LeBriefdu 25 mars 2022
Accord européen sur le Digital Market ActCrédits : code6d/iStock

Les négociateurs du Parlement européen et du Conseil ont trouvé hier soir un accord sur le Digital Market Act, nouveau règlement qui vient imposer de nouvelles règles pour les très grands acteurs du numérique, dont les places de marché.

Le texte « cible les grandes entreprises fournissant des services de plateforme "essentiels", les plus sujets aux pratiques commerciales déloyales, comme les réseaux sociaux ou les moteurs de recherche, dont la capitalisation boursière atteint au moins 75 milliards d’euros ou dont le chiffre d’affaires annuel dépasse les 7,5 milliards d’euros ». 

Seront qualifiés de contrôleurs d’accès, les entreprises qui fournissent certains services « tels que des navigateurs, des messageries ou des médias sociaux qui comptent au moins 45 millions d’utilisateurs finaux par mois dans l’UE et 10 000 utilisateurs professionnels par an ».

Les contrôleurs d'accès devront par exemple « assurer le droit des utilisateurs de se désabonner des services de la plateforme de base dans des conditions similaires à l’abonnement » ou « pour les logiciels les plus importants (navigateur web, par exemple), ne pas imposer ces logiciels par défaut à l’installation du système d'exploitation ». Les vendeurs auront accès à leurs données de performance marketing ou publicitaire sur la plateforme. 

Inversement, ils ne pourront plus « classer leurs propres produits ou services de manière plus favorable que ceux des autres acteurs du marché (auto-préférence) » ou « imposer aux développeurs d’application l’utilisation de certains services (système de paiement ou fournisseur d’identité par exemple) pour être référencés dans les magasins d’application »

Durant le trilogue, cette phase de négociations, « les législateurs de l’UE ont convenu que les plus grands services de messagerie (tels que Whatsapp, Facebook Messenger ou iMessage) devront s’ouvrir et être interopérables avec les plus petites plateformes de messagerie, si elles en font la demande ». 

« Les utilisateurs des petites ou grandes plateformes pourront alors échanger des messages, envoyer des fichiers ou passer des appels vidéo sur toutes les applications de messagerie, ce qui leur donnera un choix plus large. Concernant les obligations d’interopérabilité pour les réseaux sociaux, les co-législateurs ont convenu que de telles dispositions en matière d’interopérabilité seront évaluées à l’avenir ».

La procédure n’est pas entièrement achevée. Une adoption doit être formellement consacrée au Parlement et au Conseil. « Une fois cette procédure terminée, il entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE et les règles commenceront à s’appliquer six mois plus tard ».

« Après l’accord sur l’acte pour les marchés numériques, l’Europe poursuivra son action pour mieux réguler le numérique avec l’acte sur les services numériques [...]. Objectifs : responsabiliser les plateformes numériques et protéger les citoyens sur Internet », commente Cédric O.

Nous reviendrons plus en détail sur l’ensemble des nouvelles obligations prévues par ce règlement.

Orange : Jacques Aschenbroich (Valeo) serait en piste pour prendre la présidence du groupe

Suite à sa condamnation dans l'affaire de l'arbitrage controversé entre Bernard Tapie et le Crédit Lyonnais, Stéphane Richard a remis son mandat de PDG. Christel Heydemann a déjà été validée comme directrice générale d’Orange, son mandat prendra effet le 4 avril.

Restait donc le poste de président à pourvoir. Selon Le Monde, ce fauteuil devrait être occupé par Jacques Aschenbroich, actuel président de Valeo.

Sa nomination doit encore être validée par le conseil d’administration (le 30 mars) puis en assemblée générale le 19 mai.

Retour des humains sur la Lune : la NASA prépare la suite d’Artemis et cherche un nouvel atterrisseur

Dans le cadre de ses missions Artemis qui doivent renvoyer des humains sur la Lune, l’Agence spatiale américaine a confié à SpaceX le soin de construire les capsules habitables.

Cette semaine, elle a annoncé son intention de proposer des « opportunités pour les entreprises commerciales de développer un atterrisseur lunaire pour astronautes ». La NASA leur demande ainsi de « proposer des concepts d’atterrisseurs capables de transporter des astronautes entre l’orbite lunaire et la surface lunaire pour des missions au-delà d’Artemis III ».

Le but pour les États-Unis est de permettre d’installer une forme de concurrence et de fournir une redondance des services « dans la capacité de la NASA à transporter des astronautes vers la surface lunaire ». 

Si on laisse de côté les Russes, SpaceX est actuellement la seule entité capable d’envoyer des astronautes dans la Station Spatiale Internationale. La NASA avait là aussi joué la carte de la redondance avec Boeing, mais la capsule Starliner n’a pour le moment toujours pas réussi son vol qualificatif. 

Israël avait refusé de commercialiser le logiciel espion Pegasus à l'Ukraine

« Israël a empêché l'Ukraine d'acheter le logiciel espion Pegasus, craignant la colère de la Russie », titre le Guardian.

Des personnes ayant une connaissance directe de l'affaire expliquent que des responsables ukrainiens avaient fait pression sur Israël en 2019 pour le convaincre d'octroyer une licence du logiciel espion à l'Ukraine.

Mais ces efforts ont été repoussés par le groupe NSO, dont les exportations sont réglementées par le ministère israélien de la Défense, qui ne l'avait donc pas autorisé à commercialiser son logiciel espion à l'Ukraine.

Les reportages du « Projet Pegasus » – du nom de ce consortium de médias ayant enquêté sur NSO – avaient montré comment, de la Hongrie à l'Arabie saoudite, les ventes de Pegasus étaient souvent alignées sur la politique étrangère israélienne.

Des sources proches du dossier expliquent que la décision d'Israël reflétait une réticence à interférer avec la Russie, qui entretient des relations de renseignement étroites avec Israël. 

Le pays craignait qu'accorder à l'Ukraine la possibilité de cibler les numéros de téléphone mobile basés en Russie via Pegasus ne soit considéré comme un acte d'agression contre les services de renseignement russes.

D'autres personnes affirment que l'Estonie, membre de l'OTAN, a quant à elle obtenu l'accès à Pegasus en 2019, mais a été informée par NSO en août de la même année que la société n'autoriserait pas les responsables estoniens à utiliser le logiciel espion contre des cibles russes.

Google révèle deux campagnes nord-coréennes de spear phishing

Le Threat Analysis Group (TAG) de Google a découvert deux groupes d'attaquants distincts soutenus par le gouvernement nord-coréen exploitant une vulnérabilité d'exécution de code à distance dans Chrome, CVE-2022-0609

L'exploit, découvert le 10 février, a été corrigé quatre jours plus tard. La première preuve de déploiement actif de ce kit d'exploit daterait du 4 janvier.

La première campagne, surnommée Operation Dream Job, ciblait plus de 250 personnes travaillant pour 10 médias, registraires de noms de domaine, fournisseurs d'hébergement Web et éditeurs de logiciels.

Les cibles ont reçu des e-mails prétendant provenir de recruteurs de Disney, Google et Oracle avec de fausses opportunités d'emploi potentielles. Les e-mails contenaient des liens usurpant des sites Web de recherche d'emploi légitimes comme Indeed et ZipRecruiter. Les victimes cliquant sur ces liens ouvraient une iframe cachée déclenchant le kit d'exploitation.

La seconde campagne, surnommée Operation AppleJeus, a ciblé plus de 85 utilisateurs dans les secteurs de la crypto-monnaie et de la fintech en exploitant le même kit d'exploitation. Cela comprenait la compromission d'au moins deux sites Web légitimes de sociétés de technologie financière et l'hébergement d'iframes cachés pour servir le kit d'exploitation aux visiteurs.

Dans d'autres cas, Google a observé de faux sites Web – déjà configurés pour distribuer des applications de crypto-monnaies « trojanisées » – hébergeant des iframes et pointant leurs visiteurs vers le kit d'exploitation.

Une attaque contre les développeurs Microsoft Azure via des paquets npm frelatésCrédits : Matej Moderc/iStock

Mercredi soir, la société de sécurité JFrog a publié un bulletin d’alerte concernant une attaque d’une taille a priori conséquente.

Elle vise les développeurs utilisant Azure de Microsoft, dans l’espoir de leur dérober des PII – « personally identifiable information », des informations personnelles identifiantes, dans l’espoir d’obtenir ensuite de précieux identifiants.

Selon les chercheurs Andrey Polkovnychenko and Shachar Menashe, les premiers dépôts de npm malveillants ont été détectés le 21 mars. Les pirates (non identifiés) visent les paquets npm ayant un préfixe @azure, @azure-rest, @azure-tests, @azure-tools ou @cadl-lang via une attaque par typosquattage par l’intermédiaire d’un script automatisé.

Pour JFrog, les chances que les développeurs puissent se faire avoir sont réelles, car les paquets npm visés sont téléchargés des dizaines de millions de fois chaque semaine.

La société de sécurité fournit dans son billet de blog une liste complète des paquets actuellement visés. Nous ne la reproduisons pas ici car il y en a plusieurs dizaines.

Le temps que cette attaque soit jugulée, il est donc recommandé aux développeurs de faire particulièrement attention à ce qu’ils téléchargent et d’en vérifier la provenance.

Windows 11 : les testeurs peuvent passer de la branche Dev à Beta pendant une durée limitée

Microsoft travaille depuis un moment sur la capacité pour les testeurs de changer de canal de développement quand ils le souhaitent. En attendant, il n’est possible que d’aller dans une seule direction : du plus stable au moins stable.

Ce peut être un problème quand la branche Dev se prépare à de gros changements, comme c’est le cas actuellement. Les modifications apportées depuis des mois concernent en effet la version 22H2 du système prévue pour cet automne et portant le nom de code Sun Valley 2.

Or, les préversions basculeront bientôt sur la prochaine branche, qui tablera sur les nouveautés prévues pour 2023, même si on ne sait pas encore si Microsoft prévoit une ou deux versions majeures dans l’année. Les développeurs souhaitant rester sur la branche actuelle espéraient donc une ouverture.

C’est le cas depuis mercredi, mais il faudra faire vite. Microsoft a distribué en effet la build 22581 pour les deux branches, Dev et Beta. Jusqu'à la prochaine build, mercredi prochain sans doute, le numéro de version est donc strictement le même.

Dans les Paramètres > Windows Update > Programme Windows Insider, il est possible de changer Dev pour Beta, avec pour bénéfice un système qui va maintenant se concentrer sur les fonctions existantes.

La branche Beta est toujours plus stable que la Dev car elle bénéficie d’un plus grand nombre de tests. L’inconvénient, bien sûr, est que les nouveautés y arrivent beaucoup moins vite.

Le FBI trolle l'ambassade de Russie pour recruter des espionsCrédits : mokee81/iStock

Le FBI a diffusé des  publicités ciblées sur Facebook, Twitter et Google, visant les seuls téléphones portables situés à l'intérieur ou juste à l'extérieur de l'ambassade de Russie à Washington, révèle le Washington Post.

Elles tablent sur le mécontentement ou la colère au sein des services diplomatiques ou d'espionnage russes – ou parmi les émigrés russes aux États-Unis – face à l'invasion de l'Ukraine, un événement que les experts du contre-espionnage considèrent comme une énorme opportunité de recrutement pour la communauté du renseignement américain.

L'annonce renvoie vers une page web du programme de contre-espionnage du bureau extérieur du FBI à Washington. Elle encourage, en russe et en anglais, les personnes intéressées à se rendre sur place en personne afin d'en parler.

Dans un tweet de l'ambassade de Russie jeudi, l'ambassadeur russe Anatoly Antonov qualifie le stratagème du FBI de « ridicule » et le qualifie de tentative de « semer la confusion et d'organiser la désertion parmi le personnel de @RusEmbUSA », accusant le Washington Post d’agir « aux ordres » du renseignement américain.

Un ancien du FBI qualifie l'opération de « succès du contre-espionnage pour le FBI », à mesure qu'elle pourrait alourdir la charge du contre-espionnage russe, qui avait probablement autre chose à faire que d'enquêter sur tous celles et ceux qui auraient pu consulter la publicité.

Proton confirme qu’une application « desktop » est en travaux

Il s’agissait d’une annonce attendue : Proton a indiqué qu’une application de bureau pour son service email sécurisé était en développement. Elle fonctionnera sur Windows, macOS et Linux.

La joie sera de courte durée pour certains, car Proton se servira d’Electron pour fournir une application multiplateforme. Cela étant, Electron en elle-même n’est pas une mauvaise technologie, tout dépend de la manière dont elle est utilisée. Chez Microsoft par exemple, on peut avoir le meilleur comme le pire, de Visual Studio Code à Teams.

Proton a également confirmé l’arrivée d’un client Drive pour Windows, en plus d’applications pour Android et iOS.

Mozilla lance officiellement son offre MDN Plus pour les développeurs

Il y aura bientôt un an, Mozilla présentait MDN Plus, une version enrichie et payante de ses ressources pour développeurs.

L’éditeur avait vite précisé que le Mozilla Developer Network, très utilisé, ne changerait pas dans sa version gratuite. L’offre Plus était destinée à proposer des services supplémentaires, pas à limiter les capacités de la mouture gratuite.

Depuis hier soir, MDN Plus est disponible pour 5 ou 10 dollars par mois. Le premier niveau permet l’enregistrement de collections de pages, de recevoir des notifications pour les changements dans les ressources ou encore de sauvegarder une copie hors ligne de MDN.

La formule à 10 dollars ajoute l’accès anticipé aux fonctionnalités sur lesquelles travaille Mozilla ainsi que la possibilité de discuter avec les développeurs de MDN, permettant par exemple de faire remonter plus facilement des suggestions.

Le service est disponible pour l’instant aux États-Unis et au Canada. Dans les mois qui viennent, il sera étendu à d’autres : France, Allemagne, Italie, Espagne, Belgique, Autriche, Pays-Bas, Irlande, Royaume-Uni, Suisse, Malaisie, Nouvelle Zélande et Singapour.

Le Mozilla Developer Network étant une référence, il est possible que MDN Plus rencontre le succès, ce qui aiderait Mozilla à se sortir de certaines impasses financières. La société a en effet beaucoup de mal à diversifier ses activités et à réduire sa dépendance à Google.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !