Cependant, l�EFF appr�cie moins la fa�on dont Google d�livre ces services. Le groupe de d�fense affirme que le moteur de recherche enregistre tout ce que font les �l�ves quand ils sont connect�s � leur compte Google, quel que soit l'appareil ou le navigateur utilis�, qu�il scrute leur historique de recherche, les r�sultats de recherche sur lesquels ils cliquent et les vid�os qu'ils regardent sur YouTube. L'EFF explique que Google agr�ge et anonymise les donn�es recueillies par les services purement �ducatifs, mais pas quand les �l�ves utilisent d'autres services de Google. De son c�t�, Google fait valoir que l'anonymisation des donn�es est � difficile, voire impossible �, surtout quand la collecte est r�alis�e sur des comptes identifiables. Les pratiques de Google � vont � l'encontre des engagements pris au moment de la signature du Student Privacy Pledge �, a d�clar� l�EFF. Deux cents entreprises, dont Google, Microsoft et Apple, ont sign� ce document pour s�engager � respecter la vie priv�e des �tudiants.
En vertu de cet accord, l'Electronic Frontier Foundation estime que la collecte de donn�es par Google aupr�s des �l�ves est assimilable � une pratique commerciale d�loyale ou trompeuse. L�EFF veut que la FTC fasse une enqu�te et oblige Google � d�truire les donn�es recueillies. Elle veut aussi que le g�ant de la recherche cesse tout type de collecte sur les �tudiants. Google, qui a refus� de discuter les d�tails de la requ�te de l�EFF, a publi� le communiqu� suivant : � Nos services permettent aux �tudiants du monde entier d�apprendre et de prot�ger leurs informations priv�es et s�curis�es. Nous sommes sensibles � l�int�r�t que porte l�EFF � la vie priv�e des �l�ves, mais nous sommes convaincus que nos outils respectent la loi et nos engagements, y compris ceux du Student Privacy Pledge �.
Il semble que l�EFF a d�j� obtenu gain de cause sur un point au moins : le groupe de d�fense contestait le fait que, dans le navigateur Chrome, la fonctionnalit� Chrome Sync soit activ�e par d�faut sur les Chromebooks et partage des donn�es entre les diff�rents services de Google. Or Google a annonc� que le param�tre serait bient�t d�sactiv� dans les Chromebooks vendus aux �coles. � C�est un petit pas dans la bonne direction, mais cette disposition ne va pas assez loin et elle ne met pas fin aux violations du Student Privacy Pledge par les Chromebooks distribu�s actuellement au monde de l��ducation �, a comment� l'Electronic Frontier Foundation.Selon un contributeur de Reddit, le certificat �manant d'une autorit� de confiance install� en root sur certains ordinateurs portables de Dell serait similaire � l'adware Superfish pr�sent sur les machines Lenovo, lequel expose les utilisateurs � des attaques dites man-in-the-middle.
Appel� eDellRoot, le certificat �mis par un tiers de confiance du m�me nom fait partie des �l�ments pr�charg�s en standard sur les derni�res machines de Dell. Selon un contributeur de Reddit, qui porte le pseudonyme rotocowboy, ce certificat pourrait avoir des cons�quences d�sastreuses. � Pour ceux qui ne savent pas comment �a fonctionne, un attaquant peut utiliser cette autorit� de certification pour signer ses propres faux certificats et les utiliser sur des sites r�els. Tout se passe � l�insu de l�utilisateur sauf s�il lui vient � l�esprit de v�rifier la cha�ne de certificats du site. Ce CA pourrait �galement �tre utilis� pour signer un code destin� � tourner sur les machines, mais je n'ai pas encore explor� cette hypoth�se �, a-t-il �crit.
Selon le programmeur Joe Nord, qui poss�de �galement un ordinateur Dell, � le certificat eDellRoot est tr�s ouvert, ce qui signifie que ses privil�ges sont plus �tendus que ceux d'un certificat DigiCert �, �galement install� sur sa machine. � J�ai absolument besoin de savoir si je peux faire confiance au certificat install� en root sur mon ordinateur Dell �, a-t-il �crit sur son blog. Le constructeur n'a pas encore r�pondu � une demande d'explication sur eDellRoot. Il ne dit pas non plus s�il y a lieu de s�inqui�ter � ce sujet. N�anmoins, DellCares, qui a r�pondu � rotocowboy via son compte Twitter, promet d��tudier la question. � Nous comprenons votre situation. Nous allons demander � nos �quipes produits de nous expliquer la raison de la pr�sence de eDellroot sur votre machine �, dit le tweet. On ne sait pas si le CA a �t� install� par Dell ou par un partenaire autoris� � pr�installer le logiciel sur la machine ou s�il a �t� introduit par un attaquant qui aurait infiltr� la ligne de production de Dell.
Dans son message, Joe Nord a inclus une capture d'�cran dans laquelle on peut lire la description du certificat : � Vous disposez d�une cl� priv�e associ�e � ce certificat �. Sauf que, selon le programmeur, un ordinateur ne devrait jamais h�berger la cl� priv�e qui correspond � une autorit� de certification root. � Seul l�ordinateur d�o� �mane le certificat peut h�berger une cl� priv�e et cet ordinateur doit �tre� tr�s bien prot�g� ! � Selon Joe Nord, il est impossible de dire si c�est le constructeur qui a install� lui-m�me ce certificat. � Les certificats root sont toujours auto-sign�s, donc tout ce que l�on peut savoir c�est que eDellRoot dit que eDellRoot est l�gitime �, explique-t-il. � Ce qui pose probl�me, c�est que la cl� priv�e est pr�sente sur mon ordinateur. Et cela est tout � fait anormal et inqui�tant �.
Joe Nord et rotocowboy craignent tous deux que eDellRoot ne ressemble � l'adware Superfish d�couvert sur les ordinateurs Lenovo plus t�t cette ann�e. Superfish cr�ait un proxy pour les connexions HTTPS entre les sites Web et les ordinateurs des utilisateurs, ce qui permettait d�ins�rer des donn�es dans chaque page t�l�charg�e par la machine. De plus, Superfish utilisait le m�me certificat sur toutes les machines Lenovo et la cl� priv�e pour le certificat �tait facile � r�cup�rer. Dans un message post� sur Twitter, Mikko Hypponen, le directeur de la recherche de F-Secure, a �galement �tabli un lien entre Superfish et eDellRoot. Il fait aussi remarquer que � Dell a cr�� son certificat #eDellRoot six mois apr�s le scandale Superfish de Lenovo �. Ajoutant : � Ils n�ont tir� aucune le�on de cet �v�nement �.
Dell a inclus, sur certaines de ses derniers PC portables, deux certificats num�riques qui devaient faciliter le support technique, et transmettre par exemple au constructeur des informations sur les produits utilis�s par le client. Ces cl�s de chiffrement priv�es ont �t� install�es dans la racine de Windows. Or, comme l�ont expliqu� les experts en s�curit� alert�s, les cl�s priv�es des deux certificats num�riques, nomm�s respectivement eDellRoot et DSDTestProvider, peuvent �tre utilis�s par des attaquants pour signer des logiciels malveillants, cr�er des sites Web frauduleux et mener des attaques man-in-the-middle pour espionner les donn�es utilisateur.
Le danger repr�sent� par DSDTestProvider est vraisemblablement plus limit�, dans la mesure o� ce certificat doit �tre t�l�charg� par les utilisateurs. De plus, comme l�a pr�cis� Dell, la version � risque n�est plus disponible depuis le 24 novembre. Par contre, le certificat eDellRoot est beaucoup moins anodin. D�une part, il est install� par d�faut sur plusieurs nouvelles machines de bureau et ordinateurs portables de Dell. De plus, certains ordinateurs plus anciens sur lequel tournait l'outil de support Dell Foundation Services (DFS), peuvent avoir �t� affect�s si l�utilisateur a opt� pour la mise � jour automatique. En effet, le certificat douteux a �t� inclus avec une mise � jour de DFS livr�e au mois d�ao�t.
Mardi, Dell a publi� des mises � jour qui suppriment les certificats. Le constructeur a �galement diffus� un avis expliquant comment effectuer cette suppression manuellement. De son cot�, Microsoft a pouss� des mises � jour qui modifient Windows Defender pour Windows 10 et Windows 8.1, Microsoft Security Essentials pour Windows 7 et Windows Vista, Safety Scanner et l'outil Malicious Software Removal. Ces outils vont permettre, � ceux qui, pour une raison ou pour une autre, n�ont pas t�l�charg� ou re�u les mises � jour de Dell, de supprimer les certificats douteux. Mardi �galement, Symantec a signal� qu'il avait rep�r� des �chantillons de logiciels malveillants index�s par VirusTotal, num�riquement sign�s avec le certificat eDellRoot. Le malware en question permettrait de contourner certaines d�fenses de s�curit�.
Dans l'attente de la mise en oeuvre du Safe Harbor 2.0, la r�daction a cette semaine fait le point sur les points cl�s � retenir concernant le transfert de donn�es en dehors des pays europ�ens. L'actualit� a �t� marqu�e en particulier par une faille de s�curit� dans les PC Dell ayant amen� Microsoft a supprimer � son tour les certificats num�riques douteux du constructeur. Un mois apr�s son lancement, un test complet de l'iPad Pro vous a aussi �t� propos�.Recap IT : 5 cl�s pour comprendre le transfert des donn�es hors d'Europe, Certificats de s�curit� douteux chez Dell, Test Apple iPad Pro
5 choses � savoir sur le transfert de donn�es hors d'Europe. Le 6 octobre dernier, la Cour de Justice de l'Union europ�enne a invalid� l'accord Safe Harbor qui encadrait depuis 2000 le transfert des donn�es personnelles des citoyens europ�ens vers les �tats-Unis. Pour autant, les transferts de donn�es hors d'Europe ne sont pas interrompus. Voici ce qu'il faut savoir � ce sujet.
eDellRoot : Dell admet et corrige une faille de s�curit� dans ses PC. Suite � l'affaire eDellRoot, Dell admet une faille de s�curit� sur ses PC portables et propose un patch. Le certificat doit �tre retir� et le texan explique comment le faire � tout ceux qui ne veulent pas utiliser le correctif. Dans la foul�e, Microsoft a supprim� � son tour les certificats num�riques douteux de Dell.Test Apple iPad Pro. Une bonne tablette mais pas pour tout le monde. Au d�part, notre consoeur de Macworld voulait tenter l'exp�rience suivante : se servir d'un iPad Pro � la place de son ordinateur pendant une semaine. Mais au bout d'une journ�e, elle a d� se rendre � l'�vidence et renoncer � son projet : elle ne pouvait pas faire avec l'iPad Pro ce qu'elle faisait avec son MacBook Air. L'iPad Pro ne remplacera donc ni son Mac, ni son iPhone. Mais ce n'est pas grave : la derni�re tablette d'Apple n'a pas vocation � remplacer l'un ou l'autre.(cliquez ici pour suivre le lien)
Livre d'Or
Contact