du 19 avril 2019
Date

Choisir une autre édition

Tchap : à peine lancée, déjà une faille (corrigée) pour la messagerie instantanée sécurisée de l'Etat

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques mois, Facebook ajoutait de nouvelles informations sur ses publicités. Les utilisateurs pouvaient notamment voir de manière plus précise pourquoi ils avaient été ciblés, et par qui.

Le réseau social passe à la phase suivante. Les informations données sont encore plus détaillées. En particulier, l’internaute pourra savoir quels intérêts particuliers sur le réseau ou Pages visitées lui ont valu telle publicité.

Des outils font également leur apparition, pour contrôler comment les informations personnelles sont utilisées pour le ciblage. On ne peut évidemment pas bloquer les publicités. L’utilisateur peut en outre ajuster ses centres d’intérêt s’il préfère au contraire, quitte à être ciblé, des publicités plus spécifiques.

Dans les options liées aux préférences publicitaires, on trouve enfin deux onglets. Le premier affiche la liste des entreprises ayant utilisé les informations pour du ciblage direct, le second celles qui opèrent pour le compte d’autres acteurs. Les régies ayant utilisé ces données durant les 90 derniers jours sont également listées.

L'offensive pour redorer le blason de l'entreprise continue donc, après des années de scandales liés à la vie privée, tout particulièrement le catastrophique Cambridge/Analytica.

Copié dans le presse-papier !

L’éditeur n’était pas peu fier d’annoncer hier soir que sa solution de collaboration Teams comptait désormais 13 millions d’utilisateurs actifs quotidiennement et 19 millions par semaine. Slack, de loin le plus gros concurrent, compte 10 millions d’utilisateurs actifs par jour, mais le chiffre date de janvier.

On rappellera cependant à Microsoft que son Teams est fourni avec pratiquement tous les abonnements Office 365 pour entreprises, qui l’ont donc à disposition et n’ont qu’à tendre la main pour l’activer sans surcoût.

Plusieurs fonctions sont annoncées dans la foulée, disponibles dans le courant du mois. Les confirmations de lecture vont ainsi enfin débarquer dans le service. Teams va également ajouter les alertes prioritaires, qui notifieront le ou les destinataires toutes les deux minutes jusqu’à ce qu’ils répondent.

La gestion des canaux est en outre assouplie. Il va ainsi être possible d’y faire des annonces, de publier des messages dans plusieurs canaux à la fois et de nommer des modérateurs.

Des fonctions dédiées aux employées de « première ligne » arrivent également. Par exemple, la possibilité de « pointer » directement dans l’application plutôt qu’en un lieu spécifique, ou la possibilité pour un chef d’équipe de communiquer uniquement avec les employés d’un secteur spécifique.

Copié dans le presse-papier !

Dans une affaire ressemblant fortement à celle d’Amazon très récemment, un article du média belge VRT annonçait que les employés de Google pouvaient accéder aux enregistrements audio par l’Assistant maison, notamment à travers toutes les enceintes connectées l’utilisant.

On apprenait également que des sociétés tierces étaient payées pour travailler sur des échantillons vocaux, sans que l’on sache très bien dans quelle mesure la vie privée pouvait en être affectée. Une manière de rappeler cependant que tout ce qui se passe autour des enceintes est écouté.

En outre, grâce à une fuite, VRT a pu écouter environ un millier d’enregistrements audio, dont 153 paraissaient clairement accidentels, dans le sens où il s’agissait de conversations courantes, ne relevant pas d’une requête (à moins qu'Assistant ait cru l'inverse). Certaines étaient très intimes, de type « conversations au lit ».

Google n’a pas nié. L’éditeur s’est fendu d’un billet de blog pour expliquer sa position. Le travail avec des « experts » du monde entier est « essentiel » pour améliorer la technique de reconnaissance. Ces personnes ou entreprises travaillent sur un lot ne dépassant jamais 0,2 % du total.

La firme insiste : aucune de ces données n’est associée à un compte Google. En outre, elles ne correspondent normalement qu’à des requêtes clairement exprimées de l’utilisateur à l’Assistant. Une réponse ne cadrant pas avec les découvertes de VRT.

C’est d’ailleurs là que la réponse de Google s’éloigne de ce que l’on aurait pu en attendre. Plutôt que de s’excuser du manque de transparence autour du processus, la firme annonce qu’elle prend très au sérieux cette fuite et que le responsable sera poursuivi.

Copié dans le presse-papier !

Le navigateur, entièrement rebâti sur Chromium, est en test depuis des mois, mais essentiellement pour le grand public. 

Les variantes pour Windows 10, macOS et Windows 7 et 8.1 sont toutes disponibles sur deux canaux : Canary et ses versions quotidiennes, et Dev avec une préversion par semaine, un peu plus stable.

Microsoft vient de donner le feu vert aux entreprises, essentiellement pour attirer leur attention. Le navigateur est jugé prêt à être testé dans un cadre professionnel, puisque les fonctions attendues et la documentation sont presque toutes présentes (le site dédié ne semble pas fonctionner à l'heure actuelle).

C’est notamment le cas du mode IE, qui permet pour rappel d’afficher un site comme s’il était rendu par Internet Explorer. Les règles de groupe et Application Guard sont également présents, de même que les outils pour PDF. 

Certaines fonctions manquent cependant toujours à l’appel, notamment le déploiement hors ligne et le support de la gestion de flotte mobile.

Notez que Microsoft tiendra la semaine prochaine sa conférence Inspire 2019, dédiée aux partenaires. Peut-être l’occasion d’en apprendre davantage, notamment sur l’arrivée du canal bêta qui devrait marquer l’ouverture des tests à plus large échelle. 

Copié dans le presse-papier !

Hier soir, les utilisateurs de Twitter étaient bien ennuyés : impossible de tweeter ou même de lire le flux, que ce soit sur le web ou dans l’un des multiples clients, officiels ou tiers.

Le problème a été identifié et corrigé en environ une heure. Sur sa page de statut, l’éditeur indique simplement que la panne était due à « un changement de configuration interne ». Le retour à la normale s’est fait ensuite progressivement.