Publié dans Texte Actualité divers

Le mobile fait à présent office de clé de sécurité

Le mobile fait à présent office de clé de sécuritéUn smartphone sous Android 7.0 minimum peut désormais servir de clé physique de validation en deux étapes pour s’authentifier aux services de Google.

Plus besoin d’utiliser une clé de sécurité physique pour s’identifier aux services en ligne de Google avec le système, recommandé, de double authentification.

Le géant du web a annoncé mercredi qu’un mobile Android (à partir de la version 7.0) suffisait désormais à remplacer ces accessoires, qui prennent la forme d’une clé USB et servent de protection accrue d’un compte en ligne pour éviter d’en perdre le contrôle si une personne malveillante découvre le bon mot de passe.

La nouvelle méthode d’authentification en deux étapes, qui s’appuie sur les standards de sécurité FIDO et WebAuthn, fonctionne en connectant le smartphone en bluetooth à un navigateur web Chrome sur un ordinateur (portable ou fixe) équipé de cette connectivité sans fil.

Marche à suivre
Pour configurer le système, il suffit de se connecter à son compte Google sur un mobile Android (7.0 minimum) et d’activer le bluetooth. Puis, sur la page myaccount.google.com/security ouverte sur un navigateur web Chrome (que ce soit sous Chrome OS, macOS ou Windows 10), sélectionner «Validation en deux étapes» et choisir le smartphone qui servira de clé de sécurité en deux étapes.

Pour l’activer, les possesseurs d’un smartphone Pixel 3, qui intègre la puce de sécurité Titan M, peuvent appuyer sur le bouton de diminution du volume. Les autres doivent utiliser la manière traditionnelle pour s’identifier.

Codes aléatoires
Google recommande à tout le monde d’utiliser son smartphone comme clé de sécurité, mais particulièrement aux «journalistes, activistes, chefs d’entreprise et équipes de campagne politiques qui sont à risque d’attaques ciblées en ligne».

Cette nouvelle méthode d’authentification à deux facteurs s’ajoute aux autres solutions déjà proposées par Google, comme l’envoi d’un code SMS sur un numéro de téléphone, les codes aléatoires temporaires affichés dans l’app Google Authenticator ou le service Google Prompt, qui met en relation un smartphone Android avec un service Google sur l’ordinateur. La nouvelle méthode rappelle ce dernier, à la différence qu’elle requiert que le téléphone portable se trouve à proximité de l’ordinateur utilisé.

Publicités
Publié dans Texte Actualité divers

Une simple image PNG suffit pour que votre smartphone Android soit piraté

androidGoogle vient de corriger une faille critique dans Android qui peut être exploitée par le biais d’une simple image.

Pour éviter tout risque de piratage, vérifiez que votre système est bien à jour.

Tous les jours, nous consultons et partageons un grand nombre d’images sur nos smartphones. Mais ces images peuvent aussi être un redoutable vecteur d’attaque. Ainsi, Google vient de révéler et corriger une faille critique dans Android qui permettait à un pirate de véroler des images PNG afin de pouvoir ensuite faire exécuter du code arbitraire dès leur ouverture, et cela, avec des droits privilégiés. Bref, vous recevez une belle image de chat, vous l’affichez et votre précieux smartphone est irrémédiablement infecté.

La bonne nouvelle, c’est que cette faille n’est pas exploitée par les pirates pour le moment. Mais ce n’est probablement qu’une question de temps. La première chose que les hackers malintentionnés font dès qu’un patch de ce calibre est publié, c’est de l’analyser par rétro-ingénierie pour retrouver le bug qui en est à l’origine. Il est donc vivement conseillé de mettre à jour son appareil.

De ce point de vue, tous les utilisateurs de smartphones Android ne sont malheureusement pas logés à la même enseigne. La diffusion des patchs de sécurité n’est pas gérée par Google, mais par les fabricants et/ou les opérateurs. Pour vérifier si votre téléphone est correctement mis à jour, il faut aller dans les paramètres et trouver le menu « A propos -> Version d’Android ». Vous devriez ensuite pouvoir consulter la date de vos derniers correctifs de sécurité. Pour être protégé contre la faille des images PNG, il faut que cette date soit supérieure ou égale au 1er février 2019.

Publié dans Texte Actualité divers

Amende de la CNIL à Google d’un montant de 50 millions d’euros

googleLe moteur de recherche est accusé de ne pas avoir été suffisamment clair avec les utilisateurs sur le traitement de leurs données personnelles.

C’est une amende record que la Cnil, le gendarme français des données personnelles, a infligé à Google ce lundi 19 janvier. Le moteur de recherche a été condamné à payer 50 millions d’euros pour ne pas informer suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles.

La Commission nationale de l’informatique et des libertés devient ainsi la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du nouveau règlement européen sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai.

Le nouveau texte permet d’infliger des sanctions allant jusqu’à 4% du chiffre d’affaires mondial pour manquement aux obligations de protection des données personnelles des citoyens européens.

Interrogé par Le HuffPost, un porte-parole de Google a répondu : « Les utilisateurs s’attendent à des standards élevés de transparence et de contrôle de notre part. Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD. Nous étudions la décision de la CNIL afin de déterminer les prochaines étapes ». Si Google veut faire appel de cette sanction, il devra saisir le Conseil d’État.

La sanction fait suite à deux plaintes séparées déposées à la Cnil contre Google par deux associations de défense des internautes, la Quadrature du Net (France), et None Of Your Business (NOYB), fondée par le militant autrichien de la protection des données Max Schrems.

Google informe, mais pas de manière claire
Pour son enquête, la Cnil a accompli le parcours que doit faire un nouvel utilisateur de smartphone Android (le système d’exploitation pour smartphone de Google), pour établir un compte Google et se servir de son appareil. « Nous ne nions pas que Google informe » l’utilisateur qui ouvre un compte de l’exploitation qui sera faite de ses données, a expliqué à l’AFP Mathias Moulin, le directeur de la protection des droits et des sanctions à la Cnil.

« Mais l’information n’est pas aisément accessible, elle est disséminée dans différents documents » que l’internaute ne prendra jamais le temps de consulter, a-t-il indiqué. « Il faut parfois jusqu’à cinq clics pour accéder à une information », a-t-il ajouté, estimant qu’au final, Google ne proposait pas une information « claire et compréhensible ».

« Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées », a résumé la Cnil dans son communiqué de presse.

Publié dans Texte Actualité divers

Des applications Android transmettent vos données à Facebook

android-facebookL’ONG Privacy International a analysé une trentaine d’applications pour Android. Son rapport a été présenté samedi au 35e congrès du Chaos Computer Club.

L’année 2018 s’achève comme elle a commencé pour Facebook. Selon un rapport de l’ONG britannique Privacy International le réseau social pourrait aspirer des données personnelles sur les smartphones Android. Selon ce rapport, présenté samedi soir au 35e congrès du Chaos Computer Club (le groupe de hackers le plus important d’Europe), des applications Android partagent des informations sur les utilisateurs avec Facebook, sans recueillir leur consentement et même s’ils ne sont pas inscrits sur le réseau social.

Pour arriver à ce constat, deux chercheurs, Frederike Kaltheuner et Christopher Weatherhead, ont analysé une trentaine d’applications pour smartphone Android. Ils ont volontairement choisi des services populaires et très divers comme la plateforme de streaming musical Spotify ou le jeu Candy Crush. Résultat, ils ont découvert que plus de la moitié d’entre elles, 21 précisément, partagent des données avec le réseau social dès leur ouverture et ce, sans recueillir le consentement des utilisateurs. Surtout, qu’importe que l’utilisateur soit ou non inscrit sur Facebook, des informations sont tout de même transmises.

L’utilisation de ces informations n’est pas claire
Les informations partagées par l’application sont par exemple le modèle du téléphone, la langue choisie, le téléchargement de l’application mais aussi l’identifiant publicitaire attribué par Google à chaque utilisateur d’un smartphone Android. Combinées, elles permettent d’établir un profil d’utilisateur. Dans son rapport, l’ONG donne un exemple de l’utilisation possible de ces informations. Pour une personne qui a installé les applications « Qibla Connect » (une application relative aux prières musulmanes), « Period Tracker Clue » (suivi de règles), « Indeed » (recherche d’emploi), « My Talking Tom » (une application pour les enfants), il est possible de déduire qu’il s’agit probablement d’une femme, musulmane, à la recherche d’un emploi et mère d’un ou de plusieurs enfants.

Mais certaines informations sont beaucoup plus précises. L’ONG cite le cas de l’application KAYAK, un comparateur de voyage. Après analyse, les chercheurs ont découvert que le service transmettait à Facebook les recherches des utilisateurs: ville de départ, aéroport de départ, date de départ, ville d’arrivée, aéroport d’arrivée, date d’arrivée, nombre de billets (dont nombre d’enfants), classe des billets (économie, affaires ou première classe).  Mais il est impossible de savoir précisément à quoi servent les données collectées.

Facebook décline toute responsabilité
Ce ramassage de données est rendu possible grâce aux API, des interfaces de programmation qui permettent à un logiciel d’offrir ses services à d’autres. Ainsi, quand un site internet propose à l’utilisateur de se connecter via Facebook, il utilise une partie du code du réseau social. L’ONG a contacté Facebook avant sa parution du rapport, détaillent nos confrères de Libération. Le réseau social affirme que c’est aux sociétés qui développent les applications de s’assurer du consentement de leurs utilisateurs.

Le règlement sur la protection des données (RGPD), en vigueur depuis mai, impose en principe d’informer les utilisateurs de l’usage de leurs données. Ils doivent aussi donner leur accord pour le traitement des données, ou pouvoir s’y opposer. Dans le cas de la collecte de données au lancement de l’application, ces règles ne sont pas respectées.

Facebook permet aux développeurs de ne pas envoyer de données avant d’avoir recueilli le consentement de leurs utilisateurs. Mais selon l’ONG Privacy International, cet outil lancé après l’entrée en vigueur du RGPD est imparfait. Par ailleurs, Facebook permet aux utilisateurs qui ne sont pas inscrits sur la plateforme de gérer la collecte des données par le réseau social. Mais l’ONG, qui a testé ces solutions, assure qu’elles n’ont aucun impact perceptible sur le partage des données observées dans le rapport.