Le cookie est mort pour les géants du Web Qui ont trouvé de nouveaux moyens pour suivre l’activité des internautes

Avec le rapide
développement
des
smartphones,
les géants de
l’internet et de
l’informatique ont trouvé de
nouveaux moyens pour
traquer les utilisateurs et les
classer selon leurs goûts et
leurs comportements. En
effet, l’une des plus
classiques méthodes
utilisées pour suivre un
utilisateur sur internet était
de stocker des cookies sur
son ordinateur. Les cookies
servaient à stocker des
informations sur les sites
qu’il visite avec les dates,
ainsi que d’autres
informations utiles.
Cependant, avec l’apparition
des tablettes et des
smartphones, cette méthode
a rapidement montré ses
limitations. Aujourd’hui, il
est fréquent utiliser
plusieurs appareils pour se
connecter à internet, du
coup, les géants du web
préfèrent stocker les
informations sur l’activité
de l’utilisateur sur leurs
propres serveurs au lieu des
cookies. D’autant plus que
l’explosion des réseaux
sociaux a permis de
rassembler une précieuse
mine d’informations pour
cataloguer les utilisateurs,
que les entreprises utilisent
sans hésitation à des fins
commerciales. Une autre
raison qui limite la
pertinence des cookies et
qui a contribué à accélérer
cette transition est que les
constructeurs de
smartphones empêchent
aujourd’hui les applications
d’accéder aux cookies des
navigateurs web et vice-
versa.
C’est pour ces raisons que
certaines firmes comme
Google, Microsoft, Apple,
Yahoo et Facebook
s’intéressent maintenant
plus à ce qu’on appelle
l’Identification Unique ou
Single Sign-On (SSO) en
anglais : qui est une
méthode permettant à un
utilisateur d’accéder à
plusieurs sites web ou
applications sécurisés en ne
procédant qu’à une seule
identification.
Par exemple, avec notre seul
identifiant Gmail, on peut
aujourd’hui accéder à
Youtube, Drive, Calendar,
Google+, Maps, Play Store
ainsi que tous les autres
services Google, mais les
fournisseurs d’identification
vont encore plus loin et
proposent aux développeurs
des API qui permettent aux
utilisateurs de s’identifier
sur des sites tiers en
utilisant leurs comptes
Gmail par exemple, ou leurs
comptes Facebook, Flickr,
YahooID, Live ID ou Twitter.
Ceci représente un avantage
pour les utilisateurs qui leur
évite de créer un compte
différent pour chaque site
avec tous les problèmes de
perte de mot de passe qui
s’en suivent. Et ça profite
encore plus aux
fournisseurs du service
d’identification, car ça leur
permet de traquer et
cataloguer l’utilisateur et
recueillir des informations
détaillées sur les sites qu’il
a l’habitude de visiter pour
ensuite les utiliser pour
mieux cibler la publicité.
Dans un récent article paru
dans eMarketer, Google et
Facebook se partagent 40%
de la publicité sur internet,
suivis directement par
Microsoft et Yahoo. Sur
mobile l’importance de ce
type de revenu se fait plus
sentir puisque Google à elle
seule possède 50% du
marché de la publicité, suivi
de Facebook avec 22%.
L’intérêt de traquer et
cataloguer les utilisateurs
prend donc tout son sens vu
l’ampleur des revenus qu’ils
peuvent générer. Toutefois,
pour but de protéger la vie
privée des utilisateurs, ces
firmes ne communiquent
plus les noms et/ou
adresses mails des
utilisateurs aux annonceurs
de pubs, ils utilisent au lieu
de cela un identifiant à
chaque utilisateur,
l’annonceur pourra donc
vous cibler avec sa
publicité, mais ne saura pas
votre identité réelle.
Sources : Facebook
Developpers Blog,
eMarketer, Wikipédia, Apple
SSO authentification, Google
Account Help Center

Android : des failles dans plusieurs applications pourraient être exploitées pour intercepter des données Selon un chercheur en sécurité

Les terminaux mobiles
font partie de nos jours
du quotidien des
consommateurs.
Plusieurs opérations se
font désormais au travers
d’applications mobiles, au détriment
des sites Web. Cependant, les
applications mobiles n’offriraient
pas une bonne sécurisation des
transmissions des données, par
rapport aux sites Web.
Selon l’expert en sécurité Will
Dormann du CERT (Computer
Emergency Response Team) de
l’université Carnegie Mellon, les
développeurs d’applications mobiles
publient sur les galeries des
applications qui ne valident pas
correctement les certificats SSL pour
les connexions HTTPS.
En utilisant l’outil CERT Tapioca
développé par le CERT, il a identifié
plusieurs applications sur le Play
Store et sur la galerie d’applications
d’Amazon qui ne valident pas les
certificats numériques, exposant les
utilisateurs à des attaques MITM
(man in the middle attack – attaque
de l’homme du milieu).
Celui-ci a publié dans une feuille de
calcul une liste d’applications
vulnérables. Le test des applications
est en cours et la liste sera
constamment mise à jour. La liste a
été transmise à Google et Amazon,
et les développeurs de ces
applications ont été informés.
Cependant, Will Dormann a choisi de
publier la liste sans attendre le
délai de 45 jours qui doit en
principe être accordé aux
développeurs dont les applications
ont été identifiées comme
vulnerables. Will Dormann justifie ce
choix par le fait que les attaques de
types MITM sont devenues
fréquentes et qu’en informant les
utilisateurs, ils utiliseront ces
applications avec prudence et
certains désinstalleront même celles-
ci.
De plus, Will Dormann explique que
dans le cadre d’autres recherches
sur les vulnérabilités SSL dans les
applications Android, les
développeurs de ces applications
ont été informés des problèmes et
ils n’ont pas pris des mesures pour
corriger celles-ci.
Will Dormann conseille les
utilisateurs d’avoir recours aux sites
Web plutôt qu’aux applications pour
certains services. « Par exemple, si
une banque peut fournir une
application Android pour accéder à
ses ressources, ces ressources sont
généralement disponibles en
utilisant un navigateur Web. Grâce
au navigateur, vous pouvez éviter les
situations ou SSL peut ne pas être
valide », explique Will Dormann, qui
invite les utilisateurs à être
prudents sur les réseaux non
sécurisés, y compris les WiFi publics.
« L’utilisation de votre appareil sur
un réseau non sécurisé augmente
les chances d’être victime d’une
attaque MITM », ajoute celui-ci.
Il faut noter que les vulnérabilités
SSL dans les applications mobiles
ont déjà attiré l’attention de la FTC
(Federal Trade Commission) qui a
récemment pointé du doigt deux
entreprises américaines qui avaient
affirmé aux consommateurs utilisant
Android et iOS que leurs données
étaient transmises en toute sécurité
via leurs applications, alors qu’elles
avaient prétendument désactivé la
vérification du certificat SSL.
Source : CERT

Facebook rajoute Oculus à son Bug Bounty Program Trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

En mars 2014, Facebook
a fait irruption dans le
monde de la réalité
virtuelle immersive
avec le rachat d’Oculus
VR pour un montant de 2 milliards
de dollars. D’après nos confrères
chez The Verge, le numéro un des
réseaux sociaux a décidé d’ajouter
Oculus à son programme de chasse
aux bugs ; ainsi, conformément au
règlement, quiconque lui rapportera
des failles dans la sécurité de sa
nouvelle acquisition recevra au
minimum 500 dollars en fonction de
son degré de sévérité et sa
créativité. Pour rappel, Facebook n’a
mis aucun plafond à la récompense
et a fourni des exemples de
problèmes réels ainsi que des
récompenses qui ont été versées aux
chercheurs. L’année dernière,
l’entreprise a déboursé 1,5 millions
de dollars dans le cadre de son
programme.
Near Poole, un ingénieur sécurité
Facebook, a expliqué qu’à l’heure
actuelle la plupart des bugs sont
dans le système de messagerie des
développeurs Oculus et des parties
du site, ce qui ne les rend pas très
différents des bugs trouvés sur le
réseau social. Cependant,
puisqu’Oculus est le premier produit
physique de l’entreprise, l’équipe de
sécurité pourrait rencontrer de
nouveaux types de bug.
« La majorité des difficultés liées à
Oculus ne proviennent pas
nécessairement du matériel pour le
moment », a expliqué Poole. «
Potentiellement dans l’avenir, si les
gens allaient explorer et découvrir
des failles dans le SDK ou le
matériel, il est évident que cela aura
un intérêt pour nous » a-t-il ajouté.
De nombreuses sociétés
technologiques ont recours à ce
procédé pour vérifier leurs codes et
rémunérer au passage des
particuliers, voire des entreprises.
Des évènements sont organisés où
des éditeurs proposent à des
professionnels de briser les défenses
de leurs logiciels. Le programme de
Facebook a été mis sur pied depuis
juillet 2011.
Source : The Verge

Des cybercriminels russes réalisent le plus grand vol de données sur Internet 1,2 milliard de mots de passe collectés par ceux-ci

Des pirates russes ont
réussi l’exploit de
réaliser le plus grand
vol des données des
utilisateurs sur
Internet, selon des chercheurs en
sécurité.
Le groupe mystérieux de pirates
aurait réussi à collecter 1,2 milliard
d’enregistrements uniques
(combinaisons uniques email-mot de
passe) provenant de plus de 420 000
sites Web,
Ces informations ont été recueillies
grâce à un réseau d’ordinateurs qui
ont été piratés à l’aide des logiciels
malveillants, permettant le contrôle
de ceux-ci par les pirates. Ces
ordinateurs ont été utilisés pour
identifier des vulnérabilités
permettant des attaques par
injection SQL au sein de ces sites
Web.
L’analyse des informations collectées
par les pirates a permis d’identifier
4,5 milliards de noms d’utilisateur
et mots de passe contenant
plusieurs doublons, ainsi que 542
millions d’adresses uniques de
messagerie électronique.
Les cibles des pirates seraient assez
diversifiées, allant des sites
importants aux petits sites Web. «
Les pirates n’ont pas uniquement
ciblé des sociétés américaines, ils
ont visé tous les sites internet qu’ils
pouvaient trouver. Cela va des
entreprises référencées dans le
classement Fortune 500 aux très
petits sites », a déclaré le fondateur
de Hold Security, Alex Holden.
Les noms des sites Web touchés
n’ont pas été divulgués, car la
plupart de ceux-ci seraient toujours
vulnérables.
Selon le cabinet de sécurité, les
données collectées n’auraient pas
été vendues par les pirates. Ceux-ci
les auraient utilisées pour distribuer
des spams.
Hold Security affirme également que
les pirates seraient une douzaine de
jeunes dans la vingtaine, repartis en
petites équipes, dont certaines sont
dédiées uniquement à la collecte
des données et d’autres chargées de
la maintenance du botnet utilisé
pour infecter des ordinateurs.
« Même si le groupe de pirates n’a
pas de nom, nous l’avons surnommé
‘CyberVor’, ‘Vor’ signifiant ‘voleur’ en
russe », a précisé Hold Security.
Hold Security a divulgué ces
informations après une enquête de
sept mois.
Suite à ces révélations, les experts
en sécurité de Symantec estiment
qu’il serait temps pour les
entreprises d’abandonner les mots
passe. « Les entreprises doivent à
présent considérer l’authentification
sans mot de passe : ceux-ci sont de
moins en moins sûrs et de plus en
plus difficiles à utiliser avec la
multiplication des terminaux
mobiles. La mobilité est
potentiellement le fer de lance du
changement dans le monde
professionnel sur ce point précis »,
conseillent les experts de Symantec.
Ceux-ci citent notamment des
projets en cours de développements
permettant le recours à la double
authentification sans mot de passe,
ainsi que le BYOA (Bring Your Own
Authentication) qui grâce à
l’intégration de la biométrie aux
terminaux mobiles, serait « une
solution sans mot de passe plus
pratique et plus sûr. »
Source : The New York Times

PHP : une spécification formelle du langage de programmation voit le jour Le projet supervisé par Facebook

Plusieurs langages de
programmation les plus
populaires évoluent en
fonction des
spécifications qui ont
été établies au préalable. Dans ce
registre, on peut citer les langages
de programmation comme Java, C++,
JavaScript ou encore C#.
La spécification pour un langage de
programmation est la source de
référence pour sa syntaxe et son
utilisation. Elle contient des
informations détaillées sur tous les
aspects du langage et définit un
cadre pour son implémentation.
Le langage PHP, bien que jouissant
d’une importante popularité dans le
monde du développement Web
depuis 1995, n’a jamais eu droit à
une spécification officielle, se
limitant à offrir aux utilisateurs du
langage une vaste documentation.
De plus, à la suite de la création du
moteur de script Zend Engine (qui
était la référence pour avoir une
idée sur le fonctionnement du
langage), plusieurs alternatives avec
des implémentations assez
différentes ont vu le jour afin
d’améliorer les performances du
langage.
Il était donc devenu nécessaire de
nos jours d’offrir une spécification
formelle du langage de
programmation, qui définira ce qui
est attendu des moteurs de script.
C’est ainsi qu’un groupe de
développeurs a lancé un projet de
spécification pour PHP, afin de
mettre au point une définition
complète de la sémantique et de la
syntaxe de PHP.
Le groupe est dirigé par Facebook et
on y retrouve Andi Gutmans, le PDG
de Zend Technologies et créateur de
Zend Engine, ainsi que le créateur
de PHP Rasmus Lerndorf.
« La prochaine version de PHP – PHP
7 – est en cours de développement.
Afin de garantir le respect complet
des scripts PHP existants, il est
important de savoir ce qui est
attendu du moteur », a déclaré Sara
Golemon de Facebook. « En outre,
avec des implémentations
alternatives comme HHVM, il est
important de garder un minium de
divergence pour faciliter la
compréhension de ce à quoi devrait
ressembler un moteur. »
Pour rappel, HHVM (HipHop Virtual
Machine) est un projet développé
par Facebook afin d’accélérer la
vitesse de rendu des pages PHP.
HHVM est un compilateur PHP Just
In Time (JIT) qui offrirait, selon
Facebook, des performances six fois
supérieures à celles de Zend Engine.
Avec les futures évolutions de PHP et
la sortie imminente de PHP 5.6,
Facebook a besoin d’avoir des
informations détaillées sur tous les
aspects du langage pour offrir une
implémentation de HHVM qui sera
cohérente avec ces évolutions.
Une première ébauche de la
spécification est déjà disponible sur
la plateforme d’hébergement des
projets open source GitHub et à
long terme, le document sera élaboré
à côté de la mise en œuvre de PHP.
La spécification formelle de PHP
Et vous ?