du 22 mai 2019
Date

Choisir une autre édition

Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie non chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

« Le gendarme de l’audiovisuel fête joyeusement ses 30 ans et il explique, sans rien dissimuler, tous les ressorts de sa tactique », commente Nicolas Curien, conseiller du Conseil supérieur de l’audiovisuel.

Ce mercredi, l’autorité fêtera dignement son trentenaire. Plusieurs textes ont déjà étendu ou vont étendre ses compétences sur le web : la loi contre les fausses informations, la proposition de loi contre la cyberhaine, outre la grande loi sur l’audiovisuel attendue en 2020, transférant la directive SMA.

Pour l’occasion, ce conseiller désigné par le président du Sénat commente sur Facebook : « J’étais loin d’imaginer que fût un jour rouverte la vieille malle renfermant depuis plus de 45 ans mes effets militaires, profondément enfouie au tréfonds de la cave maternelle ». Il a en effet profité de cet anniversaire pour mettre en ligne une vidéo sur le réseau social à l’honneur de l’institution.

Une vidéo, « à faire pâlir le prochain Tarantino », analyse Benoit Tabaka, responsable des affaires publiques de Google. L’œuvre est à consulter sur ce lien. [MàJ : la vidéo a été supprimée) 

Copié dans le presse-papier !

Selon Bercy, « le Service National des Enquêtes de la DGCCRF a réalisé une enquête concluant que la méthode de vente utilisée lors de la commercialisation des produits du groupe SFAM (assurances SFAM et programme de fidélité FORIOU) était constitutive du délit de pratiques commerciales trompeuses visé aux articles L.121-2 et L.121-3 du code de la consommation ».

La procédure a abouti à une amende transactionnelle, outre l’indemnisation des consommateurs « ayant formulé, avant le 31 août 2019, une réclamation (auprès de SFAM ou de la DGCCRF), en lien avec les pratiques commerciales relevées comme déloyales par la DGCCRF ».

D’après le Parisien, plus de 1 000 consommateurs sont concernés et l’amende finale s’élève à 10 millions d’euros. Pourquoi ? Nos confrères évoquent ce scénario : « Au moment d’acheter un smartphone ou une tablette, souvent dans une Fnac, le vendeur évoque une offre de remboursement de 30 €. Pour profiter de ce qu’ils pensent être un cadeau, les acheteurs laissent leurs coordonnées bancaires. Et signent, sans s’en rendre compte, parmi la paperasse liée à l’achat, un contrat d’assurance à la SFAM ».

Pour la petite histoire, la SFAM est le deuxième actionnaire de la Fnac. « Dans la pratique, commente l’UFC Que Choisir, les clients avaient toutes les peines du monde à résilier le contrat d’assurance. Certains, même, ont découvert des prélèvements sur leur compte bancaire sans avoir jamais eu conscience qu’ils avaient souscrit un contrat d’assurance. Le processus était bien rôdé ».  

Copié dans le presse-papier !

Après avoir lancé une expérimentation à la Société Générale en octobre dernier, c'est au tour du Crédit Agricole de se lancer avec des clients de la Caisse régionale de la Touraine et du Poitou.

« L’utilisateur qui le souhaite, pourra ainsi effectuer tout paiement en apposant simplement son empreinte digitale sur le capteur d’empreinte présent sur sa carte bancaire biométrique Crédit Agricole [...] Cette utilisation, réalisée en toute sécurité et via la technologie sans contact, ne sera pas limitée par un plafond de montant ». Bien évidemment, « cette carte pourra également être utilisée comme habituellement avec le code PIN notamment pour les retraits dans les distributeurs ».

« L'enrôlement de l'empreinte sera possible en agence et à domicile. Nous allons tester trois types de lecteur d'empreinte, un externe se connectant en USB à un ordinateur en agence, un lecteur plastique et une version en carton pour l'enrôlement au domicile », explique Xavier Vaslin, responsable de ce projet, à La Tribune.

Une synchronisation via son smartphone n'est pas à l'ordre du jour « car les antennes de certains mobiles n'émettent pas assez ». La Crédit Agricole s'est associée à G+D Mobile Security qui fabrique les cartes de paiement biométrique, à NXP Semiconductors et Mastercard.

L'expérimentation devrait durer six mois « en vue d’une mise en marché en 2020 ».

Copié dans le presse-papier !

IconFactory a publié vendredi la nouvelle version majeure de son client Twitterrific. Cette mouture 6.0 capitalise sur son interface agréable et ajoute nombre de fonctions bienvenues, mais avec un modèle commercial qui fera grincer quelques dents.

Twitterrific 6.0 intègre de nombreuses nouveautés : lecture automatique des GIF et vidéos (sans son avant d’appuyer dessus) mais désactivable, images complètes dans le flux (si plusieurs, cadrage selon les éléments détectés), GIPHY intégré, support des tweets cités avec inclusion de média ou encore ajout de descriptions sur les photos publiées.

L’interface, déjà un point fort de l’application, évolue à nouveau. Cinq nouveaux thèmes et trois icônes ont été ajoutés, la police San Francisco Compact Rounded est utilisée par défaut, les icônes dans l’application ont été modernisées, les lignes ont pour la plupart disparu et une nouvelle option permet d’afficher le texte en contraste élevé.

L’application est particulièrement agréable à utiliser, ne pèse que quelques Mo et est véloce. Mais IconFactory a décidé de changer son modèle commercial, en espérant pouvoir compter sur les fidèles de son client.

Désormais, tout le monde a accès à toutes les fonctions, mais il faudra passer par un abonnement ou un achat pour se débarrasser des publicités : 0,99 euro par mois, 10,49 euros par an ou un achat définitif de 32,99 euros, tout de même.

Il est clair que les utilisateurs de Twitterrific l’ont toujours aimé pour sa rapidité et son interface. Mais ce prix devra être payé en tenant des comptes des limitations imposées par l’API Twitter qui, elles, n’ont absolument pas changé : pas de sondages (même en simple lecture), pas de conversations de groupe en messages directs ou encore – et surtout – pas de notifications.

Notez quand même que les clients qui avaient payé pour déverrouiller les fonctions dans Twitterrific 5.0 n’ont pas ces publicités. Par ailleurs, IconFactory assure un suivi intensif de ses applications. Twitterrific 5.0 a ainsi reçu 80 mises à jour durant sa « carrière ».

Copié dans le presse-papier !

Area 120 est, chez Google, l’incubateur maison auquel on doit plusieurs projets souvent liés à l’enseignement, au sens large. Par exemple, Grasshopper (versions Android et iOS) pour apprendre les bases du développement.

Il revient avec Game Builder, qui se propose de fournir tous les outils nécessaires au développement d’un jeu, sans avoir besoin d’écrire une seule ligne de code. L’outil irait donc plus loin en ce sens que Game Maker, qui simplifiait déjà largement le processus, mais ne pouvait pas se passer entièrement de code.

Le projet n’est techniquement pas neuf puisqu’il est disponible en accès anticipé sur Steam depuis le 1er novembre 2018. La version finale permet la diffusion générale et la prise en main de ce qui est à la fois un jeu et un outil, mais les notes accumulées alternent entre plutôt et très positives.

Principale différence avec les produits de cet acabit sortis jusqu’à présent : un mode « co-op » qui autorise le développement à plusieurs personnes en même temps. On y glisse/dépose des objets, personnages et autres, puis on connecte l’ensemble avec un système de liaisons logiques.

Game Builder ne peut bien sûr produire que des jeux reprenant son environnement, une sorte de sandbox rappelant Minecraft par certains aspects. À l’inverse, les développeurs plus chevronnés ne seront pas limités aux connexions proposées. Ils pourront créer leur propres interactions via JavaScript.