Archives des étiquettes : #faille

Les promesses de Facebook n’engagent que ceux qui les croient…

Publié le par Poster un commentaire

Facebook pas au topAprès que le scandale Cambridge Analytica ai mis en lumière les pratiques de Facebook. On ne compte plus les problèmes de sécurité / confidentialité que génère l’entreprise. Il ne se passe quasiment pas une semaine qui ne révèle de nouvelles pratiques, disons limite, pour ne par dire plus. Et ceci malgré les promesses de son dirigeant devant les nombreuses commissions où il s’est produit.

Il y a quelques jours l’entreprise a confirmé que des milliers de développeurs ont pu accéder aux données d’utilisateurs inactifs, ce qui est un comportement normalement impossible bien entendu. Après la crise de Cambridge Analytica en 2018, Facebook avait pourtant répété sur tous les canaux avoir mis en place denouvelles directives qui empêchent les développeurs de recevoir des données d’utilisateurs qui n’ont pas utilisé le réseau social pendant plus de 90 jours.

Comme les utilisateurs pouvait se connecter à des applications tierces avec Facebook, les développeurs peuvent avoir accès aux informations personnelles de ceux qui ont de telles applications liées à un compte Facebook. Comme l’a noté le site Engadget, la société n’a pas dit pendant combien de temps cette faille de sécurité était active ni combien d’utilisateurs étaient concernés.

Facebook n’a pas révélé depuis combien de temps le « problème » existait avant qu’il ne soit corrigé, ni combien d’utilisateurs ont pu être touchés. L’entreprise a déclaré qu’elle avait touché « environ 5 000 développeurs » au cours des « derniers mois ». Facebook n’a pas non plus spécifié exactement quelles données pouvaient avoir été partagées de manière inappropriée, mais a déclaré que les utilisateurs avaient préalablement autorisé les applications à recevoir les données en question…

Ce type de failles à répétition donne clairement l’impression que pas grand chose est réellement controlé, entre, d’un côté la volonté délibérée de cet acteur de piocher par tous les moyens dans l’intimité des utilisateurs, et les failles réelles dans le code, difficile de se faire une idée…

Bon courage en tout cas aux équipes Workplace pour convaincre les DSI d’adopter leur solution (au demeurant très interessante)…

Le client Zoom sur MacOS peut accéder à la webcam de votre Mac sans accord !

Publié le par Un commentaire

Capture d’écran 2019-07-09 à 16.31.15.pngL’application Zoom (le service de visioconférence star du moment) pour MacOs souffre d’une vulnérabilité, mise à jour par un spécialiste en sécurité, Jonathan Leitschuh, et qui permet à des sites web malintentionnés d’activer la webcam sans autorisation préalable de l’utilisateur. Qui plus est cette vulnérabilité permet aussi, sur les anciennes versions de l’appli, de provoquer un déni de service de la part du Mac concerné en lui envoyant sans arrêt des invitations à rejoindre un call zoom invalide !

La faille a été découverte par J.Leitschuh en mars dernier, et il en a informé discrètement Zoom, qui n’a semble t’il pas pris la mesure du problème, puisqu’à aujourd’hui (9 juillet) toujours pas de correctif pour l’application [MAJ 10/07/19 – Zoom vient d’annoncer qu’il va proposer très rapidement un correctif]

Pour parer au problème, il faut s’assurer de disposer de la dernière version de l’appli (pour éviter le DoS), et désactiver le démarrage auto de la webcam lorsqu’on rejoint un meeting Zoom.

Attention, il ne suffit pas de désinstaller l’application car en fait celle-ci a mis en place un serveur web sur le Mac, pour contourner certaines limitations imposées par Safari (et qui permettent justement de ne pas tomber dans le piège décrit ici !), et simplifier la vie des utilisateurs en limitant le nombre de clics pour rejoindre une réunion Zoom. Par ailleurs, ce serveur est capable d’initiative puisqu’il peut réinstaller l’application Zoom si d’aventure l’utilisateur clique sur un lien de réunion Zoom et que l’application n’est pas installée… Donc si vous choisissez de désinstaller l’application Zoom il va aussi falloir passer par le Terminal de MacOS pour régler le compte du serveur web installé par l’application Zoom.

La procédure pour cela est décrite par macg.co (merci à eux, j’ai pu la tester pour mon propre cas – mon conseil : copiez/collez les commandes surlignées dans votre Terminal) :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.