Une vulnérabilité et une victoire pour les autorités de protection des données sont un bon rappel de ce qui peut se produire lorsque les données ne sont pas conservées en toute sécurité.
Résumé hebdomadaire sur la sécurité, semaine du 12 mars
Les admins Samba priés d'appliquer un correctif
Une vulnérabilité importante mise en lumière la semaine dernière est celle de la vénérable pile réseau open-source de Samba, et si vous êtes un administrateur Samba, vous devez faire la mise à jour maintenant.
La vulnérabilité signifie que si vous avez un serveur LDAP Samba 4 configuré en tant que contrôleur de domaine Active Directory, tout utilisateur authentifié peut écraser le mot de passe d'un autre utilisateur, y compris les mots de passe administrateur.
La faille, que Samba a corrigée avec un correctif mardi dernier, affecte toutes les versions de Samba à partir de la version 4.0 ou en d'autres termes, toutes les versions du logiciel depuis décembre 2011.
D'après l'organe consultatif, la vulnérabilité signifie que les « utilisateurs authentifiés peuvent changer le mot de passe d'autres utilisateurs » dans n'importe quelle version de la pile logicielle depuis lors.
Selon l'organe consultatif, « le serveur LDAP valide incorrectement certaines modifications de mot de passe LDAP par rapport au privilège Changer le mot de passe, mais lance ensuite une option de réinitialisation du mot de passe. »
Samba a publié une solution de contournement qui donne également des conseils sur la façon de vérifier tout changement de mot de passe non autorisé qui a été fait, puis demande aux administrateurs d'effectuer une mise à niveau ou d'installer un correctif dès que possible.
Facebook et WhatsApp plient face au régulateur des données
Entre-temps, les utilisateurs britanniques de Facebook et WhatsApp ont reçu de bonnes nouvelles mercredi, lorsque l'autorité britannique de protection des données, l'ICO (« Information Commissioner’s Office »), a déclaré qu'il était enfin parvenu à un accord avec Facebook et WhatsApp sur la manière dont ces sociétés échangent les données des utilisateurs.
Ainsi, Facebook ne peut pas utiliser les données d'utilisateur WhatsApp comme prévu pour « vous proposer de meilleures suggestions d'amis et vous montrer des annonces plus pertinentes ».
Cette lutte entre Facebook et l'ICO du Royaume-Uni remonte à 2016, lorsque WhatsApp, qui a été acquise par Facebook en 2014 pour 19 milliards de dollars, a déclaré qu'elle mettait à jour sa politique de confidentialité afin de pouvoir partager des données avec sa nouvelle société mère.
« Pas si vite », a déclaré l'ICO, qui a souligné que les plans de partage de données violaient la loi britannique sur la protection des données. L'ICO a ensuite lancé une enquête sur la façon dont Facebook et WhatsApp partageaient les données, ce qui a donné lieu à une sorte d'impasse entre l'organisme de réglementation et l'entreprise de médias sociaux.
L'annonce de mercredi marque l'arrêt des hostilités entre les deux organisations, avec une petite victoire à la Pyrrhus pour Facebook, qui n'aura pas d'amende, et un résultat positif pour les utilisateurs au Royaume-Uni.
Dans un article expliquant le résultat, Elizabeth Denham a déclaré qu'elle avait établi que « WhatsApp n'a pas identifié une base légale de traitement pour un tel partage de données personnelles » et que « WhatsApp n'a pas fourni aux utilisateurs des informations adéquates sur le traitement équitable en relation avec un tel partage de données personnelles ».
Facebook ne peut donc pas exploiter la richesse des données détenues par WhatsApp, et ne pourra par conséquent pas s'en servir pour suggérer des personnes avec lesquelles vous pourriez vouloir vous connecter ou vous montrer des publicités « plus pertinentes ».
On a probablement entendu des dents grincer au siège de Facebook à la fin de la semaine, car l'accès à ce flux de données était l'une des principales raisons pour lesquelles Facebook voulait acheter WhatsApp et pour lesquelles le prix de l'acquisition était si élevé.
Elizabeth Denham déclare qu'elle a décidé de ne pas infliger d'amende aux entreprises, préférant obtenir que WhatsApp signe un engagement officialisant l'interdiction de partager les données personnelles des utilisateurs britanniques avec Facebook.
Il reste toutefois une zone d'ombre dans l'affaire : D'après Elizabeth Denham, l'engagement stipule que WhatsApp ne partagera pas les données avec Facebook « jusqu'à ce qu'elles puissent le faire en conformité avec le Règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai de cette année ».
Comme le souligne Elizebath Denham, ce résultat envoie toutefois un message fort aux grandes entreprises technologiques au sujet des normes que les consommateurs et les organismes de réglementation attendent d'elles en matière de données personnelles. Elle explique : « Au cœur de ces préoccupations se trouve le désir d'améliorer la transparence, le contrôle et la responsabilisation, à une époque où les données personnelles sont de plus en plus au cœur des modèles d'affaires des principaux acteurs de l'économie numérique.
Elle ajoute qu'elle n'est pas la seule autorité de réglementation européenne à s'être inquiétée de la façon dont Facebook et WhatsApp comptaient partager les données des utilisateurs : les régulateurs allemands leur ont également interdit de partager des données, et la France prend également des mesures coercitives.
Elle souligne que le RGPD renforce les règles « sur ce qui constitue le consentement ».
Il s'agit donc d'un coup de semonce pour Facebook et WhatsApp : elles ont été averties qu'elles ont besoin d'une base légale pour partager des données personnelles, et que les régulateurs en Europe se montreraient très attentifs.
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde entier. Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d'aujourd'hui et comment les vaincre sur blog.avast.com.
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook, Twitter et Google+.