du 20 mars 2018
Date

Choisir une autre édition

Firefox : une faiblesse dans le gestionnaire de mots de passe depuis 9 ans

Wladimir Palant, l’auteur d’Adblock explique sur son blog que le gestionnaire intégré de mots de passe ne fait qu’une seule passe de fonction de hachage SHA-1 sur la clé de chiffrement, alors qu’il en faudrait au moins 10 000.

Le résultat serait une vraie faiblesse face à des tentatives d’attaques par force brute. Il rappelle qu’une GeForce 1080 GTX est en mesure de calculer 8,5 milliards d’empreintes (hash) SHA-1 par seconde. Selon un article cité de Microsoft, les mots de passe ne font en moyenne que 40 bits de long, soit cinq caractères. L’article a 11 ans, mais montre qu’il ne faudrait que 2^39 essais, soit moins d'une minute avec le matériel cité.

Le problème existe depuis neuf ans chez Mozilla et rejaillit sur Thunderbird. Il ne représente un danger bien sûr que si les utilisateurs se servent du gestionnaire intégré. S’ils possèdent une solution de type LastPass, Dashlane ou 1Password, ils ont tout intérêt en effet à désactiver la fonction intégrée du navigateur, quel qu’il soit – ne serait-ce que pour éviter les demandes doublons.

En attendant une réponse de Mozilla (le débat reste ouvert), Palant propose diverses solutions, dont l’augmentation des passes de SHA-1 jusqu’à 100 000 (comme le fait notamment LastPass). Il estime surtout que SHA-1 devrait faire place à une autre fonction de dérivation de clé, comme Argon2, conçue justement pour résister aux attaques soutenues par des GPU, notamment en faisant exploser la quantité de mémoire requise.

Mozilla devra donc sans doute prendre une décision, maintenant que l’attention des médias a été attirée.  En attendant, les utilisateurs se voient conseillés par Palant de se tourner vers une autre solution pour les mots de passe, et de couper la fonction intégrée de Firefox. Un conseil rapide, mais pas si simple, car il implique de nouvelles habitudes et éventuellement un abonnement.

On notera enfin que Mozilla travaille depuis un moment sur un gestionnaire de mots de passe indépendant. Nommé Lockbox, il est actuellement disponible en version alpha, donc bien loin d’être prêt pour le grand public, en plus de n’être disponible que pour les moutures desktop du navigateur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques jours, plusieurs sites se sont fait l'écho de cette carte en raison de son apparition furtive sur la page d'un produit Zotac. Aucune information ne venait cependant la corroborer.

Et pour cause, nos confrères de PC Gamer ont eu la confirmation qu'il s'agissait d'une simple faute de frappe de la part des équipes du constructeur. Comme quoi, en 2018, l'information est bien peu de choses…

Copié dans le presse-papier !

Selon Les Echos, Laure de La Raudière (députée LR) et Jean-Michel Mis (député LREM) vont présenter ce midi à l'Assemblée Nationale un rapport sur l'écosystème de la blockchain.

Ce rapport préconise de flécher 500 millions d'investissements sur trois ans afin de soutenir des projets liés à la blockchain. Autres pistes soulevées, celle d'une monnaie numérique émise par une banque centrale, idéalement la BCE, mais éventuellement par la Banque de France, ce afin de redorer l'image des cryptoactifs.

Enfin, les rapporteurs souhaitent que le crypto-minage soit reconnu comme une activité « électro intensive ». Cela ouvrirait aux fermes de minage françaises des réductions sur le coût de l'électricité pour les rendre plus compétitives. Ceci alors que la Chine a justement coupé ces avantages il y a quelques mois aux mineurs, jugeant l'impact écologique de cette activité trop important.  

Copié dans le presse-papier !

Lancée fin octobre 2017, la plateforme est « un succès » pour le régulateur avec « près de cinq fois plus [d'alertes] que les années précédant le lancement de "J'alerte l'Arcep", dont 28 000 directement sur la plateforme ». Pour rappel, cet outil centralise toutes les alertes web, email, courrier et téléphone.

SFR arrive en tête du nombre d'alertes reçues pour 100 000 clients avec un taux de 30 à 35. Free est deuxième avec 25 à 30, puis Bouygues Telecom avec 20 à 25 et enfin Orange avec 15 à 20.

La marque au carré rouge obtient également les plus mauvaises moyennes sur les notes de satisfaction de ses clients : 6,6 sur 10 sur le fixe, 6,8 sur 10 sur le mobile. Bouygues Telecom est en troisième position avec 7,4 et 7,2 sur 10, Free deuxième avec 7,6 et 7,5 sur 10, quasiment à égalité avec Orange, premier avec 7,6 et 7,6 sur 10.

Le régulateur, lien entre clients et opérateurs en cas de problème, explique que les solutions sont parfois « simples comme un coup de fil », alors que dans d'autres cas il faut « sortir l'arsenal répressif ».

Dans plus de 60 % des signalements, la disponibilité et la qualité de service sont en cause. Suivent les contrats et la facturation, puis la fibre. La neutralité du Net représente 1,22 %. « La plupart des signalements ne concernent pas forcément un problème de neutralité de l’internet mais sont le reflet de difficultés réelles ».

Exemple : « mauvaise qualité de certains services particuliers sur le réseau de Free (Netflix notamment) », « accès difficile à une plateforme de streaming depuis un opérateur » et « mauvais acheminement des emails issus d’un hébergeur par un opérateur ». Dans ces cas, l'Arcep analyse « ces cas et échangent avec les acteurs concernés pour identifier les raisons de ces difficultés ».

Chez Bouygues Telecom, un souci sur la portabilité et le RIO a été identifié. Là encore, l'Arcep a engagé des échanges avec le FAI et maintiendra une surveillance accrue.

Trois fois, le régulateur a par contre sorti son « sifflet de gendarme » : « une procédure d’instruction sur le fondement de l’article L.36-11 du code des postes et des communications électroniques à l’égard de SFR » sur la portabilité des numéros fixes, une « mis en demeure l’opérateur Orange de respecter son obligation de qualité » sur le service universel et « des échanges avec Ciel » sur ses pratiques.

Copié dans le presse-papier !

Cette version arrive juste après le coup de massue de Microsoft : son navigateur Edge se tourne vers Chromium comme base open source.

Deux éléments sont spécifiquement mis en avant dans le billet de blog d'annonce : le premier est attendu de longue date, puisqu'il s'agit de la possibilité de sélectionner plusieurs onglets (CTRL/MAJ + clic) pour effectuer des actions communes : déplacement, épinglage, mise sous silence, etc.

Firefox promet ensuite d'être force de proposition pour des fonctionnalités qu'il intègre et autres extensions officielles, lorsqu'elles peuvent être utiles à l'utilisateur. Pour cela, son comportement est analysé afin de faire apparaître un message au bon moment.

Le traitement se fait de manière locale, sans transmission à Mozilla, et hors de la navigation privée. Pour le moment, ce service n'est proposé qu'aux États-Unis.

Pour le reste, les notes de versions évoquent des améliorations de performances et un gestionnaire des tâches retravaillé. Le partage est désormais géré via un dispositif natif sous Windows, les extensions peuvent être supprimées plus facilement et les certificats émis par Symantec ne sont plus considérés comme valides.

Certains regretteront la disparition des marque-pages dynamiques et de la gestion des flux RSS, qui doivent désormais être remplacés par des extensions ou des services tiers.

Copié dans le presse-papier !

Le moteur de recherche s'associe au service de streaming  « sans perte ». Il propose d'écouter la musique directement depuis la page (en se connectant à son compte Qobuz) et met en avant son partenaire via de larges encarts.

D'autres modes d'écoute sont toujours disponibles, y compris par des vidéos YouTube.

Le service a quelques avantages pour les utilisateurs de Qobuz, dont un classement des albums par date fonctionnel, une indication claire des singles ou encore une présentation des titres les plus écoutés, des fonctions encore absentes ou peu fiables sur le service de streaming.

En octobre, Qobuz a lancé son offre Studio, avec écoute en Hi-Res (24 bit). Il a aussi donné un coup de jeune à ses interfaces, du web à la Freebox Révolution ces derniers mois.