Une faille dans la fonction de remplissage automatique de Safari
Les mauvaises nouvelles concernant la sécurité des produits Apple s'enchaînent. Jeremiah Grossman, patron de l'entreprise de sécurité WhiteHat Security, détaille ainsi sur son blog personnel une faille importante affectant Safari 4 et 5 qui peut permettre à un pirate de voler des informations personnelles en provenance directe de votre carnet d'adresses local. Celle-ci réside dans la fonction de remplissage automatique (AutoFill), activée par défaut dans le navigateur d'Apple, qui utilise le carnet d'adresses de votre ordinateur pour remplir plus rapidement des formulaires, par exemple pour s'inscrire sur un site. Pratique, cette fonction peut par exemple vous éviter d'inscrire vos coordonnées lorsque vous vous abonnez à un nouveau service. Il suffit d'indiquer la première lettre de votre nom pour que Safari vous propose automatiquement de compléter les données manquantes. Or, d'après Jeremiah Grossman, il suffit qu'un pirate programme un simple Javascript pour profiter de cette fonction aux dépens de l'utilisateur. « Dès qu'un utilisateur de Safari visite un site [malveillant, NDLR], même s'il n'y est jamais allé auparavant et n'y a jamais entré d'informations personnelles, il est possible [pour le pirate] de retrouver son nom, prénom, lieu de travail, ville, état, et adresse-email », indique Jeremiah Grossman. Qui propose même un programme « preuve de concept » pour prouver ses dires.(01.net)
Street View : 38 Etats américains réclament des comptes à Google
Le mea culpa de Google n'a pas convaincu. Une coalition de 38 Etats américains entame une action contre le numéro un des moteurs de recherche. Elle exige des explications sur la manière dont les Google Cars ont pu collecter des informations personnelles transitant sur des réseaux Wi-Fi non sécurisés. Dans un communiqué, le procureur général du Connecticut, Richard Blumenthal, chargé de l'affaire, estime que les explications de Google « soulèvent plus de questions qu'elles n'apportent de réponses ». Aussi exige-t-il du moteur qu'il lui révèle le nom des développeurs à l'origine du code permettant à ses voitures de collecter des informations. « Ce que nous attendons, c'est de savoir comment ce logiciel espion a été inclus dans le réseau des [Google Cars] et de connaître les lieux précis où la collecte non autorisée de données a été effectuée », poursuit-il. Pour obtenir des réponses, Richard Blumenthal n'exclut pas d'entamer une action judiciaire contre le moteur de recherche. « Google doit être complètement transparent sur la manière dont a pu se produire cette intrusion dans la vie privée et sur ses raisons ». En France, c'est la Commission nationale de l'informatique et des libertés (Cnil) qui s'est saisie de cet épineux dossier. L'organisme a récupéré les disques durs contenant les données collectées sur le territoire. Il devrait rendre ses conclusions en septembre prochain et décider des suites à donner à cette affaire. D'ici là, Google a décidé de ne pas faire reprendre la route à ses véhicules en France.(01.net)
Source: Yahoo Actualités
Les mauvaises nouvelles concernant la sécurité des produits Apple s'enchaînent. Jeremiah Grossman, patron de l'entreprise de sécurité WhiteHat Security, détaille ainsi sur son blog personnel une faille importante affectant Safari 4 et 5 qui peut permettre à un pirate de voler des informations personnelles en provenance directe de votre carnet d'adresses local. Celle-ci réside dans la fonction de remplissage automatique (AutoFill), activée par défaut dans le navigateur d'Apple, qui utilise le carnet d'adresses de votre ordinateur pour remplir plus rapidement des formulaires, par exemple pour s'inscrire sur un site. Pratique, cette fonction peut par exemple vous éviter d'inscrire vos coordonnées lorsque vous vous abonnez à un nouveau service. Il suffit d'indiquer la première lettre de votre nom pour que Safari vous propose automatiquement de compléter les données manquantes. Or, d'après Jeremiah Grossman, il suffit qu'un pirate programme un simple Javascript pour profiter de cette fonction aux dépens de l'utilisateur. « Dès qu'un utilisateur de Safari visite un site [malveillant, NDLR], même s'il n'y est jamais allé auparavant et n'y a jamais entré d'informations personnelles, il est possible [pour le pirate] de retrouver son nom, prénom, lieu de travail, ville, état, et adresse-email », indique Jeremiah Grossman. Qui propose même un programme « preuve de concept » pour prouver ses dires.(01.net)
Street View : 38 Etats américains réclament des comptes à Google
Le mea culpa de Google n'a pas convaincu. Une coalition de 38 Etats américains entame une action contre le numéro un des moteurs de recherche. Elle exige des explications sur la manière dont les Google Cars ont pu collecter des informations personnelles transitant sur des réseaux Wi-Fi non sécurisés. Dans un communiqué, le procureur général du Connecticut, Richard Blumenthal, chargé de l'affaire, estime que les explications de Google « soulèvent plus de questions qu'elles n'apportent de réponses ». Aussi exige-t-il du moteur qu'il lui révèle le nom des développeurs à l'origine du code permettant à ses voitures de collecter des informations. « Ce que nous attendons, c'est de savoir comment ce logiciel espion a été inclus dans le réseau des [Google Cars] et de connaître les lieux précis où la collecte non autorisée de données a été effectuée », poursuit-il. Pour obtenir des réponses, Richard Blumenthal n'exclut pas d'entamer une action judiciaire contre le moteur de recherche. « Google doit être complètement transparent sur la manière dont a pu se produire cette intrusion dans la vie privée et sur ses raisons ». En France, c'est la Commission nationale de l'informatique et des libertés (Cnil) qui s'est saisie de cet épineux dossier. L'organisme a récupéré les disques durs contenant les données collectées sur le territoire. Il devrait rendre ses conclusions en septembre prochain et décider des suites à donner à cette affaire. D'ici là, Google a décidé de ne pas faire reprendre la route à ses véhicules en France.(01.net)
Source: Yahoo Actualités
A lire également: