du 07 mai 2018
Date

Choisir une autre édition

En septembre 2016, une fusée de la compagnie d'Elon Musk explosait sur son pas de tir. L'incident, heureusement sans victime, est « intervenu durant les opérations de remplissage des réservoirs ».

Problème, SpaceX effectue cette opération au dernier moment – « load-and-go » – lorsque le chargement utile est déjà en place. Lors d'une explosion, il est donc perdu. En septembre 2016, c'était le cas du satellite AMOS-6 de l'opérateur Spacecom.

Des membres du Congrès américain et des conseillers de sécurité de la NASA s'inquiètent des prochains lancements lorsque des astronautes seront en place (ils sont prévus pour cette année), comme le rapporte le Washington Post. En effet, un problème lors du chargement du carburant peut conduire à une explosion, aux conséquences dramatiques sur un équipage. 

Pour rappel, les autres sociétés spatiales procèdent au remplissage des réservoirs avant d'installer la charge utile et/ou les astronautes.

Des experts s'inquiètent des lancements de SpaceX, qui pourraient être dangereux pour les astronautes
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après le contournement, lui aussi simple, des protections de libSSH, c'est au tour de ce module populaire de faire parler de lui, et pas dans le bon sens.

Le CERT-FR explique que cette brèche « permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité ». Sont concernées toutes les versions antérieures à la 9.22.1 de jQuery File Upload exécutées sur un serveur Apache supérieur à 2.3.9 avec une configuration par défaut (AllowOverride None).

En effet, le support de .htaccess a alors été désactivé explique le développeur. « Sans la configuration dans le fichier .htaccess, autoriser l'upload de tous les types de fichiers permet l'exécution de code à distance ». La mise à jour 9.22.1 limite les types de fichiers aux seules images avec l'extension gif, jpeg et png.

Si vous êtes concerné, « appliquez le correctif dans les plus brefs délais car du code d'attaque est publiquement disponible et cette vulnérabilité est activement exploitée » exhorte le CERT-FR.

Cette vulnérabilité serait activement exploitée depuis trois ans selon le chercheur à l'origine de sa découverte, interviewé par ZDNet.com. Sachez également que, même si la faille est corrigée dans le module de Blueimp, ce projet a été forké plus de 7 800 fois, laissant de nombreux autres modules (et application l'intégrant) vulnérables.

Copié dans le presse-papier !

OpenBSD est désormais disponible en version 6.4. Contrairement à d’autres systèmes gardant les « versions à point » comme des moutures d’entretien pour rassembler les mises à jour déjà disponibles, la nouvelle OpenBSD fait le plein de nouveautés.

Comme souvent, une bonne partie d’entre elles concerne le support matériel. Le système embarque ainsi de nouveaux pilotes pour de nombreux composants, notamment les GPU AMD, des puces réseau, le VIA VX900 ou encore l’ACPI pour la plateforme amd64.

OpenBSD 6.4 introduit également plusieurs nouvelles mesures de sécurité, dont la plus visible est la coupure de toutes les fonctions liées à l’enregistrement audio. Partant du principe que le système n’est pas destiné au grand public mais surtout à des serveurs, autant désactiver tout micro potentiellement présent. Le paramètre peut être réactivé via le kernel flag KERN_AUDIO_RECORD.

Plusieurs contre-mesures ont aussi été intégrées contre des failles de sécurité, notamment Retpoline de Google contre les attaques utilisant Spectre V2 (processeurs Intel). SpectreRSB, L1TF, Lazy FPU et Meltdown reçoivent également des techniques de protection, selon les plateformes matérielles.

Copié dans le presse-papier !

Sa mise en ligne est attendue pour le printemps 2019, mais « les premières fonctionnalités seront déjà disponibles fin octobre sur l’application SNCF » explique le groupe, sans donner plus de détails.

Cette application « permettra de s’informer, réserver, payer et valider en temps réel un itinéraire multimodal ». Elle s'appuiera sur le NFC, une « technologie clé » pour proposer un titre combinant plusieurs modes de transport affirme la SNCF.

Depuis cet été, des expérimentations de titres dématérialisés avec NFC ont été lancées, notamment à Paris et en Bretagne.

Copié dans le presse-papier !

Au début du mois, nos confrères jetaient un pavé dans la mare en accusant des Chinois d'espionner Amazon et Apple (entre autres) par l'ajout d'une micropuce espionne sur des cartes mères Supermicro.

Les sociétés incriminées ont toutes démenti rapidement et vigoureusement les affirmations. Contrairement à son habitude, Apple était d'ailleurs très active avec un long communiqué et une lettre au Congrès américain.

Vendredi, c'était au tour de Tim Cook de prendre la parole, lors d'une interview avec BuzzFeed News. « Il n’y aucune vérité dans leur histoire » affirme le directeur général. La « seule chose à faire » est de « se rétracter ». Nos confrères précisent que ce serait la première fois qu'Apple demande publiquement le retrait d'une publication.

Interrogé par nos confrères, Bloomberg campe toujours sur ses positions : « Cette enquête est le résultat de plus d'une année d'analyses où nous avons mené plus de 100 interviews ». Ils rappellent qu'ils se sont appuyés sur 17 sources, comprenant notamment des responsables gouvernementaux.

Copié dans le presse-papier !

Samedi, à 16h54, Free-reseau publiait un message sur Twitter annonçant la fermeture de son site. Géré et administré par des bénévoles (indépendant d'Iliad), il permet d'avoir un état des lieux des DSLAM du fournisseur d'accès à Internet.

Une information précieuse alors que la communication officielle de l'opérateur en cas d'incident est presque inexistante. Nous avions pour rappel étudié la question en 2014 et elle n'a depuis pas changé pour Free (Mobile).

L'auteur du message détaille la principale raison de cette fermeture abrupte :

« Notre trublion souhaite récupérer le nom de domaine "Free-reseau.fr". Ayant reçu une mise en demeure ce jour, je n'ai pas d'autre choix que leur céder. La raison pour résumer : le nom de domaine est trop proche de la marque Free. Ce n'est pas nouveau mais ce n'est pas faux ! Le site se retrouve amputé de son nom tout simplement. Ne sachant pas si ce problème de nom est la raison fondamentale de leur demande, il est très peu probable que Free-reseau renaisse de ses cendres sous un autre nom ».

Sont également évoqués le manque de temps, « une certaine lassitude » et le passage progressif en IPV6 qui engendrerait de toute façon « la fin du site à moyen terme ». Bref, « l'histoire se termine, c'est tout. La vie continue » dit l'auteur en guise de conclusion.

Une fin définitive ? Pas vraiment puisque trois heures plus tard un nouveau message était mis en ligne : « Bon, je dois vous dire que cette histoire prend une tournure inattendue. Je viens d'échanger des mails avec Xavier Niel et il s'avère que c'est une erreur, le site peut continuer d'exister sous cette forme. Du coup, je peux relancer la machine ».

Effectivement, Free-reseau est de nouveau accessible, à son adresse habituelle.

Sur Twitter, Muzikals explique avoir également reçu une mise en demeure de Free par « le biais d'un avocat parisien » pour le site Ma-freebox.fr. Angélique Gérard (directrice de la relation abonnés) a visiblement demandé des informations supplémentaires. Suite à cet échange, il semblerait que la résolution de ce problème soit en bonne voie.