du 11 juillet 2018
Date

Choisir une autre édition

Uber renforce son équipe juridique et recrute un ancien avocat du ministère de la Justice américaine

Pour faire face à ses différents déboires, la société a une technique simple : recruter des experts dans le domaine en question. Après l'accident mortel impliquant une de ses voitures autonomes, elle s'est par exemple payé Christopher Hart, ancien président du NTSB (National Transportation Safety Board), comme conseiller sur la sécurité.

Le Wall Street Journal explique que le VTC engage maintenant Scott Schools, ancien haut responsable du ministère de la Justice américaine. Il aura certainement beaucoup à faire, car la société est sous le coup de plusieurs enquêtes fédérales.

À son ancien poste, il s'est notamment penché sur l'ingérence russe lors des élections de 2016 et joué un rôle important dans le limogeage du directeur adjoint du FBI, lui valant le surnom de « l'inconnu le plus important à Washington DC ».

Lors d'une interview, il explique à nos confrères qu'il était courtisé par Uber depuis plusieurs mois, et qu'il a finalement décidé de sauter le pas. Il a démissionné de son poste de fonctionnaire la semaine dernière. Chez Uber, il est responsable de la conformité.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il a été identifié par l'équipe d'Imperva et signalé au réseau social en mai dernier. Évidemment, il a été corrigé avant sa divulgation.

Pour l'exploiter, il fallait attirer un utilisateur sur une page spécialement conçue pour cette attaque. Il devait ensuite cliquer dessus (n'importe où) pour ouvrir une popup ou un nouvel onglet sur la page de recherche de Facebook.

Si l'utilisateur était identifié sur son compte, le site piégé pouvait alors récupérer des informations via du cross-site request forgery (CSRF) : « Étant donné que le nombre d'éléments iframe sur la page [de recherche de Facebook, ndlr] reflète le nombre de résultats de la recherche, nous pouvons simplement les compter en accédant à la propriété fb.frames.length ».

Ainsi, « en manipulant le Graph Search de Facebook, il est possible de créer des requêtes qui renvoient des informations personnelles sur l'utilisateur ». Par exemple : en cherchant la liste des pages qu'il aime et qui s'appellent « Imperva », la recherche renverra une iframe (contenant un descriptif rapide et lien vers Imperva) si c'est le cas, ou aucune dans le cas contraire. Un simple décompte permet d'en déduire un oui ou un non, sans accéder au contenu de l'iframe.

Les chercheurs expliquent qu'il est possible d'aller plus loin avec des recherches savamment ciblées sur le Graph Search : regarder si l'utilisateur identifié sur Facebook a des amis provenant ou vivant dans un pays en particulier, s'il a pris des photos dans certains lieux, si lui ou ses amis ont publié un contenu contenant des mots clés, etc.

Bref, en manipulant adroitement le moteur de recherche sémantique avec des questions calibrées, il était possible d'en déduire des informations personnelles sur l'utilisateur connecté sur le navigateur et sur ses « amis ».

Copié dans le presse-papier !

Initialement prévue pour la fin de l'année, la sortie du film adapté du manga de Yukito Kishiro (Gunnm) a été repoussée au 13 février 2019. Pour faire patienter les fans, la 20th Century Fox a mis en ligne une nouvelle bande-annonce.

Pour rappel, voici le pitch : « Au vingt-sixième siècle, un scientifique sauve Alita, une jeune cyborg inerte abandonnée dans une décharge. Ramenée à la vie, elle doit découvrir le mystère de ses origines et le monde complexe dans lequel elle se trouve, afin de protéger ses nouveaux amis contre les forces sombres lancées à sa poursuite ».

Copié dans le presse-papier !

Après un déploiement en bêta auprès de certains utilisateurs au début du mois, l'application de streaming audio est  officiellement disponible sur la montre connectée d'Apple (avec l'application 8.4.79 minimum).

Comme prévu, cette mouture permet de contrôler les pistes en cours de lecture, d'ajouter une chanson à ses favoris, mais aussi de gérer les enceintes utilisées via Spotify Connect. Le mode hors ligne est absent pour le moment, mais la société promet qu'il arrivera prochainement, sans donner plus de détails.

Copié dans le presse-papier !

L’entreprise annonce Learn with Facebook, un ensemble de cours en ligne censés fournir des compétences pratiques pour « le monde professionnel moderne ».

Sur sa page d’accueil, le service met en avant deux leçons « made in » Facebook : le marketing « digital » et sur les réseaux sociaux. Deux domaines au cœur de son modèle. Le site est fourni en collaboration avec d’autres sociétés, dont JazzHR, Glassdoor et OpenClassrooms.

L’entreprise rappelle le lancement l’an dernier de la plateforme de recherche d’emploi Jobs on Facebook, qui aurait aidé un million de personnes à trouver un poste. Elle met aussi à jour son outil de Mentorat, pour faciliter la recherche des personnes dans les groupes cherchant un soutien adapté.

Copié dans le presse-papier !

Le 12 novembre, entre 22h et 23h, certains services du groupe étaient inaccessibles, à cause d’une fuite BGP. Un autre opérateur a déclaré des millions d’adresses IP appartenant au groupe de Mountain View, rapporte Ars Technica, qui a enquêté sur l’incident. Selon la société ThousandEyes, la recherche Google et G Suite auraient été touchés.

Un petit opérateur nigérian, MainOne Cable Company, s’est approprié 212 préfixes d’adresses IP de Google. La mauvaise déclaration a été acceptée par l’opérateur d’État chinois China Telecom après quelques minutes, et diffusée aux autres opérateurs.

Selon BGPmon, l’opérateur nigérian a aussi redirigé le trafic du service de protection anti-DDoS Cloudflare.

Selon plusieurs acteurs, dont BGPmon, Cloudflare, Google et le registre régional RIPE NCC, l’incident est très sûrement dû à une simple erreur, sans volonté malveillante de détourner du trafic sensible. Pour Cloudflare, lui et Google seraient touchés car ils sont interconnectés à l’opérateur responsable sur un point d’échange du pays. Il assure que l’effet était minimal pour ses clients.

« C’était une erreur effectuée lors d’une mise à niveau prévue du réseau, à cause d’une mauvaise configuration de nos filtres BGP. L’erreur a été corrigée en 74 minutes et un processus a été mis en place pour éviter toute récidive », a depuis assuré MainOne dans un tweet.

Selon Ars Technica, le trafic n’est jamais parvenu à sa nouvelle destination, mais s’est arrêté sur un routeur de China Telecom.

BGP est un des protocoles qui sous-tendent Internet. C’est par ce biais que les organisations déclarent leurs adresses IP. L’information est diffusée de serveur en serveur, sur tout le réseau. Mais ce vieux protocole n’impose pas de vérification des annonces. La moindre erreur (ou revendication frauduleuse d’adresses IP) peut donc être diffusée sur tout le réseau.

Cloudflare rappelle les efforts de l’industrie sur RPKI, qui permet de certifier qu’on contrôle des lots d’adresses IP. Le système est connu depuis de nombreuses années mais loin d’être assez déployé, selon l’entreprise, qui l’évoquait déjà fin septembre lors de la publication sur Internet, par erreur, de tables internes de Telekom Malaysia.