du 16 avril 2018
Date

Choisir une autre édition

Android P rendra obligatoire TLS pour les nouvelles applications

Toute application ciblant la prochaine version d'Android via son SDK devra communiquer en TLS. Les transmissions en clair seront interdites sur le nouveau système. Cela ne signifie pas que toutes les applications arrêteront de fonctionner, une partie se servant déjà de TLS depuis un moment selon Google. Dans ce cas, aucune modification n'est nécessaire.

Les éditeurs n'ayant pas sauté le pas sont par contre encouragés à le faire. Pour l'instant, il n'est pas question de date butoir pour les mises à jour d'application existantes. Mais tout éditeur souhaitant utiliser les nouvelles fonctionnalités d'Android P devra passer par le nouveau niveau d'API, et donc se servir de TLS.

Notez que Google ménage une voie pour les développeurs qui, pour des raisons précises, auraient encore besoin de connexions HTTP classiques. La société fournit cependant quelques « bonnes pratiques » pour le faire dans les meilleures conditions possibles.

Dans un autre billet de blog, Google indique qu'Android P supportera également DNS over TLS, appliquant ce dernier à toutes les requêtes DNS. Ces dernières, ainsi que les réponses, ne peuvent donc être lues ou modifiées par un observateur sur le réseau. Contrairement au TLS sur les connexions, il peut cependant être désactivé par l'utilisateur, ou remplacé par un DNS privé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Microsoft a diffusé hier soir de nouvelles builds dans les canaux rapide et lent. Elles ont en commun de ne presque rien changer, apportant seulement deux correctifs, dont un pénible qui pouvait bloquer l’installation des versions précédentes au sein de machines virtuelles.

Les notes de versions sont donc strictement les mêmes entre la build 18361 dans le canal rapide et la 18356.16 dans le canal lent.

Cependant, elles ont aussi en commun la liste des problèmes restant à résoudre. La mise à jour 1903 doit être finalisée ce mois-ci et il reste plusieurs soucis sérieux, comme les cartes X-Fi de Creative fonctionnant mal, des plantages système avec certains jeux utilisant des logiciels antitriche ou encore des lecteurs Realtek de cartes SD étant mal reconnus.

Ces éléments trainent dans les notes de version depuis des semaines. Il est probable que des associations soient en cours avec les entreprises concernées. On sait notamment que dans le cas des jeux, les titres eux-mêmes doivent être mis à jour.

Copié dans le presse-papier !

Il y a peu, on apprenait que l'ancienne productrice d'Assassin's Creed devenait vice présidente chez Google, sans trop savoir à quel titre. On se doutait néanmoins d'un lien avec l'arrivée du service de cloud gaming dévoilé hier soir : Stadia.

La conférence de presse de la GDC était l'occasion d'en apprendre un peu plus, puisqu'après avoir monté un studio pour Electronic Arts (quitté trois ans plus tard), elle fonde Stadia Games and Entertainment.

Google devient ainsi un éditeur de jeux vidéo à part entière, travaillant à des titres exclusifs pour sa plateforme et aidant les développeurs tiers à y proposer les leurs.

Copié dans le presse-papier !

Alors que Google vient de dévoiler ses plans dans le domaine du cloud gaming, la société française spécialisée dans les services de jeux proposés en B2B vient de trouver un nouveau partenaire.

Pour rappel, 2CRSI n'est pas un inconnu dans le secteur puisque le strasbourgeois travaille également avec Shadow sur la conception de ses serveurs.

Cette levée de fond permettra au groupe de se développer en Europe et aux États-unis, alors que sa présence est plutôt au Moyen-Orient et en Asie pour le moment. 2CRSI détient désormais 12,45 % du capital, pour un investissement d'un million d'euros.

Copié dans le presse-papier !

Mirai a défrayé la chronique dès octobre 2016. Le malware s’en prenait à de nombreux objets connectés, dont des caméras de sécurité, créant de vastes botnets capables de déclencher des attaques par déni de service distribué (DDoS). Dyn en avait particulièrement fait les frais, OVH avait mieux résisté.

Malheureusement, même si les créateurs de Mirai ont été incarcérés depuis, son code source est en liberté depuis plus de deux ans. Des chercheurs (Palo Alto Network Unit 42) signalent donc une nouvelle variante s’attaquant spécifiquement à du matériel d’entreprise.

Le nouveau vise tout particulièrement des équipements comme les WiPG-1000 Wireless Presentation de WePresent et les téléviseurs Supersign de LG. Sont également concernés des routeurs Linksys, ZTE et DLink, de nouvelles caméras IP et des équipements de stockage réseau.

Le malware ajoute 11 méthodes d’exploitation (pour un total de 27) ainsi qu’une liste d’identifiants « inhabituels » pour les attaques par force brute. Selon les chercheurs, les réseaux d’entreprise sont souvent beaucoup plus rapides que chez les particuliers, rendant d’autant plus efficace la propagation et le lancement d’attaques.

Mirai avait surtout mis en lumière les défauts inhérents de sécurité des objets connectés, même quand leurs clients les mettaient à jour. Certains produits ne le peuvent même pas, comme nous l’expliquait Laurent Chemla aux rencontres mondiales du logiciel libre en 2017.

La nouvelle variante n’est guère différente : les brèches utilisées sont exploitées depuis longtemps (septembre 2018 pour LG, 2017 pour WePresent) et corrigées depuis presque aussi longtemps.

Copié dans le presse-papier !

Le Tor Project vient de publier la nouvelle version de son navigateur, qui n'apporte que des mises à jour mineures de ses composants, corrigeant quelques bugs. C'est désormais Firefox 60.6 ESR qui est utilisé comme base.

Mise à jour de routine également pour Tails, avec quelques correctifs et une mise à jour de Tor Browser en version 8.0.7, de Thunderbird en 65.1, du noyau Linux en 4.19.28.

Un nouveau microcode est utilisé pour les processeurs Intel, permettant d'éviter de nouvelles variantes de Meltdown/Spectre, mais aussi de L1TF.