du 04 avril 2018
Date

Choisir une autre édition

En septembre dernier, Amazon dévoilait ses Echo Buttons, des boutons connectés pour jouer à des quizz. Aujourd'hui, le géant du Net propose une API (baptisée Gadgets Skill), mais en version bêta pour le moment.

Les développeurs peuvent ainsi récupérer des informations lorsque le bouton est pressé ou envoyer des commandes pour l'allumer de différentes couleurs. De la documentation technique est disponible par ici, un exemple de code par là.

Amazon ouvre ses Echo Button aux développeurs avec une API, en version bêta
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En coordination avec la CNIL, elle serait chargée de superviser et évaluer les expérimentations. « Il ne faut pas avoir une vision exclusivement nihiliste de la reconnaissance faciale » assure le secrétaire d’État dans une interview au MondeExpérimenter est également nécessaire pour que nos industriels progressent ».

Sur l’idée de coupler cette technologie en temps réel à la vidéosurveillance, Cédric O souffle le froid et le chaud. « Je suis extrêmement partagé sur la question. On en voit très bien l’utilité, par exemple pour identifier des terroristes dans une foule, mais aussi les risques. Il faut donc en définir très clairement le cadre et les garanties pour éviter la surveillance généralisée ». 

Et le locataire de Bercy d’appeler à un débat avec les citoyens, les élus locaux et les parlementaires.

Copié dans le presse-papier !

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

Copié dans le presse-papier !

Yueting Jia « envisage de céder sa participation dans l'entreprise chinoise de véhicules électriques afin de rembourser ses dettes personnelles », explique Reuters

« Cette affaire n'affecte aucune des activités commerciales normales de Faraday Future », affirme le fabricant automobile. Yueting Jia doit la bagatelle de 3,6 milliards de dollars à différents créanciers.

Copié dans le presse-papier !

« C’est une proposition qui a été faite, mais cette date me semble prématurée » expose le secrétaire d’État, toujours au Monde.

« Nous avons saisi le Conseil national du numérique et les députées Paula Forteza et Christine Hennion ont débuté un travail pour le compte de l’Assemblée nationale sur le sujet de l’identité numérique. Nous n’ouvrirons pas le test plus largement avant que nous ayons eu leurs premiers retours ».

L’« authentification en ligne certifiée sur mobile », fruit d’un décret du 16 mai dernier, utilisera la reconnaissance faciale lors de la création du compte.  « Alicem vérifie par reconnaissance faciale que la personne qui utilise le smartphone est bien le détenteur du titre. C’est un moyen de lutter contre l’usurpation d’identité » explique l’Intérieur. 

Le décret a été critiqué par la CNIL et attaqué par la Quadrature du Net

Copié dans le presse-papier !

« Après neuf ans, l’équipe derrière Sensorly a pris la décision difficile de mettre fin au support des produits Sensorly et de mettre les applications et les cartes hors ligne », explique l'éditeur sur son site ainsi que sur le Play Store et l'App Store, comme l'a repéré le compte Twitter Muzikals.

Sensorly avait pour rappel été racheté en février 2016 par l'américain Mosaik. Pour le moment, les cartes de couvertures et de tests de débits sont toujours disponibles sur le site.

L'éditeur remercie enfin sa communauté qui réalisait les tests depuis leurs smartphones.