du 06 juillet 2018
Date

Choisir une autre édition

 Gentoo explique son piratage de compte GitHub

La semaine dernière, la distribution Linux perdait le contrôle de son dépôt. Cette attaque s'accompagnait d'une modification des données et des pages. L'intégrité du code était alors considérée comme compromise.

Dans son rapport d'incident, l'équipe révèle que les pirates ont pu deviner le mot de passe d'un des administrateurs du dépôt. L'opération aurait été rendu possible par l'utilisation d'un autre mot de passe, très proche, sur un site tiers, récupéré avant par les pirates.

Ce que révèle le rapport finalement, c'est une succession d'erreurs. L'utilisation de mots de passe identiques ou très proches sur plusieurs sites, l'absence d'authentification à deux facteurs sur GitHub, l'absence de sauvegarde de certaines données ou encore le stockage direct du dépôt systemd sur GitHub.

Mais en dépit de ces erreurs, il n'aura fallu que 70 minutes pour que les développeurs récupèrent leur compte. Pourquoi ? Parce que les pirates ont déclenché une attaque violente, donc très visible, bloquant notamment l'accès aux développeurs.

Cette vague de blocage a déclenché une alerte dans les système de GitHub pour comportement suspicieux. Les développeurs ont reçu des emails et ont fait valoir leurs droits.

Le gros des données de la distribution est intacte, car stocké sur les propres infrastructures des développeurs, avec un mirroring sur GitHub. Les clés privées du compte sont également épargnées.

L'équipe ajoute (bien sûr) que tout sera fait pour ne pas revivre l'incident : sauvegardes plus fréquentes, authentification (matérielle) à deux facteurs, partage des informations avec les utilisateurs ou encore renforcement de la procédure de révocation des identifiants.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Une attaque de type Cross-site request forgery, ou « injections de requêtes illégitimes par rebond » (lire les explications du CERT-FR) permettait de publier un article sur le mur de l'utilisateur ou supprimer sa photo de profil, simplement avec un lien piégé.

Avec deux liens, il était même possible de changer l'email et le numéro de téléphone de la victime, comme l'explique The Hacker News. Dans tous les cas, le lien devait être de la forme : https://www.facebook.com/comet/dialog_DONOTUSE/?url=XXXX

Facebook a été prévenu le 26 janvier et la faille corrigée le 31 janvier. Le 12 février, le chercheur a obtenu 25 000 dollars de récompense de la part du réseau social et il a publié son billet de blog.

Copié dans le presse-papier !

C'est donc aujourd'hui que Samsung présente ses nouveautés. La conférence se tient à San Francisco et débutera à 20h heure française.

Les annonces devraient être nombreuses. Bien évidemment, nous retrouverons toute la famille des Galaxy S10, S10e et S10+, mais aussi des montres et bracelets connectés, ainsi qu'un smartphone pliable. Ce dernier sera certainement une des tendances du salon.

Pour rappel, c'est également aujourd'hui que Vivo dévoile son V15 Pro en Inde, avec un capteur optique en façade rétractable de 32 Mpixels. La conférence est diffusée depuis 7h30 ce matin sur YouTube.

Xiaomi présente son Mi 9 en Chine aujourd'hui également (enfin le 20 février en Chine, avec un décalage horaire de +7h avec la France). Rien n'est précisé sur une éventuelle diffusion en direct, mais le compte Twitter de la marque a déjà publié quasiment tous les détails sur ce smartphone.

Copié dans le presse-papier !

La direction générale des entreprises rappelle que « 103 zones à couvrir par les opérateurs mobiles pour l’année 2019 ont pu être identifiées pour un total de 214 sites à déployer ».

Elle rappelle que « le gouvernement a la possibilité de compléter cette première liste de zones dans le cadre de ce dispositif de couverture ciblée jusqu’à 700 sites par opérateurs en 2019 ».

Le but de cette consultation est donc de définir « la première liste des zones à couvrir par les opérateurs de radiocommunications mobiles au titre du dispositif de couverture ciblée pour l’année 2019 ».

Toutes les parties concernées ont jusqu'au 11 mars pour faire part de leur retour par email ou bien par courrier. Tous les détails sont disponibles par ici.

Copié dans le presse-papier !

Le nouveau domaine de premier niveau (TLD, pour Top Level Domain) vise évidemment les développeurs, mais pas seulement : designers, écrivains ou encore architectes sont invités.

En clair, tout projet nécessitant un développement de longue durée et tout ce qui peut bien s’y rapporter. Google continue ainsi de créer des TLD thématiques, après les .pages pour assurer une présence en ligne et les .app dédiés aux applications.

Pour donner de la visibilité au nouveau domaine, Google s’est assuré l’accompagnement de quelques poids lourds : GitHub.dev, Grow.dev, Accessibility.dev, Slack.dev, JetBrains.dev, Women.dev (Women Who Code) ou encore Codecademy.dev.

Le cas de Slack est représentatif. Son site .dev permet d'y regrouper toutes les ressources dédiées aux développeurs, comme les SDK, la documentation, les exemples de code et ainsi de suite.

Tout nouveau domaine sera obligatoirement en HTTPS, Google en profitant pour vanter les mérites de son nouveau TLD : « Avec chaque site .dev lancé, vous aidez le web à progresser vers un futur avec HTTPS partout ».

Depuis hier et jusqu’au 28 février, les domaines sont disponibles via l’Early Access Program, permettant de réserver un nom pour un coût additionnel. Plus on avancera vers le 28, moins le tarif sera élevé (au risque bien sûr de voir un nom particulier s’échapper).

Le lancement est donc prévu pour le 28 février, à un tarif qui dépendra du registrar. Google en fournit une liste filtrable par TLD. On y trouve par exemple Gandi, dont les tarifs débutent à 16,81 euros par an.

Copié dans le presse-papier !

Durant le MWC, la chaîne officielle de la GSMA sera diffusée en direct sur des écrans géants, ainsi que dans des halls et chambres d'hôtels de Barcelone.

Cette année, une nouveauté : c'est « le premier essai de diffusion en direct 5G de l'histoire de Mobile World Live TV ». Ce MWC 2019 promet d'être celui de la 5G maintenant que la norme et les équipements réseau sont finalisés.

Samsung fournit le matériel (station de base, antennes, routeurs, etc.) pour permettre aux caméras haute définition d'envoyer la vidéo en 5G. La diffusion débutera dimanche 24 février à partir de 16h.

Pour rappel, Orange avait déjà proposé une expérience 5G l'année dernière en installant une caméra à 360° dans une des cabines du téléphérique de Montjuic. Un casque de réalité virtuelle était disponible sur le stand de l'opérateur pour profiter de la vue avec une latence minimum et « une qualité qui n'aurait pas été possible en 4G ».

Au-delà des réseaux, de nombreuses annonces autour des smartphones 5G sont également attendues à Barcelone.