du 20 décembre 2018
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

Facebook s’explique sur les accès privilégiés d’entreprises aux données, dont les messages privés

Selon le New York Times, Facebook laisserait des sociétés « amies » avoir un accès très spécial à ses données, plus particulièrement aux messages privés. Des informations auxquelles nul n’est pourtant censé accéder.

Apple, Amazon, Microsoft, Spotify et Netflix figurent dans les noms cités. Apple aurait par exemple eu un accès spécial aux contacts et calendriers. La firme a répondu au Times ignorer avoir eu un tel privilège, ajoutant que les données n’avaient jamais quitté les appareils des utilisateurs.

Amazon aurait eu accès aux informations de contacts des utilisateurs. L’entreprise n’a pas réagi, mais Kashmir Hill de Gizmodo estime que ces données ont pu être utilisées à des fins de lutte contre la fraude de commentaires.

À Bing (donc Microsoft), Facebook aurait offert les mêmes informations. Selon le réseau social cette fois, seules les données réglées sur « Publiques » étaient accessibles. Microsoft a indiqué de son côté avoir supprimé depuis ces informations, mais on ne sait pas quand.

Le cas le plus emblématique semble être celui de Netflix et Spotify qui auraient eu le droit d’analyser les messages privés des utilisateurs. Conséquence d’une époque (2010) où n’existait pas encore Messenger, Spotify pouvant notamment s’insérer dans les messages privés échangés pour envoyer des liens vers des titres. En théorie, cet accès pouvait permettre à un employé de lire les échanges.

Évidemment, toutes les sociétés impliquées se sont défendues de plonger leurs mains avides dans les données personnelles. Facebook explique notamment que même si des acteurs ont pu avoir un accès théorique aux messages privés, c’était uniquement pour des besoins d’échanges au sein de leurs applications, le plus souvent par la fonction Partage.

Toujours selon le réseau social, aucune tierce partie n’a pu lire les messages, car ces accès étaient automatisés, au seul bénéfice de quelques fonctions particulières. Des partenariats fortement négociés, avec procédure détaillée d’utilisation des API.

Il s’agirait donc d’une mauvaise interprétation du New York Times. Facebook préfère rappeler que cette manière de fonctionner est « courante dans l’industrie » depuis des années et pointe l’exemple d’Alexa. L’assistant d’Amazon n’est-il pas capable de plonger dans les emails de l’utilisateur pour les lire à haute voix ? Un angle de défense très particulier.

Mais quelles que soient les explications fournies, l’affaire tombe au plus mal pour Facebook après une année 2018 particulièrement compliquée. L’image de l’entreprise est en effet largement fragilisée sur la thématique de la vie privée, après notamment le scandale Cambridge Analytica et, plus récemment, deux grosses fuites de données, l'une en mars dernier, l'autre en octobre.

C'est une fonctionnalité attendue de longue date, désormais permise par la montée en puissance de l'API WebAuthn au sein des navigateurs.

L'équipe précise qu'elle est exploitée pour une double authentification, les modèles récents (FIDO2) étant supportés tout comme ceux qui respectaient seulement la solution utilisée par Google dans Chrome : U2F.

Pour rappel, BoxCryptor permet de chiffrer de manière efficace des fichiers locaux, ainsi qu'à travers des services de stockage en ligne.

Boxcryptor gère Web Authentication et les clés de sécurité (U2F, FIDO2)

Dans un mémo envoyé à ses employés et publié par SpaceRef, Bob Gibbs (administrateur assistant) explique que, « le 23 octobre 2018, le personnel de la NASA chargé de la cybersécurité a commencé à enquêter sur une éventuelle compromission des serveurs dans laquelle des informations personnelles étaient stockées ».

« Après une première analyse, la NASA a déterminé que les données personnelles provenant d'un des serveurs contenant les numéros de sécurité sociale et d'autres informations sur d'actuels et anciens employés pourraient avoir été compromises », ajoute le responsable.

Bien évidemment, des mesures ont immédiatement été prises pour boucher la brèche et l'enquête continue. Contactée par plusieurs de nos confrères américains (notamment Gizmodo), l'agence spatiale américaine n'a pas souhaité préciser combien de personnes étaient potentiellement touchées.

Le porte-parole ajoute par contre qu'il « ne pense pas que la moindre mission de l'agence ait été compromise par les intrusions ».

Houston, nous avons eu un problème : la NASA s'est fait pirater
Windows 10 : la build 18305 introduit une fonction Sandbox et un panneau Kaomoji

Depuis hier soir, les membres du programme Insider peuvent recevoir la préversion 18305 dans le canal rapide. Elle contient de très nombreux ajouts, certains particulièrement importants.

C’est le cas de la Windows Sandbox, mécanisme de protection utilisable pour lancer un exécutable dont on doute de l’origine. De la même manière que Edge pouvait se lancer en environnement virtualisé pour naviguer sur des sites « louches », Windows crée une copie isolée de lui-même, fonctionnant avec Hyper-V.

La fonction se présente comme une machine virtuelle ordinaire, à ceci près qu’elle est temporaire et que l’utilisateur n’a pas besoin de la paramétrer. Une fois les opérations terminées, on peut fermer la session, qui supprime toutes les données qui y étaient présentes. Si l’exécutable se révélait frelaté, il n’a aucun impact sur le système hôte.

Elle s’installe depuis la zone « Activer ou Désactiver des fonctionnalités Windows », que l’on trouve dans Paramètres > Applications > Applications et fonctionnalités. Elle se lance ensuite en ouvrant le menu Démarrer et en cherchant « Sandbox ». Le raccourci peut ensuite être épinglé. Microsoft prévient que le premier lancement de la fonction peut provoquer un pic de consommation CPU pendant une ou deux minutes.

Espérons néanmoins que la fonction pourra s’exploiter d’autres manières. Par exemple, via un clic droit sur un fichier et un raccourci « Exécuter dans Windows Sandbox ».

On reste dans la sécurité avec plusieurs autres nouveautés. Windows 10 intègre ainsi une « Tamper protection » qui permet de préserver les réglages de sécurité. En clair, ils ne peuvent plus être modifiés que par l’utilisateur lui-même s’il se rend dans les Paramètres. L’historique de protection a également été revu en profondeur, reprenant toutes les sections et ajoutant des informations.

Cette build 18305 introduit aussi un panneau révisé pour les emojis, qui présente maintenant deux nouvelles sections : Kaomoji et Symboles. Le premier intègre les fameuses suites de caractères ASCII dessinant des expressions ou des mouvements de personnages, le second les symboles classiques du clavier. Pratique quand on ne connaît le raccourci ou que l’on cherche un caractère n’y figurant pas.

D’autres apports dans cette build particulièrement touffue : nouvelle apparence pour l’historique du Presse-papier, la possibilité d’ouvrir une session synchronisée Windows via son numéro de téléphone (code de sécurité par SMS), davantage de problèmes signalés par Windows avec recommandations de solutions, un nouvel en-tête pour les Paramètres, le retour de certaines ombres ou encore la possibilité de choisir (enfin) un onglet par défaut dans le Gestionnaire des tâches.

Comme toujours, il s’agit d’une build du canal rapide, donc susceptible de provoquer des problèmes. Ces « bêtas » préfigurent ce que sera la prochaine évolution majeure de Windows 10, attendue pour le printemps 2019 et numérotée pour l’instant 19H1.

La bibliothèque remplace Libav utilisée jusque-là, ce qui doit résoudre quelques problèmes et permettre de prochaines évolutions, selon les notes de version.

L'équipe en profite pour faire le ménage dans la liste de préréglages de l'outil de conversion vidéo, ajoute quelques fonctionnalités et corrige plusieurs bugs.

Pour le moment, il ne s'agit que d'une publication préliminaire, la version finale ne devrait néanmoins pas tarder à être diffusée.

HandBrake 1.2.0 exploite désormais FFmpeg pour la décompression de flux vidéo

L'éditeur a publié un bulletin d'alerte où il explique avoir été informé par Google de l'existence de cette brèche, déjà exploitée pour mener des attaques.

La brèche est importante puisque, via un site spécialement conçu, un pirate peut exécuter du code à distance, avec les mêmes droits que l'utilisateur. Si ce dernier est un administrateur, c'est alors également le cas de l'attaquant. Les versions 9 à 11 du navigateur sont touchées.

La mise à jour est automatiquement déployée via Windows Update, mais elle peut aussi être téléchargée manuellement par ici.

Microsoft corrige une faille 0-day déjà exploitée sur Internet Explorer
Uber peut relancer ses expérimentations de voitures autonomes à Pittsburgh

Après l'accident mortel en mars dernier, le VTC avait arrêté toutes ses expérimentations. Fin mai, la société faisait part de son intention de relancer les tests à Pittsburgh… à la surprise du maire qui n'en n'avait pas été informé.

La demande officielle est finalement arrivée début novembre sur le bureau du Pennsylvania Department of Transportation (PennDOT). The Information affirme que ce dernier a donné son feu vert à Uber.

Cette information a depuis été confirmée par un porte-parole d'Uber à The Verge, qui ajoute néanmoins que la société n'a « pas encore remis les voitures sur la route », sans indiquer quand ce sera le cas.

Des iPad Pro légèrement tordus au déballage ? Oui... et c'est normal selon Apple

Le fabricant l'a confirmé à The Verge, expliquant qu'il s'agissait d'un effet secondaire du procédé de fabrication. Apple ajoute que la légère courbure ne devrait pas s'accentuer avec le temps ni causer de problème à l'usage. Bref, « Apple ne considère pas cela comme un défaut », précisent nos confrères.

Les iPad Pro 2018 de 11 et 12,9 pouces sont touchés, mais les versions 4G semblent plus impactées que les modèles Wi-Fi uniquement. De leur côté, nos confrères ont pu constater une légère courbure sur un iPad Pro 2018 de 11 pouces fraîchement déballé.

Pour rappel, cette histoire arrive après une vidéo de JerryRigEverything dans laquelle il plie – visiblement sans trop de difficulté – un iPad Pro 2018 en deux. Mais s'il y avait eu de vrais problèmes de solidité, les retours auraient déjà été nombreux depuis deux mois.

Nous ne sommes donc probablement pas en face d'un #BendGate comme sur l'iPhone 6. Néanmoins, la confirmation d'Apple reste surprenante, la société mettant régulièrement en avant sa qualité de fabrication et la finition de ses produits.

Ce nouveau film de Neil Marshall s'annonce animé. Il mettra en scène David Harbour dans le rôle principal, avec Ian McShane, Milla Jovovich et Sasha Lane également au casting.

D'après cette première vidéo, l'humour devrait être présent dans cette nouvelle adaptation du personnage éponyme, créé par Mike Mignola. Voici le pitch : « Hellboy, pris entre les mondes surnaturel et humain, combat une ancienne sorcière décidée à se venger ».

La sortie est prévue pour le 12 avril aux États-Unis.

Première bande-annonce pour le reboot de Hellboy, avec David Harbour

Alors que le salon de Las Vegas n'ouvrira officiellement ses portes que le 8 janvier, les fabricants dévoilent déjà une partie des nouveautés qui y seront présentées. C'est le cas de LG avec deux grands écrans.

Le 38GL950G affiche une diagonale de 38" avec une dalle incurvée de 3 840 x 1 600 pixels (21:9), compatible G-Sync (144 Hz) et avec une luminosité de 450 nits. Deux entrées HDMI et DisplayPort ainsi qu'un hub HUB USB 3.0 sont présents.

De son côté, le 49WL95C affiche 5 120 x 1 440 pixels sur 49" (32:9), mais avec une luminosité de 350 nits. La connectique est plus intéressante, avec un second DisplayPort et surtout un USB Type-C pouvant recharger un portable avec une puissance de 85 watts. Deux haut-parleurs de 10 watts sont également présents.

LG présentera deux écrans incurvés de 38 et 49" au CES, dont un avec USB Type-C (85 watts)
Chrome 72 met fin à HPKP, au chargement de ressources via FTP et met TLS 1.0/1.1 de côté

Actuellement proposée dans le canal bêta, la prochaine version du navigateur de Google ajoute quelques nouveautés. Elle est également l'occasion d'un grand ménage.

TLS 1.0 et 1.1 ne sont ainsi plus considérés comme sécurisés, au profit de TLS 1.2+. Leur support sera entièrement retiré dans Chrome 81 attendu pour début 2020.

Les adeptes de popups via window.open() ne pourront plus les utiliser lors du déchargement de la page (unload), que le bloqueur de popups soit activé ou non.

Le support du HTTP-Based Public Key Pinning (HPKP) est également retiré, à cause de sa faible adoption et des soucis de sécurité qu'il pose. Il en est de même pour l'affichage de ressources via le protocole FTP, auquel tout le monde tourne le dos progressivement.

Vous retrouverez tous les détails de cette mouture par ici. Elle est attendue pour le 29 janvier dans le canal stable de Chrome.

Pour ajouter toujours plus de photos dans Google Maps, le géant du Net dispose de toute une panoplie de caméras. L'une d'entre elles, Trekker, prend la forme d'un sac à dos. Une nouvelle version est disponible, plus légère et équipée de capteurs optiques améliorés avec de meilleures ouverture et résolution.

Google rappelle qu'il propose un programme de prêt permettant à « tout le monde d'utiliser la nouvelle version du sac ». Pour les demandes, c'est par ici.

Google propose un nouveau sac à dos Trekker pour capturer des images à 360°

Avec la build 18305 de Windows 10, Microsoft rénove au passage son application Office, jusqu’ici appelée « Mon Office ». L’interface change complètement, de même que les fonctionnalités et donc le positionnement de ce complément.

C’est maintenant une PWA (Progressive Web App) reprenant la page d’accueil d’Office.com.  elle est donc liée au compte Microsoft, affiche les documents récemment manipulés, des accès rapides aux applications, un champ de recherche et autres. En clair, un centre névralgique pour Office.

Dans les entreprises, cette PWA peut d’ailleurs être personnalisée, du moins dans une certaine mesure. Elle pourra par exemple y afficher son logo, un texte particulier, des applications spécifiques et ainsi de suite.

Quand cette nouvelle application sera finalisée, elle remplacera automatiquement l’ancienne. Microsoft ne fournit cependant aucun calendrier, se contentant d’indiquer « dans les mois qui viennent ». Il est possible qu’elle n’apparaisse qu’en même temps que la prochaine évolution de Windows 10, prévue pour le printemps prochain.

Dans Windows 10, l'application Office devient une PWA
Le réseau diplomatique de l'Union européenne aurait été piraté pendant plus de trois ans

Cette information a été révélée par la société de cybersécurité Area 1 (fondée par trois anciens de la NSA) au New York Times, avec plus de 1 100 câbles diplomatiques à l'appui. Le piratage irait plus loin, avec l'infiltration de réseaux des Nations Unies, du syndicat américain AFL-CIO et de plusieurs ministères des Affaires étrangères et des Finances dans le monde.

La brèche est d'envergure, comme l'explique Reuters : « des pirates informatiques ont infiltré pendant au moins trois ans le réseau de communication diplomatique de l’Union européenne, téléchargeant des milliers de câbles qui reflètent l’inquiétude des Européens face à la politique de Donald Trump, à la difficulté de traiter avec la Russie ou la Chine, ou au risque de voir l’Iran relancer son programme nucléaire ».

Interrogée par nos confrères, l'Union européenne botte pour le moment en touche, indiquant simplement « être au courant des allégations concernant une possible fuite d'informations sensibles et mène une enquête active sur le sujet » .

Selon les enquêteurs d'Area 1, les Chinois seraient à l'origine des attaques. Stéphane Dujarric, porte-parole des Nations Unies, affirme ne disposer « d'aucune information sur une possible cyberattaque à l'ONU qui aurait été commise par des pirates chinois ». Il ajoute que « pour la plupart des incidents, les Nations Unies ne disposent pas d'informations suffisantes pour les attribuer de manière concluante ».

Également interrogée, la NSA a refusé de commenter.

C'est au détour d'une longue série de modifications déployées avec la mise à jour 7.10 que l'éditeur annonce la compatibilité avec de nouveaux smartphones Android.

En plus du récent Galaxy A9 de Samsung, les terminaux équipés d'un Snapdragon 670 (Oppo R17, Vivo Z3...) ou d'un Snapdragon 710 (Samsung A8S, Xiaomi Mi 8SE, Nokia 8.1 et Oppo R17 Pro) peuvent désormais installer le jeu. Il n'est toujours pas disponible dans le Play Store et il faut donc télécharger l'APK sur le site de l'éditeur.

Après les derniers iPhone, c'est au tour des l'iPad Pro de seconde génération de 10,5 et 12,9 pouces d'avoir un taux de rafraîchissement maximal de 60 fps.

Sur Android, Fortnite est disponible pour les smartphones avec Snapdragon 670 et 710

L'outil de gestion des tâches de Microsoft (qui a racheté Wunderlist pour rappel), commence enfin à disposer de cette fonctionnalité, attendue depuis son lancement en avril dernier (lire notre analyse).

L'assistant maison peut désormais ajouter des tâches et des rappels dans votre To-Do liste… mais uniquement en anglais et dans quatre pays pour le moment : États-Unis, Royaume-Uni, Inde et Australie. De plus, il faut être Insider avec la build 18267 minimum pour en profiter. Tous les détails sont disponibles par ici.

Microsoft To-Do intègre désormais Cortana pour les Insiders en anglais

Aucune entrée pour les catégories selectionnées.