Google a corrigé une nouvelle faille de sécurité zero-day dans son navigateur Google Chrome ! Puisqu'elle serait exploitée par les cybercriminels, il est recommandé d'effectuer la mise à jour vers la nouvelle version dès maintenant !
Il y a quelques jours, Google a mis en ligne Google Chrome 112.0.5615.121 dans le but de corriger plusieurs failles de sécurité dont la faille zero-day CVE-2023-2033, exploitée dans le cadre d'attaques. Sauf que cette version est déjà obsolète puisque l'entreprise américaine a mis en ligne une nouvelle version de Chrome pour corriger une autre faille zero-day : Google Chrome 112.0.5615.137. C'est donc cette version que vous devez utiliser pour être protégé.
La faille de sécurité zero-day faisant l'objet de cette alerte est associée à la référence CVE-2023-2136. Il s'agit d'une vulnérabilité de type "integer overflow" dans la bibliothèque graphique 2D Skia. Il s'agit d'une bibliothèque open source maintenue par Google et écrite en C++ qui joue un rôle clé dans la gestion de l'affichage du navigateur Google Chrome.
Une fois encore, c'est Clément Lecigne de l'équipe Google Threat Analysis qui a découvert cette faille de sécurité ! En exploitant cette vulnérabilité, un attaquant pourrait corrompre la mémoire de la machine et effectuer une exécution de code arbitraire sur le système de la machine ciblée. Comme à son habitude, la firme de Mountain View n'a pas donné de précisions sur les incidents de sécurité observés ou sur l'exploitation technique de cette faille de sécurité.
Google Chrome 112.0.5615.137 est disponible pour tous les utilisateurs sous Windows et macOS, tandis que pour Linux elle devrait être disponible prochainement d'après Google. Au total, cette nouvelle version corrige 8 failles de sécurité dans Chrome !
Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.
Google a mis en ligne une nouvelle version de son navigateur Google Chrome dans le but de corriger une faille de sécurité zero-day : CVE-2023-2033. La première de l'année 2023 !
Dans le bulletin de sécurité mis en ligne par l'entreprise américaine, on peut lire que cette nouvelle version corrige deux failles de sécurité, dont la vulnérabilité CVE-2023-2033 découverte par Clément Lecigne de l'équipe Google Threat Analysis. Le travail de cette équipe de chez Google est très important, car il permet régulièrement de découvrir de nouvelles failles de sécurité dans Chrome.
Associée à une sévérité élevée, cette vulnérabilité zero-day se situe dans le moteur JavaScript V8 de Chrome. Elle est exploitée dans le cadre d'attaques et d'ailleurs il existe un exploit : "Google sait qu'il existe un programme d'exploitation pour la CVE-2023-2033 dans la nature."
Toutefois, Google n'a pas donné de précisions sur les incidents de sécurité observés et associés à cette vulnérabilité, ni même sur le fonctionnement de cet exploit en lui-même.
Ce qui est logique compte tenu de la politique appliquée par l'entreprise de Mountain View : "L'accès aux détails des bugs et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient reçu un correctif." - D'autres informations devraient fuiter par la suite.
Il s'agit de la première faille zero-day corrigée dans Chrome en 2023. L'année dernière, Google avait corrigé près de 10 failles de ce type dans ce navigateur.
Google Chrome 112.0.5615.121
Utilisateurs de Google Chrome, que ce soit sur Windows, macOS ou Linux, vous devez mettre à jour le navigateur sur votre machine dès que possible. La version 112.0.5615.121 de Google Chrome intègre le correctif.
Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.
Localiser un smartphone perdu ou volé même s'il est éteint ou s'il n'a plus de batterie, c'est une fonctionnalité très intéressante qui pourrait débarquer à l'occasion de la sortie d'Android 14. Faisons le point.
D'après les dernières informations qui circulent sur Twitter, cette fonctionnalité surnommée « Pixel Power-off Finder » s'appuierait sur la technologie Ultra Wide Band pour aller plus loin dans la détection d'un appareil perdu ou volé puisqu'elle fonctionne même si l'appareil est éteint ou qu'il n'a plus de batterie.
Pour cela, il faut que l'appareil en lui-même soit doté d'un matériel spécifique, en l'occurrence une puce Bluetooth capable de fonctionner même lorsque l'appareil n'a plus de batterie. Cela s'applique aux smartphones, mais aussi à tout objet connecté qui serait doté d'une puce compatible.
Google pourrait officialiser la sortie de la fonctionnalité « Pixel Power-off Finder » au moment de la sortie d'Android 14. Reste à savoir quels seront les appareils compatibles avec cette nouveauté, et s'il faut réellement une puce Bluetooth spécifique, ce n'est pas gagné pour les modèles de smartphones actuels ! Que ce soit pour les appareils de chez Google ou ceux des autres fabricants. En effet, même pour les Pixel 6 et Pixel 7, ce n'est pas certain de pouvoir bénéficier de cette fonction. Google devrait communiquer à ce sujet dans les semaines ou mois à venir puisqu'Android 14 est prévu pour août ou septembre 2023.
Au final, cette fonctionnalité n'est pas sans rappeler la fonction "Localiser" de chez Apple disponible depuis la sortie d'iOS 15, même si la technologie employée semble différente.
Enfin, et cela reste une rumeur, Google travaille sur la mise au point d'un réseau permettant de faciliter la communication entre tous les appareils Android, sans tenir compte du constructeur, avec pour objectif de sortir un équivalent au tracker AirTag de chez Apple (identifiée sous le nom de Grogu).
Voilà des nouvelles qui devraient faire plaisir aux utilisateurs d'Android !
Sur Android, les utilisateurs vont avoir plus de contrôle sur leurs données puisque les développeurs vont devoir proposer un lien pour permettre à l'utilisateur de supprimer son compte dans une application, ainsi que ses données.
Cette nouvelle politique du Google Play Store va entrer en vigueur au début de l'année 2024 dans le but de permettre aux utilisateurs de demander la suppression de leurs données au développeur d'une application. Un lien devra être facilement accessible à partir de la section "Suppression des données" de chaque application.
Dans son article, Google insiste bien auprès des développeurs sur le fait que la suppression d'un compte doit impliquer la suppression des données associées à ce compte : "Comme le stipule la nouvelle politique, lorsque vous répondez à une demande de suppression d'un compte, vous devez également supprimer les données associées à ce compte".
Même si ce n'est pas obligatoire, un développeur pourrait permettre aux utilisateurs de supprimer leurs données (historique, images, vidéos) sans pour autant supprimer le compte intégralement. Par ailleurs, pour certaines applications spécifiques où la conservation de données est réglementaire, il faudra avertir l'utilisateur : "Pour les développeurs qui doivent conserver certaines données pour des raisons légitimes telles que la sécurité, la prévention de la fraude ou la conformité réglementaire, vous devez clairement divulguer ces pratiques de conservation des données."
Désormais, les développeurs d'applications doivent se mettre en conformité avant l'entrée en vigueur de cette politique, tout en sachant que d'ici le 7 décembre 2023, il est obligatoire pour chaque développeur de partager ses pratiques en matière de suppression des données. Sinon, il y aura des conséquences : "Ceux qui n'auront pas déposé à temps les informations requises sur les pratiques de suppression ne pourront plus publier de nouvelles applications ou de mises à jour d'applications."
Tout en sachant que si un développeur propose déjà une option dans l'application pour supprimer son compte, cela ne sera pas suffisant ! Il devra aussi proposer un lien direct pour que l'utilisateur soit en mesure de demander la suppression de son compte et ses données sans devoir réinstaller l'application.
Google a enfin sorti son propre robot conversationnel, Bard, en accès public ! L’objectif est clair : améliorer la qualité de ses réponses en échangeant avec les utilisateurs. C’est un effort évident pour concurrencer ChatGPT, développé par OpenAI en collaboration avec Microsoft, qui a débordé Bard depuis sa sortie en novembre dernier.
Initialement réservé aux testeurs de confiance, Bard a finalement été ouvert au grand public, mais avec un accès limité et une liste d’attente. Malheureusement, pour le moment, seuls les résidents des États-Unis et du Royaume-Uni ont la chance de pouvoir s’inscrire sur la liste d’attente.
Je me suis inscrit sur la liste d’attente me connectant aux US via mon VPN
Il n’y a plus qu’à patienter, je devrais rapidement recevoir un mail de confirmation.
Bard, le nouvel outil conversationnel de Google, a une interface distincte de son moteur de recherche principal. Les utilisateurs peuvent poser des questions dans une zone de texte spécifique sur le site web de Bard. Les vice-présidents de Google, Sissie Hsiao et Eli Collins, ont annoncé sur un blog que l’objectif principal est de recevoir des commentaires de la part d’un plus grand nombre d’utilisateurs pour améliorer l’outil.
Le modèle de langage de Bard, connu sous le nom de LLM, s’améliore avec l’utilisation et les données collectées. En se nourrissant de conversations écrites et de données, l’algorithme de LLM peut répondre avec plus de précision aux questions des utilisateurs. LaMDA, un modèle de langage de conversation conçu par Google, est utilisé pour alimenter Bard en données.
Bien que les LLM ne soient pas infaillibles et puissent parfois fournir des informations inexactes, Google a mis en place des “garde-fous” pour empêcher les réponses inexactes ou inappropriées. Les limites de longueur des conversations entre Bard et les utilisateurs font partie des mesures de sécurité prises par Google pour contrôler les conversations.
Lors d’une interview avec le New York Times, Sissie Hsiao et Eli Collins ont avoué que Google n’avait pas encore décidé comment faire de l’argent avec Bard, ni quelle serait la stratégie de monétisation pour cet outil conversationnel.
Allez, ce matin, on va se faire plaisir. Je vais vous parler de la faille sécurité CVE-2023-21036 connue également sous le nom aCropalypse. Cela touche principalement les gens qui ont des smartphones Google Pixel et qui s’amusent recadrer leurs photos.
Alors en quoi ça consiste ? Et bien cela permet de récupérer des données dans des fichiers PNG qui ont été tronqués. Ainsi, un attaquant pourrait, en exploitant cette faille, restaurer des informations personnelles qui auraient été retirées d’une image comme des adresses postales ou des données bancaires, le tout à partir d’images mises en ligne. Flippant (ou trop cool… lol) !!
Pour mieux comprendre, imaginez que vous preniez une capture d’écran d’un mail contenant votre adresse personnelle, puis que vous la recadriez pour ne montrer que le produit que vous avez acheté et masquer vos données personnelles. Grâce à cette faille, il est tout à fait possible de récupérer la partie supprimée de l’image, y compris votre adresse.
Alors comment fonctionne cette vulnérabilité ?
Et bien cela repose sur la compression zlib utilisée dans les fichiers PNG. Normalement, il est très difficile de décompresser des données compressées sans connaître l’arbre de Huffman utilisé pour effectuer cette compression. Toutefois, dans le cas spécifique de cette exploitation de faille, en trouvant le début d’un bloc de codage Huffman, il devient possible de le décompresser à partir de celui-ci.
L’algorithme utilisé est assez simple : il parcoure chaque décalage binaire et, lorsqu’un décalage correspondant au début d’un bloc de Huffman est trouvé, il tente de décompresser les données en le prenant comme point de départ. Ainsi, si les données se décompressent, c’est OK. Sinon, il passe au décalage suivant.
for each bit-offset:
if it doesn't look like the start of a dynamic huffman block:
skip this offset
try decompressing from that offset:
if the decompressed data looks plausible:
return decompressed data!
catch decompression errors:
continue
Et voilà comment on récupère des données effacées sur des PNG.
Cette vulnérabilité est due à un problème d’API chez Google, où c’est l’option « w » (écriture) qui a été utilisée à la place de « wt » (écriture avec troncage). Par conséquent, l’image d’origine n’est pas tronquée lorsqu’elle est recadrée.
Bref, si la fonction « recadrage » que vous utilisez dans votre logiciel préféré passe par l’API de Google, soyez vigilant, le temps que ce problème soit corrigé.
Vendredi 20 janvier 2023, Alphabet a annoncé la suppression de 6 % de ces effectifs à travers le monde. Cela représente 12 000 emplois. Après plusieurs années de croissance, le directeur général, Sundar Pichai se voit contraint de réduire ses effectifs. Pourtant, Google est la société qui a évité le plus longtemps un plan social. Face à un bénéfice moins important que prévu et un ralentissement de la publicité numérique, la société a dû céder. Licenciement à plusieurs vitesses En […]
Google partage les meilleures pratiques de référencement mais aussi ses recommandations techniques pour les sites de commerce électronique dans sa dernière vidéo Lightning Talks.
Google fournit régulièrement des conseils aux référenceurs. Cette fois, en plus de s’adresser aux référenceurs, il s’adressent aux marchands et aux propriétaires de sites e-commerce sur les meilleures pratiques pour fournir au moteur de recherche des informations précises leurs produits.
Lorsque Google dispose de données précises et régulièrement actualisées sur les produits, il peut « appliquer un formatage spécial » dans les résultats de recherche afin d’aider les acheteurs à prendre leurs décisions. C’est ce que nous appelons des données stucturées.
À quoi servent les données structurées ?
Avec ces données structurées, Google peut afficher pour les pages de produits, un résumé des avis, prix et le stock des produits dans les pages de résultats (SERP).
Voici un exemple avec la requête « Chaussures pas cher » et « chaussures Bonne Geule » (vous remarquerez que c’est pas la première fois que je cite Bonne Gueule. Je les avais cité dans l’article sur les avantages d’avoir un blog en plus de votre site ecommerce)
Lorsque les pages produits peuvent renseigner Google ces informations, Google les affiche dans les résultats de recherche. Il est donc possible d’augmenter le trafic de Google vers les sites de commerce électronique avec ces informations.
Google est également capable d’afficher les informations de ces produits, lorsqu’elles sont disponibles, dans Google Images, Google Maps et Google Shopping.
Alan Kent, Developer Advocate chez Google, explique les différentes façons dont les référenceurs et les marchands peuvent fournir ces informations à Google.
Voyons d’abord pourquoi des étapes supplémentaires sont nécessaires pour fournir des données sur les produits à Google.
Pourquoi les données sur les produits sont différentes des autres types de données
L’une des grandes questions que l’on peut se poser lors du processus de fourniture d’informations sur les produits à Google est la suivante : pourquoi Google ne peut-il pas obtenir ces informations par lui-même ?
Google peut explorer et indexer d’autres types de contenu de manière autonome. En quoi les données relatives aux produits sont-elles différentes ?
Il existe plusieurs éléments que Google n’est pas en mesure d’extraire d’une page produit par lui-même. Ces informations doivent être fournies par le site au moyen d’un balisage de données structurées, d’un flux de produits ou autre.
Google n’affiche les informations sur les produits dans les résultats de recherche que lorsqu’il est certain d’avoir obtenu des informations fiables et précises.
Les propriétaires de sites e-commerce doivent aider Google à vérifier l’exactitude de certaines données que ses robots ne peuvent pas identifier seuls.
Voici quelques exemples de ces données :
Prix original vs. prix réduit
Produits connexes par rapport au produit réellement vendu
Prix du produit par rapport aux taxes et aux frais d’expédition
Voici comment fournir ces informations à Google.
Fournir les informations de vos produits avec des données structurées
L’utilisation de données structurées est un moyen de s’assurer que Google comprend correctement tous les détails d’un produit. C’est sans doute le moyen le plus utilisé pour fournir les informations nécessaires à Google 🙂
Il existe plusieurs façons d’utiliser les données structurées, mais la plus courante consiste à les intégrer dans une page sous forme de script JSON-LD.
Également, et c’est parfois la solution la plus simple, vous pouvez les trouver sous forme d’attributs HTML nommés microdatas.
Voici deux exemples d’informations sur les produits renseignés via des données structurées, d’un côté les microdatas, de l’autre au format JSON-LD.
Fournir les informations de vos produits avec Google Merchant Center
Le Merchant Center est un autre moyen de fournir à Google des données précises et actualisées sur les produits.
Il existe différentes façons pour les sites utilisant le Merchant Center de transmettre ces informations à Google :
Des données structurées peuvent être fournies, que Google découvrira par le biais de l’exploration du site.
Un flux de toutes les données relatives aux produits peut être soumis manuellement.
Les développeurs peuvent utiliser une API pour mettre à jour les produits individuellement.
Voici une petite vidéo qui vous montre comment créer un flux Google Merchant Center manuellement à l’aide de Google Sheets pour les boutiques en ligne avec un catalogue peu volumineux.
Conclusion
Pour conclure, voici ce qu’il faut savoir sur les différentes façons de fournir des informations précises et surtout, à jour, sur vos produits à Google :
Données structurées : Google traitera les données lors de l’exploration régulière du Web, mais il faudra peut-être plusieurs jours pour que les informations mises à jour apparaissent dans les résultats de recherche.
Flux de produits : Permet aux propriétaires de sites de mieux contrôler le moment où les mises à jour des données relatives aux produits apparaissent dans la recherche Google.
API : Mettez à jour des produits spécifiques à la demande, les mises à jour peuvent être mises en ligne en quelques minutes.
Voici la vidéo complète (en anglais) du Lightning Talks qui pourra vous en apprendre davantage sur le sujet !
Faire appel aux prestations d’une société spécialisée pour créer mon site ecommerce
Vous souhaitez disposer d’un site ecommerce mais n’êtes pas du tout un professionnel de l’informatique. Vous pouvez demander l’aide d’un prestataire spécialiste et ainsi bénéficier des avantages du ecommerce en un rien de temps. https://www.eproshopping.fr/ c’est la solution idéale pour la création de votre site ecommerce.
La mission principale d’Epro Shopping
La création d’un site ecommerce peut être complexe si vous n’y connaissez rien. Epro Shopping cherche aujourd’hui à rendre les boutiques ecommerces accessibles à tous, et plus seulement aux grandes entreprises qui en ont les moyens.
Grâce à une plateforme simple d’utilisation, vous pouvez accéder à votre boutique en ligne sans dépenser un seul centime au lancement. Epro shopping repose sur le principe suivant « Vous ne payez que si vous vendez. »
Les prestations d’Epro Shopping
Epro Shopping vous propose plusieurs prestations pour vous accompagner tout au long de la création de votre site ecommerce. La première prestation concerne la gestion de contenu puisque la société spécialisée vous conseille des pages de contenu personnalisées, vous partage un modèle de page conditions générales de ventes, de page RGPD et vous donne accès à un hébergement rapide.
Epro Shopping vous propose également une aide concernant le design de votre site comprenant le logo, les couleurs du site et des widgets par exemple. Vous bénéficiez aussi d’une gestion du catalogue produit, de différents outils marketing et d’un accès aux statistiques visites, chiffre d’affaires, export produit et export commandes. De nombreuses autres fonctionnalités sont également disponibles.
Clients et tarifs
La société Epro Shopping s’adresse à tout type de client : artisan fabricant, créateur d’entreprise, activité secondaire, TPE ou PME, commerçant et vendeur marketplace. Plusieurs tarifs sont à prendre en compte, chacun adapté à vos besoins et vos attentes. Un comparatif des offres est disponible pour vous aider dans votre choix de la bonne formule.
Dernière mise à jour le 5 janvier 2023 Comment une machine peut-elle reconnaitre ce que représente n’importe quel dessin fait à la main, aussi imparfait soit-il ? QuickDraw est un petit jeu gratuit en...
Connexion
