du 08 novembre 2018
Date

Choisir une autre édition

Faille 0-day pour VirtualBox, exploitable sur tous les systèmes

Un chercheur en sécurité russe, Sergey Zelenyuk, vient de publier les détails et une méthode d’exploitation d’une faille de sécurité dans le client de virtualisation VirtualBox, qui prépare actuellement sa version 6.0.

La vulnérabilité existe jusque dans l’actuelle révision stable et a pu être exploitée avec succès sur les versions 16.04 et 18.04 d’Ubuntu. Elle peut en théorie être exploitée partout puisqu’elle réside dans une partie du code commune à toutes les plateformes, VirtualBox fonctionnant sous Linux, macOS, Windows et autres.

Une fois exploitée, la faille permet au pirate de s’échapper de la machine virtuelle et d’accéder au Ring 3 du système hôte, autrement dit l’espace applicatif, celui ayant le moins de privilèges. Il faut donc que la brèche soit couplée avec une ou plusieurs autres pour provoquer une escalade qui permettra l’obtention de droits supplémentaires.

Sergey Zelenyuk n’a pas choisi de fournir les détails à Oracle de manière discrète. Sa publication s’adresse à tous, de même que sa méthode d’exploitation.

Dans son billet de blog, il explique les raisons de son geste : les déclarations de bugs à Oracle lui ont laissé un goût amer. L’éditeur a par exemple mis 6 mois à corriger une vulnérabilité qu’il lui avait signalée, de manière silencieuse et via un bug bounty fonctionnant a priori bien mal.

Oracle n’a donc pas le choix, la faille doit être corrigée rapidement puisque rendue publique. Toute vulnérabilité permettant de s’échapper d’une sandbox est toujours considéré comme très sérieuse.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il s'agit d'un « jeu sérieux » voulant sensibiliser les Français sur les enjeux autour de la protection de leurs données personnelles et les bons réflexes à acquérir.

« Ce projet d'intérêt général a été financé grâce aux dons des consommateurs précisent » nos confrères, qui détaillent le principe :

« La mécanique de jeu est simple : elle consiste à prendre des décisions en faisant à chaque fois le meilleur choix parmi ceux qui sont proposés au fil de la narration. Mais attention : si certains choix n’empêchent pas le joueur de progresser dans l’histoire, d’autres ne pardonneront pas… De trop mauvais choix relatifs à la protection des données personnelles (faux-sites, rançongiciel, piratage de données personnelles, etc.) conduiront à un game over ! ».

Des pastilles pédagogiques ainsi que des fiches éducatives sont proposées. Une partie devrait durer environ 20 minutes précise l'UFC-Que Choisir, ajoutant que « J'accepte » peut être joué par toute la famille, aussi bien sur ordinateur que mobile.

Copié dans le presse-papier !

Pour l’IETF (Internet Engineering Task Force), il semble maintenant clair que HTTP-over-QUIC va devenir HTTP/3. Ce qui n’était qu’une fonction expérimentale de Google servira donc de base à la prochaine révision majeure du protocole HTTP.

QUIC, pour Quick UDP Internet Connections, se veut un remplaçant de TCP. Une nouvelle couche de transport supportant les connexions UDP multiplexées entre points, conçue pour réduire la latence et la bande passante nécessaire, ainsi bien sûr qu’une meilleure sécurité (données chiffrées par défaut).

Google réitère donc la genèse de HTTP/2, largement basé sur son protocole SPDY. Le passage de QUIC en spécification signifiera donc une adoption par les autres navigateurs. QUIC, bien que non finalisé, est cependant déjà implémenté dans Chromium et se retrouve ainsi dans les navigateurs l’utilisant, dont Opera.

On attend maintenant l’annonce officielle.

 

Copié dans le presse-papier !

« Considérant l’ancienneté et la fragilité des équipements actuellement utilisés pour le dépouillement et l’analyse politique des scrutins publics », la Haute assemblée avait annoncé en mars dernier qu’il lui semblait « indispensable d’installer un système moderne de scrutin électronique » pour ses votes en hémicycle.

La semaine dernière, le Bureau du Sénat a précisé que « le Conseil de Questure devrait attribuer le marché dans le courant du mois de janvier 2019 », pour « une mise en service à la rentrée parlementaire d’octobre 2019 ». L’institution explique avoir instauré un « dialogue compétitif », afin de « co-construire avec les entreprises candidates la solution répondant le mieux aux besoins exprimés par le Sénat ».

Copié dans le presse-papier !

Le 9 novembre, le Conseil de l’Union européenne a validé le règlement sur la libre circulation des données non-personnelles. L’instance qui regroupe les États-membres compte, bien entendu, favoriser l’économie numérique.

La principale mesure, selon le Conseil, est l’interdiction pour les États d’imposer le stockage ou le traitement de ces informations sur leur sol, à moins qu’elles ne concernent la sécurité publique. Le texte encourage aussi la conception de codes de conduite pour les services traitant ces données, dans l’idée de faciliter la migration d’un acteur à un autre.

Le texte est censé être signé en plénière au Parlement européen à la mi-novembre. Il sera appliqué directement par les États, sans transposition, six mois après cette signature.

Le lobby Cispe Cloud, monté par de nombreux acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) félicite sans surprise cette adoption. Il a été créé pour concevoir un code de conduite commun, réclamé par le Règlement général sur la protection des données (RGPD). Il compte donc fournir le premier code de conduite sur la portabilité réclamé par ce nouveau texte.

Des données non personnelles sont par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l'analyse, les données sur l'agriculture de précision qui peuvent aider à surveiller et optimiser l'utilisation de pesticide et d'eau, ou les données sur les besoins de maintenance de machines industrielles ».

Il reste tout de même à voir les conséquences concrètes de ce cadre. La frontière entre les données personnelles a été un lourd sujet de débat ces dernières années, dans le cadre d’autres règlements notamment.

La question est des plus sensibles, quelques mois après les scandales sur la vie privée de Facebook, l’entrée en application du RGPD et en plein piétinement des négociations autour du règlement ePrivacy, censé compléter le précédent.

Copié dans le presse-papier !

Cette liste est actualisée deux fois par an : en juin et novembre. Les États-Unis sont présents aux deux premières places avec les machines Summit et Sierra (tous les deux d'IBM).

Ils relèguent ainsi le supercalculateur chinois Sunway TaihuLight à la troisième place, alors qu'il était en tête en 2017 et 2016. La Chine est également sur la quatrième marche avec Tianhe-2A.

Dans le reste du Top 10, nous retrouvons la Suisse, le Japon et l'Allemagne. Il faut descendre à la 16e place pour trouver la France avec le Tera-1000-2 du Commissariat à l'Énergie Atomique (CEA).