du 20 mars 2018
Date

Choisir une autre édition

Firefox : une faiblesse dans le gestionnaire de mots de passe depuis 9 ans

Wladimir Palant, l’auteur d’Adblock explique sur son blog que le gestionnaire intégré de mots de passe ne fait qu’une seule passe de fonction de hachage SHA-1 sur la clé de chiffrement, alors qu’il en faudrait au moins 10 000.

Le résultat serait une vraie faiblesse face à des tentatives d’attaques par force brute. Il rappelle qu’une GeForce 1080 GTX est en mesure de calculer 8,5 milliards d’empreintes (hash) SHA-1 par seconde. Selon un article cité de Microsoft, les mots de passe ne font en moyenne que 40 bits de long, soit cinq caractères. L’article a 11 ans, mais montre qu’il ne faudrait que 2^39 essais, soit moins d'une minute avec le matériel cité.

Le problème existe depuis neuf ans chez Mozilla et rejaillit sur Thunderbird. Il ne représente un danger bien sûr que si les utilisateurs se servent du gestionnaire intégré. S’ils possèdent une solution de type LastPass, Dashlane ou 1Password, ils ont tout intérêt en effet à désactiver la fonction intégrée du navigateur, quel qu’il soit – ne serait-ce que pour éviter les demandes doublons.

En attendant une réponse de Mozilla (le débat reste ouvert), Palant propose diverses solutions, dont l’augmentation des passes de SHA-1 jusqu’à 100 000 (comme le fait notamment LastPass). Il estime surtout que SHA-1 devrait faire place à une autre fonction de dérivation de clé, comme Argon2, conçue justement pour résister aux attaques soutenues par des GPU, notamment en faisant exploser la quantité de mémoire requise.

Mozilla devra donc sans doute prendre une décision, maintenant que l’attention des médias a été attirée.  En attendant, les utilisateurs se voient conseillés par Palant de se tourner vers une autre solution pour les mots de passe, et de couper la fonction intégrée de Firefox. Un conseil rapide, mais pas si simple, car il implique de nouvelles habitudes et éventuellement un abonnement.

On notera enfin que Mozilla travaille depuis un moment sur un gestionnaire de mots de passe indépendant. Nommé Lockbox, il est actuellement disponible en version alpha, donc bien loin d’être prêt pour le grand public, en plus de n’être disponible que pour les moutures desktop du navigateur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le réseau social gardera longtemps l'image d'une plateforme où circulent (presque) librement les fake news.

Il annonce donc plusieurs mesures, dont un doublement de la taille des équipes affiliées à la protection du service pendant les périodes électorales. Elles doivent notamment trouver, aidées d'algorithmes, les faux comptes associés.

Facebook officialise surtout un partenariat avec Atlantic Council. Le Digital Forensic Research Lab de ce dernier aidera le réseau à se renforcer « contre les nouvelles menaces et les campagnes de désinformation » venant d'un peu partout.

Facebook se servira également des Digital Research Unit Monitoring Missions, qui lui permettront de se focaliser sur une région géographique précise en période électorale.

Il ne reste finalement plus qu'à attendre qu'une occasion se présente pour vérifier l'efficacité de tous ces nouveaux processus. Au vu du nombre d'annonces, il faut espérer que Facebook obtiendra des résultats concrets.

Rappelons que plusieurs pays préparent des législations contre les fake news, dont la France.

Copié dans le presse-papier !

Hier, Intel annonçait que sa filiale israélienne consacrée aux solutions pour voitures autonomes commençait à effectuer des tests dans Jérusalem.

Ainsi, 100 véhicules autonomes (niveau 4) vont circuler afin de vérifier la validité de leur fonctionnement et éventuellement le perfectionner. Ils sont équipés de la puce EyeQ4 de la Mobileye qui doit bientôt être mise sur le marché.

Mais c'est une autre nouvelle qui doit faire la joie des équipes de la société de Santa Clara : un contrat pour la fourniture de solutions sur huit millions de véhicules a été signé avec un constructeur européen, rapporte Reuters.

Il concerne un dispositif de conduite assistée, disponible à partir de 2021, année de lancement de la prochaine puce EyeQ5. D'ici 2019, la société compte sur 100 000 véhicules équipés de son système de conduite de niveau 3. Un chiffre qu'elle espère voir exploser dans les années à venir.

Mais la concurrence est rude dans le domaine, notamment avec NVIDIA qui travaille également à de nombreuses solutions basées sur ses GPU.

Copié dans le presse-papier !

Les mises à jour mineures colmatent le plus souvent des brèches de sécurité, mais celle-ci se contente de corriger quelques soucis plus généraux de Firefox 60.

Elle résout ainsi un problème de ramasse-miettes avec certaines extensions, fait disparaître les vignettes sponsorisées dès que l'option est décochée, règle un souci de carte noire sur Google Maps sous macOS et remet en place les traductions des Préférences.

La mise à jour sera récupérée automatiquement par Firefox. Il est bien sûr possible de télécharger la dernière version depuis le site officiel.

Copié dans le presse-papier !

C'est dans trois semaines que la conclusion de cette série, portée par les sœurs Wachowski, sera diffusée par la plateforme de SVOD. Elle commence donc à en assurer la promotion.

Une vidéo de deux minutes qui dévoile quelques éléments de ce dernier épisode, avec comme toujours de superbes plans, sur fond de réflexion philosophique.

Cette ultime mission sera l'occasion de sauver le huitième membre du cercle, malgré le BPO, mais aussi de découvrir l'identité du personnage central de cette intrigue. Et sans doute célébrer la communautée née de Sense8, tant dans la série que dans le public.

Copié dans le presse-papier !

Le changement est de taille et était attendu de longue date. C'est donc dans moins de quatre mois, avec la version 69 du navigateur, qu'il entrera en vigueur.

Pour rappel, un site avec accès HTTPS est actuellement distingué par un cadenas vert. Dans certains cas, une alerte s'affiche si l'accès n'est pas sécurisé. Dès le 4 septembre, le cadenas sera toujours affiché, mais de manière plus neutre et sans le terme « sécurisé ».

À l'inverse, dès qu'un utilisateur se rendra sur un site avec un accès HTTP simple, le terme « non sécurisé » apparaîtra. Si des informations sont entrées dans un formulaire, le message s'affichera alors en rouge. Cette fonctionnalité entrera en vigueur le 16 octobre avec Chrome 70.

Le mouvement n'est pas spécifique à Chrome. Avec la montée en puissance de l'accès HTTPS via des solutions comme Let's Encrypt, il devrait également se renforcer dans les autres navigateurs d'ici la fin de l'année.