11, Avenue de Fondeyre - 31200 Toulouse

n'hésitez-plus

CARRY WEB est à votre écoute !

actualités

 

Retrouvez régulièrement des extraits de l'actualité du numérique selon plusieurs catégories de contenus. 

Liens utiles

Réseaux sociaux

 

Accueil > Actualités

"Le multimédia à portée de tous"

SUPPORT

11, Avenue de Fondeyre
31200 Toulouse

1 2 3 4 5

Cyber Sécurité

Google repousse la fin des cookies tiers à 2024 : ce qu’il faut savoir

31/07/2022

Google repousse la fin des cookies tiers à 2024 : ce qu’il faut savoir

Initialement, Google avait prévu de mettre fin aux cookies tiers en 2022, puis avait pris la décision de repousser l’échéance à fin 2023. Le géant américain prévoit désormais une suppression des cookies tiers pour mi-2024. Google peine à faire avancer son projet Privacy Sandbox. Pour rappel, l’objectif final est d’éliminer les cookies tiers en les remplaçant par de nouvelles méthodes de ciblage garantissant la confidentialité des utilisateurs.

 

Pourquoi Google repousse encore la fin des cookies tiers

 

Depuis plusieurs mois, Google déploie des APIs de Privacy Sandbox sur Chrome en version d’essai pour que les développeurs puissent les tester. Parmi ces APIs, on retrouve notamment : Google Topics, sa dernière méthode de ciblage publicitaire visant à remplacer FLoC. Pour rappel, la méthode FLoC fût la première proposition de Google pour remplacer les cookies tiers, elle fût très controversée et suscita de vives réactions de la part des acteurs de la tech, ce qui freina inévitablement l’avancée du projet Privacy Sandbox. Au final, la firme décida d’abandonner FLoC en janvier 2022.

 

Dans son blog post publié hier, Google indique travailler avec de nombreuses parties prenantes : développeurs, éditeurs, spécialistes du marketing, autorités de régulation via des forums comme la W3C… Un accord a même été conclu avec l’Autorité des marchés de la concurrence du Royaume-Uni (CMA) concernant le développement et le lancement de la Privacy Sandbox dans le monde entier. Mais tous ces acteurs de la tech ont besoin de plus de temps pour tester les nouveaux dispositifs (et s’assurer que la vie privée des utilisateurs est bien respectée…) : « Nombre de ces parties prenantes ont indiqué avoir besoin de plus de temps pour évaluer et tester les nouvelles APIs de la Privacy Sandbox avant la suppression des cookies tiers dans Chrome, ce qui est cohérent avec nos engagements vis-à-vis de la CMA. »

 

 

Ainsi, Google prolonge ses phases de tests des APIs de la Privacy Sandbox, ce qui repousse par conséquent la désactivation des cookies tiers sur Chrome.

 

Le nouveau calendrier de déploiement de Google

 

Google annonce de nouvelles échéances :

  • Début août 2022 : les essais de Privacy Sandbox seront étendus à des millions d’utilisateurs dans le monde (déploiement progressif jusqu’en 2023).
  • D’ici le troisième trimestre 2023 : les APIs de la Privacy Sandbox seront déployées et disponibles sur Chrome.
  • Pour mi-2024 : les cookies tiers seront définitivement supprimés sur Chrome.

 

Source : www.blogdumoderateur.com/

Date : 28/07/2022

Auteur : Estelle Raffin

La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français

17/07/2022

La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français

Des manquements ont été constatés sur le chiffrement des données et la traçabilité des connexions anormales aux serveurs. Ils ont trois mois pour se mettre en conformité. 

 

La Commission nationale de l'informatique et des libertés (Cnil) souhaite vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. En 2021, elle en a contrôlé 21, dont 15 ont été mis en demeure, apprend-on ce 8 juillet. A noter que les défauts de sécurité des sites figurent parmi les manquements les plus souvent constatés et sont susceptibles de conduire à des violations de données personnelles. 
 

LES COLLECTIVITÉS TERRITORIALES DANS LE VISEUR


Les contrôles ont été menés en ligne et sur pièces, c'est-à-dire sur la base de documents transmis. L'identité des sites ciblés reste confidentielle. Seule information dévoilée par la Cnil : il s'agit aussi bien "d’organismes français du secteur public (communes, centres hospitaliers universitaires, ministères…)" que "du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques...)". Elle précise également que ces contrôles ont eu pour but de "renforcer le niveau de sécurité des sites web édités par les collectivités territoriales". Ces dernières étant particulièrement visées par les ransomwares. 

 

Les principaux manquements concernent la robustesse du chiffrement des données. En effet, la Commission a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés. 

 

La Cnil a également relevé un défaut de dispositifs permettant de tracer les connexions anormales aux serveurs ainsi le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.

 

TROIS MOIS POUR SE METTRE EN CONFORMITÉ


Les 15 sites web ont désormais trois mois pour prendre toute mesure permettant d'assurer un niveau de sécurité adapté. A défaut, elles risquent d'être sanctionnées au titre du Règlement général sur la protection des données (RGPD).

Même si elle ne le mentionne pas, il est fort à parier que la Cnil réitère cette procédure de contrôle pour vérifier le niveau de sécurit d'autres sites. Le travail va être dans tous les cas particulièrement fastidieux. Selon les chiffres communiqués par l'Association française pour le nommage Internet en coopération (Afnic), il y avait 3,67 millions de sites en .fr enregistrés à la fin de 2020. 

 

Source : www.usine-digitale.fr/

Date : 08/07/2022

Auteur : ALICE VITARD

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

04/07/2022

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

La moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.

 

C'est le verdict des chercheurs de l'équipe Google Project Zero, qui a recensé jusqu'à présent 18 failles "zero day" en 2022. Ces dernières affectent Windows (Microsoft), iOS et WebKit (Apple), Chromium et Pixel (Google), et le serveur Confluence (Atlassian).


C'est dans les vieilles failles qu'on fait les meilleurs exploits


Google Project Zero ne recueille des données que sur les failles de type "zero day" – des bugs exploités par des attaquants avant qu'un correctif ne soit disponible – dans les principaux logiciels, de sorte que le nombre annoncé n'englobe pas toutes les failles 0day découvertes dans les logiciels.

 

En outre, selon l'équipe de Google, il n'y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.

 

« Au moins la moitié des failles zero day que nous avons observées au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes de failles zero day de 2021. 12 mois à peine après la correction de la première 0day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre du groupe Project Zero, dans un billet de blog.

 

Elle ajoute qu'au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».


De plus en plus de zero day


Ce manque d'originalité va dans le sens d'une tendance que Maddie Stone et d'autres chercheurs de Google ont récemment mise en évidence.

 

Plus de failles zero day ont été trouvées en 2021 qu'au cours des cinq dernières années où Google Project Zero les a comptabilisés.

 

Plusieurs facteurs sont potentiellement en jeu. Tout d'abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu'auparavant. D'autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d'exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-in de navigateur comme Flash Player.


Les pratiques de l'industrie à revoir


Mais si la détection, la divulgation et l'application de correctifs s'améliorent dans l'ensemble de l'industrie, « nous ne rendons pas les 0day difficiles (à créer) », souligne Maddie Stone. Elle souhaite que l'industrie élimine des classes entières de failles de sécurité.

 

Par exemple, 67 % des 58 failles zero day étaient des vulnérabilités de corruption de mémoire.

 

L'équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l'énorme base de code du navigateur écrit en C++, mais les mesures d'atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.


Correctifs partiels


Maddie Stone souligne également que l'équipe Windows de Microsoft et l'équipe Chrome de Google ont fourni des correctifs partiels.

 

« Bon nombre des failles zero day de 2022 sont dues au fait que la vulnérabilité précédente n'a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d'exécution que les exploits visaient ont été corrigés, mais la cause première n'a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », raconte-t-elle.

 

« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »


Les failles exploitées cette année


Voici la liste des failles zero day exploitées en 2022 que Google Project Zero a suivies jusqu'au 15 juin :

  • Windows win32k : CVE-2022-21882, variante de la faille CVE-2021-1732 (2021) ;
  • iOS IOMobileFrameBuffer : CVE-2022-22587, variante de la faille CVE-2021-30983 (2021) ;
  • Windows : CVE-2022-30190 ("Follina"), variante de la faille CVE-2021-40444 (2021) ;
  • Chromium property access interceptors : CVE-2022-1096, variante des failles CVE-2016-5128, CVE-2021-30551 (2021) et CVE-2022-1232 ;
  • Chromium v8 : CVE-2022-1364, variante de la faille CVE-2021-21195 ;
  • WebKit : CVE-2022-22620 ("Zombie"), corrigée à l'origine en 2013, mais rétablie en 2016 ;
  • Google Pixel : CVE-2021-39793 (la CVE indique 2021, mais la faille a été divulguée et corrigée en 2022), variante d'une faille Linux similaire, dans un sous-système différent ;
  • Atlassian Confluence : CVE-2022-26134, variante de la CVE-2021-26084 ;
  • Windows : CVE-2022-26925 ("PetitPotam"), variante de la CVE-2021-36942 (patch régressé).

Vente sur Internet : la protection du consommateur renforcée

29/05/2022

Vente sur Internet : la protection du consommateur renforcée

En cas de vente à distance, sur Internet ou hors d'un magasin, l'information préalable qu'un consommateur doit recevoir du vendeur est renforcée, selon un décret daté du 25 mars 2022.

 

La liste comprend 15 obligations à respecter, au lieu de 6 auparavant. Parmi les plus importantes, on peut citer :

 

  • l'identification du vendeur : nom ou dénomination sociale, adresse de l'établissement, numéro de téléphone, adresse mail, adresse et identité du professionnel pour le compte duquel il agit ;
  • les moyens garantissent au consommateur d'être en mesure de conserver ses échanges écrits avec le professionnel sur un support durable, y compris la date et l'heure de ces échanges ;
  • les modalités de paiement, de livraison et d'exécution prévues dans le contrat ;
  • les modalités de traitement des réclamations ;
  • la garantie légale de conformité, la garantie des vices cachés et toute autre garantie légale applicable ;
  • la garantie commerciale et le service après-vente ;
  • les conditions de résiliation, pour les contrats à durée indéterminée ou à tacite reconduction, ainsi que la durée de ceux-ci ;
  • pour les contenus et services numériques, la fonctionnalité des biens concernés, leur compatibilité et interopérabilité, ainsi que les mesures de protection technique applicables ;
  • les coordonnées du ou des médiateurs auxquels le consommateur peut s'adresser ;
  • le coût de communication à distance pour la conclusion du contrat lorsque ce coût diffère du tarif de base ;
  • les éventuels codes de conduite applicables au contrat et les moyens d'en obtenir une copie ;
  • la durée minimale des obligations contractuelles du consommateur ;
  • l'éventuelle caution et autres garanties financières dues par le consommateur.


D'autre part le formulaire de rétractation, à fournir obligatoirement et dont le modèle est strictement défini, doit notamment comprendre l'adresse électronique du fournisseur, ce qui n'était pas nécessaire auparavant.

 

Ce décret est le dernier élément d'application de l'ordonnance n° 2021-1734 du 22 décembre 2021, transposant en droit français la directive européenne du 27 novembre 2019, relative à la modernisation de la protection des consommateurs.

 

Ses dispositions entreront en vigueur le 28 mai 2022. Elles visent à renforcer la protection du consommateur notamment dans les transactions transfrontalières, de plus en plus nombreuses dans les ventes sur Internet, en améliorant l'information préalable qui doit être communiquée à l'acheteur et en aggravant les sanctions en cas d'infraction.

 

Les garanties doivent être clairement précisées, de même que les prix antérieurs dans les annonces de réduction. Les clauses abusives, les faux avis de consommateurs sont plus sévèrement réprimés, au titre des pratiques commerciales trompeuses.

INP, futur remplaçant du critère FID dans les Core Web Vitals ?

22/05/2022

INP, futur remplaçant du critère FID dans les Core Web Vitals ?

Si vous vous intéressez de près ou de loin aux Core Web Vitals et à la notion de « Page Experience » au sens googlien du terme, vous analysez certainement les trois critères qui constituent la « web performance » pour le moteur de recherche : LCP, CLS et FID. Et vous avez certainement constaté que, si LCP et CLS sont très changeants d'un site à l'autre, le critère FID ne servait pas à grand chose puisqu'il était validé sur 99,9% des sites web. En clair, les Core Web Vitals, c'est le LCP et le CLS. Point. Un critère non différentiant comme le FID n'a donc pas grand intérêt pour mesurer une situation.

 

Et Google a bien dû constater la chose, puisque cela fait plusieurs mois qu'il travaille à remplacer le FID par un autre critère. Et ces travaux avancent puisque l'heureux élu pourrait bien être le critère INP pour Interaction to Next Paint, comme cela a été annoncé à l'événement Google I/O la semaine dernière.

 

Grosso modo, INP mesure la réactivité. C'est une métrique qui vise à représenter la latence d'interaction globale d'une page en sélectionnant l'une des interactions les plus longues qui se produisent lorsqu'un utilisateur visite une page. Pour les pages comportant moins de 50 interactions au total, INP représente l'interaction présentant la plus mauvaise latence. Pour les pages comportant de nombreuses interactions, INP correspond le plus souvent au 98e percentile de la latence d'interaction.

 

" Représentation visuelle d'une réactivité bonne ou mauvaise lorsqu'une image en taille réelle est chargée à partir d'une galerie de vignettes. À gauche, la réactivité est mauvaise car l'image doit être téléchargée avant d'être affichée, ce qui implique un délai important. À droite, la réactivité est bonne car un indicateur de chargement apparaît immédiatement après la demande de l'image, et l'image demandée finit par la remplacer." Source : Google

 

Nous vous parlerons de façon plus approfondie du critère INP dans un prochain article du site Réacteur, dès que le remplacement de FID sera officiel. Et selon Google, cela pourrait se faire à assez courte échéance, si on en croit sa communication à ce sujet : « Nous nous attendons à ce que le score INP fournisse une meilleure boussole aux sites Web pour améliorer la réactivité et les performances à l'avenir. Nous prendrons des mesures pour fournir des orientations plus concrètes sur cette mesure en 2022-23. »

 

Source : www.abondance.com/

Auteur :  Olivier Andrieu

Date : 19/05/2022

Rechercher un article

services

réseaux sociaux