Le saviez-vous ? Le navigateur Microsoft Edge et une fonctionnalité pour le moins étonnante qui pourrait mettre en péril votre précieuse vie privée.

Héééé ouais 🙂

Pour ceux qui ne sont pas au courant, voici un résumé rapide des faits : il semblerait que lorsque nous naviguons avec Microsoft Edge, l’URL des sites qu’on visite soit envoyée vers l’API de Bing (qui appartient également à Microsoft).

Eh oui… Big Brother est toujours là pour veiller sur vos données !

Ce lièvre a été soulevé par des utilisateurs de Reddit – merci les gars – ainsi que Rafael Rivera, ingénieur logiciel et développeur chez EarTrumpet . Le souci proviendrait donc d’une fonction mal implémentée dans ce bon vieux Edge… MOUAIS, COMME DE PAR HASARD !

Alors concrètement, d’où vient ce problème ???
Et bien cela fait déjà quelques mois maintenant que Microsoft teste une nouvelle option permettant aux utilisateurs du navigateur Edge de pouvoir facilement suivre leurs créatrices ou créateurs préféré(e)s sur YouTube ou sur le Web en général.

Cette fonctionnalité, nommée de manière très originale ^^ : « Suivre les créateurs » a été déployée plus largement très récemment. Le problème est que même si vous ne l’utilisez pas, vos URL sont tout de même envoyées à Bing API. Paye ta vie privée.

Mais pour autant, pas de panique ! Je vais vous donner l’astuce ultime pour remédier au problème !

Il suffit de désactivez la fonction « Suivre les créateurs ». Ça sert à rien, ça pompe vos données, donc bye bye !!

Même si du côté de Microsoft on semble prendre ce souci très au sérieux – puisqu’ils enquêtent actuellement dessus… De vrais Colombo -, je préférais quand même vous avertir.

N’hésitez pas à partager cet article autour de vous afin d’informer tous vos proches qui utilisent également Microsoft Edge et protégez au mieux votre (et leur) vie privée !

Source

Allez, ce matin, on va se faire plaisir. Je vais vous parler de la faille sécurité CVE-2023-21036 connue également sous le nom aCropalypse. Cela touche principalement les gens qui ont des smartphones Google Pixel et qui s’amusent recadrer leurs photos.

Alors en quoi ça consiste ? Et bien cela permet de récupérer des données dans des fichiers PNG qui ont été tronqués. Ainsi, un attaquant pourrait, en exploitant cette faille, restaurer des informations personnelles qui auraient été retirées d’une image comme des adresses postales ou des données bancaires, le tout à partir d’images mises en ligne. Flippant (ou trop cool… lol) !!

Pour mieux comprendre, imaginez que vous preniez une capture d’écran d’un mail contenant votre adresse personnelle, puis que vous la recadriez pour ne montrer que le produit que vous avez acheté et masquer vos données personnelles. Grâce à cette faille, il est tout à fait possible de récupérer la partie supprimée de l’image, y compris votre adresse.

Alors comment fonctionne cette vulnérabilité ?

Et bien cela repose sur la compression zlib utilisée dans les fichiers PNG. Normalement, il est très difficile de décompresser des données compressées sans connaître l’arbre de Huffman utilisé pour effectuer cette compression. Toutefois, dans le cas spécifique de cette exploitation de faille, en trouvant le début d’un bloc de codage Huffman, il devient possible de le décompresser à partir de celui-ci.

L’algorithme utilisé est assez simple : il parcoure chaque décalage binaire et, lorsqu’un décalage correspondant au début d’un bloc de Huffman est trouvé, il tente de décompresser les données en le prenant comme point de départ. Ainsi, si les données se décompressent, c’est OK. Sinon, il passe au décalage suivant.

for each bit-offset:
    if it doesn't look like the start of a dynamic huffman block:
        skip this offset

    try decompressing from that offset:
        if the decompressed data looks plausible:
            return decompressed data!
    catch decompression errors:
        continue

Et voilà comment on récupère des données effacées sur des PNG.

Cette vulnérabilité est due à un problème d’API chez Google , où c’est l’option « w » (écriture) qui a été utilisée à la place de « wt » (écriture avec troncage ). Par conséquent, l’image d’origine n’est pas tronquée lorsqu’elle est recadrée.

Et si vous voulez jouer avec, il y a un petit Proof of concept ici ou encore ce site qui permet de récupérer une image complète qui aurait été recadrée sur un Google Pixel. Ça promet :).

Bref, si la fonction « recadrage » que vous utilisez dans votre logiciel préféré passe par l’API de Google, soyez vigilant, le temps que ce problème soit corrigé.

Source

En Inde, Telegram a transféré aux autorités les noms d'administrateurs de plusieurs chaînes, leurs coordonnées téléphoniques et les adresses. Ils étaient accusés d'avoir enfreint des droits d'auteur en revendant du contenu sans autorisation.

Telegram transmet des données confidentielles dans une affaire de violation de copyright

Amazon a admis fournir à la police des enregistrements provenant de ses caméras et sonnettes connectées Ring sans le consentement des propriétaires de ces produits.

Amazon donne à la police les enregistrements de ses caméras Ring sans l’accord des utilisateurs

Alors qu'il clame haut et fort son amour pour la protection des données personnelles, DuckGoGo reste en fait soumis à certaines clauses contractuelles inévitables qui l'empêchent d'aller au bout de sa démarche.

Le navigateur “privé” de DuckGoGo n’est pas aussi confidentiel qu’on le croit