du 11 septembre 2018
Date

Choisir une autre édition

Invité hier sur RTL, le secrétaire d’État au Numérique a voulu alerter sur les dangers de la dépendance aux écrans, et plus particulièrement aux réseaux sociaux. « Ce que je souhaite, (...) c’est que chacun puisse décider, dans sa famille, comment il va faire. Et s’il y a besoin, pourquoi pas une loi » a lancé Mounir Mahjoubi.

L’ancien président du Conseil national du numérique a laissé entendre qu’il pourrait être question de prendre des mesures semblables à celles en vigueur afin de lutter contre l’addiction aux jeux d’argent : indication du temps passé par jour sur tel réseau social, éventuel avertissement au bout d’un certain temps...

Le secrétaire d’État au Numérique a surtout invité les Français à participer à ce débat au travers des « États généraux des nouvelles régulations numériques », qui devraient durer jusqu’à la fin de l’année.

Addiction aux réseaux sociaux : Mahjoubi menace de légiférer
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Parfois, il n'y a pas besoin de pirater des routeurs/serveurs pour faire tomber des sites, un problème de routage suffit.

Dernier exemple en date : Telekom Malaysia a publié ses tables internes sur Internet et elles ont été reprises et acceptées par Level3 pour argent comptant comme c'est généralement le cas, faisant ainsi passer une partie du trafic mondial par la Malaisie. Les conséquences sont faciles à deviner...

Pour éviter que n'importe qui puisse délivrer des tables de routages ensuite reprises telles quelles, il existe une solution : « une infrastructure de distribution de certificats numériques prouvant qu’on contrôle un préfixe IP : la RPKI », comme l'expliquait il y a déjà plusieurs années le spécialiste Stéphane Bortzmeyer.

« Le routage BGP n'est pas sécurisé. Son principal espoir, RPKI, est d’utiliser un système de certificats qui ressemble à une navigation Web sécurisée » affirme de son côté CloudFlare, qui détaille son approche.

Copié dans le presse-papier !

Eyeo, éditeur d’Adblock Plus, a indiqué récemment avoir mis en place une équipe interdisciplinaire pour mieux s’attaquer aux mesures de contournement des bloqueurs de publicités.

Un jeu constant du chat et de la souris qui rappelle le combat sans fin entre malwares et antivirus. L’un des responsables, Ben Williams, explique à TechCrunch qu’Adblock Plus peut par exemple bloquer les publicités sur Facebook, mais que le réseau social ne tardera pas à déployer « un correctif contre le correctif ».

Le groupe de travail réunit des développeurs d’Eyeo et d’autres extérieurs, indépendants de l’univers open source, gestionnaires de listes de blocage, développeurs d’autres extensions de blocage, etc. Il aura pour mission de centraliser les efforts et les compétences, ainsi que de répondre aux requêtes des utilisateurs.

Le travail sur les mesures anti-contournement porte déjà ses fruits depuis plusieurs mois selon Williams.

Rappelons tout de même que le modèle économique d’Adblock Plus dépend de l’efficacité de son blocage puisqu’il commercialise une liste blanche, dans laquelle les publicités s’ébattent en toute liberté.

Cette liste impose des conditions, développées par le Acceptable Ads Committee (derrière lequel se tient Eyeo). Seules sont censées passer les publicités y répondant, et devant aboutir à des contenus non intrusifs.

Or, l’inscription à cette liste est payante. L’éditeur a donc tout intérêt à s’assurer que son blocage est efficace, même si cela signifie une alliance avec d’autres bloqueurs, moins consensuels. Adblock Plus a tout intérêt à rester une « référence » s’il ne veut pas être remplacé (voir notre analyse).

La publicité reste un marché très juteux, tant dans son édition que dans son blocage. Eyeo n'est d'ailleurs pas le seul acteur à vouloir faire autrement. Le navigateur Brave par exemple souhaite mieux répartir les gains générés. Mais ils restent finalement des acteurs privés cherchant à imposer leurs propres règles.

Copié dans le presse-papier !

Remco Vermeulen de la société Securify détaille le procédé permettant de contourner la procédure d'identification, et ainsi disposer d'un accès administrateur sur le NAS.

Mais le plus intéressant – ou grave, au choix – dans cette histoire est le calendrier : la brèche a été signalée en avril 2017, sans aucune réponse de Western Digital depuis. Le chercheur a finalement publié les détails le 18 septembre.

Suite à cette révélation, Exploitee.rs en rajoute une couche, affirmant de son côté avoir lui aussi découvert cette faille l'année dernière. Il l'avait alors signalée à Western Digital et présenté à la conférence DEF CON de l'année dernière, là encore sans aucune réponse ou correctif de la part du fabricant.

Finalement, il a fallu attendre hier soir pour que le fabricant sorte du bois. Il indique être au courant du problème et affirme « finaliser une mise à jour » qui arrivera d'ici… « quelques semaines ». Une dizaine de références My Cloud sont concernées, mais pas le My Cloud Home.

Comme pour essayer de minimiser la portée, le fabricant ajoute qu'il faut que l'attaquant ait accès au réseau local de la victime, ou bien que l'accès à distance ait été activé dans les paramètres par le propriétaire.

Le fabricant n'en est pas à son coup d'essai dans le domaine des réponses bancales. Il a d'ailleurs été « récompensé » d'un Pwnie Award en 2016 dans la catégorie « Lamest Vendor Response ».

Alors que le chiffrement des disques durs de WD partait en fumée à cause « de vulnérabilités rudimentaires » expliquait alors Forbes, le fabricant était simplement en train « d'évaluer les observations ».

Copié dans le presse-papier !

La fuite est d'autant plus importante qu'il s'agit d'un des plus gros revendeurs aux États-Unis. Selon TechCrunch, ses revenus étaient de 2,65 milliards de dollars en 2016, avec plus de 45 millions de visiteurs uniques par mois.

Pendant un peu plus d'un mois, le site était infecté par du code malveillant qui envoyait les informations sur un serveur avec un nom de domaine proche de celui du revendeur neweggstats.com.

Ce dernier avait même un certificat délivré par Comodo. À Ars Technica, l'autorité de certification se défend et explique qu'elle « n'est pas en mesure de discerner l'intention du demandeur avant son utilisation réelle ».

De son côté, Newegg confirme la présence du malware (et son éradication), mais ne donne pour le moment aucun détail supplémentaire sur la quantité de données dérobéee et les clients concernés. Une enquête est évidemment en cours et des emails envoyés aux clients. Dans tous les cas, il est recommandé aux personnes ayant utilisé leur carte sur le site entre le 14 août et le 18 septembre de bien vérifier leur compte pour détecter rapidement une activité suspecte.

La faille est détaillée par RiskIQ ainsi que par Volexity. Les deux sociétés s'accordent à dire que le groupe de pirates Magecart est derrière cette attaque. Ils se seraient déjà illustrés avec des attaques similaires sur les sites de la British Airways et de Ticketmaster.

Copié dans le presse-papier !

Après les téléphones portables, les ordinateurs portables ? Au travers d’une tribune parue hier dans Libération, Olivier Estèves, qui enseigne à l’Université de Lille, invite les pouvoirs publics à réfléchir à « l’interdiction de ces armes de distraction massive dans certains enseignements ».

Ce spécialiste de l’histoire britannique déplore les dérives liées à l’utilisation des ordinateurs portables par les étudiants. Selon lui, ces appareils « empêchent ces derniers de prendre une part active au cours, empêchent le contact oculaire entre enseignant et étudiants (combien y a-t-il d’étudiants dont on ne voit jamais les yeux ?), déconcentrent les étudiants assis derrière ceux dont les écrans montrent des images complètement déconnectées du cours, enfin tendent à desservir même ceux qui utilisent leurs ordinateurs pour prendre des notes ».

Olivier Estèves prévient au passage qu’il interdira purement et simplement « tout appareil connecté » dans ses cours « dès l’année prochaine », et ce même s’il trouve « lamentable qu’il soit nécessaire d’en arriver là ».