EBay poursuit Amazon en justice pour braconnage dans son système de chat

EBay a déposé une plainte contre Amazon. L’entreprise prétend que le géant du commerce électronique a braconné secrètement des commerçants de grande valeur sur sa plate-forme. La plainte, intentée devant un tribunal de Californie, allègue qu’Amazon « a perpétré un stratagème d’infiltration et d’exploitation du système de messagerie interne des membres d’eBay » au cours des dernières années, selon le Wall Street Journal.

 

eBay a découvert la manigance après avoir été alerté par l’un de ses vendeurs tiers qui avait été approché par un employé d’Amazon via la messagerie interne du site. Des « douzaines » de représentants commerciaux d’Amazon auraient abusé de la plate-forme de communication, aux États-Unis et à l’étranger, pour recruter des vendeurs eBay pour le compte d’Amazon. La poursuite a été intentée environ deux semaines après qu’eBay ait contacté Amazon à ce sujet.

Comme l’a rapporté CNET, eBay prétend avoir découvert des preuves de ces agissements sur plusieurs années. Des preuves qui révèlent « un effort international, coordonné et illégal pour cibler les meilleurs vendeurs d’eBay et les transférer sur le site d’Amazon ».

Le siège d’Amazon mis en cause

Le personnel d’Amazon aurait contacté à plusieurs reprises des entreprises et des particuliers par l’intermédiaire de la plate-forme de communication d’eBay afin de les inciter à migrer vers Amazon et à abandonner eBay. Un stratagème dont les preuves permettraient de remonter au siège d’Amazon.

EBay a ajouté qu’à moins que l’exploitation illégale revendiquée ne cesse immédiatement, l’entreprise prendrait « les mesures appropriées » pour se protéger. « Depuis des années, et à l’insu d’eBay, Amazon s’est engagée dans un effort systématique et coordonné pour infiltrer et exploiter le système M2M exclusif d’eBay sur la plate-forme d’eBay afin d’attirer les meilleurs vendeurs eBay vers Amazon  » affirme eBay.

Amazon et eBay sont rivaux sur le marché de la vente en ligne. Les deux sociétés permettent aux particuliers et aux entreprises de s’installer sur leurs plate-formes afin d’inscrire et de vendre des produits.

La lutte pour les commissions

Les commissions réalisées sur la base des ventes de ces marchands sont essentielles pour les deux sociétés, peut-être plus encore pour eBay compte tenu des vastes ramifications commerciales d’Amazon. Chez Amazon, les revendeurs tiers représentent plus de la moitié de ses ventes tandis que chez eBay ils en assurent la totalité. Ces marchands ont donc une grande valeur pour les deux sociétés.

En septembre, la valorisation d’Amazon a brièvement atteint 1 000 milliards de dollars.

Article « EBay takes Amazon to court over alleged trader poaching » traduit et adapté par ZDNet.fr

Go to Source


bouton-devis

PayPal au dessus de ses objectifs de bénéfices au troisième trimestre

PayPal a livré jeudi de solides résultats financiers pour le troisième trimestre, dépassant les estimations du marché. La société de paiement de San Jose, en Californie, a déclaré un bénéfice net de 694 millions de dollars. Le revenu de 3,68 milliards de dollars est en hausse de 14 % sur douze mois. Wall Street s’attendait à un revenu de 3,66 milliards de dollars.

En termes de perspectives, les analystes s’attendent à des revenus de 4,21 milliards de dollars. PayPal a réagi en annonçant des prévisions de produits d’exploitation de l’ordre de 4,19 à 4,27 milliards de dollars pour le quatrième trimestre.

La société a augmenté sa base de comptes actifs de 9,1 millions au troisième trimestre et a terminé le trimestre avec 254 millions de comptes actifs, en hausse par rapport aux 218 millions de l’exercice précédent.

36,5 transactions de paiement pour chaque compte actif

PayPal indique avoir traité 143 milliards de dollars en volume total de paiements au cours du trimestre. En décomposant les chiffres, PayPal indique avoir traité environ 36,5 transactions de paiement pour chaque compte actif.

La plateforme de paiements sociaux de PayPal, Venmo a traité plus de 17 milliards de dollars de paiements, en hausse de 78 % par rapport à la même période l’an dernier. La société a déclaré que le volume des paiements P2P a augmenté de 50 % pour atteindre 36 milliards de dollars, et représentait environ 24 pour cent de l’ensemble des paiements traités.

Les paiements mobiles ont également été solides, puisque la société a déclaré avoir traité un volume de paiements mobiles d’environ 57 milliards de dollars au cours du trimestre, ce qui représente une croissance d’environ 45 % d’une année sur l’autre.

En dehors des aspects financiers, PayPal a souligné la clôture de l’achat d’iZettle au cours du troisième trimestre, ainsi que son partenariat avec Walmart pour proposer des retraits et des dépôts en magasin. « De nouveaux partenariats avec American Express et Walmart augmenteront la valeur que nous pouvons offrir à nos clients », a déclaré Dan Schulman, PDG de PayPal. « Notre bilan et nos flux de trésorerie solides nous permettent d’investir de façon dynamique dans l’innovation et la croissance, créant une valeur durable et à long terme pour nos actionnaires.

Go to Source


bouton-devis

L’IETF approuve de nouvelles normes Internet pour sécuriser les jetons d’authentification

L’Internet Engineering Task Force (IETF) – l’organisation qui développe et promeut les normes Internet – a approuvé cette semaine trois nouvelles normes destinées à améliorer la sécurité des jetons d’authentification contre les « attaques par rejeu » (replay attacks).

Les jetons d’authentification, ou token, sont utilisés sur tous les services en ligne. Lorsqu’une personne se connecte à son compte Google ou Facebook, un jeton d’authentification est généré et stocké dans un fichier cookie du navigateur de l’utilisateur. Lorsque l’utilisateur accède à nouveau au site Google ou Facebook, au lieu de lui demander d’entrer à nouveau ses identifiants, le navigateur de l’utilisateur donne au site le jeton d’authentification de l’utilisateur.

Mais les jetons d’authentification ne sont pas seulement utilisés avec des cookies de navigateur et des sites Web. Ils sont également utilisés dans le cadre du protocole OAuth, de la norme JSON Web Token (JWT) et d’un grand nombre de bibliothèques publiques ou privées implémentant l’authentification par jeton, souvent utilisée avec des API et des solutions logicielles d’entreprise.

Les pirates informatiques ont compris depuis longtemps qu’ils pouvaient voler ces jetons au lieu des login et mots de passe des utilisateurs. Cela permet de se connecter au service sans avoir besoin de connaître un mot de passe. De telles attaques sont connues sous le nom d' »attaques de rejeu », ou replay attack en anglais.

Protéger les systèmes d’authentification par jeton

Cette semaine, grâce aux contributions des ingénieurs de Google, Microsoft et Kings Mountain Systems, l’IETF a officiellement approuvé trois nouvelles normes destinées à protéger les systèmes d’authentification par jeton :

  • RFC 4871 – The Token Binding Protocol Version 1.0
  • RFC 4872 – Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation
  • RFC 4873 – Liaison par jeton sur HTTP (Token Binding over HTTP)

Ces trois normes visent à ajouter une couche supplémentaire de sécurité pour le processus de génération et de négociation d’un nouveau jeton d’accès/authentification.

L’idée générale est de créer une connexion entre le dispositif de l’utilisateur et le jeton, donc même si un attaquant parvient à enregistrer un jeton, il ne sera pas en mesure d’exécuter une attaque de rejeu à moins d’utiliser le même appareil ou la configuration de la machine sur lequel le jeton a été créé.

Au niveau technique, selon la norme RFC 4871, cela peut être fait via l’appareil du client qui génère une paire de clés privées et publiques. Le scénario optimal serait que les deux clés soient générées à l’intérieur d’un module matériel sécurisé, tel que le TPM (Trusted Platform Module) d’un PC, reliant intrinsèquement la clé privée au matériel.

Ces deux clés (la clé privée stockée sur le PC de l’utilisateur et une clé publique pour un serveur distant) sont ensuite utilisées pour signer et chiffrer des parties des étapes de négociation exécutées avant de générer le jeton d’authentification réel, ce qui donne une valeur de jeton qui dépend du hardxware sur lequel il a été créé.

En théorie, ça a l’air génial.

Comme la grande majorité du trafic Web est aujourd’hui chiffré, le nouveau protocole Token Binding a été spécialement conçu autour du processus de de connexion TLS qui précède l’établissement d’une session chiffré TLS. Les auteurs du protocole disent qu’ils ont conçu le processus de liaison par jeton pour éviter d’ajouter des allers-retours supplémentaires au processus initial de TLS, ce qui signifie qu’il n’y aura pas de travail supplémentaire sur les serveurs existants.

Des mises à jour des navigateurs et des serveurs seront nécessaires pour soutenir les trois nouvelles normes RFC, a déclaré à ZDNet Tal Be’ery, cofondateur et directeur de la recherche sur la sécurité chez KZen Networks.

Le chercheur a également souligné que le nouveau protocole de liaison des jetons ne se limite pas nécessairement à la liaison des jetons au seul niveau matériel, mais qu’il peut également fonctionner et lier de manière sécurisée les jetons au niveau logiciel, ce qui signifie qu’il peut être mis en œuvre presque partout.

« Il peut être utilisé par tout ce qui communique et a besoin de maintenir une session  » a dit Tal Be’ery. « Cela inclut aussi les dispositifs d’IdO (Internet des Objets). » Actuellement, le protocole Token Binding a été conçu autour de TLS 1.2, mais il sera également modifié pour fonctionner avec le nouveau TLS 1.3.

Article « IETF approves new internet standards to secure authentication tokens » traduit et adapté par ZDNet.fr

Go to Source


bouton-devis

Blockchain : Carrefour rejoint l’initiative IBM Food Trust

IBM explique que son outil blockchain de suivi de la supply chain alimentaire, IBM Food Trust, est disponible et intègre désormais le géant du retail Carrefour. Depuis 18 mois, cet outil blockchain est testé auprès de l’écosystème des détaillants, des fournisseurs et des producteurs.

Pour IBM, l’ajout de Carrefour à ce réseau permet de monter en puissance. Jusqu’à présent, des millions de produits alimentaires sont suivis dans cet écosystème à mesure qu’ils touchent les consommateurs. Carrefour apporte à ce système plus de 12.000 magasins répartis dans 33 pays.

Carrefour prévoit d’utiliser IBM Food Trust pour mettre en valeur ses produits distributeur, mais aussi se développer à l’international d’ici 2022. Carrefour est aussi membre du programme Agir pour l’alimentation qui s’articule autour de la sécurité et de la traçabilité des aliments. L’arrivée de Carrefour dans le monde de la blockchain survient peu de temps après que Walmart ait déclaré élargir sa collaboration avec IBM sur ce même sujet.

Des modules en mode SaaS disponibles

Tout en se concentrant initialement sur la sécurité alimentaire, IBM Food Trust s’intéresse également à la lutte contre le gaspillage, à l’efficacité et à l’analyse de données via de multiples technologies telles que l’Internet des objets, le Big Data et l’automatisation. Grâce à la technologie de la blockchain, les membres n’ont qu’un seul dossier pour effectuer le suivi des aliments, des producteurs aux fournisseurs en passant par les détaillants, avec des détails sur l’origine, ou encore des données et des renseignements sur l’expédition. Les implications commerciales de la blockchain vont bien au-delà du battage publicitaire autours des monnaies virtuelles.

IBM Food Trust compte maintenant plusieurs membres, dont Topco Associates, une coopérative qui représente 49 membres, Wakefern, Beefchain, Smithfield et d’autres. Pour IBM, la chaîne d’approvisionnement alimentaire n’est qu’un des domaines dans lesquels elle construit les écosystèmes de blockchain. La société travaille également dans le domaine des services financiers, de la publicité, de la bijouterie et de l’expédition.

Selon IBM, la prochaine expansion d’IBM Food Trust comprendra la collaboration avec des fournisseurs de services et de technologie pour développer la chaîne d’approvisionnement, les tests et les systèmes de capteurs pour fournir des données au réseau de blockchain. IBM dispose d’une bibliothèque d’API Food Trust utilisées par 3M pour les équipements de diagnostic de sécurité alimentaire, Centricity pour les données de conformité et Emerson pour les données de température.

Les fournisseurs peuvent fournir gratuitement des données au réseau IBM Food Trust, mais des modules disponibles en mode SaaS sont disponibles pour les petites, moyennes et grandes entreprises à partir de 100 $ par mois. Les modules comprennent Trace, qui trace les produits pour assurer leur sécurité, Certifications, pour vérifier la provenance des certificats numériques, et Data Entry and Access, qui gère les données sur la blockchain.

Le prix de 100 $ par mois pour IBM Food Trust s’applique aux petites entreprises dont les revenus sont inférieurs à 50 millions de dollars. Les entreprises de taille moyenne dont le chiffre d’affaires peut atteindre 1 milliard de dollars paient 1.000 dollars par mois et les entreprises internationales 10.000 dollars par mois. Voici un aperçu du prix du module Trace. Certifications a le même prix basé sur la taille de l’entreprise.

Go to Source


bouton-devis

uBlock Origin bloque JavaScript par défaut

uBlock Origin, l’un des adblocker les plus populaires à ce jour, a publié une mise à jour le week-end dernier qui ajoute une option pour bloquer l’exécution de JavaScript (JS) sur toute une page web. Cela signifie que le bloqueur de publicité annulera l’exécution de n’importe quel fichier JavaScript sur une page, et ne chargera que son code HTML et CSS.

Ce nouveau réglage est important pour plusieurs raisons. Tout d’abord, c’est important pour la sécurité. Les campagnes de publicité malveillante, les petits malins qui aspirent les données et détournent le trafic s’appuient fortement sur le code JavaScript pour faire leurs sales besognes. Le blocage de l’exécution de JavaScript entraîne donc un renforcement immédiat de la sécurité des utilisateurs, car aucun de ces codes ne pourra être exécuté.

Deuxièmement, même si les annonceurs en ligne ont toujours une version non-JS de leurs publicités, l’utilisation de uBlock Origin pour bloquer l’exécution JavaScript empêche également l’exécution du code de suivi qui vient habituellement avec les nouvelles annonces.

Troisièmement, la désactivation de l’exécution de JS empêche également l’exécution d’autres formes de scripts de suivi, tels que ceux utilisés par les médias sociaux, les outils d’analyse de trafic et d’autres services en ligne que uBlock Origin aurait pu manquer dans sa liste noire classique.

Remettre le blocage de JS au goût du jour

Cette nouvelle fonctionnalité a été ajoutée à la version 1.17.0 de uBlock Origin, sortie le dimanche 23 septembre. Elle se présente sous la forme d’un interrupteur principal qui apparaît dans le panneau popup uBlock Origin.

La croix rouge dans l’image ci-dessus signifie que uBlock Origin bloque l’exécution de JavaScript pour ce site en particulier. Pour les utilisateurs qui veulent désactiver l’exécution JavaScript globalement, pour tous les sites, il y a aussi une case à cocher dans la page des options de l’extension.

uBlock Origin ne manquera pas d’attirer de nouveaux utilisateurs avec cette mise à jour. Au début d’Internet et jusqu’au début des années 2010, les navigateurs offraient des options pour désactiver l’exécution JavaScript.

Au fur et à mesure que le standard JavaScript s’est développé et que ses fonctionnalités et son adoption ont augmenté, il est devenu un élément important de l’écosystème Internet et une partie essentielle de tous les sites Web.

Un par un, presque tous les principaux navigateurs ont supprimé la possibilité de désactiver l’exécution JavaScript via leur interface utilisateur et ont relégué cette option aux écrans de configuration cachés dans les entrailles des menus et des sous-menus des navigateurs.

Mais dans un monde désormais empli de publicité intrusive et de cryptomining dans les navigateurs, la désactivation de JavaScript est redevenue populaire pour les utilisateurs soucieux de sécurité.

De plus, la désactivation de JavaScript n’est plus aussi intrusive qu’elle ne l’était auparavant. Alors que dans les années 2000 et au début des années 2010, désactiver JavaScript signifiait paralyser l’apparence visuelle d’un site, de nos jours, la plupart des sites Web sont codés avec une balise « noscript » qui décrit à quoi un site Web devrait ressembler lorsque JavaScript ne se charge pas. Cette version « noscript » des sites Web est donc ce que les utilisateurs d’uBlock Origin 1.17.0 verront quand ils activeront la fonction de blocage JS du bloqueur d’annonces.

Article « uBlock Origin gets option to block all JavaScript execution by default » traduit et adapté par ZDNet.fr

Go to Source


bouton-devis