close
    • chevron_right

      Google supprime des applis pour enfants pas assez protectrices de leur vie privée

      Amandine Jonniaux · news.movim.eu / JournalDuGeek · Monday, 26 October, 2020 - 11:45 · 1 minute

    Crédits : Princess Salon

    Google a confirmé il y a quelques jours la suppression de trois applications pour enfants de son Play Store. Pourtant très populaires, avec près de 20 millions de téléchargements cumulés, Princess Salon, Number Coloring et Cats & Cosplay sont accusés par l’IDAC (International Digital Accountability Council) de ne pas respecter la politique du géant du web concernant la collecte et le traitement des données personnelles . Concrètement, le problème ne vient pas directement des applications, mais plutôt des kits de développement utilisés par les développeurs pour concevoir ces dernières. Les trois logiciels utilisaient en effet des frameworks basés sur des versions d’Appoldeal, Unity et Umeng capables de récupérer les identifiants Android et publicitaires de l’utilisateur.

    En collectant et en envoyant les identifiants publicitaires des jeunes utilisateurs des applications en question, et en les couplant à d’autres données sensibles, telles que l’identifiant Android par exemple, les applications pointées du doigt par l’IDAC ne permettaient pas à Google de garantir la protection de la vie privée prônée par l’entreprise américaine. Plus grave encore, cette combinaison de données privées permettait de pister les utilisateurs au-delà de l’application. Cette situation est particulièrement problématique pour des programmes destinés à un jeune public, qui souvent n’est pas averti des risques. Si l’IDAC n’est pas encore en mesure de déterminer l’ampleur de cette faille, ni combien de données ont déjà fuité, Google a malgré tout préféré prendre les devants, en supprimant directement les logiciels problématiques. Le géant du web a d’ailleurs indiqué qu’il n’hésiterait pas à prendre des mesures similaires pour l’ensemble des applications ne respectant pas ses conditions d’utilisation . À noter cependant que les versions iOS de Cats & Cosplay, Princess Salon et Number Coloring ne semblent pas concernées.

    Google supprime des applis pour enfants pas assez protectrices de leur vie privée

    • chevron_right

      Mathias Poujol-Rost ✅ · Wednesday, 24 April, 2019 - 19:30 edit

      Contact publication



    • chevron_right

      Première faille de sécurité dans Tchap

      Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement. Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart. Voici une traduction approximative du motus operandi employé par Robert. La page de blog originale est à la fin du journal. L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder. Après décompilation de l'application, on peut voir la liste des salons: La liste des salons est disponible dans l'application : matrix.agent.dev-durable.tchap.gouv.fr matrix.agent.dinum.tchap.gouv.fr matrix.agent.intradef.tchap.gouv.fr matrix.agent.diplomatie.tchap.gouv.fr etc… I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@protonmail.com@elysee.fr. Hum, no validation email in my inbox… J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@protonmail.com@elysee.fr. Bon, pas d'email de validation dans ma boîte aux lettres… Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr” Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr" So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account! J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@presidence@elysee.fr". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte. "I am logged as an Elysée employee, and I had access to the public rooms." Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public. Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”. Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune". Analyse des faits: - 9:00: D@ebut de l'analyse - 10:15: Putain, je suis dedans - 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap. - 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix. - 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter https://twitter.com/matrixdotorg/status/1118859344790077441 - 17:42: Appel avec les officiels du gouvernement - 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail. Liens - Le blog de R.Baptise Télécharger ce contenu au format Epub Commentaires : voir le flux atom ouvrir dans le navigateur

      group_work LinuxFRJournaux 24 April, 2019