du 11 septembre 2018
Date

Choisir une autre édition

Faille 0-day dans Tor Browser 7.X, la mise à jour chaudement recommandée

Zerodium, largement connu comme collecteur de failles, prévient qu’une vulnérabilité 0-day existe dans la branche 7.X de Tor Browser, plus exactement dans l’extension NoScript préinstallée.

Selon l’entreprise, les versions Classic de la 5.0.4 à la 5.1.8.6 sont vulnérables à des fichiers JavaScript malveillants si leur type de contenu est défini sur JSON, même si le niveau de sécurité est défini au plus haut (Safest).

La faille peut donc être exploitée par un site web, avec pour conséquence l’affichage de l’adresse IP de l’utilisateur, ce que Tor Browser fait évidemment tout pour cacher.

Solutions ? Mettre à jour, puisque Tor Browser dispose d’une version 8.0 depuis la semaine dernière. La faille perd donc rapidement de son intérêt, mais peut sans doute être exploitée sur bon nombre de machines où d’anciennes moutures sont encore utilisées. NoScript a également été mis à jour, la nouvelle version étant automatiquement déployée dans les navigateurs l’utilisant.

On se demander cependant quel peut bien être l’objectif de Zerodium avec une telle révélation. L’entreprise est loin d’être connue pour sa bienveillance naturelle. Elle lance régulièrement des concours récompensant par de fortes sommes (jusqu'à 1,5 million de dollars) des failles 0-day dans des produits bien en vue, comme iOS ou, justement, Tor Browser.

On peut donc y voir une opération de communication, mais qui tourne court. De la même manière que la NSA à une époque, la question se pose : quelle valeur pour cette faille dévoilée ? La vulnérabilité est peut-être trop connue désormais, ou a déjà été longuement. La révéler ne coûterait alors rien.

Une question du coût importante puisque Zerodium est un fleuron du marché gris des failles de sécurité : elle les collecte pour les vendre au plus offrant, ou via des abonnements, y compris à des gouvernements. Pour mesurer l’impact d’une telle activité, il suffit de se souvenir de la faille vendue au FBI durant l’enquête sur la fusillade de San Bernardino.

  1. Télécharger Tor Browser 8.0
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Les chercheurs de Check Point sont à l'origine de cette découverte en mars. Ils l'ont ensuite signalée confidentiellement au fabricant (les détails sont expliqués par ici), dans le cadre de son programme de chasse aux bugs rémunéré. DJI a depuis corrigé son site et son application FlightHub.

Des pirates auraient ainsi pu accéder aux photos, vidéos et logs si les utilisateurs synchronisaient leur vol avec leur compte en ligne DJI. Dans le cadre de l'application mobile, la carte ainsi que la vidéo et l'audio en temps réel étaient vulnérables.

Check Point et DJI affirment n'avoir trouvé aucune trace d'une exploitation de cette faille.

Copié dans le presse-papier !

Un juge autorise les autorités du New Hampshire à obtenir les enregistrements d’une enceinte connectée. Elles enquêtent sur le meurtre de deux femmes, poignardées, rapporte AP.

Les procureurs peuvent donc analyser les enregistrements de l'enceinte. Ils espèrent trouver des traces du meurtre et du retrait des corps sur les serveurs de la société. L’accusé Timothy Verrill plaide non coupable, mais fera bien face à la justice.

Amazon assure ne pas fournir de donnée sans demande légale en bonne et due forme.

Copié dans le presse-papier !

Annoncé fin octobre, cette nouvelle version renferme une bonne nouvelle : la mémoire vive est amovible alors qu'elle était auparavant soudée sur la carte mère.

C'est par contre toujours le cas du processeur et du SSD, il ne sera donc pas possible de revoir le stockage à la hausse de cette manière. Deux points noirs pour nos confrères, qui ajoutent que si un des ports de la carte mère est endommagé il faudra la changer en entier.

Comme son prédécesseur, le Mac mini 2018 obtient ainsi une note finale de 6 sur 10.

Copié dans le presse-papier !

Alors qu'il était PDG de Bouygues Telecom, Olivier Roussat laisse le poste de directeur général à Richard Viel, auparavant directeur général délégué.

Olivier Roussat reste néanmoins président du conseil d'administration et directeur général délégué de Bouygues SA. Ces décisions ont été validées par le conseil d'administration du 9 novembre.

Copié dans le presse-papier !

La semaine dernière, l’élection législative de mi-mandat a consacré la reprise de l’une des deux chambres du Congrès américain, celle des représentants, par le parti démocrate. Selon Reuters, en entrant en fonctions, ils comptent enquêter sur les menaces formulées par Donald Trump contre Amazon  et AT&T, sur le terrain de la concurrence.

Le représentant Elijah Cummings, à la tête du Comité de surveillance et de réforme du gouvernement, envisage de regarder la question de plus près. L’enquête serait en fait déjà lancée, sans que la Maison blanche ne coopère jusqu’ici.

Ils veulent vérifier si l'exécutif utilise, oui ou non, ses pouvoirs pour punir ces entreprises. Trump déclare que les services postaux perdent des milliards de dollars à cause d’Amazon, sans pour autant le prouver. Il compte donc augmenter les prix de livraison pour le géant de l'e-commerce.

Les démocrates de la Chambre des représentants estiment que ces enquêtes peuvent constituer des attaques de l’administration Trump contre CNN (détenu par Time Warner) et le Washington Post (possédé par Jeff Bezos d’Amazon), deux médias régulièrement pris pour cibles dans les discours du président, rapporte Axios.

Dans un entretien sur HBO, le représentant Adam Schiff estime que l’augmentation des tarifs postaux contre Amazon pourrait être « une punition contre la presse ». Il compte donc obtenir les échanges entre la Maison blanche et les services postaux, soupçonnant des rencontres secrètes sur le sujet.

Le rachat de Time Warner par AT&T, conclu en juin pour 85 milliards de dollars, est aussi visé. Trump s’y était opposé en tant que candidat à la présidence, avant de s’en prendre fréquemment à CNN.

Depuis plusieurs mois, la Maison blanche fait peser publiquement la menace d’actions sur la concurrence contre les géants du Net, les accusant de biais politique. La dernière fois lors d’un entretien avec Axios. Le divorce entre Républicains et  Silicon Valley a été signé pendant la campagne présidentielle de 2016. Les dirigeants des groupes technologiques ont en majorité soutenu Hillary Clinton.