Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Il a été identifié par l'équipe d'Imperva et signalé au réseau social en mai dernier. Évidemment, il a été corrigé avant sa divulgation.

Pour l'exploiter, il fallait attirer un utilisateur sur une page spécialement conçue pour cette attaque. Il devait ensuite cliquer dessus (n'importe où) pour ouvrir une popup ou un nouvel onglet sur la page de recherche de Facebook.

Si l'utilisateur était identifié sur son compte, le site piégé pouvait alors récupérer des informations via du cross-site request forgery (CSRF) : « Étant donné que le nombre d'éléments iframe sur la page [de recherche de Facebook, ndlr] reflète le nombre de résultats de la recherche, nous pouvons simplement les compter en accédant à la propriété fb.frames.length ».

Ainsi, « en manipulant le Graph Search de Facebook, il est possible de créer des requêtes qui renvoient des informations personnelles sur l'utilisateur ». Par exemple : en cherchant la liste des pages qu'il aime et qui s'appellent « Imperva », la recherche renverra une iframe (contenant un descriptif rapide et lien vers Imperva) si c'est le cas, ou aucune dans le cas contraire. Un simple décompte permet d'en déduire un oui ou un non, sans accéder au contenu de l'iframe.

Les chercheurs expliquent qu'il est possible d'aller plus loin avec des recherches savamment ciblées sur le Graph Search : regarder si l'utilisateur identifié sur Facebook a des amis provenant ou vivant dans un pays en particulier, s'il a pris des photos dans certains lieux, si lui ou ses amis ont publié un contenu contenant des mots clés, etc.

Bref, en manipulant adroitement le moteur de recherche sémantique avec des questions calibrées, il était possible d'en déduire des informations personnelles sur l'utilisateur connecté sur le navigateur et sur ses « amis ».


Chargement des commentaires
À découvrir dans #LeBrief

Vous êtes plutôt Vi(m) ou Emacs ? La nouvelle ne vous intéressera sans doute pas. Mais si vous êtes utilisateur de cet éditeur pour terminal, les quelques nouveautés annoncées pourraient retenir votre attention.

Car bien qu'il s'agisse d'un changement de numéro de version majeur, il n'y a pas de grand chamboulement, si ce n'est le défilement doux (une ligne à la fois) par défaut, et quelques changements dans les paramètres et raccourcis.

Comptez tout de même plus de 300 retouches depuis la mouture 3.2 sortie en novembre dernier.

L'affaire avait éclaté la semaine dernière et le régulateur finlandais avait ouvert une enquête, comme l'explique Engadget. Parmi les données envoyées par le téléphone à un serveur chinois se trouvaient l'emplacement géographique, le numéro de la carte SIM et le numéro de série du smartphone.

Nokia confirme l'envoi de données, mais tente de rassurer en ajoutant « qu'aucune information personnellement identifiable n'a été partagée avec une tierce partie ». Le fabricant (HMD) affirme qu'il s'agit d'une erreur : « Nous avons constaté que notre client d'activation destiné à la version chinoise du smartphone avait été installé par erreur dans un lot unique de Nokia 7 Plus ».

Il ajoute que ce problème avait déjà été identifié et corrigé en février. « Tous les smartphones concernés ont reçu le correctif et presque tous l'ont déjà installé ». Si le numéro de build est 00WW_3_39B_SP03 ou 00WW_3_22C_SP05, vous avez le patch.

Le constructeur balaie de la main des accusations affirmant que d'autres smartphones sont concernés : « Toutes les données des terminaux Nokia autres que les versions chinoises sont stockées sur les serveurs de HMD Global à Singapour, via Amazon Web Services ».  

La députée LR Valérie Bazin-Malgras, avec plusieurs autres parlementaires du groupe, a déposé une proposition de loi obligeant les utilisateurs des réseaux sociaux à s’y inscrire sous leur identité réelle.

Cet « outil formidable d’expression, de partage et de communication » est considéré par la parlementaire comme source d’inquiétudes : tantôt les réseaux sociaux « perturbent l’expression démocratique par la diffusion d’infox via de faux comptes, tantôt ils déversent leur lot de haine et de langage ordurier d’autant plus inappréciable que les insultes y sont quotidiennes et banalisées ».

Afin de « responsabiliser » les contributeurs, elle veut leur imposer « de sortir du confort de l’anonymat ». Le texte envisage ainsi en un article unique d’imposer aux réseaux sociaux une obligation d’identité des internautes utilisateurs de ces services en exigeant la « présentation de tout document écrit à caractère probant. »

Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, en fixerait les modalités d’application pratique.

Le texte est très ample, puisqu’au lieu de viser les seuls réseaux sociaux, catégorie non définie juridiquement, l’élue impose cette contrainte à l’ensemble des hébergeurs. En somme, Twitter, Facebook, les forums en ligne, les zones de commentaires sous les articles de presse, les hébergeurs de fichiers, etc. seraient tous astreints à aspirer ces documents d’identité.

La députée se garde par ailleurs de définir une durée de conservation ou le lieu de stockage de ces données nominatives, tout comme la façon dont les intermédiaires pourront s’assurer que l’internaute est bien qui il prétend être.

En début d’année, trois élus LREM avaient plaidé pour une solution équivalente afin de lutter contre le « déferlement de haine » en ligne. Leur idée était restée lettre morte.  

Telegram 5.5 vient de sortir sur Android et iOS avec une longue liste de nouveautés.

Certaines sont générales, comme une amélioration de la qualité des appels (audio, Telegram ne fait toujours pas de vidéo) ou de petits apports pour les emojis. Sur Android, leur panneau a ainsi été remanié, tandis que sur iOS un emoji sera affiché plus grand s’il est envoyé seul.

D’autres sont plus spécifiques. Vous pouvez ainsi supprimer un message reçu autant pour vous que le contact avec vous discutez. Dans une conversation privée, on peut également supprimer tous les messages en deux actions.

Pour les utilisateurs inscrits dans de nombreux groupes, une nouvelle option de vie privée permet d’effacer automatiquement tout lien vers leur compte quand leurs messages sont transférés.

Notez également l’apparition d’un champ de recherche dans les paramètres. Une réponse au nombre d’options augmentant avec le temps.

Une révision mineure a été déployée pour la version Desktop (1.6.2) afin de tenir compte des nouvelles capacités d’effacement des messages.

Le Centre national de la recherche scientifique, en partenariat avec le Monde, revient sur le déploiement « des lignes de détection » de KM3NeT (Cubic Kilometre Neutrino Telescope), dont le but est de détecter et étudier « les particules élémentaires les plus mystérieuses de la physique actuelle » : les neutrinos.

« Produits au cœur des étoiles lors des réactions de fusion nucléaire, ou dans l’atmosphère sous l’effet de la collision des rayons cosmiques, les neutrinos sont à la fois très abondants mais aussi très discrets : ils interagissent si peu avec la matière qu’ils traversent tout sur leur passage », expliquait récemment le CNRS.

Lorsqu'un neutrino parvient enfin à réagir avec de la matière, il produit une particule secondaire appelée muon. Cette dernière, en traversant l'eau de mer, émet un cône de lumière bleutée que le détecteur tente d'identifier.