Publié dans Texte Actualité divers

Le mobile fait à présent office de clé de sécurité

Le mobile fait à présent office de clé de sécuritéUn smartphone sous Android 7.0 minimum peut désormais servir de clé physique de validation en deux étapes pour s’authentifier aux services de Google.

Plus besoin d’utiliser une clé de sécurité physique pour s’identifier aux services en ligne de Google avec le système, recommandé, de double authentification.

Le géant du web a annoncé mercredi qu’un mobile Android (à partir de la version 7.0) suffisait désormais à remplacer ces accessoires, qui prennent la forme d’une clé USB et servent de protection accrue d’un compte en ligne pour éviter d’en perdre le contrôle si une personne malveillante découvre le bon mot de passe.

La nouvelle méthode d’authentification en deux étapes, qui s’appuie sur les standards de sécurité FIDO et WebAuthn, fonctionne en connectant le smartphone en bluetooth à un navigateur web Chrome sur un ordinateur (portable ou fixe) équipé de cette connectivité sans fil.

Marche à suivre
Pour configurer le système, il suffit de se connecter à son compte Google sur un mobile Android (7.0 minimum) et d’activer le bluetooth. Puis, sur la page myaccount.google.com/security ouverte sur un navigateur web Chrome (que ce soit sous Chrome OS, macOS ou Windows 10), sélectionner «Validation en deux étapes» et choisir le smartphone qui servira de clé de sécurité en deux étapes.

Pour l’activer, les possesseurs d’un smartphone Pixel 3, qui intègre la puce de sécurité Titan M, peuvent appuyer sur le bouton de diminution du volume. Les autres doivent utiliser la manière traditionnelle pour s’identifier.

Codes aléatoires
Google recommande à tout le monde d’utiliser son smartphone comme clé de sécurité, mais particulièrement aux «journalistes, activistes, chefs d’entreprise et équipes de campagne politiques qui sont à risque d’attaques ciblées en ligne».

Cette nouvelle méthode d’authentification à deux facteurs s’ajoute aux autres solutions déjà proposées par Google, comme l’envoi d’un code SMS sur un numéro de téléphone, les codes aléatoires temporaires affichés dans l’app Google Authenticator ou le service Google Prompt, qui met en relation un smartphone Android avec un service Google sur l’ordinateur. La nouvelle méthode rappelle ce dernier, à la différence qu’elle requiert que le téléphone portable se trouve à proximité de l’ordinateur utilisé.

Publicités
Publié dans Texte Actualité divers

Quelle est la différence entre le Web et Internet ?

le Web et InternetÀ l’occasion des trente ans du World Wide Web, le Figaro revient sur ces deux termes souvent confondus, mais qui ne désignent pas la même chose.

En mars, on fête les trente ans du World Wide Web. C’est en effet en 1989 que Tim Berners-Lee a écrit le premier document qui donnera, plus tard, naissance au Web tel qu’on le connaît aujourd’hui.

Quand on pense au Web, on imagine généralement nos sites préférés : Facebook, Instagram, Youtube, notre service de mail, des sites d’e-commerce que nous aimons fréquenter …  Et, souvent, on pense que le Web est synonyme d’Internet, un autre mot utilisé pour désigner toutes ces activités en ligne. Pourtant, les deux termes désignent deux choses très différentes.

● Internet
Internet est un système de réseaux informatiques reliés entre eux. C’est d’ailleurs de là que vient son nom: Internet est la contraction d’«interconnected network», réseau interconnecté en anglais. Il est la structure qui permet d’envoyer des «paquets» d’informations d’un ordinateur à un autre, grâce à un système complexe d’adresses qui font parvenir ces informations au bon endroit. L’ancêtre d’Internet, baptisé ARPANET, a été inventé par le département américain de la Défense dans les années 1960.

Il a d’abord été utilisé à des fins militaires, puis pour faciliter la transmission d’informations entre des universités et des centres de recherche. Internet permet l’utilisation de différentes applications, comme le mail ou le pair à pair, utilisé pour le partage de fichier. Or, l’une de ces applications est justement le World Wide Web.

● Le World Wide Web (ou Web)
On considère généralement que le Web est né en 1989. Il s’agit en fait de la date d’écriture du premier document décrivant ce qui sera appelé, par la suite, le World Wide Web. Son inventeur est Tim Berners-Lee, alors physicien au CERN, le Conseil européen pour la recherche nucléaire. Le Web permet de consulter des pages sur des sites, grâce à des navigateurs adaptés, et via des machines comme des ordinateurs ou des smartphones.

Il s’agit un peu d’une immense bibliothèque de documents, qui repose sur les fondations complexes d’Internet. Le Web utilise de nombreuses technologies et protocoles pour être simple d’utilisation. C’est par exemple le cas de l’hypertexte, qui permet d’aller d’un site à un autre en cliquant sur un lien, ou les URL, qui identifient simplement l’adresse d’un site ou d’un contenu.

Publié dans Texte Actualité divers

Plongée dans les années 90 avec le retour du premier navigateur Web

webLe CERN a mis en ligne un simulateur du premier navigateur Web. L’occasion, pour les nostalgiques, de se replonger dans les premiers pas de l’une des innovations les plus marquantes du siècle dernier.

Pour fêter le trentième anniversaire de l’une de ses créations les plus emblématiques, le CERN propose un voyage dans le temps. Un simulateur du premier navigateur Web a été mis en ligne, pour permettre aux internautes de revivre les balbutiements de cette technologie.

Accessible à ce lien, le site prend une apparence pour le moins épurée. Aucune image ni aucune couleur à l’horizon. Ouvrir une page Web requiert une série d’étapes peu intuitives. Il faut, pour y parvenir, non pas se rendre dans « Navigate » mais dans « Document », avant de cliquer sur « Open from full document reference ». Est alors proposé d’entrer un lien URL.

annee 90 web

Pour rappel, le grand organisme de recherche nucléaire souhaitait en 1989 se doter d’un nouveau système de partage d’informations. L’un de ses informaticiens, Tim Berners-Lee, en est venu à présenter la technologie hypertexte, notamment composée du langage HTML, pour créer de nouvelles pages, du protocole HTTP, pour localiser les documents informatisés, et de l’URL, l’adresse unique permettant d’identifier une source.

A l’époque, l’outil ne se contente d’ailleurs pas d’être un simple navigateur. Egalement considéré comme un « éditeur », il permettait à ses utilisateurs de créer à leur tour leurs propres pages Web. Alors même qu’Internet existait déjà, le WorldWideWeb donnait la possibilité d’en créer des pages et de naviguer de l’une à l’autre.

Depuis considéré comme le père du Web, Tim Berners-Lee s’est montré à de nombreuses reprises intransigeant à l’égard de sa création. En novembre dernier, à l’occasion du Web Summit de Lisbonne, il déplorait l’exploitation abusive des données et les dérives de manipulation de l’information en ligne. L’informaticien britannique entend proposer un « nouveau contrat pour Internet », adossé à la technologie blockchain, dans le courant de l’année.

Publié dans Texte Actualité divers

Plus de 2,2 milliards d’identifiants et mots de passe circulent sur le Dark Web

Des chercheurs en sécurité ont récemment mis la main sur une base de données librement disponible sur le Dark Web et contenant plus 2,2 milliards d’enregistrements. C’est une compilation de fuites passées qui sert essentiellement à créer de petites arnaques.

identifiant

Depuis quelques semaines, des pirates font circuler une vaste base de données d’identifiants et de mots de passe sur la Toile. Un premier gros bout a été récupéré mi-janvier par le chercheur en sécurité Troy Hunt.

Intitulé « Collection #1 », il comptait 773 millions d’enregistrements uniques. Les parties « Collection #2-#5 » ont récemment été récupérées par Hasso Plattner Institute. Elles portent le volume de la base de données à plus de  2,2 milliards d’enregistrements uniques.

C’est d’autant plus énorme que cette base de données est quasiment en accès libre. Il suffit de traîner un peu sur le Dark Web pour accéder aux liens de téléchargement. Chris Rouland, un chercheur en sécurité interrogé par Wired, a pu mettre la main dessus au travers de fichiers Torrent. Sur le moment, ces fichiers étaient mis à disposition par plus de 130 personnes et avaient déjà été téléchargés plus de 1000 fois.

Une marchandise avariée
Mais il ne faut pas céder à la panique. Cette liste est en réalité une compilation de fuites de données passées. Les tests effectués par différents chercheurs en sécurité montrent que les mots de passe datent de plusieurs années. Toutes ces données ont déjà été exploitées en long et en large, et ne représentent plus un grand intérêt pour les pirates professionnels. D’une certaine manière, c’est un peu de la marchandise avariée.

Ce n’est pas pour autant que cette base de données n’est pas utilisée à des fins malveillantes. Elle peut toujours servir à créer du spam ou de petites arnaques. Selon Zataz, ces données ont notamment servi pour envoyer des menaces par e-mail à des millions de personnes. Les pirates font mention des mots de passe pour augmenter la crédibilité de leurs messages et faire peur, comme nous avons pu le constater.

good days

L’histoire n’est pas encore terminée, selon Zataz, il existe encore deux autres parties (« Collection #6-#7 ») qui, elles, ne sont pas (encore) en accès libre, mais sont commercialisées. Selon Zataz, toutes ces fuites découleraient d’une vengeance entre pirates. Pour vérifier si vos identifiants font partie de cette base de données (ou d’une autre fuite), vous pouvez consulter le service de vérification HaveIBeenPwned de Troy Hunt ou celui du Hasso Plattner Institut.

Publié dans Texte Actualité divers

Les bons conseils de la CNIL pour exercer vos droits

donnée personnelleUn Français sur deux ne sait pas comment s’opposer à l’utilisation de ses données ou comment demander l’accès aux informations stockées par un organisme.

Vous voulez rectifier des données inexactes sur un site web ou vous opposer aux démarchages commerciaux incessants par téléphones ou par e-mail, mais vous ne savez pas comment faire ?   A l’occasion de la Journée européenne sur la protection des données, célébrée chaque année le 28 janvier, la CNIL fait une piqûre de rappel sur la manière d’exercer ses droits d’accès, d’effacement et d’opposition.

Ainsi, la première chose à faire est de contacter le prestataire, ce qui n’est pas forcément évident. Il faut trouver la bonne rubrique sur le site web qui vous mènera vers le formulaire de contact approprié ou vers l’adresse du délégué à la protection des données. Généralement, il faut scroller vers le bas de la page d’accueil et cliquer sur un lien qui s’intitulera « vie privée », « service client », « mentions légales », « données personnelles », « RGPD » ou « politique de confidentialité ».

Si c’est trop compliqué ou peu adapté à votre demande, le CNIL suggère d’envoyer directement un courrier à l’organisme en question. A ce titre, l’autorité propose une douzaine de modèles de courriers entièrement personnalisables et téléchargeables en ligne, ce qui est bien pratique.

droit

L’organisme doit répondre en l’espace d’un mois pour les demandes classiques, ou trois mois pour les demandes complexes. S’il ne répond pas, il faudra passer au niveau supérieur et déposer une plainte auprès de la CNIL. Pour cela, il suffira de remplir un formulaire en ligne et de joindre les éléments attestant les démarches préalables.

Les droits sont plutôt bien connus
Ces conseils sont plutôt les bienvenus, un récent sondage IFOP révèle en effet que les Français connaissent plutôt bien les droits dont ils bénéficient en matière de données personnelles, mais ne savent pas comment les exercer. Ainsi, 80 % des personnes interrogées savent qu’elles peuvent s’opposer à ce qu’un organisme utilise certaines de leurs données, mais seules 24 % savent comment réaliser cette démarche.

notorioté

Au niveau de l’Union européenne, l’entrée en vigueur du RGPD le 25 mai dernier semble avoir augmenté la prise de conscience des utilisateurs. « Les citoyens sont davantage conscients de l’importance de la protection des données et de leurs droits, et ils exercent désormais ces droits, comme le constatent tous les jours les autorités nationales de protection des données. Celles-ci ont reçu plus de 95 000 plaintes de citoyens à ce jour », a déclaré la Commission européenne. Les plaintes portent principalement sur le télémarketing, les e-mails promotionnels et la vidéosurveillance.

De leur côté, les organismes commencent également à jouer le jeu. A ce jour, ils ont transmis aux autorités déjà plus de 41.000 notifications de violations de données personnelles, dont plus de 1.200 en France. C’est évidemment peu rassurant, mais la bonne nouvelle, c’est que ces violations apparaissent désormais sur le radar et qu’on peut se pencher sur la résolution de ces problèmes.

plainte et notification

Publié dans Texte Actualité divers

Google pourrait bientôt bloquer les bloqueurs de publicités

googleAprès avoir déployé son propre bloqueur de publicités par le biais de son navigateur Chrome, Google s’attaquerait cette fois aux bloqueurs concurrents.

“Fabriquer un meilleur Internet”. C’est la promesse de Google, qui s’attaque depuis plusieurs mois aux publicités jugées trop intrusives sur le Web. Après avoir déployé un bloqueur de publicités dans son navigateur Chrome, l’entreprise américaine semble s’attaquer aux bloqueurs de publicités concurrents.

Comme le rapporte le site britannique The Register, les ingénieurs de Google ont proposé des modifications au code servant de base à Chrome, son navigateur maison, utilisé par près des deux tiers des internautes dans le monde. Elles ont pour but de limiter l’action de certaines extensions de Chrome (des programmes gratuits qui peuvent se greffer au navigateur).

Adblock Plus, l’exception payée par Google
Parmi leurs cibles, les extensions pouvant bloquer une partie de ce qui s’affiche, comme les annonces commerciales. Pour fonctionner, les bloqueurs de publicités ont un accès étendu aux différentes actions de l’internaute. Officiellement pour des raisons de sécurité, les ingénieurs de Google souhaitent réduire la portée de cet accès. Alors qu’elles pouvaient directement annuler l’affichage des publicités au moment du chargement d’une page Web, ces extensions pourraient être contraintes de passer par un “filtre” mis en place par Google. Cela aurait pour conséquence de bloquer le fonctionnement de certaines extensions populaires, comme uBlock Origin.

Malgré ces évolutions  qui ne sont pas encore actées, Adblock Plus, le bloqueur de publicités le plus populaire dans le monde, ne serait pas impacté par ces nouvelles restrictions, en raison d’un mécanisme de filtrage plus souple. Une exception qui ne ravira pas forcément les plus hostiles à la publicité en ligne. En 2015, le Financial Times rapportait que plusieurs grandes entreprises, dont Google, avaient rémunéré Adblock Plus pour que leurs publicités passent à travers les mailles du filet.

Pour Google, principale régie publicitaire du Web, la bonne visibilité de ses publicités en ligne est une question de survie. Sur le deuxième trimestre 2018, ses revenus publicitaires ont grimpé à plus de 28 milliards de dollars (près de 25 milliards d’euros), sur un chiffre d’affaires de 32,66 milliards de dollars (près de 29 milliards d’euros). Soit 86% du total. En mettant de côté les bloqueurs de publicités qui refusent de faire une exception pour les siennes, Google éloigne un ennemi majeur de son modèle économique.