du 03 avril 2018
Date

Choisir une autre édition

Rencontres : Grindr accusé de transmettre des données très personnelles à des tiers

L’application Grindr – dédiée aux rencontres gay – permet depuis longtemps de renseigner des informations très personnelles, comme le statut HIV. Selon le chercheur norvégien Antoine Pultier, ces données étaient envoyées à des tiers.

Apptimize et Localytics récupéraient ces informations pour alimenter un service d’optimisation des applications. Malheureusement, les données étaient envoyées en masse, avec d'autres : position GPS, identifiant du téléphone et adresse email utilisée pour créer le compte. En clair, des informations identifiantes.

Le danger, selon le chercheur, est que les entreprises soient en mesure de bâtir une base de données de personnes contaminées par le virus, avec leur statut (positif, négatif, indétectable, PrEP, etc.).

Bryce Case, responsable sécurité de Grindr, a indiqué à Axios que l’entreprise avait arrêté cette pratique. Il reconnaît qu’un peu plus d’informations que nécessaire avaient été partagées, mais que les données les plus sensibles n’étaient pas envoyées aux publicitaires, en plus d’être chiffrées.

Il demande aux utilisateurs de comprendre et de ne pas mélanger l’affaire avec un cas aussi emblématique que Facebook/Cambridge Analytica : « Il y a une différence entre une plateforme logicielle que nous utilisons pour le débogage et l’optimisation, et une firme tentant d’influencer des élections ».

Grindr l’affirme en tout cas : le statut HIV n’a jamais fait partie des informations envoyées pour le ciblage publicitaire. L’entreprise insiste sur le caractère optionnel de cette donnée. Mais comme tant d’autres sociétés tentant de se justifier, le mal est déjà fait, et le contrôle des dégâts tourne à plein régime pour limiter la tempête médiatique.

Comme le précise BuzzFeed, ni Apptimize ni Localytics n’ont souhaité répondre aux questions, ajoutant au climat de suspicion.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La CISA (Cybersecurity and Infrastructure Security Agency), du département américain de la Sécurité intérieure, vient de publier une alerte anxiogène : des défibrillateurs implantables sont vulnérables à plusieurs failles de sécurité.

Selon le bulletin, les modèles connectés Medtronic seraient susceptibles d’être attaqués par des pirates ayant suffisamment de connaissances techniques et se trouvant près des personnes concernées. Selon le Star Tribune, 750 000 de ces appareils seraient concernés.

Les risques potentiels sont évidemment grands, puisque le ou les pirates auraient la main sur le fonctionnement du défibrillateur, pouvant dérégler l’appareil et donc entrainer un vrai danger pour le patient.

D'après Ars Technica, ces vulnérabilités ne sont pas nouvelles. Elles auraient été signalées en janvier 2018 à Medtronic par des chercheurs de Clever Security.

Les problèmes remontés étaient sérieux : pas de chiffrement, pas d’authentification et différentes failles permettant de capter sans problème les informations circulant entre le défibrillateur connecté et les appareils conçus pour en exploiter les données. En plus d’une action directe, il est donc simple de dérober des données médicales.

Medtronic ne s’était pas exprimée l’année dernière, mais le bulletin d’alerte de la CISA, accompagné d’une note de sévérité de 9,3 sur 10, a forcé l’entreprise à communiquer.

Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un défibrillateur de son rôle.

Pour chaque patient, un pirate devrait connaître le modèle précis implanté, quels changements pourraient réellement entraîner des conséquences, sur quels paramètres agir, les commandes télémétriques pour le faire, si tant est que le modèle permette ce genre de manipulation.

En accord avec la FDA (Food and Drugs Administration), Medtronic recommande donc que les patients et médecins continuent d’utiliser les appareils normalement. La société précisé toutefois qu’elle développe actuellement des mises à jour.

Copié dans le presse-papier !

Metropolitan a mis en ligne une nouvelle vidéo de présentation pour le troisième épisode des aventures du célèbre tueur à gages, incarné par Keanu Reeves bien évidemment.

Pour rappel, cet opus se déroule juste après le deuxième film : « John Wick a transgressé une règle fondamentale : il a tué à l’intérieur même de l’Hôtel Continental ». Sa tête est ainsi mise à prix pour la bagatelle de 14 millions de dollars.

La sortie au cinéma est programmée pour le 22 mai.

Copié dans le presse-papier !

L'éditeur profite de la GDC (Game Developers Conference) pour dévoiler la nouvelle interface qui sera déployée dans le courant de l'année. Ce n'est pas une surprise puisque les travaux avaient été annoncés à la mi-janvier.

La page d'accueil intègre évidemment des miniatures des jeux auxquels vous avez récemment joué, mais aussi ceux ayant été récemment mis à jour et la liste de vos amis sur la droite. Un curseur permet de modifier la taille des miniatures des jeux de votre bibliothèque pour en afficher plus ou moins.

Les pages individuelles des jeux ont aussi été retouchées pour mieux mettre en avant les nouveautés le concernant et d'éventuels événements comme des diffusions en direct.

Valve n'a pas donné de date, mais une bêta devrait arriver cet été selon PCGamer.

Copié dans le presse-papier !

Le Virtual Desktop avait été présenté en septembre dernier lors de la conférence Ignite. Dans la foulée, Microsoft en avait proposé une préversion pour quelques privilégiés. Elle est désormais disponible pour toutes les entreprises éligibles, mais aux États-Unis seulement.

Le Virtual Desktop réunit en fait l’infrastructure de bureau virtuel (VDI) de Windows 7 et les services de bureau distant multi-utilisateurs (RDS) de Windows 10. Il suffit de créer une instance Azure, seule la machine virtuelle étant facturée.

La tarification est en effet agressive puisque Microsoft ne compte pas le coût des licences. Et pour cause : Virtual Desktop accompagne naturellement les abonnements Microsoft 365 F1/E3/E5, Windows 10 Entreprise E3/E5 et Windows VDA.

Elle est d’autant plus agressive que les bureaux virtuels Windows 7 seront automatiquement accompagnés de trois ans d’Extended Security Updates (ESU). Une offre séduction puisque le support technique du système s’arrête en janvier 2020, les trois années supplémentaires de support sur site étant facturées au moins 25/50/100 dollars par poste.

En outre, le rachat de FSLogix en novembre dernier permet un provisionnement des applications en environnement virtualisé. La technologie devrait être particulièrement utile avec OneDrive et Outlook, qui peuvent tous deux stocker plusieurs Go de données. Elle sera automatiquement utilisée chez les clients ayant Office 365.

La préversion publique n’est disponible que dans deux régions américaines (US East 2 et US Central). La version finale sera disponible partout, mais Microsoft ne donne pas de date.