du 18 octobre 2018
Date

Choisir une autre édition

 Sur LibSSH, une « faille triviale » existait depuis quatre ans

Le Cert-FR explique que la faille réside dans la bibliothèque côté serveur et « permet à un attaquant de provoquer un contournement de la politique de sécurité ». Les versions 0.6 et plus récentes sont concernées.

Le moins que l'on puisse dire, c'est que son exploitation est on ne peut plus triviale : « En envoyant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place de SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendait pour lancer l'authentification, l'attaquant pouvait s'authentifier avec succès sans aucune information d'identification ».

Des correctifs ont évidemment été déployés pour avec LibSSH 0.8.4 et 0.7.6. Bien qu'utilisant LibSSH, GitHub affirme ne pas être impacté grâce à la manière dont il exploite cette bibliothèque.

La version 0.6 ayant été publiée en janvier 2014, cela fait plus de quatre ans que le contournement des protections pouvait être réalisé de cette manière.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La directive « sur le droit d'auteur et les droits voisins dans le marché unique numérique » a été publiée au Journal officiel de l’Union européenne (JOUE). Le texte va engendrer de nombreuses réformes législatives dans les États membres, avec déjà l’instauration d’un droit voisin pour les éditeurs et agences de presse, outre une industrialisation du filtrage sur les plateformes d’hébergement commercial d’une certaine importance.

La France a déjà les pieds dans les starting-blocks avec la proposition de loi Assouline, déjà votée au Sénat en janvier dernier. Elle attend son passage en séance à l’Assemblée nationale pour prévoir une compensation payée par les sites et services en ligne au profit de la presse. La grande loi sur l’audiovisuel promise par Franck Riester sera, elle, examinée en 2020. Outre une réforme de la Hadopi, elle devrait aussi transposer l’article 17 (ex article 13) de la directive. Selon le ministère de la Culture, cet article aboutira à des « avancées majeures », à savoir que « les plateformes de diffusion en ligne devront filtrer les publications mises en ligne pour s’assurer qu’elles ne contiennent pas des œuvres protégées ».  

La publication au JOUE de la directive a un effet mécanique : le texte entrera en vigueur le vingtième jour suivant cette diffusion, conformément à l’article 31. Dans tous les cas, les États membres devront mettre à jour leur droit national au plus tard le 7 juin 2021.

Copié dans le presse-papier !

Après un très court teaser, Microsoft annonce cette version en réalité augmentée du célèbre jeu qui fête ses 10 ans. La mécanique du jeu est sans surprise : « explorez votre quartier pour trouver des blocs et des créatures pour vos builds. Ensuite, n'importe quelle surface plane est une opportunité de construire ».

La FAQ officielle permet d'apprendre quelques détails intéressants. Il faudra par exemple disposer d'un smartphone avec Android 7 ou iOS 10 minimum. Les bêtas fermées seront lancées cet été sur les deux plateformes mobiles, et de plus amples informations seront données au MINECON.

Un site dédié pour être informé des nouveautés, voire de participer à la bêta est disponible par ici.

Copié dans le presse-papier !

Selon le Journal du Dimanche, la proposition de loi contre la haine en ligne, portée par la députée LREM Laetitia Avia, intégrera une peine d’interdiction d’utilisation des réseaux sociaux pendant une durée déterminée.  

L’idée avait été annoncée par Emmanuel Macron en février 2019 à l’encontre des individus condamnés pour des propos haineux. Elle n’était toutefois pas intégrée à la proposition de loi déposée fin mars à l’Assemblée nationale jusqu’à présent. La députée nous avait confié que le sujet exigeait « davantage d’auditions et de travaux ». « Je n’oublie pas non plus la réalité, tempérait la parlementaire,  rien n’empêche quelqu’un de se récréer un compte. On sait tous comment on peut user d’Internet et toutes ses possibilités ».

L’interdiction des réseaux sociaux soulève des questions métaphysiques : d’un, il n’y a pas de définition juridique du réseau social. Comment délimiter son champ ? De deux, cette interdiction sera-t-elle généralisée à l’ensemble de ces réseaux ou ne concernera-t-elle que les solutions identifiées par un tribunal (Mme Michu interdite de Facebook, mais non Twitter) ?

La « PPL »  Avia va prôner par ailleurs l’instauration d’un parquet spécialisé sur le numérique. Il serait installé à Nanterre, non loin de Pharos, la plateforme publique de signalement. Une idée simplement à l’étude à la chancellerie.

Copié dans le presse-papier !

« Effectivement, il va y avoir un recours », nous confirme le Conseil de l’Ordre des médecins ce jour. Celui-ci va attaquer devant le Conseil d’État le décret autorisant la mise en relation des fichiers de suivi des personnes en soins psychiatriques sans consentement (HOPSYWEB) et de signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Ce recours sera effectué à titre conservatoire d’abord, afin de préparer la suite du contentieux avec des arguments axés sur la protection des droits et libertés.

Ce croisement de fichiers avait tout autant subi les critiques de la CNIL qui rappelait combien est sensible la question du secret médical, pas seulement sur l’autel du règlement général sur la protection des données personnelles.

L’extension d’Hopsyweb à la lutte contre la radicalisation à caractère terroriste et la transmission des données médicales au Ministère de l’Intérieur avait eu également les honneurs du Syndicat des avocats de France : elle « implique que chaque personne hospitalisée sans son consentement, pour des raisons qui n’ont rien à voir avec le terrorisme, se retrouve suspecte et potentiellement soumise à un principe de précaution à long terme au risque d’être suivi médicalement sans limite liée à la nécessité des soins ».

Plusieurs syndicats et associations du secteur médical ont aussi démultipliés les reproches. Cette interconnexion « constitue une étape supplémentaire inacceptable et scandaleuse au fichage des personnes les plus vulnérables touchées par la maladie mentale dans notre pays, dans un amalgame indigne entre le champ sanitaire et celui de prévention de la radicalisation ». Ils signalaient le précédent « SI-VIC » (système d’information pour le suivi des victimes) soit le fichage des gilets jaunes, admis aux urgences lors des mouvements sociaux.

Copié dans le presse-papier !

C'est une mauvaise nouvelle de plus, mais finalement pas si surprenante étant donnée la propension du fabricant à brûler du cash.

Les 2,7 milliards de dollars levés récemment, ne donneraient à Tesla que 10 mois pour atteindre l'équilibre si les dépenses suivent le rythme du premier trimestre, c'est du moins ce qu'affirme son dirigeant dans un courrier interne consulté par Reuters.

« C’est la raison pour laquelle, à l’avenir, toute dépense quelle qu’elle soit dans le monde, notamment les pièces détachées, les salaires, les frais de déplacement, le loyer, littéralement tout paiement qui sort de notre compte bancaire doit [être] examiné », explique-t-il.

Nos confrères rappellent qu'en avril 2018 déjà, Elon Musk avait demandé à sa direction de « passer au crible toutes les dépenses effectuées dans le monde ». Le constructeur avait ensuite réduit ses effectifs de 9 % en juin dernier et de 7 % en janvier.

En mars, Elon Musk annonçait la fermeture des boutiques physiques en affirmant qu'il n'y avait « pas d'autre moyen de réaliser les économies nécessaire à la production de cette voiture [la Model 3, ndlr] tout en restant rentable ». Finalement, une alternative était trouvée quelques jours plus tard : augmenter les tarifs de 3 % pour garder environ 50 % des magasins.