du 11 mai 2018
Date

Choisir une autre édition

Un chercheur explique comment contourner l'authentification à deux facteurs grâce aux cookies de session

Pour se connecter à un site, nous utilisons généralement un identifiant et un mot de passe. L'identification à deux facteurs permet d'ajouter une couche de sécurité, par exemple en envoyant un code sur son smartphone.

Dans une vidéo, le chercheur en sécurité Kevin Mitnick contourne ce système grâce aux cookies de session, comme l'explique TechCrunch. Pour commencer, il faut envoyer sa victime sur un faux site spécialement conçu, via une campagne de phishing par exemple.

Le pirate peut alors récupérer l'identifiant, le mot de passe et surtout le cookie de session de l'utilisateur. Il s'en sert ensuite pour se connecter au site, sans avoir besoin de repasser par la double authentification. Précision importante : il ne s'agit pas d'une faille de la double authentification en elle-même.

Cette histoire rappelle une fois encore que le maillon faible est bien trop souvent l'utilisateur. En effet, dans le cas présent il faut être berné par un faux site et y entrer ses identifiants. On rappellera donc une fois encore l'importance de ne pas cliquer sur n'importe quel lien, que ce soit sur un site ou dans un email.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il prendra place dans l'Engineering Center (créé en 2011) sur le campus du géant du Net à Issy-les-Moulineaux, dans la région parisienne.

La société explique que « ce centre a pour mission d’accompagner les entreprises du monde entier dans leur transformation digitale (sic) et dans leur quête d’efficacité et de productivité accrues grâce à l’IA ».

Microsoft ne donne pas plus de détails pour l'instant.

Copié dans le presse-papier !

C'est évidemment sur Twitter que le Président des États-Unis a fait cette déclaration. Est-ce une réponse à la récente annonce de LG d'ouvrir un laboratoire de recherche sur le 6G ? Ou bien « le Président vient-il d'ajouter un chiffre à un concept qu'il ne comprend pas pour le rendre encore meilleur », se demande Mashable.

Dans tous les cas, il faudra être patient avant de voir arriver la 6G, sauf si des opérateurs américains décident de renommer leurs réseaux actuels pour afficher fièrement une telle dénomination, comme ils l'ont déjà fait avec les 4G et 5G.

Donald Trump appelle les entreprises américaines à « intensifier leurs efforts » pour ne pas « se laisser distancer ». « Nous devons toujours être le leader dans tout ce que nous faisons, en particulier dans le monde passionnant de la technologie », ajoute-t-il. Reste à ne pas confondre vitesse et précipitation.

Copié dans le presse-papier !

En trois jours, un vent de panique a soufflé sur YouTube. La vidéo de Matt Wattson sur la facilité à trouver des vidéos à tendance pédopornographique (sans l’être explicitement) et commentaires particulièrement flagrants a provoqué une détonation.

Les sanctions ne se sont pas faites attendre. De grosses entreprises comme Epic, Disney et Nestlé ont retiré leurs publicités de YouTube, le temps que le ménage soit fait et qu’une enquête soit prestement diligentée.

Dans la soirée du 20 février, une autre vidéo a intensifié la polémique. Publiée par le youtubeur Philip DeFranco, elle remet une couche sur un vrai problème au sein de la plateforme, déjà pointé par Wattson : comment, par les algorithmes de recommandations et avec les bons mots clés, on peut tomber sur des contenus et commentaires choquants.

En conséquence, YouTube a tiré dans toutes les directions. Dans un message à DeFranco, l’équipe lui annonce avoir supprimé plus de 400 chaînes et désactivé les commentaires sur « plusieurs dizaines de millions de vidéos ». Les commentaires illégaux ont été signalés aux autorités.

L’éditeur semble avoir eu besoin d’un électrochoc pour réagir, mais s’il s’agit pour l’instant d’un tapis de bombes. On ne sait pas par exemple si le blocage des commentaires s’est fait après constat d’un problème ou à titre préventif.

Le problème n’est en effet pas neuf, comme le rappelait la journaliste Chloé Woitier hier soir. La chaine YouTube Le roi des Rats pointait ainsi déjà en juin 2018 la naissance d’un « réseau malsain » d’échange de vidéos de petites filles faisant de la gymnastique.

La lutte contre la pédopornographie est pourtant loin d’être nouvelle sur YouTube. Dans sa vidéo, DeFranco évoque ainsi un « combat constant » et des révisions régulières des recommandations à la communauté lors de la publication de vidéos avec des enfants.

Il est probable que YouTube aiguise en permanences ses armes pour détecter ce type de contenu mais que des personnes se soient montrées plus malignes. Il est tout aussi probable que le service va serrer la vis et prendre de nouvelles mesures. L’entreprise vit de la publicité, et perdre des clients comme Disney et Nestlé, même temporairement, peut avoir de lourdes conséquences.

Copié dans le presse-papier !

La start-up, qui a obtenu sa licence bancaire en décembre, continue sur sa lancée et affiche une belle croissance. Après trois millions d'utilisateurs en mi-novembre, elle passe à quatre millions en un peu plus de trois mois. Pour rappel, il lui avait fallu cinq mois pour passer de deux à trois millions.

Pour le moment, la banque en ligne n'est disponible que dans les pays de l'espace économique européen, mais elle prévoit de se lancer dans le reste du monde, sans plus de détails pour l'instant.