Les indiscrétions du bot de Google Allo

L'application de messagerie instantanée Google Allo, qui permet d'ajouter un chatbot aux conversations de groupe, divulge parfois les données personnelles sur laquelle elle s'appuie. Le journaliste Tess Townsend s'est ainsi aperçu que le bot d'Allo piochait dans l'historique de recherche des membres du groupe pour construire ses réponses - souvent approximatives - aux questions posées. Doté d'un système permettant d'obtenir l'autorisation de l'utilisateur avant de révéler une information sensible, le robot a, dans ce cas, agit de manière autonome. Alerté par la communauté, Google a répondu corriger prochainement ce comportement dysfonctionnel.

In the middle of our conversation, my friend directed Assistant to identify itself. Instead of offering a name or a pithy retort, it responded with a link from Harry Potter fan website Pottermore. The link led to an extract from “Harry Potter and the Order of the Phoenix,” the fifth book in J.K. Rowling’s Harry Potter series. But the response was not merely a non sequitur. It was a result related to previous searches my friend said he had done a few days earlier. It didn’t come from any of my search history, since I had not viewed any Harry Potter-related websites in the days before our conversation. We also did not mention Harry Potter in our text exchange until Assistant brought it up. (source)

Twitter Facebook

Des ours connectés trop bavards

Quelques jours après l'interdiction de vente de la poupée Cayla en Allemagne, pour des raisons de sécurité informatique, ce sont à présent les ours connectés de la marque CloudPets qui font parler d'eux. Un article publié sur Motherboard révèle que plus de 2 millions de messages enregistrés par des parents ou des enfants ont été exposés à la fin de l'année dernière. Le chercheur en sécurité Troy Hunt et Victor Gevers, directeur de la fontation GDI avaient pourtant alerté le fabricant de jouet à plusieurs reprises, avant que des hackers s'emparent des données en janvier. En plus de la vulnérabilité des serveurs hébergeant les comptes utilisateurs, il semblerait que le protocole de communication des pauvres peluches ne soient pas du tout sécurisé.

The exposed data included more than 800,000 emails and passwords, which are secured with the strong, and thus supposedly harder to crack, hashing function bcrypt. Unfortunately, however, a large number of these passwords were so weak that it's possible to crack them, according to Troy Hunt, a security researcher who maintains Have I Been Pwned and has analyzed the CloudPets data. (source)

Twitter Facebook

Importante fuite de données chez CloudFlare

L'entreprise CloudFlare, specialisée dans les réseaux de diffusion de contenu, les proxy inverses et la signature de certificats SSL, a annoncé sur son blog une importante fuite mémoire. Découvert par Tavis Ormandy du Google’s Project Zero, ce problème, bien que très rapidement corrigé, a exposé plus de 3 300 300 requêtes HTTP - qui ont été indexées par des moteurs de recherche - dont de nombreuses contenaient des données sensibles. Une liste des sites potentiellement touchés par cette fuite est dès à présent disponible. Nous vous encourageons à changer votre mot de passe si vous les utilisez.

(...) he found hotel bookings, passwords from password managers, and full messages from dating sites among the cached data. "I didn’t realize how much of the internet was sitting behind a Cloudflare CDN until this incident,” he wrote on February 19th. "We're talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything." (source)

Twitter Facebook

Firefox Focus collecte plus que des données anonymisées

Le journal allemand Deutschlandfunk révèle que le navigateur Firefox Focus s'appuie sur la plateforme de télémétrie Adjust, une entreprise spécialisée dans l'analyse de données et la publicité sur mobile. Lancée en novembre 2016, cette version minimaliste de Firefox promettait un respect total de la vie privée. Au delà des données anonymisées typiquement collectées pour la maintenance et l'amélioration du produit (version de l'application et du système d'exploitation, langue, pays, etc.), d'autres informations plus sensibles (identifiant publicitaire, adresse ip, etc.) semblent également être transmises et stockées sur les serveurs d'Adjust. Pour éviter ces transferts, il suffit de décocher l'option "send anonymous usage data" dans les réglages de l'application.

Journalist Peter Welchering and Manfred Kloiber, and Comidio director Herrman Sauer decided to investigate the telemetry tracking of Firefox Focus (known as Firefox Klar in Germany). (the article) reveals that Firefox Focus collects browsing information, for instance server connections, and that data is sent to the third-party adjust, and not Mozilla. (source)

Twitter Facebook