du 21 août 2018
Date

Choisir une autre édition

Faille de sécurité dans macOS High Sierra : le retour des clics simulés

En octobre 2017, Apple publiait une mise à jour de sécurité de son système d'exploitation. Parmi les changements, un correctif de sécurité (CVE-2017-7150) : « une méthode permettait aux applications de contourner l’invite liée au trousseau d’accès avec un clic simulé ».

Les conséquences étaient graves car une application malveillante pouvait en profiter pour extraire les mots de passe du trousseau. Patrick Wardle était alors remercié par le fabricant. L'expert en informatique ayant auparavant travaillé pour la NSA revient avec une nouvelle attaque fondée sur le même principe.

Il affirme en effet que « le patch d'Apple était incomplet ». Lors d'une démonstration à laquelle Ars Technica  a pu assister, il déclare avoir utilisé son ancienne attaque, mais avec une « erreur » dans le code : au lieu d'envoyer un événement down et up pour simuler un clic de souris, son application a généré deux down.

« Le système convertit le second événement down de la souris en un up. Mais comme cet événement est généré par le système, il est autorisé à interagir avec les fenêtres de sécurité du système ». Interrogé par nos confrères, Apple n'a pas souhaité répondre pour le moment.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La majorité vient de déposer à l’Assemblée nationale une proposition de loi destinée à « préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles ». Un air de déjà-vu. Et pour cause, la « PPL » reprend docilement un amendement gouvernemental au projet de loi PACTE, qui fut cependant rejeté au Sénat.

Le régime est identique : une autorisation préalable imposée dans le déploiement des équipements 5G. Ce texte dit « anti-Huawei » veut tenir compte des risques pesant sur ces futurs réseaux, s’agissant en particulier des obligations légales « qui pourraient contraindre leurs fournisseurs à coopérer avec des autorités étrangères dans la collecte de renseignement ».

Comme dans l’amendement, la proposition exigera le feu vert du Premier ministre – et derrière lui l’ANSSI – dès lors qu’existe « un risque pour l’intégrité, la sécurité et la continuité de l’exploitation ».

Le texte autorisera notamment Matignon à imposer ce véto si l’équipement ne garantit pas la possibilité de réaliser des interceptions de sécurité aux fins de défense nationale ou de sécurité publique. En somme, en s’attaquant d’une main aux portes dérobées chinoises, les députés LREM, comme l’exécutif, profitent de l’autre pour offrir au renseignement français un œilleton sur les flux.

Le véhicule choisi étant une proposition, non un projet de loi, il est démuni d’étude d’impact et d’avis du Conseil d’État.

Copié dans le presse-papier !

La Commission d’accès aux documents administratifs (CADA) et la Commission nationale de l’informatique et des libertés (CNIL) ont lancé hier une consultation portant sur un projet de « guide pratique de la publication en ligne et de la réutilisation des données publiques », qu’elles ont élaboré conjointement, en lien avec la mission Etalab.

Ce document, à destination des administrations comme des citoyens, fait un point sur les réformes impulsées notamment par la loi pour une République numérique de 2016 et le RGPD : obligations de mise en ligne, formats de données, anonymisation, etc.

Initialement, la CNIL espérait que ce guide puisse être publié dès la fin 2016 (voir notre article).

Copié dans le presse-papier !

Comme prévu, l'agence spatiale japonaise (JAXA) a donné l'ordre à sa sonde Hayabusa 2 de descendre vers l'astéroïde Ryugu pour effectuer un « touch and go ».

L'opération consiste à toucher sa surface, lancer un projectile et récupérer les poussières et débris pour ensuite les ramener sur Terre (les scientifiques espèrent obtenir environ 100 milligrammes de matière). Le déroulement de toute l'opération est disponible dans cette série de tweets.

Cette manoeuvre est un succès selon la JAXA, qui ajoute que l'état de la sonde Hayabusa 2 est normal. Un second « touch and go » pourrait avoir lieu prochainement, mais l'agence spatiale japonaise ne semble pas encore avoir pris sa décision sur le sujet.

Copié dans le presse-papier !

Il prendra place dans l'Engineering Center (créé en 2011) sur le campus du géant du Net à Issy-les-Moulineaux, dans la région parisienne.

La société explique que « ce centre a pour mission d’accompagner les entreprises du monde entier dans leur transformation digitale (sic) et dans leur quête d’efficacité et de productivité accrues grâce à l’IA ».

Microsoft ne donne pas plus de détails pour l'instant.

Copié dans le presse-papier !

Après Damien Triolet de Hardware.fr, c'est Mark Walton qui rejoint les rangs du géant américain. Basé à Londres, il devient le responsable marketing technique pour la zone EMEA.

Il a précédemment travaillé pour des titres du groupe Condé Nast, comme Ars Technica ou Wired, mais aussi Gamespot pendant près de 8 ans, de 2007 à 2015.

Depuis l'année dernière, il était directeur créatif au sein du groupe Future.