du 11 septembre 2018
Date

Choisir une autre édition

Faille 0-day dans Tor Browser 7.X, la mise à jour chaudement recommandée

Zerodium, largement connu comme collecteur de failles, prévient qu’une vulnérabilité 0-day existe dans la branche 7.X de Tor Browser, plus exactement dans l’extension NoScript préinstallée.

Selon l’entreprise, les versions Classic de la 5.0.4 à la 5.1.8.6 sont vulnérables à des fichiers JavaScript malveillants si leur type de contenu est défini sur JSON, même si le niveau de sécurité est défini au plus haut (Safest).

La faille peut donc être exploitée par un site web, avec pour conséquence l’affichage de l’adresse IP de l’utilisateur, ce que Tor Browser fait évidemment tout pour cacher.

Solutions ? Mettre à jour, puisque Tor Browser dispose d’une version 8.0 depuis la semaine dernière. La faille perd donc rapidement de son intérêt, mais peut sans doute être exploitée sur bon nombre de machines où d’anciennes moutures sont encore utilisées. NoScript a également été mis à jour, la nouvelle version étant automatiquement déployée dans les navigateurs l’utilisant.

On se demander cependant quel peut bien être l’objectif de Zerodium avec une telle révélation. L’entreprise est loin d’être connue pour sa bienveillance naturelle. Elle lance régulièrement des concours récompensant par de fortes sommes (jusqu'à 1,5 million de dollars) des failles 0-day dans des produits bien en vue, comme iOS ou, justement, Tor Browser.

On peut donc y voir une opération de communication, mais qui tourne court. De la même manière que la NSA à une époque, la question se pose : quelle valeur pour cette faille dévoilée ? La vulnérabilité est peut-être trop connue désormais, ou a déjà été longuement. La révéler ne coûterait alors rien.

Une question du coût importante puisque Zerodium est un fleuron du marché gris des failles de sécurité : elle les collecte pour les vendre au plus offrant, ou via des abonnements, y compris à des gouvernements. Pour mesurer l’impact d’une telle activité, il suffit de se souvenir de la faille vendue au FBI durant l’enquête sur la fusillade de San Bernardino.

  1. Télécharger Tor Browser 8.0
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

André Coisne est sur le départ, la décision devant être effective d'ici quelques semaines selon l'AFP. Pour les sources de l'agence, les motivations sont à chercher du côté de la nomination de Paul de Leusse à la tête des services financiers du groupe, et n'aurait rien à voir avec les performances d'Orange Bank.

Pour autant, un an après son lancement, et malgré l'annonce (de moins en moins régulière) du nombre de nouveaux clients, on ne peut pas dire que le service ait changé la donne.

Depuis ses premiers jours, il a peu évolué, tout comme ses applications, n'introduisant surtout qu'une offre de prêt personnel en partenariat avec Younited Crédit.

Des fonctionnalités simples et promises dès le lancement, comme la demande d'argent à un tiers, ne sont toujours pas disponibles. Face aux évolutions de concurrents comme N26 ou Revolut sur la même période, cela fait un peu chiche.

André Coisne, dont on ne sait pas encore s'il sera remplacé, devrait continuer à conseiller Paul de Leusse qui occupera ses fonctions dans l'intervalle. Les décisions définitives concernant la nouvelle organisation devant être officialisé début octobre.

En novembre, Orange tiendra un nouveau Show Hello. Espérons que de véritables annonces auront lieu pour le service bancaire du groupe.

Copié dans le presse-papier !

L’initiative n’est pas sans rappeler la concertation qui avait été lancée, fin 2014, afin de préparer la loi Numérique. À l’époque, c’est également le Conseil national du numérique (CNNum) qui fut chargé de chapeauter cette consultation en ligne.

Dans le cadre de ses « états généraux des nouvelles régulations numériques », le gouvernement a annoncé hier que chaque internaute pouvait participer, après inscription, aux débats. Différents sujets (en lien avec les problématiques économiques, sociales et sociétales du numérique) sont soumis à discussion au travers de ce forum relativement sobre.

La consultation est ouverte jusqu’au 25 octobre 2018. Les contributions déposées par les internautes seront examinées par différents « groupes de travail », sachant que l’exécutif espère avec ces « états généraux des nouvelles régulations numériques » définir une « stratégie numérique », à défendre notamment au niveau de l’Union européenne.

Copié dans le presse-papier !

Attendue d'ici quelques semaines, la nouvelle mouture de l'OS de Microsoft est désormais gérée par cet outil qui vous permet de tout savoir de votre machine.

Au passage, les GeForce RTX sont supportées, tout comme Vulkan 1.1, WDDM 2.4 ou les Radeon RX 560X, 570X et 580X. Quelques améliorations sont également au programme, notamment pour la gestion des systèmes avec un processeur ARM64.

Copié dans le presse-papier !

Comme le font remarquer nos confrères de Videocardz, les constructeurs commencent à communiquer autour de l'arrivée prochaine du nouveau chipset haut de gamme d'Intel.

Celui-ci est déjà connu, le géant de Santa Clara en ayant dévoilé les nouveautés il y a quelques mois. Alors que le Z370 était surtout un Z270 avec un nouveau nom, ce Z390 doit apporter les nouveautés de la génération 300 : six ports USB 3.1 Gen 2 et CNVi pour l'utilisation de solutions Wi-Fi plus compactes.

Nous pouvons confirmer que le 8 octobre est la date retenue pour le moment, ce lancement ne concernant que le chipset et les cartes mères. En effet, les processeurs Core de 9ème génération ne devraient arriver que quelques semaines plus tard.

Il y a donc fort à parier que la disponibilité ne sera pas immédiate. De quoi permettre de digérer les dizaines de modèles qui ne manqueront pas d'être annoncés par les partenaires.

Copié dans le presse-papier !

Les objets connectés sont proposés sous la marque Huami, « partenaire exclusif de Xiaomi » pour cette gamme de produits.

La montre est une évolution de l'Amazfit Bip, mais avec un design différent (qui n'est donc plus un copier/coller de celui de l'Apple Watch). Elle dispose d'un écran AMOLED de 1,3 pouce, intègre un GPS, 5 jours d'autonomie, la prise en charge de plus d'une dizaine de sports, une puce NFC, du Bluetooth, etc.

L'assistant vocal maison Xiao AI est également de la partie. La montre n'intègre cependant pas de capteur de fréquence cardiaque et ne se destine donc pas aux sportifs. L'Amazfit Verge est vendue en Chine pour 799 yuans (l'équivalent de 99 euros).

Le bracelet Amazefite Health Band 1S dispose pour sa part d'un électrocardiogramme (ECG), avec une analyse en continu. Il peut ainsi envoyer des alertes en cas de problème suspecté. Il est déjà vendu en Chine pour 699 yuans (87 euros avec une bête conversion).

Après le Mi 8 présenté en juin, place aux smartphones Mi 8 Pro et Mi 8 Lite, connus sous le nom de Mi 8 UD et Mi 8 Youth en Chine.

Le premier dispose d'un SoC Snapdragon 845 avec une dalle AMOLED de 6,21 pouces (2 248 x 1 080) – exactement comme le Mi 8 – mais avec un capteur d'empreintes sous l'écran en plus. Il est vendu à partir de 3 199 yuans (soit 399 euros avec une conversion basique) avec 6 Go de mémoire vive et 128 Go de stockage.

De son côté, le Mi 8 Lite intègre un écran de 6,26 pouces (2 280 x 1 080 pixels) avec un Snapdragon 660, 4 à 6 Go de mémoire vive et un lecteur d'empreintes sur le dos. Il est proposé dès 1 399 yuans (soit 175 euros environ avec une conversion au cours du jour).