du 06 juillet 2018
Date

Choisir une autre édition

 Gentoo explique son piratage de compte GitHub

La semaine dernière, la distribution Linux perdait le contrôle de son dépôt. Cette attaque s'accompagnait d'une modification des données et des pages. L'intégrité du code était alors considérée comme compromise.

Dans son rapport d'incident, l'équipe révèle que les pirates ont pu deviner le mot de passe d'un des administrateurs du dépôt. L'opération aurait été rendu possible par l'utilisation d'un autre mot de passe, très proche, sur un site tiers, récupéré avant par les pirates.

Ce que révèle le rapport finalement, c'est une succession d'erreurs. L'utilisation de mots de passe identiques ou très proches sur plusieurs sites, l'absence d'authentification à deux facteurs sur GitHub, l'absence de sauvegarde de certaines données ou encore le stockage direct du dépôt systemd sur GitHub.

Mais en dépit de ces erreurs, il n'aura fallu que 70 minutes pour que les développeurs récupèrent leur compte. Pourquoi ? Parce que les pirates ont déclenché une attaque violente, donc très visible, bloquant notamment l'accès aux développeurs.

Cette vague de blocage a déclenché une alerte dans les système de GitHub pour comportement suspicieux. Les développeurs ont reçu des emails et ont fait valoir leurs droits.

Le gros des données de la distribution est intacte, car stocké sur les propres infrastructures des développeurs, avec un mirroring sur GitHub. Les clés privées du compte sont également épargnées.

L'équipe ajoute (bien sûr) que tout sera fait pour ne pas revivre l'incident : sauvegardes plus fréquentes, authentification (matérielle) à deux facteurs, partage des informations avec les utilisateurs ou encore renforcement de la procédure de révocation des identifiants.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'association de start-ups et investisseurs a annoncé le partenariat dans un tweet. Elle est prévue pour son prochain « campus », un événement à destination des décideurs politiques.

En début d'année, France Digitale promettait des formations pour les parlementaires, qu'elle compte entre autres familiariser avec l'entrepreneuriat et le financement des start-ups.

Copié dans le presse-papier !

Microsoft a diffusé une nouvelle préversion (1810) de l'OS de sa console qui apporte quelques fonctionnalités du côté de l'accessibilité ou des avatars pour le tableau de bord.

La recherche est également étendue aux jeux que vous possédez, alors que quelques fonctionnalités complémentaires seront testées sur des portions limitées d'utilisateurs.

Mais ce qui est surtout mis en avant, c'est l'arrivée de Dolby Vision pour les contenus en streaming, et donc le HDR sur des services comme Netflix.

Copié dans le presse-papier !

La société déclare que cette affaire remonte au 19 décembre 2017. Utilisant des identifiants valides, une personne non autorisée se connecte sur l'interface de son fournisseur de « Cloud Computing ». Elle crée un compte administrateur et en profite pour effectuer quelques opérations de reconnaissance dans l'environnement de travail.

À l'époque, aucune information personnelle des utilisateurs n'était présente, le pirate est donc reparti bredouille. En avril, un employé de TimeHop y transfère une base de données contenant des informations personnelles de clients et celle-ci est détectée par le pirate lorsqu'il revient en juin. Le 4 juillet, il dérobe les informations.

Le pirate est ainsi reparti avec les nom, prénom, date de naissance, genre, code pays, numéro de téléphone et email de près de 21 millions de clients de TimeHop. Aucune information bancaire, photo ou message n'est concerné affirme l'éditeur.

Plus embêtant, des jetons d'accès aux comptes des réseaux sociaux des utilisateurs étaient également présents (afin de récupérer vos images pour les utiliser dans TimeHop). Ils ont rapidement été révoqués, mais peuvent avoir théoriquement permis un accès au pirate pendant un court laps de temps. Aucune preuve n'indique que cela soit arrivé, assure la société.

Elle propose un tableau détaillé des fuites et du nombre de clients concernés à chaque fois. Une colonne est dédiée à ceux se trouvant dans une zone couverte par le RGPD.

Copié dans le presse-papier !

Après NVIDIA et sa Shield TV, c'est au tour de du FAI de capitaliser sur l'arrivée de cette fonctionnalité au sein des appareils sous Android TV en France.

Bouygues affirme que la mise en place date du 10 juillet mais ne semble évoquer que le modèle 4K et pas la Bbox classique. Nous tenterons d'en savoir plus.

Côté services, le changement de chaîne, de volume, le lancement d'applications ou le contrôle des services domotiques sont évoqués.

Copié dans le presse-papier !

Si Google la lie à la mitigation des attaques de type Spectre, cette fonctionnalité est en préparation depuis bien longtemps comme nous l'évoquions début décembre.

Les premiers travaux sur le sujet datent ainsi de 2015, et les premiers tests de Chrome 63. L'idée est de disposer d'une meilleure séparation des éléments au sein d'une page, ce qui n'est pas sans poser quelques problèmes.

C'est notamment le cas pour la consommation en mémoire, qui peut grimper de 10 à 20 % selon les cas. L'arrivée de Spectre aura donc sans doute accéléré le processus et motivé les équipes à mettre cet aspect de côté.

Après des essais sur une portion d'utilisateurs dans Chrome 66, la version 67 généralise le procédé à 99 % d'entre eux, le 1% restant permettant de continuer d'améliorer le dispositif. La prochaine étape concerne le mobile, où rien de tel n'est mis en place.

Chrome 68 ouvrira la porte à une activation manuelle, avant sans doute une généralisation là aussi quelques mois plus tard si tout se passe bien.