du 20 mars 2018
Date

Choisir une autre édition

Firefox : une faiblesse dans le gestionnaire de mots de passe depuis 9 ans

Wladimir Palant, l’auteur d’Adblock explique sur son blog que le gestionnaire intégré de mots de passe ne fait qu’une seule passe de fonction de hachage SHA-1 sur la clé de chiffrement, alors qu’il en faudrait au moins 10 000.

Le résultat serait une vraie faiblesse face à des tentatives d’attaques par force brute. Il rappelle qu’une GeForce 1080 GTX est en mesure de calculer 8,5 milliards d’empreintes (hash) SHA-1 par seconde. Selon un article cité de Microsoft, les mots de passe ne font en moyenne que 40 bits de long, soit cinq caractères. L’article a 11 ans, mais montre qu’il ne faudrait que 2^39 essais, soit moins d'une minute avec le matériel cité.

Le problème existe depuis neuf ans chez Mozilla et rejaillit sur Thunderbird. Il ne représente un danger bien sûr que si les utilisateurs se servent du gestionnaire intégré. S’ils possèdent une solution de type LastPass, Dashlane ou 1Password, ils ont tout intérêt en effet à désactiver la fonction intégrée du navigateur, quel qu’il soit – ne serait-ce que pour éviter les demandes doublons.

En attendant une réponse de Mozilla (le débat reste ouvert), Palant propose diverses solutions, dont l’augmentation des passes de SHA-1 jusqu’à 100 000 (comme le fait notamment LastPass). Il estime surtout que SHA-1 devrait faire place à une autre fonction de dérivation de clé, comme Argon2, conçue justement pour résister aux attaques soutenues par des GPU, notamment en faisant exploser la quantité de mémoire requise.

Mozilla devra donc sans doute prendre une décision, maintenant que l’attention des médias a été attirée.  En attendant, les utilisateurs se voient conseillés par Palant de se tourner vers une autre solution pour les mots de passe, et de couper la fonction intégrée de Firefox. Un conseil rapide, mais pas si simple, car il implique de nouvelles habitudes et éventuellement un abonnement.

On notera enfin que Mozilla travaille depuis un moment sur un gestionnaire de mots de passe indépendant. Nommé Lockbox, il est actuellement disponible en version alpha, donc bien loin d’être prêt pour le grand public, en plus de n’être disponible que pour les moutures desktop du navigateur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La date de son anniversaire fait débat, même au sein des employés du géant du Net. Dans le doute, autant le fêter deux fois… Après un premier billet de blog le 4 septembre (première date anniversaire), rebelote en cette fin septembre alors que le 27 approche (seconde date anniversaire).

Cette fois-ci, c'est de l'avenir dont il est question et, bien évidemment, cela passera par l'intelligence artificielle, le machine learning et la personnalisation toujours plus forte des réponses. « La recherche n’est pas parfaite et nous en sommes très conscients » reconnaît Ben Gomes (vice-président de Google) durant une conférence de presse.

Les deux prochaines décennies seront tournées vers trois axes de développement selon le moteur de recherche. Tout d'abord, aller au-delà de simples réponses « pour vous aider à reprendre vos tâches là où vous en étiez et découvrir de nouveaux intérêts et loisirs ».

Vous pourrez ajouter du contenu personnalisé aux « Collections » de recherche (regroupement autour d'un thème commun). Le déploiement commencera cet automne et toute ressemblance avec des « Stories » sur les réseaux sociaux ne serait certainement que fortuite...

Le fil des contenus de Google (Feed) va changer de design et de nom pour devenir Discover. Parmi les nouveautés, un en-tête sur les cartes expliquant pourquoi vous la voyez.

Enfin, dernier changement annoncé par Google : le passage à une recherche plus visuelle. L'accent sera également mis sur la reconnaissance d'objet. Dans cette optique, Google Lens sera prochainement intégré à Google Images.

Copié dans le presse-papier !

Craig Newmark, derrière le site de petites annonces, a signé un chèque de 20 millions de dollars. The Markup est fondé par Julia Angwin et Jeff Larson, connus outre-Atlantique pour plusieurs enquêtes chez ProPublica. L'entreprise est dirigée par Sue Gardner, ex-directrice générale de la fondation Wikimedia.

Le but : explorer les dessous de la Silicon Valley, les technologies et leurs effets sur la société. Chez ProPublica, ils avaient notamment révélé le tri ethnique permis par les outils publicitaires de Facebook, ainsi qu'un biais racial dans les scores de risque criminel.

Copié dans le presse-papier !

Dans un communiqué, le service de partage de photos annonce le départ de son directeur général Kevin Systrom et de son directeur technique Mike Krieger.

« Nous comptons prendre du temps pour explorer à nouveau notre curiosité et notre créativité » justifient-ils laconiquement.

Selon TechCrunch, des tensions sont apparues l'an passé entre les deux fondateurs et Mark Zuckerberg sur l'autonomie de la filiale de Facebook. Plusieurs de ses responsables sont partis discrètement ces derniers mois.

Elles seraient apparues en mai, lorsque le vice-président produits Kevin Weil s'est concentré sur son équipe « blockchain ». Il a été remplacé par Adam Mosseri, qui aurait pris trop d'initiatives au goût des fondateurs.

Zuckerberg aurait aussi voulu que les partages d'Instagram arrivent jusqu'à Facebook, alors que les fondateurs du service photo auraient préféré les conserver sur leur plateforme.

Pour Bloomberg, Instagram deviendra sûrement une filiale plus intégrée, au lieu du service indépendant qu'il était encore.

Récemment, il a passé le milliard d'utilisateurs, lancé son application vidéo IGTV et préparerait un service de shopping. La plateforme en elle-même est devenue un haut lieu de la publicité en ligne, à force de publications de vedettes sur leurs produits.

Les départs se succèdent en tout cas chez Facebook. En mai, Jan Koum, le fondateur de WhatsApp, avait claqué la porte du groupe. Des désaccords sur la publicité et le chiffrement auraient contribué à ce départ. Récemment, Zuckerberg estimait que le chiffrement compliquait la lutte contre la désinformation.

Copié dans le presse-papier !

Les dimensions sont de 8,4 x 3,6 x 1,8 cm. Il dispose d'une sortie vidéo HDMI 2.0a prenant en charge la 4K UHD (3 840 x 2 160 pixels) à 60 ips. Le HDR10 est aussi de la partie, ainsi que du Wi-Fi 802.11n. Comme les autres produits de la marque, il permet de diffuser des contenus en streaming.

Le petit boîtier est proposé en précommande pour 39,99 dollars et sera disponible début octobre. Une version « + » sera proposée en exclusivité chez Walmart avec une télécommande vocale en prime. Elle sera vendue pour 10 dollars de plus.

Le constructeur met à jour son Roku Ultra au passage, également en 4K UHD. Du Wi-Fi 802.11ac, une prise Ethernet (100 Mb/s) et un port USB sont présents.

Des écouteurs JBL (normalement facturés 39,95 dollars selon Roku) sont livrés dans le bundle et peuvent être branchés sur la télécommande. La disponibilité est là encore prévue pour octobre, avec un tarif de 99,99 dollars.

Enfin, le système d'exploitation maison Roku OS sera prochainement compatible avec Google Assistant et prendra en charge Pandora Premium. Parmi les autres fonctionnalités, nous avons la mise à niveau automatique du volume (pendant les publicités et en changeant de chaîne par exemple).

Le déploiement de Roku OS 8.2 sur les TV a déjà commencé et se terminera en novembre, tandis que Roku OS 9 arrivera sur les lecteurs multimédia à partir de novembre. Tous les détails sont disponibles par ici.

Copié dans le presse-papier !

Après Maps, c'est donc au tour de Waze de suivre le même chemin. Rien de surprenant puisque les deux applications appartiennent à Google.

Dans les notes de version de la mouture 4.43.4, il est indiqué : « connectez votre appareil et utilisez Waze facilement sur l'écran intégré de votre véhicule (sur les modèles compatibles) »

Pour rappel, cette intégration est possible avec iOS 12 et l'ouverture aux applications tierces de CarPlay.