du 18 octobre 2018
Date

Choisir une autre édition

 Sur LibSSH, une « faille triviale » existait depuis quatre ans

Le Cert-FR explique que la faille réside dans la bibliothèque côté serveur et « permet à un attaquant de provoquer un contournement de la politique de sécurité ». Les versions 0.6 et plus récentes sont concernées.

Le moins que l'on puisse dire, c'est que son exploitation est on ne peut plus triviale : « En envoyant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place de SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendait pour lancer l'authentification, l'attaquant pouvait s'authentifier avec succès sans aucune information d'identification ».

Des correctifs ont évidemment été déployés pour avec LibSSH 0.8.4 et 0.7.6. Bien qu'utilisant LibSSH, GitHub affirme ne pas être impacté grâce à la manière dont il exploite cette bibliothèque.

La version 0.6 ayant été publiée en janvier 2014, cela fait plus de quatre ans que le contournement des protections pouvait être réalisé de cette manière.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Selon le Wall Street Journal, des procureurs fédéraux américains prépareraient une enquête criminelle contre Huawei, pour le vol de secrets commerciaux. Ils incluraient les technologies de tests robotisés de téléphones de l’opérateur T-Mobile. L’affaire provient d’un procès au civil à Seattle concernant l’opérateur.

Contacté par le WSJ, Huawei affirme que le conflit avec T-Mobile est réglé depuis 2017, le jury ayant déterminé qu’il n’y avait pas eu de dommage ou de volonté de nuire.

L’équipementier télécom chinois est accusé de contribuer à la fois à un espionnage des Américains pour la Chine et de voler des secrets d’entreprises. Les États-Unis tentent de l’écarter du marché depuis plusieurs années, le présentant comme un risque pour la sécurité nationale.

Il y a quelques jours, la société a licencié un employé, accusé d’espionnage en Pologne.

Copié dans le presse-papier !

Le 18 juin dernier, le président des États-Unis demandait « au Département de la Défense et au Pentagone de commencer immédiatement le processus nécessaire pour établir une force spatiale en tant que sixième branche des forces armées ».

Il n'en fallait pas plus pour que Netflix se lance dans l'aventure, à sa manière. Dans cette fiction, la plateforme explique que le but de la Space Force est de défendre les satellites et l'espace de toutes formes d'attaques : « c'est l'histoire des hommes et des femmes » derrière cette sixième force de l'espace.

La série est réalisée par Greg Daniels et Steve Carell (The Office). Aucune date de sortie n'est annoncée, Netflix indique simplement un « coming soon ».

Copié dans le presse-papier !

La découverte d'un bug dans l'une des propositions d'améliorations d'Ethereum (EIP) devant être implémentée avec la mise à jour Constantinople vient de retarder à une date ultérieure le déploiement de cette dernière.

Le bug est semblable à l'un de ceux exploités lors de la fameuse attaque de The DAO. En bref, si un contrat contient une fonction faisant appel à un autre contrat, l'attaquant peut être en mesure de faire appel plusieurs fois de suite à cette fonction pendant qu'elle est exécutée, sans préciser qu'un autre appel est déjà en cours. De quoi lui permettre de réclamer plusieurs fois de suite le versement de fonds… et les obtenir.

La fondation Ethereum a estimé qu'il n'était pas possible de colmater cette brèche proprement d'ici l'heure prévue pour le fork, soit à peu près le 17 janvier à 4h du matin heure française. La mise à jour est donc repoussée jusqu'à nouvel ordre. Les plus taquins l'ont déjà rebaptisée Constanti-Nope.

Copié dans le presse-papier !

L’éditeur avait prévenu, c’est maintenant chose faite dans la branche de développement 19H1 disponible via le programme Windows Insider. Désormais, le champ de recherche ne s’occupe que de ça, tandis que la fonction Cortana est accessible depuis une icône juste à droite.

Microsoft assure que cette séparation permettra de se concentrer sur la meilleure expérience utilisateur possible pour chacune des deux fonctions. Elle correspond surtout à une volonté de repositionner Cortana en assistant de productivité, plutôt que comme simple assistant vocal. L’éditeur semble penser que la bataille est déjà gagnée par Alexa, Google Assistant et Siri.

Cette nouvelle 18317 inclut d’autres améliorations, dont un processus séparé pour le menu Démarrer, qui gagnera donc en fiabilité. La fonction était jusqu’ici présente dans ShellExperienceHost.exe. Microsoft dit avoir observé pendant ses tests des gains substantiels, notamment en matière de réactivité.

La gestion des polices est également simplifiée dans les nouveaux Paramètres. Les nouvelles peuvent ainsi s’ajouter par glisser/déposer depuis l’Explorateur ou le bureau. L’installation se fait par utilisateur, sans élévation de privilèges. Un bouton spécifique permet au contraire de rendre la police disponible pour les autres comptes de la machine.

Rappelons que la branche 19H1 actuelle doit mener à la prochaine mise à jour majeure de Windows 10. Si Microsoft garde son rythme et sa nomenclature, elle devrait être finalisée en mars pour une distribution en avril, et s’appeler April 2019 Update. On espère que l’éditeur aura résolu ses soucis de qualité, après une année 2018 bien difficile.

Copié dans le presse-papier !

D'une longueur de 1 746 km, son déploiement a été fait en moins de deux ans, affirme Orange. Sa mise en service opérationnelle et son ouverture commerciale sont prévues pour la fin du mois.

« Composé de deux paires de fibres, Kanawa peut transmettre jusqu’à 100 x 100G bit/s soit 10 térabits/s et devient l’un des câbles les plus puissants de la région », selon l'opérateur qui indique avoir investi 35 millions d'euros dans ce projet.

« Entre croissance démographique et croissance des usages, la Guyane est l’un des  territoires les plus dynamiques en termes de numérique. C’est pour répondre à ce besoin de débits et pour sécuriser la connexion de ce territoire au réseau mondial que nous avons construit Kanawa », indique enfin Orange.