du 21 août 2018
Date

Choisir une autre édition

Faille de sécurité dans macOS High Sierra : le retour des clics simulés

En octobre 2017, Apple publiait une mise à jour de sécurité de son système d'exploitation. Parmi les changements, un correctif de sécurité (CVE-2017-7150) : « une méthode permettait aux applications de contourner l’invite liée au trousseau d’accès avec un clic simulé ».

Les conséquences étaient graves car une application malveillante pouvait en profiter pour extraire les mots de passe du trousseau. Patrick Wardle était alors remercié par le fabricant. L'expert en informatique ayant auparavant travaillé pour la NSA revient avec une nouvelle attaque fondée sur le même principe.

Il affirme en effet que « le patch d'Apple était incomplet ». Lors d'une démonstration à laquelle Ars Technica  a pu assister, il déclare avoir utilisé son ancienne attaque, mais avec une « erreur » dans le code : au lieu d'envoyer un événement down et up pour simuler un clic de souris, son application a généré deux down.

« Le système convertit le second événement down de la souris en un up. Mais comme cet événement est généré par le système, il est autorisé à interagir avec les fenêtres de sécurité du système ». Interrogé par nos confrères, Apple n'a pas souhaité répondre pour le moment.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Deux semaines seulement après l'annonce du partenariat entre Amazon et ModiFace (L'Oréal), YouTube se lance aussi dans le maquillage virtuel.

Lorsque vous regardez un tuto par exemple, l'écran peut se diviser en deux avec le youtubeur en haut et votre visage en réalité augmentée en bas. Pendant que la vidéo vante les mérites d'un rouge à lèvres, vous pouvez essayer en réalité augmentée différentes nuances.

S'agissant d'un produit publicitaire, un lien est évidemment présent pour acheter le maquillage. Cette fonctionnalité, pour le moment en test (version alpha), est disponible sur FameBit, la plateforme des contenus de marque de YouTube.

Copié dans le presse-papier !

La Haute autorité en charge de lutter contre le téléchargement illégal a adopté en mars dernier une charte de déontologie (PDF), applicable aux membres de son collège comme à ses agents.

Le texte, tout juste mis en ligne, précise que ceux-ci sont tenus de « faire preuve de dignité, d’intégrité, de probité, d’impartialité et de neutralité ». Ce qui signifie qu’ils ne peuvent par exemple pas « tirer un profit personnel » de leur position au sein de l’institution.

Le texte évoque également les cadeaux et autres invitations (repas, voyages...) pouvant être offerts à la Rue du Texel. « Les objets reçus en cadeaux peuvent être acceptés en toute transparence dès lors qu’ils sont dénués de caractère répétitif et qu’ils sont soit d’une valeur purement symbolique (agendas, calendriers, menus articles de bureau, etc.) soit de faible valeur (à titre indicatif, 60 € maximum) sauf cas exceptionnels appréciés par le président, pour les membres, ou par le secrétaire général, pour les agents. »

Copié dans le presse-papier !

Le centre est exploité par la société privée Utac Ceram et comprend 12 km de piste, comme l'explique l'AFP. Pour rappel, Orange mène sur place plusieurs expérimentations 5G depuis plusieurs mois, là encore autour de la voiture autonome/connectée.

« Baptisé Teqmo, il inclut une zone de circuit autoroutier, une zone reconstituant des voies urbaines et d'autres parties permettant de simuler des scénarios de stationnement, de manœuvres ou de freinage », expliquent nos confrères.

Bruno Le Maire, ministre de l'Économie et des Finances, était sur place pour l'inauguration. Il en profite pour reconnaître le retard de la France sur ses sujets (l'intégralité de son discours est disponible par ici) :

« Deux révolutions sont en cours : la révolution de la motorisation électrique et la révolution du véhicule autonome. Nous sommes en passe de réussir la première – avec un peu de retard mais nous avons mis un coup d’accélérateur. Sur la seconde, en revanche, nous faisons confiance à Anne-Marie Idrac pour nous mettre l’épée dans les reins et garantir que les choses avancent. Nous avons pris du retard et il faut rattraper ce retard ».

Il cite trois « besoins » clés pour la voiture autonome : développer les technologies (en particulier l'intelligence artificielle), la 5G (même si la 4G est largement suffisante pour de nombreux usages) et expérimenter.

Le ministre en profite pour revenir sur le cadre réglementaire : « Qui est responsable lors d'un accident avec un véhicule autonome ? Ce qui a été décidé dans le projet de loi sur la croissance et la transformation des entreprises, c’est que ce sera le titulaire de l’expérimentation qui sera responsable en cas d’accident ».

Reste maintenant à définir ce même cadre lorsque les voitures autonomes seront mise en vente. Qui sera alors responsable ? Le propriétaire, le fabricant, le vendeur, le développeur…

Copié dans le presse-papier !

MongoDB ouvrait hier sa conférence dédiée aux développeurs. Comme on pouvait s’y attendre, plusieurs annonces ont été faites, à commencer par une préversion de la mouture 4.2.

Elle apporte plusieurs nouveautés de taille, dont le support des transactions distribuées, la possibilité de gérer tous les déploiements MongoDB depuis un même plan de contrôle Kubernetes ou encore le chiffrement FLE (Field-Level Encryption). Ce dernier est indépendant de la base de données et n’est géré que via les pilotes côté client. Les administrateurs n’ont donc plus de droit d’accès aux données sans accord explicite.

MongoDB s’aventure également hors de son territoire habituel et lance Atlas Data Lake, permettant de lancer des requêtes en MongoDB Query Language (MQL) vers des instances S3 d’Amazon. Lac de données oblige, le format des données n’a pas d’importance (JSON, BSON, CSV, TSV, Parquet, Avro…).

Autre nouveauté, Full Text Search. Comme son nom l’indique, il autorise des fonctions avancées de recherches. MongoDB n’a pas réinventé la roue, préférant baser son produit sur Lucene 8, un projet open source d’Apache.

Realm, base de données mobile rachetée en mai, s’intègre davantage dans l’offre globale. Elle est fusionnée avec l’offre serveless Stitch, sous marque Realm. Son protocole de synchronisation permettra la connexion aux bases de données Atlas (cloud). La bascule est attendue pour 2020.

Copié dans le presse-papier !

Au début de la semaine, Google était accusée par Genius de lui voler des paroles de chansons pour les afficher dans ses Cartes en première position.

Google en profite pour affirmer qu'il « paye aux éditeurs le droit d'afficher les paroles ». Mais ces derniers ne disposent généralement pas de copie numérique des paroles, Google (comme d'autres) passe donc par un prestataire. L'enquête est toujours en cours pour déterminer comment les apostrophes de Genius se sont retrouvées dans les Cartes Google.

Dans un billet de blog, il réaffirme sa position, en ajoutant qu'il va désormais afficher le nom de sa source à côté des paroles.