plus tard.

Un billet de blog vient détailler les nouvelles promesses de Google : « Alors que nous proposons généralement la version la plus récente et la plus complète d'un article dans Actualités, nous avons modifié nos produits à l'échelle mondiale pour mettre en avant les articles que nous identifions comme les originaux. Ils peuvent rester très visibles plus longtemps, ce qui permet aux utilisateurs de voir le rapport original tout en regardant les actualités plus récentes ».

Une pertinence à vérifier dans la pratique et sur la durée.

Copié dans le presse-papier !

En août, Spotify a annoncé du changement pour son offre Famille lancée en 2016. Elle s'appelle désormais Premium Famille, permet toujours de gérer jusqu'à six comptes, mais avec des fonctions supplémentaires, dont Family Mix et Hub. 

En France, le déploiement a commencé et la plateforme envoie des emails à ses clients Family pour les prévenir de changements dans les conditions générales de l’Abonnement :  Les anciennes (336 mots) et les nouvelles (635 mots).

L'un des gros changements concerne « les informations relatives à l'éligibilité »  et « la manière dont nous vérifions cette éligibilité ». Jusqu'à présent, il était indiqué que « tous les titulaires de compte doivent résider à la même adresse pour être éligible à l’Abonnement Spotify Famille ». 

Désormais, « le titulaire principal du compte et les titulaires des comptes secondaires doivent appartenir à la même famille et résider à la même adresse ». De plus, « lors de l'activation d'un compte secondaire Premium Famille, vous serez invité à vérifier votre adresse personnelle ». Ce n'est pas tout : « Nous pouvons de temps à autre demander une nouvelle vérification de votre adresse personnelle afin de confirmer que vous remplissez toujours les critères d'éligibilité », explique Spotify.

« Nous utilisons la recherche d'adresses Google Maps pour vous aider à trouver et à enregistrer votre adresse. L'adresse que vous saisissez lors de l'activation ou de la nouvelle vérification est soumise aux Conditions de service complémentaires de Google Maps et à la Politique de confidentialité de Google ». 

Pour rappel, Spotify avait mené des « tests » en septembre 2018 demandant à ses utilisateurs d'activer le GPS pour vérifier leur adresse. Face à la grogne, la plateforme de streaming avait rapidement fait demi-tour. Elle revient donc à la charge avec un changement de ses conditions générales.

Il faudra maintenant voir comment seront gérés les cas d'enfants en internat en semaine, ou des familles recomposées avec des enfants alternants entre plusieurs logements. Dans tous les cas, Spotify semble bien décidé à faire la chasse aux partages de comptes.

Copié dans le presse-papier !

Le CNRS a mis en ligne les 20 photos lauréates du concours La preuve par l’image (sur plus de 200 clichés), réalisé en partenariat avec l'Association francophone pour le savoir (Acfas).

Le Centre national pour la recherche scientifique explique que ce concours a été initié en 2010 et qu'il est « dédié aux images issues de la recherche et ce dans tous les domaines. Toutes les techniques de production visuelle sont acceptées : photographie, radiographie, modélisation, microscopie, etc. ».

Deux prix du jury seront décernés, ainsi qu'un coup de cœur du public. Les images seront visibles du 25 au 27 octobre au Forum du CNRS, à la Cité des sciences et de l’industrie. Les résultats seront connus le 27 octobre après-midi.

Copié dans le presse-papier !

« L’amende prévue par la loi hongroise sur la taxe sur la publicité en cas de non-enregistrement d’une société étrangère est-elle conforme au droit de l’Union ? ». Voilà l’enjeu d’une affaire en cours devant la Cour de justice de l’Union européenne.  

Hier, l’avocat général a rendu son avis dans ce dossier opposant Google Ireland Limited à cet État membre. L’entreprise fut sanctionnée par une amende journalière de 33 000 euros faute de s’être enregistrée dans ce pays au titre de la taxe sur la publicité. 

L’amende hongroise a ceci de particulier qu’elle augmente du triple de la journée précédente jusqu’à ce que la somme totale atteigne plus de 3 millions d’euros (1 milliard de HUF). 

Dans ses conclusions, l’avocate générale Juliane Kokott estime ce dispositif dès lors disproportionné : « Un assujetti (…) se verrait infliger le premier jour une amende qui s’élèverait à 10 millions de HUF. Le deuxième jour l’amende s’élèverait à 30 millions de HUF et le troisième jour elle atteindrait déjà 90 millions de HUF ». 

Conclusion : « Après seulement trois jours, l’amende dépasserait le chiffre d’affaires qui constitue l’assiette de la taxe », laquelle est de 100 millions de HUF. 

Mieux, « dans le cas d’une marge de bénéfice de moins de 10 %, l’amende serait, dès le premier jour, plus élevée que le bénéfice qui était censé être taxé. La proportion par rapport à la taxe effectivement due apparaît encore moins appropriée dans cet exemple ».

Selon l’avocate générale, les modalités de l’astreinte sont disproportionnées. La restriction indirecte à la libre prestation des services n’est donc pas justifiée au regard du droit de l’Union. La cour rendra sa décision dans quelques mois. 

Copié dans le presse-papier !

La règle traditionnelle de « l’épuisement des droits » permet à l’acquéreur d’une œuvre protégée par le droit d’auteur de la revendre librement. La principale condition est que l’œuvre ait été acquise licitement. 

Par exemple, vous achetez un livre auprès de votre libraire, vous le revendez dans un vide-grenier sans vous soucier du feu vert de l’éditeur, de l’auteur. 

Aucune difficulté, pourrait-on dire, sauf lorsque l’œuvre n’est plus tangible, mais inscrite dans un fichier. Non seulement il est techniquement possible de réaliser des copies parfaites, à l’octet prêt, mais de plus le titulaire de droits dispose de moyens de contrôle très poussés. 

Une évolution rappelée avant-hier par l’avocat général de la Cour de justice de l’Union européenne. 

Sur la sellette, l’affaire « Tom Kabinet » : le site éponyme propose des livres électroniques d’occasion, avec un modèle d’affaires au taquet.  Il « revend aux particuliers enregistrés (...) des livres électroniques [que la plateforme] a achetés soit auprès des distributeurs officiels, soit auprès d’autres particuliers » résume l’avis de l’avocat général. 

Bien entendu, les prix sont inférieurs à ceux des distributeurs officiels. 

Pour respecter la règle de l’épuisement des droits, lorsque le site rachète un livre électronique à un particulier, il exige l’effacement de la source puis pose un watermak sur la copie qu’il revend à titre définitif. 

En 2014, deux sociétés ont néanmoins attaqué Tom Kabinet, accusé en substance de contrefaçons. 

Peut-on reconnaître ici la règle de l’épuisement des droits ? Confronté à cette problématique, l‘avocat général considère que la lettre du droit de l’Union plaide pour l’affirmative. En théorie, l’éditeur ne devrait pas pouvoir s’opposer à ces marchés secondaires.

Sauf qu’une telle consécration bouleversait les équilibres, en facilitant notamment le piratage tout en rendant difficile la lutte contre les contrefaçons. Il recommande donc à la Cour de rattacher ce secteur non pas au droit de distribution, mais au droit de communication, lequel n’intègre pas la règle de l’épuisement.