du 18 octobre 2018
Date

Choisir une autre édition

 Sur LibSSH, une « faille triviale » existait depuis quatre ans

Le Cert-FR explique que la faille réside dans la bibliothèque côté serveur et « permet à un attaquant de provoquer un contournement de la politique de sécurité ». Les versions 0.6 et plus récentes sont concernées.

Le moins que l'on puisse dire, c'est que son exploitation est on ne peut plus triviale : « En envoyant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place de SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendait pour lancer l'authentification, l'attaquant pouvait s'authentifier avec succès sans aucune information d'identification ».

Des correctifs ont évidemment été déployés pour avec LibSSH 0.8.4 et 0.7.6. Bien qu'utilisant LibSSH, GitHub affirme ne pas être impacté grâce à la manière dont il exploite cette bibliothèque.

La version 0.6 ayant été publiée en janvier 2014, cela fait plus de quatre ans que le contournement des protections pouvait être réalisé de cette manière.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Cette opération avait été annoncée lors de la publication de son bilan annuel. Elle est « proposée à environ 8 100 salariés du Groupe en France et en Italie, vise à associer les collaborateurs aux objectifs stratégiques et au développement d'Iliad ».

Le prix de souscription sera fixé le 21 mai 2019 et « égal au prix de référence diminué d'une décote de 20 % ». La période de réservation est ouverte depuis aujourd'hui et jusqu'au 16 avril 2019, tandis que « le règlement-livraison des actions nouvelles à émettre devrait intervenir le 18 juin 2019 ».

Tous les détails sont disponibles par ici.

Copié dans le presse-papier !

Alors que Samsung a donné rendez-vous le 10 avril pour présenter ses smartphones dans la famille Galaxy A, le fabricant n'a visiblement pas souhaité attendre pour dévoiler son A70.

Il intègre un écran Super AMOLED de 6,7" (2 400 x 1 080 pixels) avec une encoche en forme de goutte d'eau et un lecteur d'empreinte sous la dalle. Il est animé par un SoC à huit coeurs (référence non précisée) avec 6/8 Go de mémoire vive et jusqu'à 128 Go de stockage, extensibles via un lecteur de cartes microSD.

En plus d'un capteur optique de 32 Mpixels en façade, trois caméras sont présentes à l'arrière : 32 Mpixels pour le capteur principal, 8 Mpixels pour le grand-angle et 5 Mpixels pour mesurer la profondeur.

Une batterie de 4 500 mAh et un chargeur rapide de 25 watts complètent l'ensemble. Bien évidemment, Android 9.0 Pie est aux commandes. Pas un mot par contre sur le prix ou la disponibilité, le fabricant donne rendez-vous le 10 avril pour la suite.

Copié dans le presse-papier !

Après une conférence riche en annonces mais sans presque rien de concret pour l’instant, Apple a publié une vague de mises à jour pour la plupart de ses plateformes : iOS 12.2, macOS 10.14.4 et tvOS 12.2.

iOS 12.2 ajoute de nombreuses nouveautés, bien qu’aucune véritablement majeure. On trouve ainsi quatre nouveaux animojis (girafe, hibou, phacochère et requin), une amélioration de la télécommande intégrée pour Apple TV, l’affichage des contrôles de lecture quand un titre est lancé depuis Siri, la date de fin de l’assurance de Apple Care ou encore le pointage par Safari des sites ne chiffrant pas les connexions.

Dans macOS 10.14.4, le plus gros morceau est Safari 12.1. On retrouve le pointage des sites « non sécurisés », le mode sombre pour les sites qui le supportent, le remplissage automatique des mots de passe, le blocage des notifications push avant toute interaction avec un site et VP8 pour les communications WebRTC.

Notez aussi que Safari 12.1 supprime la fonction Do Not Track, presque plus prise en charge aujourd’hui. C’est aussi une conséquence du renforcement chez Apple de son Intelligent Tracking Prevention (ITP). John Wilander, ingénieur chez Apple, avait expliqué ce choix le mois dernier.

Enfin tvOS 12.2 apporte surtout la capacité de lancer un film depuis un iPhone ou un iPad via Siri. Notez que depuis hier soir, la page consacrée aux Apple TV a renommée l’ancienne quatrième génération en « Apple TV HD », pour mieux la différencier du modèle 4K.

watchOS 5.2 n'est pas encore disponible mais ne saurait tarder. La fonction ECG serait dans la foulée disponible en Europe.

Copié dans le presse-papier !

En juin dernier, France Télévisions s'associait à M6 et TF1 pour lancer une plateforme commune de vidéos par abonnement. Une initiative qui avait été saluée par le CSA.

Aujourd'hui, l'Autorité de la concurrence annonce qu'elle va procéder à l'examen de Salto, en rappelant que la plateforme « a vocation à proposer les chaînes de la TNT en clair (flux en direct et télévision de rattrapage) ainsi qu'une offre de services de vidéos à la demande ».

L'ADLC explique que « la Commission européenne a considéré que l'Autorité française était la mieux placée pour étudier cette opération de concentration, au regard notamment de l'impact de cette opération sur le marché national et de l'expérience de l'Autorité dans ce secteur ».

Cette opération de renvoi entre la CE et l'ADLC arrive plusieurs fois par an et n'est pas surprenante. Depuis 2009, 28 opérations ont ainsi été transmises à l'Autorité de la concurrence.

Copié dans le presse-papier !

Ce matin, sur France Inter, Jean-Marie Cavada a qualifié pour sa part les Gafa de « terroristes Pac-Man », voulant manger l’argent de la culture, sans vouloir payer. Il les a accusées de « corruption », de mensonges sur le thème de la directive sur le droit d’auteur (1’06’10).

Google aurait ainsi payé 300 euros « beaucoup » d’opposants venus manifester dans la rue ce week-end. En réalité, le groupe de défense des droits numérique EDRi a pris en charge une partie des frais supportés par quelques militants venus rencontrer des eurodéputés quelques semaines avant ces manifestations. Une douzaine de personnes étaient concernées (voir cet article de TechDirt ou sur Medium)

Cavada s’en est pris aussi à Wikipédia. Le site encyclopédique a fait campagne contre le copyright « avec l'argent de Mozilla, c’est-à-dire la fondation de Google », assure-t-il. France Inter ne l’a pas une seule fois contredit.