du 02 mars 2018
Date

Choisir une autre édition

GitHub a survécu à une attaque DDoS de 1,3 Tbps, OVH réagit

Le réseau de distribution de contenu (CDN) Akamai annonce avoir été sous le feu d'une attaque par déni de service distribué (DDoS) en direction d'un acteur du développement logiciel, le 28 février vers 18h. La cible ? GitHub, la principale plateforme en ligne de développement logiciel, utilisée par de très nombreux projets open source.

La tentative a culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle contre Dyn fin 2016, via un botnet Mirai (voir notre analyse).

Cette nouvelle attaque utilise un nouveau vecteur : memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache en mémoire. Le problème est que le service écoute à la fois les trafic TCP et UDP, sans besoin de s'authentifier, affirme Akamai.

Des instances memcached ont donc été exploitées pour « refléter » et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51 kilo-octets sont envoyés à la cible » constate GitHub.

Face aux premiers signes de l'attaque, l'entreprise a rapidement basculé son trafic vers Akamai, à raison. En réponse à l'incident, OVH a publié un guide pour sécuriser les instances memcached. L'opération tient en quelques commandes. De quoi faire un bon projet pour ce vendredi ou le week-end.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L’éditeur avait prévenu, c’est maintenant chose faite dans la branche de développement 19H1 disponible via le programme Windows Insider. Désormais, le champ de recherche ne s’occupe que de ça, tandis que la fonction Cortana est accessible depuis une icône juste à droite.

Microsoft assure que cette séparation permettra de se concentrer sur la meilleure expérience utilisateur possible pour chacune des deux fonctions. Elle correspond surtout à une volonté de repositionner Cortana en assistant de productivité, plutôt que comme simple assistant vocal. L’éditeur semble penser que la bataille est déjà gagnée par Alexa, Google Assistant et Siri.

Cette nouvelle 18317 inclut d’autres améliorations, dont un processus séparé pour le menu Démarrer, qui gagnera donc en fiabilité. La fonction était jusqu’ici présente dans ShellExperienceHost.exe. Microsoft dit avoir observé pendant ses tests des gains substantiels, notamment en matière de réactivité.

La gestion des polices est également simplifiée dans les nouveaux Paramètres. Les nouvelles peuvent ainsi s’ajouter par glisser/déposer depuis l’Explorateur ou le bureau. L’installation se fait par utilisateur, sans élévation de privilèges. Un bouton spécifique permet au contraire de rendre la police disponible pour les autres comptes de la machine.

Rappelons que la branche 19H1 actuelle doit mener à la prochaine mise à jour majeure de Windows 10. Si Microsoft garde son rythme et sa nomenclature, elle devrait être finalisée en mars pour une distribution en avril, et s’appeler April 2019 Update. On espère que l’éditeur aura résolu ses soucis de qualité, après une année 2018 bien difficile.

Copié dans le presse-papier !

Partant du constat que « parfois un essai gratuit peut à son insu devenir un abonnement récurrent difficile à annuler », la société a décidé d'agir avec la mise en place de nouvelles règles.

Tout d'abord, les commerçants devront « obtenir l'approbation du titulaire de carte à la fin de l'essai avant de commencer à le facturer ».

De plus, « les commerçants devront lui envoyer, par courrier électronique ou texto, le montant de la transaction, la date de paiement, le nom du commerçant ainsi que des instructions explicites sur la procédure à suivre pour annuler son essai ». Cette procédure doit ensuite être répétée à chaque paiement.

Ce n'est pas tout : sur chaque facture, doit apparaître l'adresse du site du commerçant ou le numéro de téléphone du magasin. Des règles de bonnes conduites dont on se demande finalement pourquoi elles n'ont pas été implémentées plus tôt.

Copié dans le presse-papier !

L'équipe qui porte l'OS mobile de Google sur les architectures x86 vient de mettre en ligne une première mouture basée sur Oreo.

Des images 32 bits et 64 bits sont proposées, avec un noyau 4.19.15, le support matériel des puces Intel HD/G45 ou d'OpenGL ES 3.x sur la plupart des GPU.

Toutes les informations sur cette version sont disponibles par ici. Les images peuvent être téléchargées par là ou encore .

Copié dans le presse-papier !

La société explique que son premier (et précédent) logo datait de la création de l'entreprise et était difficile à reproduire avec exactitude, notamment car il comportait pas moins de onze couleurs.

Pour réaliser son nouveau logo, qui n'est d'ailleurs pas sans rappeler l'ancien dans la forme et les couleurs, l'équipe de Slack s'est rapprochée du graphiste Michael Bierut (Pentagram).

« Au cours des mois à venir, nous allons harmoniser notre identité graphique et mettre notamment à jour le site web, les publicités et notre produit », précise enfin Slack.

Copié dans le presse-papier !

La découverte d'un bug dans l'une des propositions d'améliorations d'Ethereum (EIP) devant être implémentée avec la mise à jour Constantinople vient de retarder à une date ultérieure le déploiement de cette dernière.

Le bug est semblable à l'un de ceux exploités lors de la fameuse attaque de The DAO. En bref, si un contrat contient une fonction faisant appel à un autre contrat, l'attaquant peut être en mesure de faire appel plusieurs fois de suite à cette fonction pendant qu'elle est exécutée, sans préciser qu'un autre appel est déjà en cours. De quoi lui permettre de réclamer plusieurs fois de suite le versement de fonds… et les obtenir.

La fondation Ethereum a estimé qu'il n'était pas possible de colmater cette brèche proprement d'ici l'heure prévue pour le fork, soit à peu près le 17 janvier à 4h du matin heure française. La mise à jour est donc repoussée jusqu'à nouvel ordre. Les plus taquins l'ont déjà rebaptisée Constanti-Nope.