du 25 avril 2018
Date

Choisir une autre édition

Le gendarme de la bourse américaine explique que la société Altaba (anciennement Yahoo) « a accepté de payer une pénalité de 35 millions de dollars pour solder les accusations de tromperie envers les investisseurs en omettant de divulguer l'une des plus importantes fuites de données au monde ».  

Selon la SEC, quelques jours après le piratage de décembre 2014, l'équipe de sécurité informatique de Yahoo était au courant du vol de données personnelles par des « pirates russes ».

Au final, nous apprenions en octobre 2017 (après de multiples rebondissements) que Yahoo s'était fait pirater l'ensemble de ses trois milliards de comptes, excusez du peu. Pour rappel, le service a depuis été racheté par Verizon et regroupé avec AOL sous l'appellation Oath

Piratage massif de Yahoo : la SEC inflige une amende de 35 millions de dollars à Altaba
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

Copié dans le presse-papier !

C'est au tour de Google de dévoiler son classement de l'année qui se termine.

Dans les paroles de chansons les plus recherchées, Bella Ciao et Bohemian Rhapsody occupent les deux premières places, faisant écho à la série Casa de Papel et au film éponyme. Freddy Mercury arrive d'ailleurs en troisième position des vedettes, derrière Laeticia Hallyday et Meghan Markle.

Au niveau mondial, World Cup, Avicii et Mac Miller occupent les trois premières places des recherches. Mention spéciale pour les émissions de télévision avec 延禧攻略, Altered Carbon et บุพเพสันนิวาส dans le top 3.

Le moteur de recherche explique comment devenir un pompier, un agent immobilier et un mannequin sont les trois questions les plus posées. Dans la série des « pourquoi », les internautes se sont demandé pourquoi Griezmann joue en manches longues, pourquoi Agathe Auproux quitte TPMP et pourquoi… les poilus ! En politique, les gilets jaunes, grève SNCF et Alexandre Benalla arrivent en tête.

Copié dans le presse-papier !

Razer vient de se lancer dans une opération commerciale complètement improbable. Le fabricant de périphériques propose en effet à ses clients de laisser tourner un mineur de cryptomonnaie en tâche de fond, en échange de points de fidélité.

Il leur faut pour cela télécharger le logiciel Razer SoftMiner, qui se chargera de miner diverses cryptomonnaies (la marque ne précise pas lesquelles) en exploitant la carte graphique de l'utilisateur.

Razer affirme qu'un possesseur de GTX 1050 ou de Radeon RX 460 devrait pouvoir récupérer environ 500 Razer Silver par jour. Ces points ont une durée de vie limitée à un an et peuvent être échangés contre des lots à cette adresse.

21 000 points permettent d'obtenir une copie Steam du jeu Torchlight (souvent soldé sous la barre des 5 euros). Pour un tapis de souris RGB, il faudra cumuler 84 000 points (soit près de six mois de minage continu) tandis que pour un clavier tel que le Huntsman Elite, comptez 280 000 points, soit près d'un an et demi d'efforts.

Copié dans le presse-papier !

Conformément à ce que prévoyait la récente loi adaptant le droit français au RGPD (voir notre article), le gouvernement a publié ce matin au Journal officiel l’ordonnance procédant à la réécriture intégrale de la loi dite « CNIL » de 1978.

L’exécutif a expliqué hier, à l’issue du Conseil des ministres, que ce texte apportait, dans une optique de simplification, les « corrections formelles » et « adaptations nécessaires » aux nombreuses modifications induites par le RGPD. Il entrera en vigueur en « au plus tard le 1er juin 2019 », en lien avec un (long) décret paru en août dernier suite à l’adoption du projet de loi sur les données personnelles.

Un projet de loi de ratification de cette ordonnance devra être déposé devant le Parlement dans un délai de six mois, ce qui permettra éventuellement aux députés ou sénateurs d’amender certaines dispositions.

Copié dans le presse-papier !

Microsoft a officialisé hier soir un nouveau service à destination des développeurs web. Nommé Clarity, il veut aider à comprendre comment les internautes se servent des sites web.

Au cœur du service, on trouve Session Replay. La fonction enregistre les interactions d’un internaute puis les sauvegarde pour être examinées plus tard. En clair, le concept de « heatmap » mais en version dynamique et « intelligente ».

Clarity prend en charge les mouvements et clics de souris, les touchers tactiles, les frappes au clavier et autres, qui servent comme autant de métriques aux développeurs. Ces derniers pourront notamment se pencher sur les goulets d’étranglement, comme les zones où les utilisateurs semblent passer trop de temps.

Microsoft donne son propre cas d’utilisation, Clarity servant sur Bing. L’outil a mis en évidence chez certains un nombre accru de publicités ne faisant pas partie de Bing. Elles ont permis de découvrir un malware capable de modifier la page. Microsoft a par la suite renforcé les défenses de Bing.

À peine disponible, Clarity a déjà une feuille de route chargée, l’éditeur comptait lui ajoute de nombreuses fonctions, dont une bonne partie alimentée par le machine learning. Le service sera alors capable de lui-même de pointer des problèmes, tels que des interactions qui n’auraient en temps normal pas lieu d’être.

Microsoft insiste : le service est utilisable avec n’importe quelle page HTML (classique ou mobile) après ajout d’un code JavaScript particulier.

Il suffit de s’inscrire sur le site dédié avec son compte Microsoft, le projet étant alors mis en liste d’attente. Une fois la demande traitée, le développeur reçoit son code, les résultats étant disponibles sur le site de Clarity.

Notez que la bibliothèque JavaScript chargée de l’instrumentation des pages est open source (licence MIT) et a son propre dépôt GitHub. Microsoft accueillera volontiers les participations.