du 05 décembre 2018
Date

Choisir une autre édition

Faille critique dans Kubernetes, des correctifs sont disponibles

Ce logiciel open source permet de déployer et de gérer des applications conteneurisées. Le projet était initialement développé par Google, avant d'être transféré à la Cloud Native Computing Foundation en 2014.

Très populaire, notamment dans les grandes infrastructures, il vient de faire face à sa première grosse faille estampillée CVE-2018-1002105. Jugée critique, elle obtient un score CVSS de 9,8 sur 10.

Sur Github, Jordan Liggitt (Google, ex-Red Hat), explique qu'avec « une requête spécialement conçue, des utilisateurs autorisés à établir une connexion à un serveur principal via l'API Kubernetes peuvent ensuite envoyer des requêtes arbitraires », tout en restant identifiés.

« Il n'y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée, étant donné que les demandes non autorisées sont effectuées via une connexion authentifiée, elles n'apparaissent pas dans les journaux », ajoute Jordan Liggitt.

« La faille d'élévation des privilèges permet à tout utilisateur de bénéficier des droits d'administrateur », résumé Red Hat. Des correctifs sont déjà disponibles pour Kubernetes, mais ils doivent maintenant être déployés par les nombreuses infrastructures exploitant ce logiciel.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Brad Smith, directeur juridique et vice-président de Microsoft, fait de nouveau part de ses craintes sur le sujet et appelle au rassemblement des autres géants du Net.

« Nous pensons qu'il est important que les gouvernements commencent à adopter des lois pour réglementer cette technologie en 2019 », affirme-t-il. S'il estime préférable de traiter cette problématique dans son ensemble, il ne veut pas pour autant attendre que les officiels agissent : « Nous, et d’autres sociétés technologiques, devons commencer à mettre en place des mécanismes de protection autour des technologies de reconnaissance faciale ».

Trois principaux problèmes sont soulevés : des décisions biaisées et/ou en violation des lois sur la discrimination, des intrusions dans la vie privée des personnes et la surveillance de masse. Brad Smith souhaite que les sociétés concernées publient une « documentation expliquant les capacités et limites de leur technologie, en termes compréhensibles par les clients et les consommateurs ». Il veut également que des tiers puissent mener des tests sur les systèmes de reconnaissance faciale.

Microsoft veut montrer l'exemple et adopte six principes : équitabilité, transparence, responsabilité, non-discrimination, consentement et enfin surveillance légale. De plus amples informations seront données la semaine prochaine. La société prévoit aussi de publier des documents « pour aider ses clients à utiliser cette technologie de manière responsable ».

Copié dans le presse-papier !

Depuis qu'Apple a lancé son application fin septembre, plusieurs applications ont sauté le pas des raccourcis d'iOS 12 (avec Siri). Aujourd'hui, c'est au tour de Deezer de sauter le pas.

Trois instructions sont pour le moment annoncées : « Dis Siri, joue mon Flow », « Dis Siri, joue mes Coups de cœur » et « Dis Siri, joue ma musique en aléatoire ». D'autres commandes seront disponibles au début de l'année 2019.

Les raccourcis Siri sont disponibles de manière globale, sur iOS et watchOS. Ils seront prochainement disponibles sur CarPlay, HomePod et AirPods. Pour en profiter, il faut disposer de la dernière version de l'application (7.0.0 actuellement).

Copié dans le presse-papier !

Apple vient de publier une nouvelle version de test de la prochaine évolution de son navigateur qui apporte quelques améliorations.

Parmi elles, le support préliminaire de l'API Web Authentication (WebAuthn). Mais seuls les appareils compatibles avec CTAPv2, comme les clés de sécurité FIDO2, sont supportées pour le moment.

Pour rappel, WebAuthn permet une connexion à plusieurs facteurs ou sans mot de passe à travers divers dispositifs de sécurité : clé USB, appareil biométrique, etc. Il est notamment utilisé pour la connexion aux comptes Microsoft sur Edge depuis deux semaines.

Apple ne précise pas s'il compte utiliser plus largement ce standard ou même FIDO2 au sein de ses appareils. On pense par exemple à FaceID/TouchID dans un environnement web ou des mécaniques de connexion simplifiées à macOS.

Copié dans le presse-papier !

Selon SyFy (repris par The Verge), c'est la première fois que des produits officiels de ce genre sont proposés. Pour rappel, l'Aurebesh est la langue officielle (et évidemment imaginaire) de l'univers Star Wars.

157 capuchons (profil DSA) sont fournis et sont compatibles avec les commutateurs MX. Deux versions seront proposées : une Aurebesh seul, l'autre avec un sous-titre anglais pour chaque lettre. Dans les deux cas, le tarif est le même : 250 dollars.

Les précommandes débuteront le 10 décembre pour se terminer le 5 janvier. La livraison est prévue pour avril 2019.

Copié dans le presse-papier !

Les députés ont adopté, jeudi 6 décembre, la proposition de loi « visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux ». Le texte vient notamment multiplier par cinq les sanctions à l’encontre des professionnels qui ne respectent pas le dispositif d’opposition Bloctel.

De larges parties de cette proposition de loi, telle qu’approuvée la semaine dernière en commission (voir notre article), ont été réécrites – à l’initiative notamment du gouvernement. Les dispositions tendant à imposer aux opérateurs le blocage de numéros surtaxés destinés à la fraude ont par exemple été revues.

Avant même le vote du texte, l’UFC-Que Choisir avait fait part de sa déception, dans la mesure où cette proposition de loi cautionne à ses yeux « la logique du droit d’opposition (opt-out) de Bloctel, dont l’inefficacité est notoirement constatée par les consommateurs ».

Nous reviendrons bientôt sur l’adoption de ce texte, qui a été transmis hier au Sénat.