du 14 février 2019
Date

Choisir une autre édition

Apple propose l’authentification à deux facteurs depuis longtemps pour les comptes développeurs. Ces dernières années, elle est même obligatoire pour les nouveaux comptes.

À compter du 27 février, elle le sera également pour tous les comptes déjà créés et ne l’ayant pas déjà activée. Si un développeur ne s’en occupe pas avant, il passera alors par la procédure à la première tentative de connexion à cette date.

Ce mouvement ne devrait pas affecter grand monde. On peut raisonnablement espérer que la plupart des développeurs ont activé cette protection simple, au vu des données hébergées, notamment les certificats et profils.

Pour rappel, la solution 2FA d’Apple ne passe par une application de type Authenticator. Il faut posséder au moins un appareil de la marque, qui servira alors à valider la tentative de connexion en affichant un code à six chiffres. C’est la même technique que pour le grand public.

Développeurs Apple : l'authentification à deux facteurs obligatoire le 27 février
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Petite mise à jour d’entretien pour LibreOffice, dont la version 6.2.3 corrige environ 90 bugs divers. Les notes complètes sont réparties entre les moutures RC1 et RC2.

Il n’y a aucune nouveauté à signaler, mais en dépit des correctifs supplémentaires, la Document Foundation continue de recommander la version 6.1.5 pour les entreprises, « où les fonctions sont moins importantes que la robustesse ».

Copié dans le presse-papier !

En préparation de la loi contre la cyberhaine, dite loi Avia, la commission des Lois de l’Assemblée nationale lance une consultation sur les contenus haineux ou injurieux en ligne sur Internet. Jusqu’au 12 mai, il est possible de répondre à un questionnaire sur le site officiel.

Les réponses « alimenteront la réflexion des membres de la commission des Lois et de leurs collègues ». Anonymes, elles seront dans un format ouvert et librement réutilisable.

Parmi les questions, vous devrez indiquer si vous avez déjà été victime ou témoin de contenus « haineux ou injurieux » (racistes, antisémites, sexistes, etc.) mais aussi les suites apportées aux éventuels signalements effectués auprès de l’hébergeur ou à la justice.

Autre question : « qui doit, selon vous, réguler les contenus haineux ou injurieux sur internet ? ». Dans les différents scénarios, il est envisagé l’intervention d’une administration ou d’une « autorité indépendante », qui pourrait être le Défenseur des droits, le CSA, l’HADOPI ou encore l’ARCEP. Et s’agissant des sanctions à l’encontre de ces propos, est imaginée une peine « d’interdiction temporaire d’accéder à Internet ou à un ou plusieurs sites »

Deux pistes respectivement dessinées par l’auteur de la PPL, la députée Laetitia Avia, et Emmanuel Macron.

Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Copié dans le presse-papier !

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

Copié dans le presse-papier !

Comme prévu, Amazon propose une version gratuite avec publicité de son service Music, mais uniquement sur Alexa aux États-Unis pour le moment.

Il permet d'écouter des listes de lecture et des milliers de « stations » basées sur un artiste ou un style par exemple. Rien n'est précisé sur une ouverture au reste du monde pour le moment.

Google fait de même avec YouTube Music sur Google Home. « “Ok Google, mets de la musique” vous permettra d’écouter gratuitement, sur l’ensemble de la gamme d’enceintes Google Home, des contenus musicaux via YouTube Music », mais « l’écoute sera quelquefois interrompue par des coupures publicitaires de 30 secondes ».

Cette fonctionnalité est disponible dans de nombreux pays, notamment en France.