du 22 novembre 2018
Date

Choisir une autre édition

En Allemagne, il était possible de contourner l'identification en ligne via la puce RFID des cartes d'identité

Le chercheur en sécurité Wolfgang Ettlinger rappelle que, depuis 2010, l'Allemagne a ajouté une puce RFID à ses cartes d'identité. Elle permet par exemple de prouver son identité et son âge sur des sites en ligne, et de s'identifier automatiquement pour peu qu'on dispose d'un lecteur de carte RFID et d'un logiciel compatible sur son ordinateur.

Bien évidemment, les données envoyées sont signées pour éviter toute modification par des pirates. Problème, les chercheurs du SEC Consult Vulnerability Lab ont trouvé « une vulnérabilité permettant à un attaquant de manipuler les données de manière arbitraire sans invalider la signature », comme le rapporte Bleeping Computer . Elle se trouve dans le SDK Governikus Autent en version 3.8.1 ou inférieure.

Ainsi, « un attaquant pourrait exploiter cette vulnérabilité pour modifier les données provenant d'une carte d'identité, par exemple en changeant l'âge ou en s'identifiant sous un autre nom ». Les détails techniques de cette faille sont disponibles par ici.

Les autorités ont été informées de cette vulnérabilité en juillet et une version corrigée du SDK (estampillée 3.8.1.2) a été mise en ligne en août. Il est évidemment recommandé aux organisations utilisant encore une ancienne version de se mettre à jour au plus vite.

Les chercheurs indiquent enfin que cette attaque laisse « des traces identifiables » dans les logs.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Depuis plusieurs années, la société met en avant son attachement au solaire et à l'éolien : « En 2017, nous sommes devenus la première entreprise de notre taille à compenser notre consommation annuelle d'électricité avec des énergies renouvelables (et nous l'avons refait en 2018) ».

Sundar Pichai annonce aujourd'hui la signature de 18 nouveaux contrats (aux États-Unis, au Chili et en Europe) pour un total de 1 600 MW supplémentaires, dont une bonne partie en solaire. « Ensemble, ces accords augmenteront de plus de 40 % notre portefeuille mondial d'accords sur l'éolien et le solaire, pour atteindre 5 500 MW ».

Copié dans le presse-papier !

Comme prévu, les nouvelles versions majeures d’iOS et watchOS ont été mises à disposition des utilisateurs hier soir à 19h. Sur les iPhone, les nouveautés sont particulièrement nombreuses. Nous publierons dans la journée un dossier qui leur est consacré.

L’installation se fait comme d’habitude : depuis Réglages. Les modèles pris en charge sont les iPhone 6s (Plus), 7 (Plus), 8 (Plus), X, XR, XS (Max) et iPod Touch de 7e génération. Les iPhone 11 et 11 Pro, disponibles aujourd’hui, sont bien sûr livrés avec le nouveau système.

L’Apple Watch a de son côté toujours besoin de l’application compagnon sur l’iPhone. watchOS 6 prend en charge tous les modèles de la montre connectée à l’exception de la « Series 0 » (le tout premier modèle). Attention cependant, les Series 3 et 4 sont servies immédiatement, mais les 1 et 2 devront attendre « plus tard cet automne ».

Petite surprise également sur les mises à jour initialement prévues pour le 30 septembre : iOS 13.1 et iPadOS sortiront finalement le 24 septembre, soit mardi prochain. La date apparaît désormais sur le site officiel. Rien n’est dit pour tvOS 13, qui garde pour l’instant son 30 septembre présumé.

Les utilisateurs d’iPhone auront donc deux mises à jour importantes à cinq jours d’intervalle, ce qui ne devrait pas manquer de faire hausser quelques sourcils.

Quant à macOS Catalina, il est toujours prévu pour octobre, sans plus de précisions. 

Copié dans le presse-papier !

Microsoft a publié hier soir une série de 44 vidéos dédiées à l’apprentissage des bases du Python. Ce langage de développement, actuellement l’un des plus utilisés, a toujours le vent en poupe.

Ces vidéos, disponibles en anglais (sous-titres disponibles), peuvent être vues comme la conséquence de la prise en charge, le mois dernier, de PyTorch 1.2 dans Azure. PyTorch est pour rappel un framework de machine learning open source créé par Facebook et qui s’utilise surtout avec Python.

Les 44 vidéos sont disponibles sous forme de liste de lecture sur YouTube. Elles ne durent jamais plus de quelques minutes chacun. Pour les intéressés, Microsoft se sert de Visual Studio Code pour ses démonstrations.

Copié dans le presse-papier !

Une semaine et demie après la sortie de cette mouture, Google publie une mise à jour de sécurité sans attendre Chrome 78.

Quatre failles sont pointées du doigt : une critique (remontée à Google le 5 septembre) et trois avec un niveau de dangerosité élevé. Les détails techniques seront dévoilés ultérieurement, lorsqu'une majorité des utilisateurs aura installé la mise à jour. Selon The Hacker News, un attaquant pourrait en profiter pour exécuter du code arbitraire.

Man Yue Mo, qui a découvert deux des quatre failles, a obtenu une récompense de 40 000 dollars (20 000 dollars pour chacune), tandis que le montant des deux autres (notamment celle critique) n'est pas précisé.

Dans tous les cas, il est urgent de se mettre à jour si ce n'est pas déjà fait. Vérifier que vous avez bien la version 77.0.3865.90 au minimum (sur Windows, macOS et Linux).

Copié dans le presse-papier !

Hier matin, Next INpact révélait le jugement du TGI de Paris ordonnant à Valve d’autoriser la revente de jeux achetés sur Steam. 

Dans un communiqué publié après coup, l’UFC-Que Choisir a annoncé qu’elle étendrait cette action à d’autres plateformes.

Comme nous l’anticipions, Valve a décidé de faire appel. Doug Lombardi, responsable du marketing chez l’éditeur de jeux vidéo, a indiqué à PC Gamers qu’il allait faire appel : 

« Nous sommes en désaccord avec la décision du tribunal de grande instance de Paris et nous ferons appel. La première décision sera donc sans effet sur Steam tant que l’affaire ne sera pas rejugée ».

Et pour cause, cette procédure va geler la décision du 17 septembre, qui n’est pas assortie d'une exécution provisoire.