du 20 mars 2018
Date

Choisir une autre édition

Firefox : une faiblesse dans le gestionnaire de mots de passe depuis 9 ans

Wladimir Palant, l’auteur d’Adblock explique sur son blog que le gestionnaire intégré de mots de passe ne fait qu’une seule passe de fonction de hachage SHA-1 sur la clé de chiffrement, alors qu’il en faudrait au moins 10 000.

Le résultat serait une vraie faiblesse face à des tentatives d’attaques par force brute. Il rappelle qu’une GeForce 1080 GTX est en mesure de calculer 8,5 milliards d’empreintes (hash) SHA-1 par seconde. Selon un article cité de Microsoft, les mots de passe ne font en moyenne que 40 bits de long, soit cinq caractères. L’article a 11 ans, mais montre qu’il ne faudrait que 2^39 essais, soit moins d'une minute avec le matériel cité.

Le problème existe depuis neuf ans chez Mozilla et rejaillit sur Thunderbird. Il ne représente un danger bien sûr que si les utilisateurs se servent du gestionnaire intégré. S’ils possèdent une solution de type LastPass, Dashlane ou 1Password, ils ont tout intérêt en effet à désactiver la fonction intégrée du navigateur, quel qu’il soit – ne serait-ce que pour éviter les demandes doublons.

En attendant une réponse de Mozilla (le débat reste ouvert), Palant propose diverses solutions, dont l’augmentation des passes de SHA-1 jusqu’à 100 000 (comme le fait notamment LastPass). Il estime surtout que SHA-1 devrait faire place à une autre fonction de dérivation de clé, comme Argon2, conçue justement pour résister aux attaques soutenues par des GPU, notamment en faisant exploser la quantité de mémoire requise.

Mozilla devra donc sans doute prendre une décision, maintenant que l’attention des médias a été attirée.  En attendant, les utilisateurs se voient conseillés par Palant de se tourner vers une autre solution pour les mots de passe, et de couper la fonction intégrée de Firefox. Un conseil rapide, mais pas si simple, car il implique de nouvelles habitudes et éventuellement un abonnement.

On notera enfin que Mozilla travaille depuis un moment sur un gestionnaire de mots de passe indépendant. Nommé Lockbox, il est actuellement disponible en version alpha, donc bien loin d’être prêt pour le grand public, en plus de n’être disponible que pour les moutures desktop du navigateur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Selon le Wall Street Journal, la SEC tenterait de savoir si Facebook a suffisamment prévenu ses investisseurs des collectes et traitements de données possiblement illégitimes par des tiers. La commission questionnerait le groupe sur le sujet.

Elle avait rejoint, ces dernières semaines, une enquête de la Commission fédérale du commerce (FTC), du FBI et du ministère de la Justice. Tous s'interrogent sur le scandale Cambridge Analytica, révélé en mars, et la fuite de données qui aurait touché 87 millions d'internautes en 2014.

La SEC compterait découvrir quelles informations Facebook détenait sur cette brèche, et si la société a analysé les risques de partages illicites d'informations personnelles. Elle chercherait également à déterminer si elle aurait dû prévenir ses actionnaires en 2015, quand elle a découvert pour la première fois l'affaire.

Copié dans le presse-papier !

Alors qu'AMD s'apprête à mettre sur le marché ses nouveaux Ryzen Threadripper en 12 nm, équipés d'un maximum de 32 cœurs, le géant de Santa Clara continue de faire comme si de rien n'était.

Ainsi, il adapte simplement ses processeurs Coffee Lake à l'offre serveur d'entrée de gamme avec ces douze puces annoncées entre 193 et 450 dollars. Elles comptent six cœurs au maximum, avec une fréquence pouvant aller jusqu'à 3,8 GHz (4,7 GHz en boost).

Copié dans le presse-papier !

Annoncé au début du mois, le nouveau smartphone de TCL (disposant de la licence BlackBerry) débarque dans l'Hexagone. Sans surprise, le prix est celui dévoilé lors du lancement.

Plusieurs boutiques le proposent d'ores et déjà, mais seul Boulanger semble avoir du stock. Vous pouvez également le commander chez Orange, SFR et Sosh, qui annoncent également l'avoir à disposition dès à présent.

Copié dans le presse-papier !

Hier, la société annonçait le rachat (surprise) de l'éditeur de logiciels CA Technologies pour 18,9 milliards de dollars.

Le moins que l'on puisse dire c'est que le marché ne semble pas convaincu, puisque Broadcom dévisse en bourse et perd 19 milliards de capitalisation en l'espace de quelques heures.

De plus de 243 dollars, l'action est passée juste en dessous des 200 dollars lors de l'ouverture de la bourse (-19 %), avant de remonter doucement à près de 210 dollars en fin de séance (-14 %). De son côté, CA Technologies gagne 18,6 %.

« C’est l’acquisition la plus bizarre, hors de propos et non stratégique de la dernière décennie », affirme un analyste à Reuters.

Copié dans le presse-papier !

Fin décembre, Synaptics faisait parler de lui avec son lecteur d'empreintes digitales à placer sous l'écran d'un smartphone. Nous l'avons ensuite retrouvé dans un terminal mobile Vivo.

Cette semaine, la société annonce une initiative commune avec AMD afin de proposer « une nouvelle référence dans le domaine de l'authentification biométrique hautement sécurisée via des empreintes digitales pour les ordinateurs portables basés sur la prochaine génération de puces Ryzen Mobile ».

Le capteur biométrique FS7600 dévoilé en juin par Synaptics sera utilisé de concert avec un CPU AMD et fonctionnera avec le « futur système de sécurité biométrique de Microsoft, comprenant Windows Hello ».

Une annonce encore vague, dont on espère qu'elle pourra généraliser la présence d'un lecteur d'empreintes digitales sur un ordinateur portable. Alors qu'il se démocratise sur les smartphones, y compris en entrée de gamme, trop de portables en sont encore dépourvus, y compris dans les machines orientées vers les professionnels.