du 11 septembre 2018
Date

Choisir une autre édition

Faille 0-day dans Tor Browser 7.X, la mise à jour chaudement recommandée

Zerodium, largement connu comme collecteur de failles, prévient qu’une vulnérabilité 0-day existe dans la branche 7.X de Tor Browser, plus exactement dans l’extension NoScript préinstallée.

Selon l’entreprise, les versions Classic de la 5.0.4 à la 5.1.8.6 sont vulnérables à des fichiers JavaScript malveillants si leur type de contenu est défini sur JSON, même si le niveau de sécurité est défini au plus haut (Safest).

La faille peut donc être exploitée par un site web, avec pour conséquence l’affichage de l’adresse IP de l’utilisateur, ce que Tor Browser fait évidemment tout pour cacher.

Solutions ? Mettre à jour, puisque Tor Browser dispose d’une version 8.0 depuis la semaine dernière. La faille perd donc rapidement de son intérêt, mais peut sans doute être exploitée sur bon nombre de machines où d’anciennes moutures sont encore utilisées. NoScript a également été mis à jour, la nouvelle version étant automatiquement déployée dans les navigateurs l’utilisant.

On se demander cependant quel peut bien être l’objectif de Zerodium avec une telle révélation. L’entreprise est loin d’être connue pour sa bienveillance naturelle. Elle lance régulièrement des concours récompensant par de fortes sommes (jusqu'à 1,5 million de dollars) des failles 0-day dans des produits bien en vue, comme iOS ou, justement, Tor Browser.

On peut donc y voir une opération de communication, mais qui tourne court. De la même manière que la NSA à une époque, la question se pose : quelle valeur pour cette faille dévoilée ? La vulnérabilité est peut-être trop connue désormais, ou a déjà été longuement. La révéler ne coûterait alors rien.

Une question du coût importante puisque Zerodium est un fleuron du marché gris des failles de sécurité : elle les collecte pour les vendre au plus offrant, ou via des abonnements, y compris à des gouvernements. Pour mesurer l’impact d’une telle activité, il suffit de se souvenir de la faille vendue au FBI durant l’enquête sur la fusillade de San Bernardino.

  1. Télécharger Tor Browser 8.0
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

C'est en effet le 21 avril 1989 que Nintendo commercialisait sa console portable pour la première fois au Japon. À l'époque, les Game & Watch occupaient le terrain, mais avec un inconvénient de taille : il n'était pas possible de changer de jeu. Le Game Boy est venu apporter sa petite révolution en terme de mobilité.

« Depuis lors, cette console de poche a été vendue à plus de 100 millions d'exemplaires », affirme Nintendo sur son site, qui précise au passage que son catalogue de jeux comprend plus de 450 titres.

En interne, certains ne croyaient pas en ce projet. Son nom de code DMG a rapidement été détourné en « dame game » ou « jeu nul » en japonais. L'histoire est racontée par Florent Gorges, auteur du livre L’Histoire de Nintendo vol. 4. L’Incroyable Histoire de la Game Boy (25 euros chez Amazon), dans les colonnes du Monde.

Son boîtier blanc et gris a pris de la couleur au début des années 90. « En 1997, Nintendo fit un pas de plus en diminuant les dimensions du Game Boy pour créer la série Game Boy Pocket ».

Par la suite, le Game Boy Color (avec un écran de 44 x 39 mm de 32 768 couleurs) et le Game Boy Advance sont arrivés, mais c'est une autre histoire.

Copié dans le presse-papier !

Votre rendez-vous matinal avec l'actualité du numérique reprendra le lundi 29 avril, une partie de l'équipe profitant de cette période de vacances pour prendre quelques jours de repos.

Bien entendu, les rédactions d'INpact Hardware et Next INpact continueront de publier des articles. Nous aurons l'occasion de revenir sur les évènements de ces quelques jours dans une édition spéciale.

Copié dans le presse-papier !

Bouygues Telecom vient de renouveler ses promotions sur sa marque mobile « low cost », avec de nouvelles « Séries spéciales » valables jusqu'au 29 avril. Deux forfaits sont ainsi proposés au même tarif de 16,99 euros par mois , mais avec des options différentes.

Le premier propose 50 Go de 4G en France avec « Internet illimité le week-end », 10 Go de roaming en Europe, dans les DOM, aux États-Unis et au Canada.

Le second grimpe à 80 Go de 4G en France métropolitaine, mais le roaming est moins important : 8 Go seulement et uniquement en Europe et dans les DOM.

Si le second est une nouveauté, ce n'est pas le cas du premier (50 Go) qui était déjà proposé avec les mêmes options (FIS de l'ancien et du nouveau)… pour 14,99 euros par mois. Le terme « série spéciale » semble bien choisi.

Notez au passage que le forfait B&You en promotion à 9,99 euros par mois est reconduit, mais avec deux fois moins de data : 20 Go au lieu de 40 Go auparavant, toujours avec 4 Go en roaming.

Pour rappel, vous pouvez retrouver l'ensemble des forfaits des opérateurs sur notre site dédié : Tous les Forfaits.

Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Copié dans le presse-papier !

La société a récemment déposé son dossier d'introduction en bourse, mais sans dévoiler la date de la première cotation ni le montant de la valorisation visé. D'après certains, il pourrait être aux alentours de 100 milliards de dollars.

En attendant, le VTC annonce une bonne nouvelle : Toyota et sa filiale DENSO vont investir 667 millions de dollars, tandis que SoftBank va injecter 333 millions. Toyota s'est également engagé à débourser 300 millions de dollars de plus sur les trois prochaines années.

Dans tous les cas, les fonds sont pour Uber ATG (Advanced Technologies Group), une branche d'Uber désormais valorisée 7,25 milliards de dollars. Le but de l'opération est « d'accélérer le développement et la commercialisation de services de covoiturage automatisés ».

C'est donc un signe fort pour les véhicules autonomes alors qu'une des voitures d'Uber était impliquée dans un accident mortel en mars dernier.