du 16 mai 2019
Date

Choisir une autre édition

Clé de sécurité : Google remplace gratuitement la Titan à cause d'une faille sur le Bluetooth

Lancée l'été dernier, il s'agit pour rappel de clés du chinois Feitian (lire notre test) rebadgées. Le géant du Net vient de publier un bulletin de sécurité pour annoncer une vulnérabilité sur le Bluetooth LE. La version USB/NFC n'est donc pas concernée.

En cause, « une mauvaise configuration dans les protocoles de couplage Bluetooth ». Il est ainsi possible pour un attaquant physiquement proche de vous – dans un rayon de 10 m environ– « de communiquer avec votre clé de sécurité ou avec le périphérique auquel elle est associée ».

Dans le premier cas, si l'attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte. Dans le second, il pourrait « entreprendre des actions sur votre appareil », sans plus de détail.

Dans tous les cas, le géant du Net se veut rassurant : « Ce problème de sécurité n'affecte pas l'objectif principal des clés de sécurité, qui est de vous protéger contre le phishing ». « Il est toujours plus sûr d'utiliser une clé présentant ce problème plutôt que de désactiver la vérification en deux étapes basée sur la clé de sécurité (2SV) ou de passer à une méthode moins résistante » comme les SMS.

Pour savoir si votre clé Titan est concernée, il faut regarder au dos. Si T1 ou T2 est écrit en bas, alors c'est le cas. Une clé de remplacement est alors envoyée gratuitement par Google sur demande.

Google donne quelques recommandations et explications pour l'utilisation d'une clé affectée par ce bug sur iOS et Android.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après l'annonce de son studio, le PDG de Sony Pictures Entertainment, Tony Vinciquerra, annonce avoir conclu un contrat pour adapter Twisted Metal en série, sans donner plus de détails. De nombreux titres de cette saga de combats motorisés sont sortis entre 1995 et 2012.

Il en profite pour revenir sur le film Uncharted qui serait en « développement avancé ». Pour rappel, ce serpent de mer revient régulièrement à la surface, lors de l'annonce d'un nouveau réalisateur après le départ du précédent.

Fin 2018, Allociné proposait une rétrospective des annonces et rebondissements en tout genre après le départ de Shawn Levy, depuis remplacé par Dan Trachtenberg (10 Cloverfield Lane).

Copié dans le presse-papier !

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillance n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

Copié dans le presse-papier !

Après toute une série d'alpha, la mouture finale du navigateur est désormais proposée au téléchargement. Elle intègre Firefox 60.7.0esr et les nombreux correctifs qui vont avec. Signalons aussi HTTPS Everywhere to 2019.5.6.1, Torbutton to 2.1.8 et OpenSSL to 1.0.2r.

De petits ajustements cosmétiques sur l'interface ont également été apportés. Les logos ont été modifiés pour mieux représenter la version du navigateur : violet pour stable, vert pour alpha et bleu pour nightly. Les notes de versions sont disponibles par ici.

Au passage, l'équipe annonce que « Tor Browser 8.5 est la première version stable pour Android ». Pour rappel, la première alpha avait été lancé en septembre de l'année dernière.

Copié dans le presse-papier !

Bien que dans le collimateur des États-Unis, le fabriquant continue de dévoiler ses nouveautés comme si de rien n'était, ou presque. Comme prévu, voici donc les Honor 20 et 20 Pro.

Les deux partagent le même écran de 6,26" avec un SoC maison : le Kirin 980. Le Honor 20 dispose de 6 Go de mémoire et 128 Go de stockage, contre respectivement 8 et 256 Go pour le Pro.

Une caméra de 32 Mpx est présente à l'avant des deux smartphones. À l'arrière, quatre capteurs à chaque fois : 48 Mpx (f/1.8), 16 Mpx (f/2.2), 2 Mpx (f/2.4) et encore 2 Mpx (f/2.4) pour le 20, contre 48 Mpx (f/1.4), 16 Mpx (f/2.2), 8 Mpx (f/2.4) et 2 Mpx (f/2.4) pour le Pro.

Leur usages sont différents : le 48 Mpx est le capteur principal, 16 Mpixels est un « super grand-angle » et le 2 ou 8 Mpixels suivant le modèle est un téléobjectif. Le dernier de 2 Mpixel est utilisé pour la macro. Le Pro a aussi droit à de la stabilisation optique sur la caméra principale et le téléobjectif.

Enfin, un capteur d'empreintes est présent sur le côté. Android 9 avec Magic UI 2.1.0 est de la partie. Pour le reste, les caractéristiques techniques du Honor 20 sont disponibles par ici, celle du 20 Pro par là.

Le Honor 20 sera disponible « avant le début de l'été » à partir de 499 euros. La date n'est pas précisée pour le 20 Pro, mais son tarif débutera à 599 euros. Le fabricant ne dit par contre pas un mot sur les conséquences de son bannissement des États-Unis, assorti pour le moment d'un sursis de 90 jours.

Copié dans le presse-papier !

En septembre 2017, Numworks lançait sa « calculatrice réinventée » (lire notre analyse). Au fil des mois et des mises à jour du firmware, elle s'est enrichie de nouvelles fonctionnalités et de corrections de bugs, toujours avec une approche open source et open hardware.

Aujourd'hui, le constructeur propose gratuitement une application mobile : « Ne nécessitant pas de connexion à Internet, l’application réunit l’intégralité des fonctionnalités de la calculatrice, sans aucune limitation ».

Le fabricant en profite pour tacler ses concurrents, des « mastodontes américains ou japonais [qui] restent sur un ancien "business model" ultra conservateur ».