du 15 avril 2019
Date

Choisir une autre édition

 La messagerie Matrix piratée, des mots de passe à changer

L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.

Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).

Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.

Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.

Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.

Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.

Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.

Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La brèche a été découverte par Guardio fin mai et identifiée sous la référence CVE-2019-12592, comme le rapporte The Hacker News. Elle permettait d'exécuter du code et ainsi récupérer des données sur l'ensemble des sites visités par l'utilisateur. Il suffisait pour cela de l'amener sur un site spécialement conçu pour exploiter cette brèche.

Guardio a prévenu fin mai Evernote qui a confirmé et corrigé le problème en deux jours, tout en ajoutant une mention de la société à son « Panthéon de la sécurité ».

Assurez-vous donc d'avoir la dernière version de l'extension. Il s'agit actuellement de la 7.11.1.

Copié dans le presse-papier !

Ce n'est pas une surprise : la plateforme de streaming avait rejoint l'Alliance for Open Media qui s'occupe justement de développer AV1 (AOMedia Video Codec).

Il est pour rappel annoncé comme étant plus performant que H.265 en permettant d'avoir un débit inférieur pour une qualité identique. Il a de plus l'avantage d'être libre et gratuit.

La plateforme indique qu'elle prend désormais en charge AV1 et que certaines vidéos ajoutées récemment sont proposées dans ce format sur toutes les plateformes (via Chrome et Firefox).

Copié dans le presse-papier !

La nouvelle bêta du navigateur contient plusieurs changements assez marquants, après plusieurs versions sages qui ne proposaient surtout que du neuf pour les développeurs.

Le premier apport est une nouvelle mesure contre Flash. Le lecteur est toujours intégré dans Chrome, mais la fonction liée est maintenant coupée par défaut.

Si vous utilisez le canal bêta et que vous avez besoin de Flash, il faudra vous rendre sur le réglage chrome://settings/content/flash. Le réglage « Demander d’abord » est devenu « Empêcher les sites d’exécuter Flash », accompagné d’une parenthèse « recommandé ». Il suffira alors de réactiver la fonction.

Autre changement, celui-là poussé en avant par l’un des développeurs de Chrome (Paul Irish), l’impossibilité pour les sites de détecter le mode Incognito du navigateur. Il s’agit pour rappel de la fonction navigation privée, qui n’enregistre aucune trace locale de la session de surf.

Le développeur s’excuse dans la foulée pour les scripts de détection du mode navigation privée qui, du coup, ne fonctionneront plus. Pourquoi de tels scripts ? Parce que de nombreux sites utilisant un paywall permettent une lecture d’un à trois articles gratuits par jour. Ils ne devraient donc plus être en mesure d’exploiter cette solution.

D’autres changements sont à noter. Quand un site visité est détecté comme PWA (Progressive Web App), un bouton « + » apparaît à droite de la barre d’adresse. La mention « Installer » s’affiche brièvement, montrant à l’utilisateur où cliquer pour installer cette application web. La suite est connue puisqu’il s’agit simplement d’un raccourci vers la fonction se trouvant dans le menu général.

Chrome 76 permet également aux sites de détecter le mode d’affichage en cours pour l’interface : clair ou sombre. Puisque le mode sombre est maintenant disponible sur macOS et Windows, les sites pourront interroger Chrome avec une ligne de code et s’adapter en conséquence s’ils le souhaitent.

Enfin, de nombreux ajouts et changements ont été faits pour les développeurs. C’est notamment le cas pour l’API Payments, qui introduit des capacités supplémentaires, comme la possibilité pour un site de déclencher une action quand un changement de méthode de paiement est détecté.

La version finale de Chrome 76 est attendue pour le 26 juillet, après les six semaines environ de test classiques.

Copié dans le presse-papier !

Après le partenariat signé avec Orange en France, on s'attendait à ce qu'il s'étende, mais cela n'a pas été le cas. A la place, le FAI français a annoncé sa propre initiative, concurrente, visant le marché B2B.

C'est donc finalement Proximus qui est le premier opérateur à intégrer le service de « PC dans le cloud » de Blade à son offre.  

Les détails n'ont pour le moment pas été dévoilés, l'offre devant être lancée en septembre. Mais un tel partenariat est une bonne nouvelle pour la startup française et son développement à l'étranger.

Copié dans le presse-papier !

Dans un billet, Microsoft détaille le fonctionnement d’un ajout promis depuis l’année dernière et qui devrait clairement changer la donne pour les aficionados du tableur.

Depuis qu’elles existent, les formules ont toujours été confrontées à une limitation inhérente à Excel : quel que soit leur degré de complexité, le résultat est unique et ne peut être exporté que vers une cellule particulière.

L’année dernière, Microsoft avait donc promis l’arrivée d’une fonction baptisée « Dynamic Arrays » qui, au lieu de renvoyer une valeur unique, donne une grille de valeurs. Ces dernières peuvent alors être renvoyées dans la feuille de calcul dans plusieurs cellules, le plus souvent de liste.

Cette fonction importante n’était réservée jusqu’à présent qu’à quelques privilégiés. Elle est désormais disponible pour tous les testeurs du canal Office Insider sur macOS et Windows, ce qui signifie une arrivée générale chez tous les abonnés Office 365 dans les deux à quatre semaines qui viennent (la plupart du temps).

Pour « fêter » l’arrivée des Dynamic Arrays, Excel introduit de nouvelles fonctions, dont SORT, SORTBY, UNIQUE, FILTER, SEQUENCE et RANDARRAY. UNIQUE peut par exemple cibler un lot de cellules, détecter les doublons, les éliminer et renvoyer dans d’autres cellules une liste nettoyée. SEQUENCE permet de son côté de générer une liste séquentielle de nombres sous forme de tableau.

Pour rappel, tout abonné Office 365 peut s’inscrire au programme Insider. Comme pour Windows, on y trouve les canaux rapide et lent, selon que l’on préfère recevoir rapidement les nouveautés ou attendre que des tests supplémentaires de stabilité aient été réalisés.