du 21 décembre 2017
Date

Choisir une autre édition

L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.

C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.

Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.

Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La semaine dernière, le réseau social présentait sa cryptomonnaie Libra et son portefeuille Calibra, prévus pour 2020. « Si l’ambition du projet est vaste, il ne pourra exister qu’en respectant les règles qui valent pour tous », affirme François Villeroy de Galhau, gouverneur de la Banque de France et aussi membre du conseil des gouverneurs de la Banque centrale européenne, à Reuters

Il ajoute que le groupe chargé de mettre en place ce projet affiche « d’ailleurs cette volonté ». Parmi les obligations, le gouverneur rappelle que le projet devra « impérativement appliquer la réglementation anti-blanchiment ».

Il prend également les devants : si le projet veut « offrir des services bancaires, comme des dépôts, des placements financiers et des crédits, alors il devra être régulé comme une banque, avec une licence bancaire dans tous les pays où il opérera. Sinon, il serait illégal ».

Pour rappel, en France, la commission sénatoriale sur la souveraineté numérique s'est saisie du cas de Libra qui « pourrait bouleverser les conditions d’exercice de la souveraineté des États bien au-delà du domaine monétaire ». 

La commission a ajouté qu'elle « examinera les conséquences de cette évolution fondamentale ». Elle auditionnera notamment le gouverneur de la Banque de France et les représentants des plus gros services en ligne.

Copié dans le presse-papier !

Mozilla se prépare à changer la manière dont les mises à jour s’effectuent pour Firefox sous Windows.

À compter de la prochaine version (68), le navigateur va se servir de BITS (Background Intelligent Transfer Service) pour la récupération des mises à jour. Ce service de Microsoft est notamment utilisé pour Windows Update, est asynchrone et peut reprendre les transferts interrompus.

L’éditeur veut fluidifier l’installation des mises à jour en leur permettant de s’effectuer en tâche de fond. Principal avantage : la sécurité. Le mécanisme évite ainsi que Firefox ait à s’ouvrir pour télécharger la nouvelle version, sachant qu’elle ne pourra pas s’installer tant que le navigateur n’aura pas été redémarré. Un risque en cas de vulnérabilités critiques à colmater au plus vite.

Dans un premier temps, le changement n’aura pas d’effet puisque le code pour appeler BITS se trouvera dans le binaire de Firefox lui-même. Il devra donc être ouvert pour s’en servir, mais les développeurs pourront en vérifier le comportement.

Plus tard, Mozilla introduira un véritable Update Agent indépendant, capable de communiquer avec BITS en tant qu’intermédiaire, même quand le navigateur sera fermé. Le changement devrait particulièrement profiter aux utilisateurs ayant une connexion lente et/ou n’étant pas familiarisés avec les processus de mise à jour.

Il ne devrait par contre pas plaire à ceux maîtrisant parfaitement leur machine et qui regretteront peut-être qu’un nouvel agent vienne résider en mémoire. En outre, comme mentionné dans un document expliquant le mécanisme, les utilisateurs de proxy pourraient rencontrer des difficultés.

Si vous utilisez déjà la bêta de Firefox 68, une version Dev ou Nightly, vous trouverez le réglage app.update.BITS.enabled dans le about:config. En le basculant sur True et après un redémarrage, Firefox se servira de BITS pour ses mises à jour.

Copié dans le presse-papier !

La ville de Lannion va tester des capteurs de smartphones dans les rues pour suivre à la trace les trajets des piétons. Cette initiative est le fruit d’un partenariat avec la société Éco-compteur, spécialiste du recensement de flux de personnes. 

Une vingtaine de compteurs sera installée le long des rues, nous apprend le Télégramme. Ils capteront les données des téléphones passant dans leur spectre pour déterminer le nombre de piétons. « Une initiative aux allures orwelliennes, même si la société lannionaise garantit le total anonymat des données récoltées et l’aval de la CNIL pour la mise en place de son expérimentation » assurent nos confrères. 

De fait, le RGPD se passe généralement d’un quelconque feu vert de l’autorité de contrôle, puisque la logique du texte est celle de la responsabilité. La commission intervient davantage a posteriori, comme l’avait montré l’affaire Vectaury (tracage des individus à des fins publicitaires).

Il revient avant tout à chaque acteur, public et privé, qui souhaite collecter des données personnelles, de prendre les mesures adéquates pour les protéger, avec en aval le recueil du consentement des intéressés, quand le traitement n’est pas justifié sur l’autel de l’intérêt légitime.

La ville de Lannion espère pouvoir adapter sa politique d’aménagement, selon les résultats obtenus. 

Copié dans le presse-papier !

Le groupe Vivendi annonce dans un communiqué que les créateurs et administrateurs présumés de « beinsport-streaming.com », qui avaient été interpellés en juin 2018, seront « jugés prochainement au tribunal correctionnel de Rennes ».

« La plateforme beinsport-streaming.com, qui a depuis été fermée par les autorités, proposait une vingtaine de sites pirates, diffusant en streaming de très nombreux programmes et évènements sportifs en direct, en provenance des principaux diffuseurs de sport français, et en totale illégalité. » Celle-ci avait ainsi fait l’objet d’une plainte commune du groupe CANAL+, de beIN SPORTS et de RMC Sport.

Les mis en cause s’exposent à des peines atteignant 10 ans de prison et 750 000 euros d’amende, notamment pour contrefaçon en bande organisée et blanchiment aggravé.

Copié dans le presse-papier !

À l’assemblée générale du Geste (Groupement des éditeurs de contenus et de services en ligne), la présidente de la CNIL a confirmé la révision à venir de la recommandation de décembre 2013 relative aux cookies et autres traceurs. 

« La recommandation de 2013 sera révisée et nous publierons nos nouvelles lignes directrices début juillet, rapporte le site Écran Mobile. Les médias auront alors 6 mois pour se mettre en conformité et nous n’excluons pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement ».

Selon Marie-Laure Denis, « nous souhaitons par ailleurs discuter des modalités opérationnelles avec l’interprofession au cours de cette période. » 

Dans un précédent billet, le groupement qui rassemble TF1, Microsoft, Le Parisien, NextRadio, RTL, Laguardère, le Figaro… avait assuré que « le scroll et/ou le clic sur un élément de la page visitée, reste[ra] un mode valable d’expression du consentement, et ce jusqu’à juin 2020 ». 

Une affirmation en contrariété avec les recommandations du groupe de l’Article 29 de juillet 2018, selon laquelle « faire défiler ou naviguer sur un site Web ne répond pas à l'exigence d'une action claire et positive », tout simplement parce qu’un internaute peut rater ces alertes en faisant « défiler rapidement de grandes quantités de textes ».