du 07 janvier 2019
Date

Choisir une autre édition

Des Chromecast « piratées » demandaient de s'abonner à la chaîne de PewDiePie

Felix Kjellberg (dit PewDiePie) est pour le moment le « roi » de YouTube : sa chaîne dispose du plus grand nombre d'abonnés (79,7 millions). Mais la chaîne indienne T-Series est en embuscade avec 78,8 millions.

Les « fans » du youtubeur ont décidé de passer à l'offensive depuis plusieurs mois. Et cette guerre va loin : des imprimantes connectées ont ainsi été piratées pour diffuser des messages de soutien, puis c'était au tour d'un sous-domaine du Wall Street Journal.

En ce début d'année, Hacker Giraffe (déjà à l'origine des imprimantes) et J3ws3r remettent le couvert avec CastHack : ils s'attaquent à des Chromecast cette fois-ci pour prêcher de nouveau « la bonne parole ».

Contacté par TechCrunch, Google confirme avoir « reçu des informations de la part d’utilisateurs ayant visionné une vidéo non autorisée sur leur téléviseur, via un Chromecast ». Le géant du Net ajoute par contre « que ce problème ne concerne pas spécifiquement Chromecast ». Il s'agit de la conséquence « des paramètres des routeurs qui permettent aux périphériques connectés, y compris Chromecast, d’être accessibles au public ».

Quelles que soient les responsabilités, le problème n'en reste pas moins inquiétant pour les utilisateurs, d'autant que cette vulnérabilité pourrait faire boule de neige. Imaginons qu'au lieu d'un message de soutien, la vidéo diffuse une phrase du genre « Alexa, ouvre les volets », « Ok Google, ouvre la porte », etc.  

Comme avec les imprimantes, Hacker Giraffe affirme que son but n'est pas uniquement de soutenir PewDiePie, mais aussi de faire prendre conscience aux gens de la faible sécurité des objets connectés qu'ils utilisent au quotidien.

Hacker Giraffe a abandonné il y a quelques jours, accusant une partie d'avoir saisi les forces de l'ordre ou la justice, sans preuve.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le lanceur lourd de SpaceX a décollé pour la première fois en février de l'année dernière. Elon Musk assurait la comm' sur les réseaux sociaux et avec son roadster Tesla dans l'espace.

En avril de cette année, premier lancement commercial avec Arabsat-6A. Un succès sur toute la ligne avec la récupération du premier étage et des deux boosters latéraux. Ces deux derniers sont réutilisés pour cette mission STP-2.

La fenêtre de tir s'ouvrira demain à partir de 5h30 heure française et durera 4h. Une seconde sera disponible 24h plus tard en cas de retard. Les déploiements devraient débuter 12 minutes après le décollage et se terminer 3h32 après que Falcon Heavy aura quitté le plancher des vaches.

Le lanceur devra placer 24 satellites sur trois orbites différentes. Le deuxième étage se rallumera trois fois au cours de cette mission. Il est de nouveau prévu de récupérer les deux boosters et le premier étage de la fusée. Tous les détails de la mission sont disponibles par ici.

Copié dans le presse-papier !

Il y a quelques jours, Canonical a publié la version 2.36 de son service snapd, responsable de l’installation et des opérations courantes sur les Snaps. Principale nouveauté, la capacité d’installer plusieurs instances d’une même application.

Ces instances fonctionnent de manière concurrentielle. Elles ont chacune leur fonctionnement isolé des autres, avec leur propre configuration, leurs interfaces, services et autres.

Canonical a publié une page dédiée aux explications de cette capacité, qui nécessite l’activation d’un flag particulier.

L’éditeur cite des avantages évidents à l’installation concurrentielle. Le cas le plus courant : un développeur qui souhaiterait tester la dernière préversion de son application en parallèle de la révision stable.

Plus globalement, il est possible de faire fonctionner parallèlement plusieurs branches d’un même logiciel, que ce soit pour des tests ou des raisons de compatibilité. Par exemple, garder une ancienne version pour des cas spécifiques tout en profitant des avantages de la plus récente à côté.

Copié dans le presse-papier !

Dans un rapport d'inspection sur le Jet Propulsion Laboratory (JPL) de l'agence spatiale américain, nous apprenons qu'un Raspberry Pi a été utilisé en avril 2018 comme point d'entrée pour une cyberattaque.

Le micro-ordinateur avait été installé sans autorisation ni contrôle de sécurité. Les pirates ont pu rester sur le réseau du JPL pendant dix mois. Ils ont pu récupérer 500 Mo de données dans 23 fichiers. Deux contenaient des informations sur la Réglementation américaine sur le trafic d'armes au niveau international et sur Mars Science Laboratory (dont fait partie le rover Curiosity).

Les attaquants ont également réussi à s'infiltrer dans deux des trois réseaux primaires du JPL. Ce dernier étant relié à de nombreux autres réseaux, dont le DSN (Deep Space Network), des déconnexions temporaires en cascades ont eu lieu pour éviter que la contamination ne se répande.

Copié dans le presse-papier !

Surprise, Microsoft a placé son nouveau Terminal dans le Store de Windows 10. Une surprise parce que l’application n’en est qu’au début de son développement, mais l’éditeur prévient d’entrée de jeu.

La vignette de l’application affiche une mention « Preview » et la description explique en anglais toute la jeunesse de ce Terminal. En clair, il peut se révéler instable et n'est pas complet.

Pour rappel, ce Terminal a vocation à présenter une console unifiée dans laquelle on peut ouvrir des invites de commande classiques (cmd), PowerShell et WSL (Windows Subsystem for Linux, dont la version 2 intègre un noyau Linux) via des onglets.

UTF-8 est pris en charge, l’ensemble est accéléré graphiquement (le fond est légèrement transparent) et l’utilisateur peut créer ses propres thèmes.

Pour l’instant, la quasi-totalité des réglages et personnalisations se fait via un fichier JSON qu’il faudra donc modifier soi-même. Tout ou presque peut être changé : police, taille et couleur de la police, transparence, image de fond, couleur du curseur, icône de session, combinaisons de touches, etc.

Le Windows Terminal est un projet open source sous licence MIT. Les utilisateurs qui le souhaitent peuvent toujours en récupérer les sources sur GitHub pour les compiler eux-mêmes, mais la disponibilité sur le Store permet à ceux sans Visual Studio de tâter le terrain.

Un mot enfin sur la compatibilité de l’application. La fiche précise qu’il faut au moins la version 18062 de Windows, autrement dit la dernière mise à jour 1903.

Copié dans le presse-papier !

Mozilla avertit à nouveau ses utilisateurs qu’une autre faille critique 0-day doit être corrigée au plus vite. Toutes les branches supportées ont été mises à jour et il est recommandé de vérifier dans l’à propos et de redémarrer le navigateur si ce n’est pas encore fait.

La deuxième faille (CVE-2019-11708) a été trouvée quand l’éditeur a été informé que des attaques étaient en cours autour de la première faille signalée la semaine dernière, notamment contre Coinbase.

Elle permet de s’échapper de la sandbox, la zone du navigateur dans lequel un code est en temps normal contraint de résider, sans impact sur le reste du système. Utilisées en conjonction, les brèches permettaient l’exécution d’un code arbitraire sur n’importe quelle configuration (Linux, macOS, Windows…) en amenant simplement l’internaute sur un site malveillant.

Les nouvelles moutures corrigées sont donc la 67.0.4 pour la branche classique et la 60.7.2 pour la branche ESR (support long). Comme la semaine dernière, Tor Browser a lui aussi reçu le correctif, dans sa nouvelle version 8.5.3.

Notez que ce bug concerne également Thunderbird, qui passe lui aussi en version 60.7.2 (il se base sur le code de la branche ESR de Firefox).