Disney aurait dépassé Netflix

Officiellement, le service de vidéo en ligne Disney+ compterait 152,1 millions d’abonnés fin juin 2022, Hulu 46,2 millions et ESPN+ 22,8 millions. Soit un total de 221,1 millions d’abonnés pour le groupe, ce qui est supérieur aux 220,7 millions d’abonnés revendiqués par Netflix.

Il est facile cependant d’afficher des nombres impresionnants quand on propose six mois d’abonnements d’essai gratuits, une durée bien supérieure à la pratique habituelle de l’industrie du streaming.

Disney revoit à la baisse ses ambitions pour Disney+ en 2014, de 245 à 215 millions d’abonnés. L’entreprise augmente le coût mensuel de l’abonnement de 7,99 à 10,99 $, une stratégie qui a fait perdre des abonnés à Netflix.

Disney va proposer un service « financé par la publicité », avec un coût mensuel de 7,99 $…

Instagram et Facebook peuvent suivre toutes les interactions sur iOS

Un nouveau risque majeur d’atteinte à la vie privée a été découvert dans deux produits de Meta, le champion du monde du viol de la vie privée, par Felix Krause, fondateur de Fastlane, une jeune pousse d’automatisation d’applications.

Sur iOS, tous les liens tiers et les publicités dans Instagram et Facebook, sont rendus dans un navigateur maison, au lieu de Safari ou d’un navigateur choisi par défaut, ce qui permet à Meta de suivre toutes les interactions des utilisatrices et utilisateurs avec des sites externes.

De toutes les données entrées dans des formulaires, y compris des mots de passe, numéros de cartes de crédit et autres données sensibles, à tous les appuis sur l’écran.

Cet espionnage a lieu sans que l’utilisatrice ne s’en aperçoive, et a fortiori sans son consentement.

Pire encore, Instagram injecte des codes de suivi pour tout site, y compris quand on clique sur une publicité, ce qui permet à Meta d’espionner absolument toutes les interactions, y compris les appuis sur les boutons ou les liens, les sélections de texte, les captures d’écrans.

Krause accule Meta de contourner en toute connaissance de cause la politique instaurée par Apple dès iOS 14.5, obligeant les applications à obtenir une autorisation avant de pister les interactions entre applications.

Dès le début, Meta s’était plaint, accusant cette politique d’avantager Google, puisque cette politique visait les applications à l’exception des navigateurs sur la toile.

On ne serait pas étonné d’apprendre que les mêmes violations de la vie privée se produisent sur les versions Android des applications de Meta.

Le seul moyen de se protéger un tant soit peu, est d’utiliser la fonctionnalité qui permet d’afficher un site dans Safari. Quand la fonctionnalité fait défaut, il faut manuellement sélectionner et copier l’hyperlien et l’ouvrir dans Safari.

Cisco reconnaît avoir été piraté en mai 2022

L’équipementier de réseau numéro un mondial, Cisco, a reconnu mercredi que le groupe de rançongiciels Yanluowang avait piraté son réseau interne en mai 2022, et le menace depuis de divulguer ses fichiers en ligne s’il ne paie pas de rançon.

Un porte-parole de Cisco prétend qu’aucun impact sur son activité n’a été détecté, mais reconnaît que des fichiers divulgués sur le web clandestin sont bien des fichiers internes. Cisco aurait découvert le piratage et y aurait remédié avant que les criminels ne chiffrent les fichiers, ce qui les aurait rendus inaccessibles à l’équipementier.

Yanluowang affirme que 2,75 gigaoctets de données ont été dérobés, pour un total de près de 3 100 fichiers, dont des accords de confidentialité, des données brutes et des schémas d’ingénierie.

Des vulnérabilités de Windows et UnRAR seraient activement exploitées

La U.S. Cybersecurity and Infrastructure Security Agency (CISA), une agence fédérale américaine de cybersécurité, a ajouté deux vulnérabilités à sa liste de vulnérabilités activement exploitées par des criminels.

Il s’agit de la vulnérabilité CVE-2022-34713 de MSDT, mieux connue sous le sobriquet DogWalk (promenade de chien), qui permet à un pirate d’insérer une application malveillante dans le répertoire de démarrage de Windows 7/10/11 et Server 2008 à 2022. Une exploitation réussie nécessite toutefois une interaction de l’utilisateur, ce qui ne serait pas si difficile à obtenir avec un peu d’ingénierie sociale.

La vulnérabilité est corrigée à condition d’avoir installé le dernier ensemble de correctifs de sécurité de Windows.

La deuxième vulnérabilité, référence CVE-2022-30333, se trouve dans l’utilitaire de compression et de décompression de fichiers UnRAR pour Linux et Unix – WinRAR et AndroidRAR ne sont pas affectés. Elle fut dévoilée par l’entreprise suisse SonarSource en juin.

Un attaquant peut s’en servir pour installer des fichiers malveillants sur une cible.

Pour se protéger, il faut mettre à jour l’application vers la version 6.12 ou ultérieure.