Dans un effort pour améliorer ses relations avec le futur président des États-Unis, Mark Zuckerberg devrait verser un million de dollars au fond qui financera l’investiture de Donald Trump, selon le Washington Post.
Meta n’avait pas opéré de donations similaires pour l’investiture de Joe Biden en 2021, ni pour le précédent mandat de Donald Trump en 2016.
L’opération est un élément de plus parmi les diverses initiatives de patrons de la tech pour soigner leurs relations avec le vainqueur des élections présidentielles de cet automne.
Alors que Trump utilisait largement Facebook et Instagram pendant son précédent mandat, Meta avait suspendu ses comptes après l’attaque du Capitole du 6 janvier 2021, de peur que l’ex-président ne s’en servent pour inciter à plus de violence.
Depuis la réouverture de ses comptes en 2023, celui-ci avait continué de critiquer ce qu’il qualifie d’injustice de la part de Meta.
Dans la même logique, le patron d’Amazon Jeff Bezos, habituellement très opposé à Trump, a qualifié sa réélection de « retour politique extraordinaire » et de « victoire décisive », déclarant le trouver « plus calme que la première fois, plus confiant, plus posé ».
Mark Zuckerberg verse un million de dollars pour l’investiture de Donald Trump
La faille CVE-2024-11205 du plug-in WPForms de WordPress fait couler beaucoup d’encre, car ses conséquences peuvent directement toucher le portefeuille de millions de sites d’e-commerce (si l’on en croit les statistiques d’installation).
Le CERT Santé français résume la situation : « un défaut de contrôle des permissions dans la fonction wpforms_is_admin_page du plugin WordPress WPForms permet à un attaquant authentifié en tant qu’abonné de rembourser des paiements et d’annuler des abonnements ». L’attaque est simple, réalisable à distance, mais ne permet pas d’escalade des privilèges. Elle obtient le score de 8,5 en CVSS 3.1.
Comme son nom l’indique, WPForms permet de créer des formulaires. Le plug-in est développé par Awesome Motive. Les versions 1.8.4 à 1.9.2.1 sont touchées par cette vulnérabilité. WPForums 1.8.4 a été annoncée en septembre 2023, il y a donc plus d’un an, et proposait essentiellement de « nouveaux outils de paiement Stripe ».
Un correctif a été mis en place dans la version 1.9.2.2 du 18 novembre. Depuis une dizaine de jours, la 1.9.2.3 est disponible avec des corrections de bugs. Que ce soit avec la 1.9.2.2 ou la 1.9.2.3, il n’est à aucun moment fait mention d’un grave problème de sécurité dans les notes de version.
Si on peut comprendre la volonté de ne pas donner tous les détails dans un premier temps (pour laisser à un maximum d’utilisateur la possibilité de se mettre à jour), on ne peut que regretter qu’Awesome Motive ne précise pas à ses clients de se mettre à jour au plus vite pour des raisons de sécurité.
La brèche a été signalée par le chercheur en cybersécurité villu164 le 8 novembre à Wordfence, un plug-in spécialisé dans la sécurité pour WordPress. Le 14 novembre, la vulnérabilité était confirmée et les développeurs de WordForms prévenus.
En effet, ce plug-in propose des abonnements payants Premium à partir de 149 dollars par an (jusqu’à plus de 1 200 dollars par an) leur permettant d’avoir une protection plus rapide que les utilisateurs gratuits.
Dans le cas de la faille du jour, ils ont obtenu le 15 novembre « une règle de pare-feu pour les protéger contre tout exploit susceptible de cibler cette vulnérabilité », tandis que les autres doivent attendre le 15 décembre… soit six jours après la mise en ligne de la brèche et de ses détails.
WordPress : pendant plus d’un an, une faille de WPForms permettait de rembourser des achats
Dans un communiqué, la CNIL annonce que, « en réaction à plusieurs plaintes d’internautes, [elle] met en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses ». Le problème se situe lors du recueil du consentement avec une incitation des « internautes à accepter les cookies ».
Or, rappelle à juste titre la Commission, le dépôt des cookies ne peut se faire qu’après le consentement de l’utilisateur (sauf exceptions) et que « refuser les cookies doit être aussi simple que les accepter ». La loi n’impose pas de manière de faire, mais les éditeurs doivent en plus s’assurer que « l’information figurant sur la bannière [soit] claire et complète ».
2021, 2024 : même « combat » ?
Rien de neuf sous le Soleil, la CNIL avait déjà mis en demeure des sites en mai 2021, après une période de « grâce » de trois ans puisque le RGPD est entré en application le 25 mai 2018. Plus de trois ans plus tard, la CNIL en est encore à des mises en demeure sans sanction pécuniaire ni nommer les fautifs, qui ont donc un mois pour se mettre en conformité.
Il y a peu, Mathias Moulin (secrétaire général adjoint de la CNIL) confirmait une impression latente depuis des années : « Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
Comme pour répondre aux accusations de ne pas assurer correctement sa mission, la CNIL affirme que lorsqu’elle reçoit une plainte, elle « analyse au cas par cas les bandeaux de recueil du consentement ». À l’issue de ses analyses, elle a décidé de mettre en demeure plusieurs éditeurs de modifier leur bannière dans un délai d’un mois, sans préciser lesquels.
La CNIL ne donne aucune indication sur la suite des événements. Si des sites ne se mettent pas en conformité, passera-t-elle par la case sanction ? Impossible à dire en l’état. Un rappel des risques pour les acteurs concernés n’aurait certainement pas fait de mal. En 2021, elle rappelait que les sites visés risquaient des « sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires » s’ils ne se mettaient pas en conformité.
Les griefs contre les bandeaux
Deux griefs sont principalement formulés contre les éditeurs : « la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter » et « ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations ».
La CNIL dresse une liste des mauvaises pratiques. L’option pour accepter est mise en avant de « manière disproportionnée » avec des choix de couleur, de taille et de police, tandis que l’option pour refuser « se confond avec les mentions d’information en raison de son emplacement » ou bien elle est « accolée à d’autres paragraphes » et bien moins visible.
La CNIL pointe aussi du doigt le fait que « l’option d’acceptation est présentée plusieurs fois dans la bannière alors que celle relative au refus n’est présente qu’une seule fois ». Si besoin, de la documentation sur les cookies est disponible par ici et par là.
Évoquée de longue date, la conclusion d'un accord entre le groupe Canal+ et Apple au sujet de son offre de musique sur abonnement, Apple Music, se concrétise ce jeudi. Les deux sociétés ont en effet annoncé l'intégration de l'offre Apple Music au sein de l'abonnement Canal+ à compter du 12 décembre.
Contrairement à l'offre vidéo Apple TV+, intégrée sans surcoût à l'abonnement Canal+ depuis avril 2023, Apple Music est ici facturée en supplément, mais avec une réduction par rapport à un abonnement souscrit de façon indépendante.
« Les abonnés détenant un abonnement payant à la chaîne CANAL+ en France hexagonale pourront ainsi bénéficier de l’abonnement individuel à Apple Music au prix de 7,69 €/mois au lieu de 10,99 €, soit une réduction de 30% par rapport au prix public pratiqué par Apple », indiquent les deux partenaires.
Canal+, qui prépare son introduction à la bourse de Londres suite à la scission, récemment votée en assemblée générale, des activités de sa maison mère Vivendi, voit dans cet accord une nouvelle étape dans sa stratégie de transformation en un « véritable agrégateur de contenus culturels ».
Canal+ distribue désormais Apple Music, avec un rabais de 30%
Une fois n'est pas coutume, c'est par le biais d'un communiqué de presse qu'Apple a officialisé, mercredi soir, la publication de la version finale d'iOS 18.2, iPadOS 18.2, et macOS Sequoia 15.2. Comme annoncé de façon implicite par la première bêta datée de fin octobre, cette mise à jour introduit en effet la prise en charge des fonctions liées à Apple Intelligence sur de nouveaux marchés anglophones, avec une localisation assurée pour le Canada, le Royaume-Uni, l'Australie, l'Irlande et la Nouvelle-Zélande. La France n'est toujours pas au programme, mais Apple renouvelle à cette occasion sa promesse d'un lancement programmé aux alentours du mois d'avril.
Sur le volet Intelligence, la firme introduit plusieurs nouveautés, dont Image Playground, une application de création d'images simplifiée, qui permet de générer rapidement un visuel à partir d'une combinaison de propositions, de prompts textuels ou d'éléments extraits d'une photo de l'utilisateur. Elle lance également Genmoji qui, sur le même principe, propose de créer des émoticônes personnalisés. La mise à jour signe par ailleurs l'intégration effective de ChatGPT, désormais accessible au travers de Siri, comme une extension aux capacités d'inférence en local.
Sur iPhone, iOS 18.2 introduit également de nouveaux contrôles dédiés à l'appareil photo pour les détenteurs d'iPhone 16 (Pro), via le bouton dédié installé sur la tranche de l'appareil. L'application photo profite également d'une légère refonte censée améliorer l'ergonomie. Le client Mail dispose quant à lui d'une nouvelle option de classement automatique des messages, ainsi qu'une vue Résumé permettant de consulter d'un coup d'œil tous les derniers courriers d'un même expéditeur.
En Europe, iOS 18.2 répond enfin comme prévu aux exigences formulées dans le cadre du DMA (Digital Markets Act), en offrant la possibilité de modifier l'application par défaut utilisée pour les messages ou les appels. La fonction prend la forme d'un menu dédié dans l'application Réglages. Le système permet par ailleurs désormais de désinstaller plusieurs des clients préinstallés : Messages, Caméra, Photos, Safari et même l’App Store.
Sur ordinateur, macOS 15.2 profite également des nouveautés liées à Apple Intelligence (sur les machines équipées d'un processeur M), à l'exception de Genmoji.
Apple publie les versions finales d’iOS 18.2 et macOS 15.2
Après ses travaux sur l’algorithme de la Caisse nationale des affaires familiales (CNAF), la Quadrature du Net continue son étude des systèmes de lutte contre la fraude par l’analyse d’un algorithme développé par la Caisse nationale de l’Assurance Maladie (CNAM) pour détecter les foyers susceptibles d’être contrôlés pour fraude à la Complémentaire Santé Solidaire gratuite (C2S).
5,8 millions de personnes parmi les plus pauvres bénéficiaient en 2023 de cette aide attribuée sous conditions de ressources. Au-delà du palier de 9 719 euros de revenus annuels pour une personne seule, une participation financière est demandée (1,6 million de personnes bénéficiaient fin 2023 de la C2S avec participation).
À la suite d’une erreur de la CNAM, la Quadrature a accédé au code source (en l’occurrence, aux odds ratio) de l’outil attribuant une note au profil de chaque bénéficiaire. Cette note lui permet de décider quel profil sera contrôlé. Après analyse par rétroingénierie, l’association conclue que la machine cible les mères précaires plus spécifiquement que le reste de la population bénéficiaire de la C2S.
Dans la documentation de l’assurance maladie, ces dernières sont ouvertement présentées comme « plus à risques d’anomalies et de fraude ».
La Quadrature du Net a par ailleurs récupéré le code d’un modèle expérimental, non généralisé, mais dont les résultats ont été salués dans des documents d’un Comité de direction Fraude de 2020.
Celui-ci ajouterait des critères comme le fait de « bénéficier d’une pension d’invalidité » (être en situation de handicap), d’être malade ou d’être « en contact avec l’Assurance Maladie » pour faire augmenter le score du profil analysé.
Pour rappel, du côté de la CAF, les travaux de sociologues comme Vincent Dubois ont montré une nette augmentation des contrôles sur pièce à la suite de l’introduction de ce type d’outils. Surtout, ces analyses ont montré le risque de glissement, avec ces machines, de l’analyse de « situations à risques » – de fait, les mères seules sont particulièrement vulnérables à la pauvreté – à celui de « populations à risques », ce qui conduit certains bénéficiaires d’aides à se retrouver plus régulièrement contrôlés… sur la foi de caractéristiques protégées.
Du côté de l’Assurance Maladie, la Quadrature regrette que les conséquences humaines de ces contrôles ne soient jamais mentionnées dans les documents qu’elle a analysés.
Auprès de Mediapart, la CNAM assure que ces documents ne sont « plus du tout d’actualité ». Ses propres échanges avec l’association laissent pourtant voir qu’en mai 2024, elle leur adressait ce qu’elle qualifiait de « présentation du modèle actuel de datamining, version enrichie de celui généralisé en 2019 ».
L’assurance maladie à son tour accusée de cibler les mères pauvres
Android (et Apple) permet depuis longtemps d’être informé lorsqu’un tracker Bluetooth vous colle aux baskets, vous permettant ainsi de vérifier si une personne n’en a pas placé un dans vos affaires, à votre insu. Google annonce aujourd’hui deux nouvelles fonctionnalités pour renforcer cette protection.
Tout d’abord, vous pouvez « suspendre temporairement les mises à jour de localisation de votre téléphone pour empêcher la position de votre appareil d’être utilisée par une balise bluetooth inconnue détectée pendant une période pouvant aller jusqu’à 24 heures ».
Ensuite, toujours dans le cas d’une alerte d’un traqueur inconnu, « vous pouvez utiliser la fonction "Rechercher à proximité" pour localiser la balise. Votre appareil Android vous guidera, pour vous aider à la trouver si elle est cachée ».
En cliquant sur la notification d’un tracker inconnu, Android vous permet de voir sur une carte la localisation où il a été repéré pour la dernière fois. Vous pouvez alors le faire sonner pour essayer de le localiser (Google précise que le propriétaire ne sera pas averti), ou bien essayer de le trouver à l’aide de Find Nearby qui « connectera votre téléphone au tracker via Bluetooth et affichera une forme qui se remplira au fur et à mesure que vous vous en rapprocherez », explique Engadget.
Android ne se contente plus de signaler les trackers Bluetooth, il vous aide à les trouver
Début 2017, Altice (maison mère de SFR) annnonçait le rachat de la place de marché publicitaire Teads (le nom signifiant Technology for Advertising) pour 285 millions d’euros. Teads s’est fait connaitre pour sa fonctionnalité inRead qui permet d’insérer des vidéos « au cœur des contenus éditoriaux ». De son côté, Outbrain est spécialisée dans les annonces de recommandation de contenu plutôt placées en fin de page.
Cet été, Outbrain a lancé le rachat de Teads pour fusionner leurs services. Le but ? Unir leurs forces « pour créer une plateforme publicitaire inégalée ». À eux deux, ils peuvent donc occuper le cœur des articles et le bas des pages. Bien évidemment, les autorités compétentes devaient donner leur accord. Pour rappel, sur Next, rien de tout cela : le site est 100 % sans publicité.
C’était une première pour l’Autorité de la concurrence qui a donc dû « se prononcer sur le secteur de la publicité en ligne non liée à la recherche ». Elle autorise cette opération, sans conditions.
Publicité en ligne : feu vert pour le rachat de Teads par Outbrain
Commentaires