Powered By Blogger

Rechercher sur ce blogue

jeudi 3 février 2022

L’inventeur des cookies plaide pour leur encadrement sur le Web

 

 

L’inventeur des cookies plaide pour leur encadrement sur le Web

Lou Montulli, l'inventeur des témoins de connexion.

Agence France-Presse

Les célèbres témoins de connexion (cookies), au cœur du débat sur la protection de la vie privée sur Internet, n'ont jamais été conçus comme des outils d'espionnage des activités numériques, selon ce qu'a affirmé leur inventeur dans une entrevue accordée à l'Agence France-Presse.

L'entrepreneur Lou Montulli explique que les témoins de connexion, qu'il a créés en 1994 alors qu'il était ingénieur pour Netscape, ont été conçus dans l'idée de faciliter le fonctionnement d'Internet en permettant aux sites de mémoriser les visites.

« Mon invention est désormais au centre des stratégies publicitaires en ligne, mais ce n'était pas le but, plaide-t-il. Il s'agit simplement d'une technologie de base qui permet au web de fonctionner. »

— Une citation de  Lou Montulli, ingénieur

Les témoins de connexion sont des fichiers grâce auxquels un site peut reconnaître un navigateur précis. Ils rendent possibles des opérations comme l'ouverture automatique de sessions, la publication de commentaires ou l'ajout d'articles dans un panier d'achats en ligne, selon M. Montulli.

Sans les témoins dits internes (first-party cookies, en anglais), utilisés par les sites pour interagir avec les internautes et mémoriser certaines données, chaque visite serait considérée comme la première.

Les témoins tiers dans la ligne de mire

Pour M. Montulli, les vrais coupables sont les témoins tiers (third-party cookies), créés par des sites externes et intégrés aux navigateurs et aux régies publicitaires sur Internet.

C'est seulement grâce à la collusion entre de nombreux sites et les régies publicitaires que les publicités ciblées sont possibles, explique-t-il.

Les sites partagent en effet des données sur les habitudes et les préférences des internautes avec des régies publicitaires, qui les utilisent ensuite pour faire du ciblage.

« Si vous faites une recherche sur un produit de niche un peu bizarre et que vous vous retrouvez bombardés de publicités pour ce produit sur différents sites, c'est une expérience étrange. »

— Une citation de  Lou Montulli, ingénieur

Il est naturel de se dire que si l'on sait que je cherche des chaussures en daim bleu, ça doit vouloir dire qu'on sait tout sur moi, et donc de vouloir sortir de ce système, mentionne-t-il.

Si un site collecte des informations personnelles, comme un nom ou une adresse courriel, il est possible que ces données fuitent et qu'un navigateur se retrouve associé à une personne.

C'est un effet de réseau par le biais duquel tous ces différents sites sont de mèche avec des outils de suivi publicitaire, résume M. Montulli.

À l'instar d'autres groupes technologiques, Google, qui tire la majeure partie de ses recettes de la publicité, a présenté cette semaine un nouveau projet pour bloquer les témoins de connexion tiers.

Amende salée en France

Une annonce faite peu après une amende de 150 millions d'euros (220 millions de dollars canadiens) infligée par la Commission nationale de l'informatique et des libertés (CNIL), gardienne de la vie privée en France, à Google, pour sa politique en matière de témoins de connexion. Facebook a pour sa part écopé d'une sanction de 60 millions d'euros (85,2 millions de dollars canadiens).

M. Montulli tient à rappeler que de nombreux services gratuits sur Internet, comme une recherche Google, sont en réalité payés par la publicité en ligne.


Les «cookies» sont sévèrement encadrés en Europe.

Photo : Getty Images / Leon Neal

Une option serait de cesser le ciblage publicitaire et de le remplacer par des abonnements payants.

L'inventeur n'a rien contre la suppression progressive des témoins tiers, mais prévient qu'une élimination totale de ces fichiers conduirait les publicitaires à recourir à des stratégies plus sournoises.

« La publicité trouvera une solution. Cela deviendra une course à l'armement technologique étant donné les milliards de dollars en jeu, et l'industrie publicitaire fera ce qui est nécessaire pour garder le navire à flot. »

— Une citation de  Lou Montulli, ingénieur

La suppression des témoins tiers, et donc de la publicité ciblée, pourrait par ailleurs pénaliser les sites les plus modestes en les privant de leur principale source de revenus tout en renforçant des géants comme Apple, Google et Meta, la maison mère de Facebook.

Pour M. Montulli, la seule solution viable à long terme est probablement une réglementation qui maintiendrait les témoins tout en instaurant des outils de contrôle, comme la possibilité d'accepter ou de refuser le partage de données.

Le web serait vraiment inutilisable sans les témoins, juge-t-il. Mais il va falloir faire évoluer la façon dont ils sont utilisés par les publicitaires.

 

 REF.:  https://ici.radio-canada.ca/nouvelle/1857793/inventeur-cookies-encadrement-lou-montulli?fbclid=IwAR165KzHeuYtCtCeKT25KInF3ayGs6xZlMu2qwcksryyc_hhLFbOZ4zG8lU

PwnKit, le bug Linux qui vous met à la root

 

 

PwnKit, le bug Linux qui vous met à la root

Oyez, oyez jeunes et moins linuxiens ! Sachez-le, il y a sur votre Linux une faille de 12 ans d’âge qui permet à n’importe quel utilisateur lambda sans aucun droit, de devenir root.

Cette vulnérabilité se situe dans le composant pkexec de Polkit. Polkit est un framework qui gère les interactions entre les process avec privilèges et sans privilèges. À titre d’exemple, pkexec permet à un utilisateur de lancer des commandes en tant qu’un autre utilisateur, un peu comme avec sudo.

Référencée sous le doux nom de CVE-2021-4034 alias PwnKit, cette vulnérabilité fonctionne plutôt bien. Un proof of concept en C est même dispo ici. Et un autre en Python également téléchargeable là.

Je viens de le tester sur un Linux Mint et me voilà root.


Évidemment, l’heure est au patch, donc vous pouvez soit patcher directement Pkexec, soit mettre à jour votre système Linux. Debian, Ubuntu, Mint et dérivés ainsi que Red Hat ont déjà sorti les patchs. Mais si vous êtes sur un système un peu à la traine, vous pouvez en attendant utiliser cette commande pour neutraliser l’exploitation de pkexec :

chmod 0755 /usr/bin/pkexec

Également, si vous avez un doute concernant votre serveur et que vous voulez vérifier les logs afin d’être certain que la vuln n’a pas été exploitée, cherchez les chaines suivantes dedans :

The value for the SHELL variable was not found the /etc/shells file
The value for environment variable […] contains suspicious content.

Vous trouverez tous les détails techniques de cette vuln chez Qualys.

Bon courage !

Source  https://korben.info/pwnkit-exploit.html?fbclid=IwAR2n3pBpd8xRpe6exa3siMP6KfWYtx-cJAgXLyCb7p1tKnQ7Wcr3Ljuc9W4