du 29 août 2019
Date

Choisir une autre édition

De (trop) nombreuses failles et fuites durant l'été

Les pirates, « bugs » et autres problèmes techniques n'ont pas pris de congés et ont continué de sévir, avec des conséquences plus ou moins importantes. Plutôt que de diluer ces problèmes dans de nombreuses entrées, nous avons décidé de regrouper les principales brèches afin de vous donner un ordre d'idée de ce qui se passe en l'espace de deux mois seulement… et il y a de quoi prendre peur. 

Le plus gros drame de l'été s'est certainement déroulé chez Biostar 2. Des chercheurs ont accédé à une base de données de 23 Go comprenant 27,8 millions d'entrées. Dans le lot, des données de reconnaissance faciale et des empreintes de plus d'un million de personnes. Contrairement à un mot de passe, il n'est pas possible de changer d'empreintes ou de tête…

Tencent a identifiée une faille dans des puces Qualcomm permettant de prendre le contrôle d'un appareil à distance. Elle est affublée du nom QualPwn et concerne une large variété de SoC, allant des Qualcomm 215 aux Snapdragon 855 (la liste est disponible par ici). Le bulletin de sécurité d'Android du mois d'août bouche ces failles… encore faut-il pouvoir en profiter sur son terminal. 

Continuons avec KNOB (Key Negotiation of Bluetooth), une faille dans le protocole du Bluetooth (et pas son implémentation). Les chercheurs ont pu lancer leur attaque sur pas moins de 17 puces Bluetooth différentes. Les fabricants ont été prévenus fin 2018 et des correctifs ont déjà été déployés par les gros fabricants comme Apple, Google, Intel et Microsoft. 

Valve a été le parfait exemple de ce qu'il ne faut pas faire en matière de cybersécurité. Pour résumer grossièrement, le chercheur Vasily Kravets a signalé une faille sur HackerOne, qui n'en était en fait pas une selon Valve. Le chercheur a alors voulu dévoiler les détails, mais un membre de HackerOne lui a interdit de le faire, même si aucun correctif n'était en route, puis il a été banni de la plateforme. Il a ensuite trouvé une seconde faille dont il a publié des détails (pas sur HackerOne évidemment). Valve a ensuite fait machine arrière, reconnu son erreur et enfin déployé des correctifs.

De son côté, l'E3 a laissé filer un fichier contenant des détails personnels de 2 000 journalistes et influenceurs. La banque américaine Capital One n'est pas en reste car elle s'est fait dérober des données personnelles sur 100 millions d'utilisateurs. Toujours du côté des banques, Monzo a laissé accessible pendant six mois des données bancaires de près de 500 000 clients. La routine ou presque...

Twitter aussi s'est emmêlé les pinceaux et a pu transférer des données à des tiers alors que vous n'aviez pas donné votre accord. Epitech aussi a été confrontée à des fuites de données (élèves, enseignants et personnels administratifs) par un compte dénommé Epitek Reveal. Un ancien étudiant de l'école a publié sa vision des faits sur GitHub

Par deux fois, Google a laissé sur le Play Store une application malveillante intégrant un logiciel espion open source baptisé AhMyth. Pour Eset qui a découvert le pot aux roses, c'est un sérieux avertissement à Google qui doit renforcer ses protections.

Facebook n'a pas respecté sa promesse de ne laisser les enfants dialoguer qu'avec des personnes expressément autorisées par les parents dans Messenger Kids. En cause, un vilain défaut de conception : dans une conversation de groupe, n'importe quel utilisateur pouvait inviter des personnes qui avaient été approuvées par ses parents, mais pas par les parents des autres membres du groupe.

C'est presque devenu banal : une plateforme d'échange de cryptomonnaie (Bitpoin) s'est fait dérober 32 millions de dollars dans diverses devises, dont ripple et bitcoin. Dans ProFTPD, une faille permettait à un utilisateur authentifié d'écrire des données dans des répertoires où il n'était pas censé pouvoir le faire. 

Pour terminer, ce genre de mésaventures débouche aussi sur des sanctions. C'est le cas d'Equifax qui a trouvé un accord à 575 millions de dollars avec la FTC pour ses déboires de 2017. La société avait laissé fuiter des données de près de 150 millions d'utilisateurs, dont des permis de conduire et des cartes d'identité.  

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

« L’amende prévue par la loi hongroise sur la taxe sur la publicité en cas de non-enregistrement d’une société étrangère est-elle conforme au droit de l’Union ? ». Voilà l’enjeu d’une affaire en cours devant la Cour de justice de l’Union européenne.  

Hier, l’avocat général a rendu son avis dans ce dossier opposant Google Ireland Limited à cet État membre. L’entreprise fut sanctionnée par une amende journalière de 33 000 euros faute de s’être enregistrée dans ce pays au titre de la taxe sur la publicité. 

L’amende hongroise a ceci de particulier qu’elle augmente du triple de la journée précédente jusqu’à ce que la somme totale atteigne plus de 3 millions d’euros (1 milliard de HUF). 

Dans ses conclusions, l’avocate générale Juliane Kokott estime ce dispositif dès lors disproportionné : « Un assujetti (…) se verrait infliger le premier jour une amende qui s’élèverait à 10 millions de HUF. Le deuxième jour l’amende s’élèverait à 30 millions de HUF et le troisième jour elle atteindrait déjà 90 millions de HUF ». 

Conclusion : « Après seulement trois jours, l’amende dépasserait le chiffre d’affaires qui constitue l’assiette de la taxe », laquelle est de 100 millions de HUF. 

Mieux, « dans le cas d’une marge de bénéfice de moins de 10 %, l’amende serait, dès le premier jour, plus élevée que le bénéfice qui était censé être taxé. La proportion par rapport à la taxe effectivement due apparaît encore moins appropriée dans cet exemple ».

Selon l’avocate générale, les modalités de l’astreinte sont disproportionnées. La restriction indirecte à la libre prestation des services n’est donc pas justifiée au regard du droit de l’Union. La cour rendra sa décision dans quelques mois. 

Copié dans le presse-papier !

Ce n’est plus qu’une question de temps avant que des appareils comme le Galaxy Fold deviennent plus courants, plus abordables et – disons-le – plus fiables.

L’un des problèmes majeurs actuellement est d’adapter les interfaces des applications. L’ergonomie doit être entièrement revue, de nouveaux usages doivent être invités et les développeurs font face à des défis inédits.

Parmi ces derniers, on trouve des questions telles que : la zone de pliure peut-elle afficher des informations ? Comment gérer les différences matérielles et d’approche par les constructeurs ? Une interface sera-t-elle encore valide sur le matériel suivant ? Comment gérer l’occlusion des éléments système comme le clavier virtuel ou les notifications selon l’écran ?

Microsoft propose une API pour préparer le terrain, tout particulièrement pour le web. Baptisée Window Segments Enumeration, elle divise les zones logiques en segments dont la taille s’exprime en pixels via les CSS. Ils sont ensuite exposés en JavaScript et manipulables en l’état, permettant un réarrangement dynamique en fonction de la situation.

L’éditeur précise que son API ne représente pas l’alpha et l’oméga de la gestion d’interfaces pour écrans pliables, mais offre une éventuelle nouvelle manière d’aborder certaines problématiques. Elle ne remet pas en cause les approches existantes et ne sera pas adaptée à tous les cas de figure. Sur Android, elle ne remplacera donc pas les propres interfaces fournies par Google dans Android 10.

Notez que les sources et la documentation de l'API sont sur GitHub. Microsoft a cependant choisi une licence CC BY 4.0 pour les sources, plutôt qu'Apache 2.0 ou MIT, utilisées habituellement. Elle reste considérée comme libre.

Copié dans le presse-papier !

Nouvelle version pour l’environnement de bureau, fourni par défaut avec bon nombre de distributions Linux.

Premier ajout, la possibilité de créer des dossiers personnalisés dans la vue globale des applications. Leur création se fait par un geste connu : déplacer une icône sur une autre. On ne peut pas pour l’instant mettre de nom. Le dossier disparaît si plus aucune application ne s’y trouve.

GNOME 3.34 introduit également un lot de rafraichissements visuels (dont de nouvelles icônes) dans les applications intégrées et le bureau. Ces applications gagnent d’ailleurs de nombreux apports.

Web, le navigateur par défaut, peut désormais épingler les onglets et consomme moins de ressources quand il bloque des publicités. Les processus sont désormais isolés dans des sandbox. 

Boxes, le gestionnaire de machines virtuelles, reçoit plusieurs simplifications d’interface, notamment pour les sélections de sources. Les machines existantes peuvent en outre être démarrées explicitement depuis une image ISO, pour simuler par exemple un environnement dual-boot. En outre, l’accélération 3D est maintenant un paramètre optionnel.

Les joueurs rétro utilisant Games seront heureux d’apprendre que l’application gère maintenant autant d’états de sauvegarde qu’ils le souhaitent. Ces fichiers peuvent être exportés pour des raisons de sauvegarde ou de partage.

Voici pêle-mêle d’autres améliorations : Music suit les modifications de dossiers et peut lire la musique sans intervalle, Terminal supporte les langues se lisant de droite à gauche ou dans les deux sens, certaines animations sont plus fluides, les icônes se chargent plus rapidement, les fonds d’écran du bureau et du login ont maintenant une prévisualisation et Logiciels présente une plus grande sélection d’applications mises en avant.

Comme toujours avec GNOME, le téléchargement de la nouvelle version dépendra fortement de la distribution Linux utilisée. Beaucoup attendent leur propre prochaine révision pour intégrer ces nouveautés, d’autres proposeront la mise à jour depuis leur panneau dédié.

Copié dans le presse-papier !

Coup dur pour la cryptomonnaie de Facebook, qui annonçait hier qu'elle allait « solliciter une autorisation en tant que système de paiement en Suisse ». 

Lors d'une conférence de l’OCDE sur les défis des cryptomonnaies, Bruno Le Maire n'y a pas été avec le dos de la cuillère : « Libra soulève aussi un risque systémique à partir du moment ou il y a deux milliards de consommateurs. Toute défaillance dans le fonctionnement de cette monnaie, dans la gestion de ses réserves pourrait créer des désordres financiers considérables », comme le rapporte Reuters.

Les griefs sont nombreux : « risques d’abus de position », « risques de souveraineté » et des risques pour les consommateurs ainsi que les entreprises. « Toutes ces préoccupations sur Libra sont sérieuses, je veux dire donc avec beaucoup de clarté [que] dans ces conditions nous ne pouvons pas autoriser le développement de Libra sur le sol européen », ajoute le ministre de l’Économie et des Finances. 

Copié dans le presse-papier !

La mise en place de cette fonctionnalité n'est pas automatique, il faut que les développeurs l'activent pour leurs applications

Ensuite, en cas d'échec du paiement d'un renouvellement automatique, par exemple si la date de validité de la carte bancaire a expiré, les utilisateurs peuvent toujours accéder au contenu payant pendant qu'Apple tente de collecter le paiement.

La durée de la période de grâce est définie par Apple : 6 jours pour les abonnements hebdomadaires, 16 pour ceux d'un mois à un an.