Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Dans une série de billets de blog (ici, ou encore ) l'éditeur détaille les nouveautés à venir pour son navigateur. Un travail qui devient de plus en plus urgent, à mesure que les concurrents avancent sur la question de la préservation de la vie privée et du renforcement de la sécurité, en faisant leur cheval de bataille face à un Google souvent trop curieux. 

La première évolution bienvenue est DoH. On pourra y modifier le service que l'on souhaite utiliser. Mais Google a eu la bonne idée d'exploiter par défaut le service DNS du système s'il dispose de serveurs gérant ce standard. Pour rappel, DoH est déjà intégré à Firefox depuis un moment et fera son entrée sous Windows 10 dans une prochaine version, devant servir à chiffrer les échanges DNS entre le poste de l'utilisateur et son résolveur.

De manière plus générale, les options relatives à la vie privée ont été simplifiées et réorganisées. Il est désormais possible de gérer les cookies tiers dans le mode de navigation privée, alors qu'ils seront bientôt interdits. 

Chrome vous préviendra également si certains de vos mots de passe ont fuité, la gestion des extensions a été en bonne partie revue, etc. 

Dans un communiqué repris par l’AFP, la société explique avoir été victime d’une attaque « hautement sophistiquée ». La date n’est pas précisée, mais la fuite est désormais colmatée assure-t-elle.

L’adresse email et des informations de voyages d’environ 9 millions de clients sont dans la nature, ainsi que les données de la carte bancaire de 2 208 clients. Toutes les personnes concernées sont en train d’être contactées.

Jusqu’à présent, l’entreprise n’a « aucune preuve que des informations personnelles de quelque nature que ce soit ont été utilisées à mauvais escient » pour le moment, mais le risque de phishing doit être pris en compte par les personnes concernées.

Le débat sur StopCovid et autres « innovations numériques dans la lutte contre l’épidémie de Covid-19 » sera organisé le 27 mai à l’Assemblée nationale et le lendemain au Sénat. Devant les députés, il sera précédé d’une déclaration du gouvernement, puis suivi d’une intervention des groupes durant deux heures.

Ce débat, finalement promis, intervient sur le fondement de l’article 50-1 de la Constitution, et ne pourra donc engager la responsabilité du gouvernement (notre actualité). 

L’exécutif devrait à cette occasion pouvoir présenter les retours de tests de cette solution qui reposera sur le consentement des utilisateurs, soit aux antipodes des traitements de données personnelles mis en place par la loi de prorogation de l’état d’urgence. 

L’association en avait déjà mis 57 en demeure en avril « qui entendaient faire obstacle au droit au remboursement des passagers aériens aux vols annulés ».

« Si certaines compagnies ont répondu positivement […] de nombreux transporteurs aériens ont ignoré l’avertissement de l’UFC-Que Choisir et de la Commission européenne. Ils continuent de violer la réglementation en imposant aux passagers des bons d’achat en guise de remboursement de leur vol annulé », ajoutent nos confrères.

Ils ont donc décidé de passer la seconde avec des assignations en justice devant le tribunal de Paris pour Air France, Ryanair, Transavia France, Vueling Airlines, Lufthansa, Volotea, Air Algérie, Air Corsica, Royal Air Maroc, Air Caraïbes, Turkish Airlines, TAP Air Portugal, Tunisair, Norwegian, Emirates, Corsair, KLM, Air Austral, Air Europa et Air Transat. 

« L’UFC-Que Choisir rappelle qu’elle entend défendre le droit des consommateurs d’avoir le choix entre remboursement et bon d’achat, conformément à la réglementation ». Elle ajoute qu’elle « serait en droit d’exiger plusieurs milliers d’euros pour l’atteinte faite à l’intérêt collectif des consommateurs », mais elle « souhaite simplement que les compagnies se conforment à la réglementation et respectent les droits des consommateurs […] Elle ne sollicite pas, pour l’instant, de dommages et intérêts pour inciter les compagnies à rapidement se mettre en règle ».

L'UFC ne pousse cependant pas les passagers à demander expressément un remboursement «  s’ils ont confiance dans un avoir et s’ils peuvent faire autrement ». L’UFC-Que Choisir rappelle que les usagers comme les compagnies aériennes sont touchés par la crise sanitaire.

Barton Gellman, l'un des trois journalistes à avoir travaillé avec Edward Snowden, revient dans The Atlantic sur les (nombreuses) mesures de sécurité opérationnelle (OPSEC) auxquelles il a dû s'astreindre pour éviter tout risque de compromission.

Non content d'avoir retiré les composants Wi-Fi et Bluetooth de ses ordinateurs portables, déconnecté les batteries, scellé les ports USB, repeints les vis à l'epoxy avec des paillettes (qui forment des motifs aléatoires permettant de vérifier si elles ont été dévissées), il avait aussi recouvert le cadran de son coffre-fort de poudre ultra-violette. Et stockait les données sensibles dans plusieurs volumes chiffrés, qu'il ne pouvait ouvrir qu'après avoir composé cinq phrases de passe.

Lorsqu'il interviewa Snowden à Moscou, le lanceur d'alerte lui expliqua regretter les milk shakes, mais refusa de répondre à la question de savoir s'il avait acheté un blender, de peur que sa signature acoustique ne puisse être utilisée par un service de renseignement pour identifier son appartement.

Snowden ne se séparait jamais de son ordinateur portable, même aux toilettes. « Certes, ça fait un peu parano, peut-être trop. Mais cela ne coûte rien. Et on s’y habitue. On ajuste son comportement. Et si ça permet de réduire les risques, pourquoi pas ? »

Le journaliste explique également qu'un service de renseignement turc a tenté de pirater son compte Gmail, avoir reçu un logiciel espion se connectant au Kazakhstan, que « trois femmes chaudes et vraiment attirantes » avaient tenté de séduire Ashkan Soltani, l'expert en cybersécurité avec qui il travaillait sur les documents Snowden, sur OkCupid... mais également que la NSA partait du postulat que nombre de services de renseignement étrangers avaient forcément tenté de les leur dérober.

Gellman y a même découvert son nom, et que la NSA l'avait rajouté à la liste des cibles de FIRSTFRUITS, le nom de code de son programme de contre-espionnage ciblant les journalistes ayant divulgué des informations classifiées. 

Suite à des demandes FOIA (Freedom of Information Act), il a aussi appris que les services de renseignement et de sécurité intérieure avaient refusé de déclassifier 435 documents à son sujet, qu'ils avaient produit un rapport de 76 pages sur tous les vols internationaux qu'il avait pris depuis 1983, et secrètement fouillé ses bagages lorsqu'il revenait de l'étranger.

Cela fait maintenant un mois que nous savons que le salon allemand tel qu’on le connaît n’aura pas lieu. Alors que bon nombre d’organisateurs ont décidé de passer au virtuel ou bien de reporter les événements à 2021, ce n’est pas le cas de Messe Berlin, en charge de l’IFA.

L’édition 2020 sera articulée autour de quatre événements indépendants : IFA Global Press Conference (qui comprendra les keynotes des partenaires), IFA Global Markets, IFA NEXT meets IFA SHIFT Mobility et enfin IFA Business, Retail and Meeting Lounges.

Messe affirme avoir travaillé avec les autorités sanitaires afin de mettre en place un « contrôle minutieux des foules et des mesures d'hygiène strictes ». Conséquence logique, « l’IFA 2020 ne sera pas ouvert au public, mais se déroulera comme un événement sur invitation uniquement ».

De plus, il ne sera pas accepté « plus de 1 000 participants pour chaque événement par jour ». En avril, l’organisateur expliquait que le gouvernement avait décidé d’interdire les événements avec plus de 5 000 participants jusqu’au 24 octobre. L’IFA 2020 se place donc juste sous cette limite.

Pour le Syndicat des Commissaires de la Police Nationale, « on voudrait empêcher la police de lutter contre la délinquance qu’on ne s’y prendrait pas autrement. Et ensuite, interdiction des surveillances avec appareils photo ou caméras ? Et après, on demande aux policiers de travailler les yeux fermés ? »

« C’est dommage que le Conseil d’État suspende l’utilisation des drones, embraye le Syndicat Indépendant des Commissaires de Police. Durant le confinement, ils ont eu une utilité préventive. Information de la population, surveillance: cet outil a aidé les forces de l’ordre à lutter contre le Covid 19 » 

Les deux organisations n’apprécient guère que la haute juridiction administrative ait cloué au sol les drones de la préfecture de police de Paris. 

Saisie par la Quadrature du Net et la Ligue des Droits de l’Homme, le Conseil d’État a considéré que ces solutions devaient être autorisées par un texte pris après avis de la CNIL ou bien subir un bridage afin de rendre impossible la captation de données personnelles, ici des visages.

La directive Police Justice considère en effet qu’une donnée est personnelle dès lors qu’une personne physique est identifiée ou comme ici, identifiable. Et comme les caméras embarquées captent et transmettent ces images, il y a bien traitement de données personnelles.

La loi CNIL de 1978 impose alors un texte préalable avant tout déploiement d’une telle solution destinée à prévenir les infractions. Texte qui fait ici défaut.

La nouvelle mouture est la première à s’installer automatiquement, depuis que la version 0.17 autorise cette capacité. C’est un premier test pour la suite d’utilitaires. L’application principale ne se relancera cependant pas toute seule. 

On y trouve également deux nouvelles petites applications. Keyboard Manager permet de personnaliser complètement le clavier en autorisant la création de raccourcis ainsi qu’un « remapping » complet, soit la possibilité de réaffecter chaque touche.

Run est directement comparable à l’interface de Spotlight dans macOS. En appuyant sur Alt + Espace, un champ de recherche apparaît au centre de l’écran. On peut y écrire le nom d’une application, d’un fichier, d’un dossier ou même d’un processus (donc d’une application ouverte). Les résultats apparaissent au fur et à mesure.

En plus de ces fonctions de base, Run peut également servir à lancer une opération mathématique, comme on peut par exemple le faire dans Google. En outre, en commençant par « > », on invoquera le plugin Shell pour lancer des commandes, comme avec Win + R.

Puisque Run fait partie des PowerToys, il est open source. Microsoft lui adjoint la capacité d’être accompagné de plugins, au bon vouloir des développeurs. L’outil, au vu de son potentiel, aurait en fait tout intérêt à être directement intégré à Windows.

« Aujourd’hui, mardi 19 mai, nos six centres de distribution français ont repris leur activité, permettant ainsi aux clients d’avoir à nouveau accès à la sélection de produits et à la rapidité de livraison auxquels ils sont habitués ».

Après une consultation avec les représentants du personnel, « les deux parties ont accepté d’abandonner les recours en cours – cela inclut la décision de porter notre affaire devant la Cour de Cassation » indique Amazon dans un communiqué de presse.  

C’est donc la reprise chez le géant du e-commerce. « Après 5 semaines de suspension d’activité, une reprise progressive est prévue sur la base de volontariat, et les effectifs augmenteront graduellement jusqu’à la fin du mois, afin permettre à nos collaborateurs de se réadapter aux processus ».

L’entreprise prévient avoir « conduit formellement une procédure de consultation et d'information avec les comités socio-économiques de l’entreprise sur les mesures de sécurité étendues qui avaient été mises en place dans nos centres de distribution pour assurer la sécurité de nos employés ».

Ce défaut de consultation avait justement été épinglé par la justice, alors que les salariés se retrouvaient confrontés au risque pandémique.

L’équipe de chercheurs rappelle que « la norme Bluetooth fournit des mécanismes d’authentification basés sur des clés d’appariement à long terme, qui sont conçus pour protéger contre les attaques d’usurpation d’identité ». Problème, avec BIAS (CVE-2020-10135) ce mécanisme peut être cassé et un pirate peut usurper l'identité d’un périphérique associé. Tous les détails techniques et une vidéo sont disponibles ici.

Selon les chercheurs, « tout appareil conforme aux normes Bluetooth peut être vulnérable ». « Nous avons mené des attaques BIAS sur plus de 28 puces Bluetooth différentes (en attaquant 30 appareils). Au moment d’écrire ces lignes, nous avons pu tester des puces de Cypress, Qualcomm, Apple, Intel, Samsung et CSR. Tous les appareils que nous avons testés étaient vulnérables à l’attaque BIAS », ajoutent-ils.

Les détails de cette attaque ont été dévoilés de manière responsable en décembre, certains fabricants ont donc pu déployer des mises à jour entre temps. Pour faire simple : « si votre appareil n’a pas été mis à jour depuis décembre 2019, il est probablement vulnérable ».

De son côté, le Bluetooth Special Interest Group (Bluetooth SIG) confirme la dangerosité de la faille et précise travailler à un correctif, qui passera par une mise à jour de la norme Bluetooth. En attendant, il donne des recommandations aux fabricants pour limiter les risques

Ce tour de table a été mené par BlackRock et « la plupart des investisseurs existants – Bpifrance (via son pôle fond Large Venture), Canaan, Eurazeo Growth, GPE Hermes, Highland Europe, H14 et KKR – ont participé à cette nouvelle levée ».

Le financement total de la société est désormais de 310 millions de dollars, mais elle ne donne aucune indication sur sa dette ou sa valorisation. Sur Twitter, Cédric O évoque une « licorne », c’est-à-dire un startup de moins de 10 ans dépassant le milliard de dollars de valorisation. Il annonce aussi que la levée de fonds est de 190 millions d’euros, mais il s’agit bien de dollars. Dans tous les cas, cela reste « une nouvelle importante pour la France, nos emplois et notre rayonnement technologique ».

Cette manne financière servira à « investir massivement dans l’innovation, notamment dans l’intelligence artificielle et l’analyse prédictive, et de poursuivre sa forte croissance en Amérique, en Europe, en Asie et au Moyen-Orient ».

Pour rappel, Contentsquare propose une « plateforme d’Experience Analytics [qui] capture des milliards de données comportementales en ligne et les transforme en recommandations par tous ». Elle revendique « chaque jour 10 milliards d’interactions client et près d’1,4 milliard de dollars de transactions en ligne ».

Signal est une application de messagerie au sein de laquelle toutes les informations sont chiffrées de bout en bout. Mais ce qui est efficace pour la sécurité se traduit rarement en facilité dans l’utilisation quotidienne.

L’éditeur sait depuis longtemps qu’en cas de perte ou de changement de téléphone, la réinstallation de Signal fait perdre des informations : profil, paramètres, liste de blocage, etc. Il faut tout reconfigurer.

Les serveurs de Signal possèdent en fait ces informations, sous forme chiffrée. La nouvelle version de l’application permet donc de créer un code PIN pour que leur accès reste protégé, tout en autorisant leur récupération en cas de nouveau téléphone.

Le code PIN doit être constitué d’un minimum de quatre chiffres. Au choix de l’utilisateur d’en ajouter, ou même de passer en alphanumérique pour créer un mot de passe. 

Attention, en cas d’oubli du PIN, il n’existera aucun moyen de récupérer les informations qu’il protège. Pour éviter ce problème, Signal lancera des rappels pour aider à s’en souvenir. Ils seront progressivement moins fréquents.

Il s'agit d'un nouveau service dans la galaxie Microsoft 365. Prévu pour cet été, il aura pour mission la création de listes intelligentes, créées manuellement mais pouvant s’abreuver automatiquement en données selon les conditions posées par l’utilisateur.

L’application, prévue également pour Android et iOS, est en fait une évolution de SharePoint Lists et ne doit pas être confondue avec To Do, conçue pour le grand public.

Comme son nom l'indique, Lists proposera une série de modèles pour créer rapidement des listes, permettra de les personnaliser par un formatage spécifique et un jeu de couleurs et d’étiquettes, ou encore la création de règles et alertes selon des critères précis.

Les données de l’entreprise, routines, contacts, inventaires, problèmes et autres pourront être manipulés dans Lists, selon les droits d’accès des employés. Trois vues seront proposées : grille, galerie et calendrier. La première est la vue par défaut, tandis que les deux autres seront respectivement plus adaptées aux images et aux informations temporelles.

Un système de règles sera également présent. À la manière de ce qu’Outlook propose, elles seront de type « si alors ». Elles pourront par exemple mettre automatiquement à jour des données dans des listes ou servir à créer des rappels et alarmes.

Lists est prévu pour s’intégrer dans Teams, où ses données seront pleinement consultables. Même chose pour Outlook et SharePoint, de manière plus réduite. Une intégration est également prévue pour Power, avec des formulaires pour les Power Apps et des flux pour Power Automate.

Avec la crise sanitaire, le paiement sans contact a de plus en plus d'adeptes. Ces procédés n'ont pas forcément besoin de passer par un TPE et le système bancaire.

C'est ce que veut rappeler PayPal en ouvrant la voie à son transfert de fonds par QRCode à 28 nouveaux pays, dont la France.

Une solution qui n'a rien de spécialement innovant, puisque c'est le procédé utilisé par les solutions de cryptomonnaie depuis des années par exemple.

L’entreprise avait annoncé initialement que le nouveau navigateur serait d’abord diffusé auprès d’un public très restreint, avant d’ouvrir les vannes plus largement. Ce déploiement progressif n'a finalement jamais eu lieu.

Microsoft compte lancer directement le nouvel Edge dans le grand bain dans les semaines à venir, via une mise à jour dans Windows Update. Ce lancement pourrait se  faire en même temps que celui de la May Update 2020.

Plusieurs nouvelles fonctions ont également été annoncées pendant la conférence Build. Par exemple, l’intégration de Pinterest dans les collections. L’affichage des éléments ajoutés sera donc plus proche des fiches du service, avec les fameuses (et redoutables) recommandations de Pinterest en tête de liste. La fonction sera disponible pour les testeurs d’ici quelques semaines.

Edge recevra également une barre latérale optionnelle dédiée aux recherches. L’idée est qu’un utilisateur peut avoir besoin d’informations sans perdre de vue la page sur laquelle il se trouvait déjà, évitant l’ouverture d’un onglet dédié.

Parmi les nouveautés annoncées, la WebView2 est l’une des plus importantes. Basée sur Chromium, elle prend la relève de la première version, bâtie sur l’ancien moteur EdgeHTML. Une préversion est déjà disponible, les développeurs pouvant donc travailler à son intégration.

Ce composant est d’autant plus important qu’il finira par être obligatoire pour la publication d’applications dans le Store. Mais pendant un temps, on observera une dichotomie : le nouvel Edge sera diffusé partout, mais les applications intégrant du contenu web devront se servir de l’ancienne WebView.

Enfin, une version Linux du navigateur a été brièvement montrée, sans plus de précisions pour l’instant. Elle avait été confirmée à l’automne dernier, et on attendait donc des informations. On ne sait toujours pas quand cette version sortira. Ses fonctions devraient être les mêmes que les versions existantes pour Windows et macOS.

Une décision « historique » applaudit David Kaye. Les services de renseignements se retrouvent « liés par les droits de la Loi fondamentale lorsqu'ils effectuent une surveillance des télécommunications d'étrangers dans d'autres pays ». Le rapporteur spécial des Nations Unies pour la liberté d’opinion et d’expression fait référence à un arrêt rendu hier par la Bundesverfassungsgericht.

La haute juridiction n’interdit pas le système de surveillance des échanges étrangers, mais dénonce des finalités non suffisamment précises ou de garanties trop en retrait notamment s’agissant de la coopération avec les services du renseignement étrangers.

 « La surveillance électronique de masse des journalistes et citoyens étrangers par l’agence fédérale du renseignement est déclarée inconstitutionnelle par la Cour constitutionnelle allemande » constate Blaž Zgaga, un journaliste slovene d’investigation. « Je souhaite que des plaintes constitutionnelles suivent dans d’autres pays européens et donc mettent fin à la surveillance de l’État mis en place après le 11 septembre ».

La cour laisse aux autorités allemandes jusqu’à la fin de l’année pour corriger la législation, déportant ainsi les effets de sa décision dans le temps. Nous reviendrons plus en détail sur cet arrêt.