du 22 novembre 2018
Date

Choisir une autre édition

En Allemagne, il était possible de contourner l'identification en ligne via la puce RFID des cartes d'identité

Le chercheur en sécurité Wolfgang Ettlinger rappelle que, depuis 2010, l'Allemagne a ajouté une puce RFID à ses cartes d'identité. Elle permet par exemple de prouver son identité et son âge sur des sites en ligne, et de s'identifier automatiquement pour peu qu'on dispose d'un lecteur de carte RFID et d'un logiciel compatible sur son ordinateur.

Bien évidemment, les données envoyées sont signées pour éviter toute modification par des pirates. Problème, les chercheurs du SEC Consult Vulnerability Lab ont trouvé « une vulnérabilité permettant à un attaquant de manipuler les données de manière arbitraire sans invalider la signature », comme le rapporte Bleeping Computer . Elle se trouve dans le SDK Governikus Autent en version 3.8.1 ou inférieure.

Ainsi, « un attaquant pourrait exploiter cette vulnérabilité pour modifier les données provenant d'une carte d'identité, par exemple en changeant l'âge ou en s'identifiant sous un autre nom ». Les détails techniques de cette faille sont disponibles par ici.

Les autorités ont été informées de cette vulnérabilité en juillet et une version corrigée du SDK (estampillée 3.8.1.2) a été mise en ligne en août. Il est évidemment recommandé aux organisations utilisant encore une ancienne version de se mettre à jour au plus vite.

Les chercheurs indiquent enfin que cette attaque laisse « des traces identifiables » dans les logs.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

Copié dans le presse-papier !

Fin mars, on apprenait que face aux décisions de la Commission Européenne, la société allait enfin proposer un choix clair au sein de son OS mobile. Restait à découvrir la méthode utilisée.

Dans un billet de blog, Google publie de premières captures d'écrans, précisant que le choix s'affichera « la première fois qu'un utilisateur ouvrira Google Play après avoir reçu une mise à jour à venir ».

On voit qu'il est possible d'installer quatre autres navigateurs et moteurs. Rien ne propose par contre de désinstaller ces derniers, ou même de les remplacer par le choix de l'utilisateur.

Il faudra d'ailleurs suivre une procédure manuelle pour les activer par défaut, une page détaillant la méthode. Sous Chrome, un message précisera à l'utilisateur qu'il peut changer de moteur de recherche s'il en a installé un.

Aucun lien ne permet d'accéder à une liste plus longue d'éléments, les différents acteurs devront donc se battre pour s'y faire une place. La société précise que le choix dépendra des pays, sans plus de précisions sur la méthode de sélection.

Le déploiement de cette fonctionnalité sera mis en place « dans les prochaines semaines » en Europe précise Google. L'implémentation pourra évoluer avec le temps (et les éventuelles remarques de la Commission).

Copié dans le presse-papier !

Petite mise à jour d’entretien pour LibreOffice, dont la version 6.2.3 corrige environ 90 bugs divers. Les notes complètes sont réparties entre les moutures RC1 et RC2.

Il n’y a aucune nouveauté à signaler, mais en dépit des correctifs supplémentaires, la Document Foundation continue de recommander la version 6.1.5 pour les entreprises, « où les fonctions sont moins importantes que la robustesse ».

Copié dans le presse-papier !

Après deux ans de travail, WebThings est presque prêt à prendre son envol. Cette implémentation du standard Web of Things du W3C par Mozilla permet le contrôle et la surveillance d’une infrastructure d’objets connectés.

WebThings est composé de deux éléments centraux :

  • WebThings Gateway, une distribution centrée sur la vie privée et la sécurité pour les passerelles matérielles
  • WebThings Framework, une bibliothèque de composants réutilisables pour les développeurs

La version actuellement fournie de Gateway, la 0.8, contient encore un certain nombre de fonctions expérimentales, notamment l’enregistrement des informations émanant des appareils connectés dans la maison. Cas le plus classique : la température, avec graphique à la clé.

L’idée derrière Gateway est à la fois de contrôler les appareils et d’en surveiller le fonctionnement. De nouvelles alarmes ont été ajoutées pour la fumée, le monoxyde de carbone ou encore la détection de mouvements.

WebThings Gateway va également bénéficier d’une autre version, développée sur la base de la distribution Linux OpenWrt, conçue justement pour les appareils embarqués. Il pourra alors être installé dans certains routeurs qui serviront de passerelles et de point d’accès Wi-Fi.

Copié dans le presse-papier !

C'est en effet le 21 avril 1989 que Nintendo commercialisait sa console portable pour la première fois au Japon. À l'époque, les Game & Watch occupaient le terrain, mais avec un inconvénient de taille : il n'était pas possible de changer de jeu. Le Game Boy est venu apporter sa petite révolution en terme de mobilité.

« Depuis lors, cette console de poche a été vendue à plus de 100 millions d'exemplaires », affirme Nintendo sur son site, qui précise au passage que son catalogue de jeux comprend plus de 450 titres.

En interne, certains ne croyaient pas en ce projet. Son nom de code DMG a rapidement été détourné en « dame game » ou « jeu nul » en japonais. L'histoire est racontée par Florent Gorges, auteur du livre L’Histoire de Nintendo vol. 4. L’Incroyable Histoire de la Game Boy (25 euros chez Amazon), dans les colonnes du Monde.

Son boîtier blanc et gris a pris de la couleur au début des années 90. « En 1997, Nintendo fit un pas de plus en diminuant les dimensions du Game Boy pour créer la série Game Boy Pocket ».

Par la suite, le Game Boy Color (avec un écran de 44 x 39 mm de 32 768 couleurs) et le Game Boy Advance sont arrivés, mais c'est une autre histoire.