du 03 avril 2018
Date

Choisir une autre édition

Rencontres : Grindr accusé de transmettre des données très personnelles à des tiers

L’application Grindr – dédiée aux rencontres gay – permet depuis longtemps de renseigner des informations très personnelles, comme le statut HIV. Selon le chercheur norvégien Antoine Pultier, ces données étaient envoyées à des tiers.

Apptimize et Localytics récupéraient ces informations pour alimenter un service d’optimisation des applications. Malheureusement, les données étaient envoyées en masse, avec d'autres : position GPS, identifiant du téléphone et adresse email utilisée pour créer le compte. En clair, des informations identifiantes.

Le danger, selon le chercheur, est que les entreprises soient en mesure de bâtir une base de données de personnes contaminées par le virus, avec leur statut (positif, négatif, indétectable, PrEP, etc.).

Bryce Case, responsable sécurité de Grindr, a indiqué à Axios que l’entreprise avait arrêté cette pratique. Il reconnaît qu’un peu plus d’informations que nécessaire avaient été partagées, mais que les données les plus sensibles n’étaient pas envoyées aux publicitaires, en plus d’être chiffrées.

Il demande aux utilisateurs de comprendre et de ne pas mélanger l’affaire avec un cas aussi emblématique que Facebook/Cambridge Analytica : « Il y a une différence entre une plateforme logicielle que nous utilisons pour le débogage et l’optimisation, et une firme tentant d’influencer des élections ».

Grindr l’affirme en tout cas : le statut HIV n’a jamais fait partie des informations envoyées pour le ciblage publicitaire. L’entreprise insiste sur le caractère optionnel de cette donnée. Mais comme tant d’autres sociétés tentant de se justifier, le mal est déjà fait, et le contrôle des dégâts tourne à plein régime pour limiter la tempête médiatique.

Comme le précise BuzzFeed, ni Apptimize ni Localytics n’ont souhaité répondre aux questions, ajoutant au climat de suspicion.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Suite aux publications de Principled Technologies, largement en sa défaveur, le constructeur n'avait pas spécialement communiqué.

Il semble néanmoins avoir envoyé à nos confrères américains un document dans lequel il revient sur ces chiffres et sur les points qu'il considère problématique. Plus intéressant, il livre ses conseils sur les relevés de performances.

Des points assez basiques, mais pas toujours suivis : ne pas pas réutiliser un OS d'un système à l'autre, utiliser les derniers pilotes/patchs en date, limiter les effets du réseau et des applications tierces, faire attention à la température, etc.

D'autres sont plus sujets à controverse, comme l'emploi de la mémoire la plus rapide disponible. Notamment parce qu'il conteste deux points qui paraissent plus essentiels : adapter la machine testée au marché visé et se mettre à la place de l'utilisateur afin de s'assurer que la configuration a du sens.

Dans tous les cas, la transparence dans les protocoles et la capacité qu'ils ont de pouvoir être reproduits par des tiers sont sans doute deux des points les plus importants. Même si là aussi, ils sont assez peu respectés.

Copié dans le presse-papier !

Les liens entre les navigateurs et services de VPN se renforcent. L'idée n'est pas tant une intégration qu'une mise en avant organisée par des sociétés qui partagent les mêmes valeurs sur la protection des données.

Il ne devrait pour le moment s'agir que d'un test sur quelques utilisateurs américains, comme le rapporte GHacks. Mais il pourrait être perçu par certains comme une opération publicitaire, ce qui devrait suffire à de premières levées de boucliers.

Surtout que cela fait suite à une autre initiative : les raccourcis de recherche. Ils mettent en avant Amazon et Google dans la page principale de Firefox outre-Atlantique, afin d'inciter les utilisateurs à effectuer une recherche directement via ces services.

Ils peuvent bien entendu être retirés ou modifiés, d'autres moteurs pouvant être ajoutés. Mozilla précise que cela participe à son modèle économique, et donc à son existence. Un argument qui n'a pas toujours suffit dès lors qu'il s'agit de partenariats commerciaux, surtout avec de grandes plateformes américaines, pas toujours respectueuses de nos données.

Il faudra donc voir si ces initiatives seront confirmées, étendues au reste du monde ou rapidement annulées.

Copié dans le presse-papier !

Il y a quelques jours, le groupe belge Radionomy annonçait le retour du lecteur multimédia pour 2019, avec l'intégration d'un service de streaming en prime.

En attendant, une mise à jour 5.8 était promise, une première depuis la 5.666 de 2013. Après qu'une version de Winamp 5.8 a fuité sur Internet, l'équipe a mis en ligne sa propre mouture. Elle la recommande évidemment pour les téléchargements, afin d'éviter de tomber sur des versions vérolées.

Copié dans le presse-papier !

Robert Angelini, propriétaire de huit sites pornographiques a eu une drôle de surprise ce week-end. Nos confrères d'Ars Technica l'ont contacté après avoir mis la main sur une base de données comprenant les adresses IP, les mots de passe, les noms et les adresses e-mail d'environ 1,2 million d'utilisateurs de ces sites.

Si les mots de passe étaient chiffrés et salés, réduisant théoriquement le risque de découvrir les véritables clés, ils l'étaient à l'aide de Descrypt, une méthode créée en 1979, dont l'usage est fortement déconseillé depuis plus de vingt ans.

La fuite a bien évidemment été répertoriée sur Have I Been Pwned, permettant ainsi de vérifier discrètement que des données n'ont pas été compromises…

Copié dans le presse-papier !

Après le contournement, lui aussi simple, des protections de libSSH, c'est au tour de ce module populaire de faire parler de lui, et pas dans le bon sens.

Le CERT-FR explique que cette brèche « permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité ». Sont concernées toutes les versions antérieures à la 9.22.1 de jQuery File Upload exécutées sur un serveur Apache supérieur à 2.3.9 avec une configuration par défaut (AllowOverride None).

En effet, le support de .htaccess a alors été désactivé explique le développeur. « Sans la configuration dans le fichier .htaccess, autoriser l'upload de tous les types de fichiers permet l'exécution de code à distance ». La mise à jour 9.22.1 limite les types de fichiers aux seules images avec l'extension gif, jpeg et png.

Si vous êtes concerné, « appliquez le correctif dans les plus brefs délais car du code d'attaque est publiquement disponible et cette vulnérabilité est activement exploitée » exhorte le CERT-FR.

Cette vulnérabilité serait activement exploitée depuis trois ans selon le chercheur à l'origine de sa découverte, interviewé par ZDNet.com. Sachez également que, même si la faille est corrigée dans le module de Blueimp, ce projet a été forké plus de 7 800 fois, laissant de nombreux autres modules (et application l'intégrant) vulnérables.