Pour Google, le HTTPS est en très bonne voie

La société fournit quelques chiffres intéressants sur la progression des connexions sécurisées. Sur Chrome pour Android, 64 % du trafic est ainsi protégé, contre 42 % il y a un an. Chrome pour macOS voit pour sa part transiter 75 % du trafic en HTTPS, contre 60 % un an avant.

Le chiffre le plus notable est sans doute celui-ci : 71 sites du Top 100 des plus visités sont désormais en HTTPS, contre seulement 37 il y a un an. Il s’agit de moyennes mondiales, mais les scores changent selon les régions.

Via les mesures de Chrome pour Windows, on apprend ainsi que le HTTPS est passé de 50 à 66 % au Brésil, de 59 à 73 % aux États-Unis, mais seulement de 31 à 55 % au Japon, qui semble avoir un réveil tardif.

Par ailleurs, ces informations restent indicatives, dans la mesure où elles ne proviennent que d’un acteur unique. Elles fournissent évidemment une fenêtre sur l’évolution du web, mais on gardera à l’esprit que même si la progression est encourageante, le 100 % est encore loin.

En plus d’initiatives comme Let’s Encrypt, les navigateurs ont un grand rôle à jouer dans ce domaine. Google vante le durcissement de ton dans Chrome (notamment avec la version 62), mais tous adoptent une stratégie similaire : ne plus présenter à terme le HTTPS comme un bonus, mais pointer le HTTP classique comme un défaut.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'événement Capitole du Libre se tenait ce week-end à Toulouse, l'occasion pour la communauté de se retrouver et de parler des projets du moment.

C'était notamment le cas de Jean-Baptiste Kempf de VLC, venu présenter la version 3.0 du célèbre lecteur vidéo. Il a annoncé au passage que la release candidate (RC) devrait sortir cette semaine.

Pour rappel, lorsque nous faisions le point sur cette nouvelle mouture fin septembre, elle nous était annoncée pour octobre. Elle n'aura donc au final eu qu'un mois de retard de plus.

Copié dans le presse-papier !

Business Insider relaie une nouvelle levée de fonds pour la start-up britannique Deliveroo. Avec 98 millions de dollars ont ainsi été mis sur la table par plusieurs investisseurs déjà engagés dans l'entreprise, dont le fonds Fidelity ou Accel Partners. Le tout avec une valorisation estimée à plus de 2 milliards de dollars.

La société londonienne frôle désormais avec la barre du milliard de dollars de fonds levés, avec un total de 955 millions exactement. Selon le fondateur de l'entreprise, Will Shu, la prochaine étape logique serait celle d'une introduction en bourse, notamment parce que plusieurs de ses investisseurs s'y trouvent déjà.

Après un sixième tour de table, la question peut en effet commencer à se poser, reste maintenant à voir selon quel calendrier tout ceci sera mis en place.

Copié dans le presse-papier !

Alors que le fabricant vient tout juste de lancer son casque autonome Focus en Chine, il préparerait un modèle 4K UHD selon Digitimes.

Nos confrères ajoutent qu'il pourrait arriver en 2018. Nous devrions certainement en apprendre davantage sur les plans de HTC (et des autres fabricants de casques de VR) lors du CES 2018 qui se tiendra début janvier à Las Vegas.

Copié dans le presse-papier !

C'est l'un de ces problèmes de sécurité à peine croyables par son ampleur. Le constructeur chinois DJI a ainsi laissé en accès libre pendant deux à quatre ans un lot de données très précieuses. Le chercheur Kevin Finisterre explique dans son rapport que les clés du nom de domaine, la clé privée de chiffrement AES pour les firmwares et des identifiants Amazon Web Services étaient disponibles sur le dépôt GitHub de l'entreprise.

Si le chercheur a publié un rapport, c'est que DJI aurait argué d'un problème de forme dans la demande débouchant normalement sur les 30 000 dollars de récompenses, le constructeur ayant son propre bug bounty. DJI a indiqué que les certificats avaient été révoqués et les identifiants changés. Ce qui ne résout pas nécessairement tous les soucis de sécurité dans l'immédiat.

Le constructeur ne sort pas grandi de cette histoire. Outre l'ampleur du défaut de sécurisation, le chercheur explique avoir été menacé pendant la négociation de la récompense. DJI l'aurait traité de « pirate », évoquant une éventuelle plainte pour violation de la loi américaine CFAA (Computer Fraud and Abuse Act).

L'entreprise estime pour sa part que le chercheur n'a tout simplement pas voulu suivre les règles de son programme de chasse aux bugs.

Copié dans le presse-papier !

Sur Twitter, le compte Elliot Alderson interpelle le français : « Parlons des applications ApeSaleTracker et ApeStsMonths trouvées dans vos téléphones. Ce sont des applications système pré-installées qui envoient régulièrement et silencieusement des informations de l'utilisateur à un tiers chinois appelé Tinno, par HTTP ou SMS sans le consentement de l'utilisateur ».

Pour rappel, Tinno fabrique justement les smartphones pour le compte de Wiko. Parmi les informations renvoyées vers le serveur eservice.tinno.com, il est question du numéro IMEI, la position de la cellule GSM à laquelle le smartphone est connecté, le numéro de série et le numéro de Build ; le tout en texte clair, sans chiffrement.

Elliot Alderson ajoute que l'utilisateur ne peut pas désactiver cette fonctionnalité. Pour le moment, le fabricant n'a pas réagi officiellement. Nous tâcherons évidemment d'en savoir plus rapidement.