du 11 septembre 2018
Date

Choisir une autre édition

Faille 0-day dans Tor Browser 7.X, la mise à jour chaudement recommandée

Zerodium, largement connu comme collecteur de failles, prévient qu’une vulnérabilité 0-day existe dans la branche 7.X de Tor Browser, plus exactement dans l’extension NoScript préinstallée.

Selon l’entreprise, les versions Classic de la 5.0.4 à la 5.1.8.6 sont vulnérables à des fichiers JavaScript malveillants si leur type de contenu est défini sur JSON, même si le niveau de sécurité est défini au plus haut (Safest).

La faille peut donc être exploitée par un site web, avec pour conséquence l’affichage de l’adresse IP de l’utilisateur, ce que Tor Browser fait évidemment tout pour cacher.

Solutions ? Mettre à jour, puisque Tor Browser dispose d’une version 8.0 depuis la semaine dernière. La faille perd donc rapidement de son intérêt, mais peut sans doute être exploitée sur bon nombre de machines où d’anciennes moutures sont encore utilisées. NoScript a également été mis à jour, la nouvelle version étant automatiquement déployée dans les navigateurs l’utilisant.

On se demander cependant quel peut bien être l’objectif de Zerodium avec une telle révélation. L’entreprise est loin d’être connue pour sa bienveillance naturelle. Elle lance régulièrement des concours récompensant par de fortes sommes (jusqu'à 1,5 million de dollars) des failles 0-day dans des produits bien en vue, comme iOS ou, justement, Tor Browser.

On peut donc y voir une opération de communication, mais qui tourne court. De la même manière que la NSA à une époque, la question se pose : quelle valeur pour cette faille dévoilée ? La vulnérabilité est peut-être trop connue désormais, ou a déjà été longuement. La révéler ne coûterait alors rien.

Une question du coût importante puisque Zerodium est un fleuron du marché gris des failles de sécurité : elle les collecte pour les vendre au plus offrant, ou via des abonnements, y compris à des gouvernements. Pour mesurer l’impact d’une telle activité, il suffit de se souvenir de la faille vendue au FBI durant l’enquête sur la fusillade de San Bernardino.

  1. Télécharger Tor Browser 8.0
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

« Conflits d’intérêts, marchands de doute, influence des fondations privées… de nombreux phénomènes sont susceptibles de brouiller le discours scientifique », explique le Centre national de la recherche scientifique en guise d'introduction.

Afin de faire le point sur cette question, le CNRS a posé plusieurs questions à Mathias Girel, philosophe et spécialiste de l’épistémologie à l’École normale supérieure, dont l'interview est publiée dans son Journal.

Pour Mathias Girel, « il y a un phénomène de surenchère qui consiste à survendre des avancées scientifiques dans certains médias, même sérieux ». Il revient également sur le cas des études scientifiques qui peuvent dirent une chose et son contraire : « Pour expliquer le cancer du poumon, [les cigarettiers] ont tout simplement financé des recherches sur d’autres causes que la fumée de cigarette ».

La longue interview est disponible par ici. Pour rappel, nous sommes également revenus sur cette délicate question dans l'un de nos éditos.

Copié dans le presse-papier !

La collaboration pour un futur collisionneur circulaire (FCC) vient de soumettre son rapport préliminaire de conception (CDR). Il est le fruit de cinq ans de travaux impliquant plus de 1 300 contributeurs (de 150 universités), avec le soutien de la Commission européenne.

Pour Frédérick Bordry, directeur des accélérateurs et de la technologie au CERN, « l'objectif ultime de l’étude FCC est de proposer un accélérateur de protons supraconducteur prenant la forme d'un anneau de 100 km de circonférence et capable de fournir une énergie allant jusqu'à 100 TeV, soit une puissance environ dix fois supérieure à celle du LHC ».

Une telle énergie « rendrait possibles des études de précision sur la manière dont une particule de Higgs interagit avec une autre particule de Higgs, ainsi qu’une exploration approfondie du rôle de la brisure de symétrie électrofaible dans l'histoire de notre Univers ».

Le coût estimé d'un grand collisionneur circulaire électron-positron serait de l'ordre de neuf milliards d'euros, dont cinq milliards rien que pour le génie civil nécessaire à l'excavation d'un tunnel de 100 km.

« Ce collisionneur servirait la communauté de physique du monde entier pendant quinze à vingt ans. Le programme de physique pourrait commencer d'ici à 2040, au terme de l'exploitation du LHC à haute luminosité », ajoute le CERN.

Ce n'est pas tout : « Le coût estimé pour une machine supraconductrice qui occuperait ensuite le même tunnel et ferait entrer en collision des protons serait d'environ 15 milliards d'euros. Cette machine pourrait commencer à fonctionner à la fin des années 2050 ».

Pour le CERN, « un futur collisionneur circulaire offrirait à l'industrie des perspectives extraordinaires, en aidant à repousser encore plus loin les frontières de la technologie ».

Copié dans le presse-papier !

Le fabricant a ajouté quatre boutons sur sa petite télécommande : un pour allumer/éteindre la télévision (la liste des modèles pris en charge se trouve par ici), deux pour régler le volume (+/-) et un dernier pour couper le son.

Un micro est toujours présent pour Alexa. Cette télécommande est proposée dans plusieurs pays dont les États-Unis, le Royaume-Uni et l'Allemagne, mais pas la France. Elle est actuellement proposée en promotion à 14,99 dollars au lieu de 29,99 dollars.

Pour rappel, nous n'avons pour le moment droit qu'à la clé Fire TV Basic Edition avec une télécommande sans Alexa, à 40 euros pour les membres Prime.

Copié dans le presse-papier !

Si le service de SVOD est considéré par beaucoup comme bon marché, il a une sérieuse tendance à l'inflation régulière.

Proposé au départ entre 7,99 et 11,99 euros chez nous, le forfait intermédiaire est passé de 8,99 à 9,99 euros en 2015. Fin 2017, les deux plus gros forfaits grimpaient de deux euros, à 11,99 et 13,99 euros.

Cela ne devrait pas empêcher Netflix de pratiquer une nouvelle hausse selon le Wall Street Journal qui annonce que le tarif pourrait passer aux États-Unis de 11 à 13 dollars pour l'offre intermédiaire et de 14 à 16 dollars pour la plus chère.

Transposée en France, cela pourrait donner une nouvelle hausse de deux euros, de quoi commencer à se poser sérieusement la question : faut-il continuer à s'abonner ou non ?

Surtout que cette décision est prise dans un contexte de concurrence renforcée, notamment en France : Canal+ progresse dans la refonte de ses offres et de Canal Play, le bouquet OCS est toujours présent, Amazon est là… et d'autres arrivent.

Avec une offre toujours plus importante, toujours plus fragmentée et toujours plus chère, le risque est aussi de voir les utilisateurs se tourner à nouveau vers le piratage, alors que des offres comme Netflix les en avaient en partie détourné ces dernières années.

Le secteur va donc devoir se poser rapidement les bonnes questions afin d'éviter de revivre des années noires où il ne fera qu'accuser les autres de ses turpitudes, tentant de relancer des mécaniques comme celles d'Hadopi en espérant résoudre tous les problèmes.

La société devrait publier ses résultats trimestriels dans la journée. Le sujet sera donc sans doute évoqué, il faudra alors voir la réaction des investisseurs.

Copié dans le presse-papier !

Google a annoncé hier soir qu’un petit coup de peinture allait être appliqué sur ses services.

Aucune nouveauté fonctionnelle ne sera à noter, juste une série d’évolutions graphiques qui les rapprocheront de Gmail et Agenda : polices maison et « hautement lisibles » (tout le monde ne sera pas d’accord), nouveaux contrôles (boutons, boîtes de dialogue, barres…) plus cohérents, iconographie se voulant plus lisible et précise.

Pour l’instant, ce déploiement ne concerne que les clients payants de la G Suite, selon deux cycles : à partir du 15 janvier et pendant deux semaines pour les domaines Rapid Release, puis les autres à compter du 11 février.

Aucune action ne sera à entreprendre pour les administrateurs, qui ne pourront pas s’y opposer non plus. Rien n’est dit pour l’instant pour les utilisateurs gratuits, mais on imagine qu’ils finiront eux aussi par être concernés. On imagine mal Google maintenir deux designs en parallèle.