Depuis cet été je me suis découvert une nouvelle passion : le paramétrage de la localisation sur les terminaux Android. Ce n’est pas commun comme hobby… mais j’y ai tout de même consacré pas mal de temps et ai rédigé quelques billets dessus. Dans celui-ci, je raconte comment, avec beaucoup de chance et un peu d’obstination, j’ai trouvé ma première vulnérabilité !…
Les fabricants de smartphones Android apportent parfois de légères modifications à l’OS de Google. L’une d’entre elles concerne une sécurité apportée par google en 2015 : depuis Android 6 il faut que la localisation soit active pour utiliser certaines fonctionnalités Bluetooth Low Energy (ci-après BLE ou Bluetooth). Cette restriction empêche qu’un utilisateur soit localisé à son insu mais elle est peu documentée et n’a pas été intégrée dans certains smartphones Android. Cette disparité n’avait pas d’effet majeur tant que l’utilisation du BLE pour détecter les appareils se trouvant à proximité était peu répandue, mais elle devient critique maintenant que des millions de smartphones utilisent le BLE pour mesurer des distances. Pour corser le problème, la solution la plus simple pour activer la localisation depuis une app (et donc s’assurer que le BLE fonctionne) implique de remonter des informations de localisation à Google…
Depuis le 12 juillet, le règlement Plateforme-To-Business est entré en application. Ce règlement ambitionne de rendre plus équitables et transparentes les relations entre les plateformes et les entreprises. P2B s’applique entre autres aux magasins d’applications qui permettent d’installer des applications sur smartphones. Dans cet article je m’intéresse plus particulièrement à son impact sur l’app store d’Apple…
Au mois de novembre, j’ai effectué une demande de droit d’accès à Google. Après un délai d’un mois, Google m’a indiqué que le traitement de ma requête aller prendre du temps. Deux mois après cette prolongation, Google a répondu à ma requête… en m’indiquant ne pas pouvoir répondre à la plupart de mes demandes…
Comme tout le monde, j’ai constaté que les bandeaux cookies recommençaient à pulluler à l’approche de l’été. Ce qui est peut-être moins commun, c’est que j’étais heureux car l’utilisateur semblait enfin pouvoir consentir au dépôt de cookies au lieu d’être mis devant le fait accompli comme il l’a été durant plusieurs années. J’ai rapidement déchanté en découvrant le périple qu’il fallait accomplir pour s’opposer au dépôt de cookies…
Ce post explique brièvement comment les « Content Security Policy » peuvent être utilisées pour mettre votre site en conformité.
Prés de deux ans après que Google ait annoncé la mise en place de sa nouvelle “Politique de Confidentialité”, la CNIL sanctionne Google d’une amende de 150.000 euros. Google devra aussi publier un communiqué sur Google.fr pendant 48h. Si le montant peut sembler faible au regard des revenus de Google, il faut savoir que cela est dû au blocage du nouveau règlement européen qui aurait permit d’aller jusqu’à 2% du CA de Google (blocage dont le conseiller Privacy de Google en France se frotte les mains)…