Pourquoi Google vous a demandé de saisir votre mot de passe ?

De nombreux internautes ont dû se reconnecter à leur compte Gmail ou plus largement à leur compte Google, aussi bien sur leur smartphone que sur leur ordinateur.

Cela survient simultanément à la découverte du dénommé Cloudbleed, une fuite massive de données personnelles, si bien que dans un premier temps certains ont a fait le rapprochement et craignent que Google soit indirectement affecté pour ce Cloudbleed.

La cause

Les jetons d’identification de Google OAuth à longue durée de vie ont été invalidés par inadvertance. Certains utilisateurs, pas tous, sont affectés.

La solution

Il n’est pas nécessaire de réinitialiser son mot de passe, sauf bien sûr si vous l’a oublié.

La solution est simple : il suffit de se reconnecter en saisissant de nouveau son mot de passe et, le cas échéant, son code de double authentification (SMS ou code ou clé U2F).

Ma recommandation

Je vous recommande d’acheter une clé USB FIDO U2F pour l’utiliser avec la double authentification. Pas besoin de depenser beaucoup pour se protéger. Le protocol U2F est nativement géré dans Chrome. Pour Firefox, un add-on existe (que vous pouvez installer a partir de https://addons.mozilla.org/en-US/firefox/addon/u2f-support-add-on/?src=api ). Il existe aussi des FIDO U2F NFC pour vos smartphones.

L’influence tentaculaire des géants américains

Des relations documentées en Europe

Protection des données personnelles, réglementation des VTC, scénarios fiscaux : les législations européennes et françaises peuvent avoir des effets importants sur les géants technologiques américains et leurs profits. Pour s’éviter des déconvenues budgétaires ou préparer la législation à leurs prochaines innovations, ces géants investissent dans le lobbying. Près de 13 millions d’euros sont dépensés en lobbying par Google, Microsoft, Facebok, Apple, Amazon, Twitter et Uber chaque année au niveau européen. Google et Microsoft sont ceux qui annoncent des budgets annuels consacrés aux activités de lobbying en Europe les plus importants, avec des dépenses entre 4,25 millions d’euros et 4,5 millions d’euros chaque année.

Lobbying en Europe

Les rencontres des commissaires

Les commissaires européens sont tenus de consigner toutes les rencontres qu’ils font avec les lobbyistes enregistrés auprès du Parlement européen. Ces rencontres sont compilées par Transparency International. Elles permettent de voir comment et auprès de qui les entreprises agissent. Avec Microsoft, Google est l’entreprise dont la présence est la plus importante auprès des institutions européennes. Ce sont également ses lobbyistes qui rencontrent le plus les commissaires européens ou leur cabinet.

Notre compilation ne prend pas cependant pas en compte les associations auxquelles participent ces entreprises. Sorte de super-lobby, elles représentent les intérêts de plusieurs entreprises et sont richement dotées. Il existe par exemple Digital Europe, qui représente les entreprises du numérique ou la CCIA (Computers & communication industry association), qui comptabilise 34 rencontres en son nom propre depuis 2014 avec des commissaires.

Google et Microsoft

40% des rencontres sont avec les commissaires responsables du marché unique numérique et de l’économie numérique. Mais chez Google et Microsoft, on visite tout le monde. L’éducation, le travail, la recherche… Microsoft rencontre ainsi le cabinet du commissaire aux affaires intérieures pour discuter de « l’utilisation des nouvelles technologies en termes de sécurité et de la crise migratoire ». L’entreprise n’a pas répondu à nos demandes de précisions sur cette rencontre ou les nouvelles technologies qu’elle peut proposer dans ce contexte. Et les rencontres sont parfois plus rapprochées : une étude publiée en juin montrait que Google avait embauché près de 70 fonctionnaires européens pour faire son lobbying.

Google a dramatiquement augmenté le nombre de ses embauches « portes tambour » après 2011, lorsque la Commission européenne a lancé sa première enquête antitrust contre l’entreprise. 18 de ses embauches ont été faites en 2011, soit plus du double de l’année précédente.

Un manque de transparence en France

Les lois concernant le lobbying sont quasiment inexistantes en France. Personne ne répertorie les rencontres entre ceux qui écrivent les lois et les lobbyistes. Parcellairement, nous avons reconstitué quelques rencontres entre le pouvoir exécutif et les géants américains. Depuis le début du quinquennat, nous avons pu identifier 68 rencontres, dont un tiers sont entre Google et l’exécutif français. Les rencontres les plus médiatisées sont celles qui donnent une conclusion souriante à des heures de lobbying : la signature d’un contrat entre le ministère de l’Éducation nationale et Microsoft en 2015 ou l’accord entre Google et la presse française, signé en grande pompe à l’Élysée en février 2013.

Lobbying en France

Portes tambour

Ce lobbying discret peut compter sur l’appui de certains serviteurs de l’État partis travailler pour Uber, Google ou Twitter : c’est ce qu’on appelle les portes tambour. Le dernier en date, annoncé le 14 janvier, concerne Benoît Loutrel, directeur général de l’Arcep, le régulateur des télécoms, qui rejoint l’équipe de lobbying de Google. Nous avons analysé le parcours – principalement grâce à LinkedIn, propriété de Microsoft – d’une vingtaine de personnes passées du public à ces entreprises. Ainsi, en 2015, Uber a recruté l’ancien conseiller en communication du secrétaire d’État aux transports, quand Facebook peut compter sur un ancien conseiller de Nicolas Sarkozy à l’Élysée.

Ces transferts ne sont presque pas encadrés et quasiment toujours acceptés. Un encadrement et une transparence sur les critères permettraient de s’assurer que l’employé ne tire pas profit de son temps dans le public. Les échanges en « portes-tambour » peuvent encourager les échanges de bons procédés entre les grandes entreprises et le secteur public.

Les liens de Microsoft

Depuis 2012, Microsoft a signé plusieurs des contrats et conventions.

Microsoft est la seule entreprise parmi celles étudiées à avoir reçu des subventions au niveau européen et à être bénéficiaire de marchés publics, pour un montant de 23 millions d’euros.

Des progrès à faire

Concernant les rencontres avec les dirigeants et les lobbyistes, Axelle Lemaire, secrétaire d’État au numérique, publiait jusqu’à la moitié de l’année 2016 son agenda en ligne dans un format lisible. Cette bonne habitude, qui permettait de facilement suivre son travail s’est hélas arrêtée. Elle se contente aujourd’hui du format PDF inexploitable. Il a fallu éplucher de nombreux pdf d’agenda, pas forcément tous conservés, pour retrouver l’agenda de chaque ministre depuis le début du quinquennat. Quant aux parlementaires, rien ne permet de suivre leurs rendez-vous. La loi Sapin 2, relative à la transparence et à la lutte contre la corruption, votée à l’été 2016 ne prévoit qu’un registre des lobbyistes. Des modalités bien pauvres, si l’on compare avec les Etats-Unis et le Canada. Cette transparence permettrait pourtant de comprendre plus facilement les intérêts de chacun dans les législations en discussion.

source: https://github.com/alphoenix/donnees/tree/master/lobbies-gafamut#des-relations-documentées-en-europe

Google Patches Quadrooter Vulnerabilities in Android

The Quadrooter vulnerabilities made a lot of people take notice because the scale of affected Android devices (more than 900,000) put it on a level with Stagefright and other bugs that impact a large majority of the Android ecosystem.

Some details on the four vulnerabilities were publicly disclosed at DEF CON in August by researchers at Check Point Software Technologies, who warned that popular handsets made by Samsung, Motorola and others were affected, and that the vulnerabilities put those devices at risk to complete compromise.

Two of the four vulnerabilities were patched in July and August respectively, and today, Google patched the two remaining vulnerabilities in its monthly Android Security Bulletin. Today’s patches were pushed out today to Nexus devices in an over-the-air update, while partners were given the updates Aug. 5. The Android Open Source Project is expected to receive the patches within 48 hours.

The vulnerabilities enable privilege escalation and open the door to remote attacks. Multiple subsystems of the Qualcomm chipset are affected and the vulnerabilities can be exploited to bypass existing mitigations in the Android Linux kernel, allowing an attacker to gain root privileges, Check Point said.

The easiest way to compromise Android devices vulnerable to Quadrooter would be to trick the victim into downloading a malicious app. The flaws are in Qualcomm drivers that control communication between different components in the chip.

Google patched today CVE-2016-5340 and CVE-2016-2059. CVE-2016-5340 is a bug in Android’s memory allocation subsystem called ashmem, while CVE-2016-2059 is in the Linux inter-process communication router module. Both flaws allow for root access and successful exploits would require for a device to be re-flashed, Google said. The previously patched bugs, CVE-2016-2503 (July) and CVE-2016-2504 (August), addressed use-after-free flaws tied to race conditions in the kernel graphics support layer, a Qualcomm GPU component.

Google today published three different patch levels: Sept. 1, 5 and 6.

Sept. 1 includes patches for two critical flaws, one in LibUtils and another in Mediaserver, both of which are remote code execution bugs, as is another rated high severity in MediaMuxer. LibUtil and Mediaserver bugs have been patched before in Android; Mediaserver bugs were at the heart of last summer’s Stagefright vulnerabilities. All of these flaws, including the MediaMuxer issue, can be exploited via specially crafted media files. They affect all Nexus devices.

The Sept. 5 patch level addresses five critical vulnerabilities, two in the kernel security subsystem, one in the kernel networking subsystem, one in the kernel netfilter subsystem and one in the kernel USB driver. All five are privilege escalation vulnerabilities and all five can give a hacker the means to execute arbitrary code at the kernel level. The

Sept. 6 patch level, meanwhile, includes just the two Quadrooter fixes.

See more at: Google Patches Quadrooter Vulnerabilities in Android https://threatpost.com/google-patches-quadrooter-vulnerabilities-in-android/120374/

Google donne le coup d’envoi à HSTS sur ses serveurs

HSTS pour tous ! Ou tout du moins pour Google.com. Le moteur de recherche annonce en effet avoir franchi une nouvelle étape dans la sécurisation de ses services web en déployant la politique de sécurité HSTS sur son nom de domaine. Celle-ci est officiellement activé selon un post de blog rédigé par Jay Brown, membre de l’équipe sécurité de Google.

HSTS est une politique de sécurité qui vise à corriger certains défauts décelés au sein de HTTPS. Ainsi, HSTS permet de rediriger automatiquement l’utilisateur vers la version HTTPS du site linké, quelle que soit la forme du lien affiché par la page. HSTS permet aussi de s’assurer que le navigateur de l’internaute prend bien en compte les dernières suites de chiffrement et que l’échange de données entre le site et l’utilisateur n’est pas dégradé à une version de l’algorithme de chiffrement considérée comme obsolète.

Pour les utilisateurs, le changement devrait être transparent pour peu qu’ils utilisent une version de navigateur relativement récente. Google explique avoir eu besoin d’un peu de temps pour mettre en place cette politique à cause de certains services parfois anciens ou peu utilisés : Jay Brown cite ainsi le service Santa Tracker, qui permet de suivre la tournée du père Noël, que le passage au HSTS avait momentanément rendu indisponible peu de temps avant Noël.

Mais ces différents soucis ont été réglés selon Google, ce qui signifie que l’ensemble de ses services et sites web lié au nom de domaine Google.com dispose aujourd’hui de HSTS.

Source: http://www.zdnet.fr/actualites/google-donne-le-coup-d-envoi-a-hsts-sur-ses-serveurs-39840336.htm

Google vous espionne-t-il vraiment ?

Un article a récemment insinué que Google espionne secrètement vos conversations et discussions. Bien qu’il soit fondé, on ne sait pas si c’est vrai.

google-listening-featured

Google enregistre des voix ; il n’y a pas de doute là-dessus. Toutefois, il le fait uniquement pour la reconnaissance vocale – tout comme Apple. Tous deux enregistrent l’historique de recherche vocale afin d’aider leurs applis (autrement dit Google et Siri) à mieux comprendre les voix. Un autre élément à prendre en compte est que Google enregistre uniquement via les dispositifs Android, et non sur Apple (même si vous avez installé l’application de Google sur votre iPhone).

D’un autre côté, Google opère dans le monde entier, excepté dans quelques pays, et il n’est pas difficile de s’imaginer qu’une telle chose puisse être utilisée à mauvais escient. De plus, vous devez vous demander : Pourquoi Google garde-t-il les enregistrements ? Utiliser vos enregistrements vocaux temporairement afin de comprendre votre requête de recherche est compréhensible, en revanche pourquoi les conserver ?

google-search-history-settings

En résumé, Google conserve votre historique de recherche, tous vos e-mails, vos documents de bureau, vos données de localisation, vos photos et que sais-je encore. Pourquoi donc les enregistrements vocaux échapperaient-ils à la règle ? La vraie question à se poser ici est : à quoi lui servent toutes ces données ?

A long terme, Google alimente sa géante plateforme Cloud de données afin d’aider à développer les outils de recherche de l’entreprise. A court terme, elles sont utilisées pour rendre vos résultats de recherche plus pertinents et les publicités plus optimales. Au cas où vous ne le sauriez pas, Google génère ses 20 milliards de dollars trimestriels presque uniquement grâce à la publicité.

Cette publicité en question est la raison pour laquelle Google vous offre toutes ces applications incroyables et services « gratuitement ». Vous payez avec vos données, et consommez avec les publicités.

Une chose encore plus inquiétante à prendre en compte est que si quelqu’un pirate votre compte, il en apprendra énormément sur vous.

Dans ce cas heureusement, la sauvegarde des données est facultative (pour l’instant), mais est toutefois activée par défaut. Si vous ne voulez pas faire partie de cet approvisionnement et de ce stockage de données pour le marché des affaires, la meilleure chose à faire est de refuser et désactiver (« interrompre ») quoi que ce soit dans les paramètres de suivi de Google.

google-search-history-settings

First seen on : https://blog.kaspersky.fr/google-listening/5731/

Google fait le ménage et retire 13 applications vérolées

De nouvelles applications potentiellement dangereuses ont été retirées du Play Store de Google.

Le cabinet de sécurité Lookout rapporte avoir identifié 13 applications contenant des variantes du malwareBrainTest. Ce dernier tente d’accéder au droit root du terminal.

Initialement repéré par les experts de CheckPoint en septembre dernier, BrainTest a été détecté sur un Nexus 5. Le malware passe outre les dispositifs de sécurité mis en place par Google sur le Play Store et lorsque l’internaute tente retirer l’application en question, le malware revient à la charge sur le smartphone. BrainTest télécharge d’autres applications tierces et est en mesure d’exécuter du code malveillant ou d’afficher de la publicité.

Sur son blog, Lookout explique avoir repéré plusieurs applications suspectes au mois d’octobre. Ces dernières avaient été téléchargées plusieurs centaines de milliers de fois par les mobinautes avec en moyenne une note de 4 sur 5. L’expérience semblait donc globalement satisfaisante, sans adware envahissant au premier abord. Mais le malware était en mesure de rédiger des avis positifs sur le Play Store pour les autres applications conçues par le même éditeur.

android ban gb

Lookout a prévenu Google au 29 décembre dernier en pointant du doigt 13 applications, lesquelles ont été retirées du Play Store. L’une d’entre elles a été mise à jour peu avant Noël avec une porte vers un serveur de commandes et de contrôle, une fonctionnalité similaire à la première variante de BrainTest observée par Checkpoint quelques semaines auparavant.

Parmi les applications incriminées, nous retrouvions Cake Tower, Cake Blast, Eat Bubble, Honey Comb, Crazy Jelly, Crazy Block, ou encore Tiny Puzzle. Pour se débarrasser du malware, il ne suffit pas de remettre son smartphone à l’état initial mais véritablement de reflasher une ROM mise à disposition par le fabricant du smartphone.

 

First seen on : http://www.clubic.com/application-mobile/actualite-791726-play-store-google-menage-13-applications-verolees.html