du 02 mars 2018
Date

Choisir une autre édition

GitHub a survécu à une attaque DDoS de 1,3 Tbps, OVH réagit

Le réseau de distribution de contenu (CDN) Akamai annonce avoir été sous le feu d'une attaque par déni de service distribué (DDoS) en direction d'un acteur du développement logiciel, le 28 février vers 18h. La cible ? GitHub, la principale plateforme en ligne de développement logiciel, utilisée par de très nombreux projets open source.

La tentative a culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle contre Dyn fin 2016, via un botnet Mirai (voir notre analyse).

Cette nouvelle attaque utilise un nouveau vecteur : memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache en mémoire. Le problème est que le service écoute à la fois les trafic TCP et UDP, sans besoin de s'authentifier, affirme Akamai.

Des instances memcached ont donc été exploitées pour « refléter » et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51 kilo-octets sont envoyés à la cible » constate GitHub.

Face aux premiers signes de l'attaque, l'entreprise a rapidement basculé son trafic vers Akamai, à raison. En réponse à l'incident, OVH a publié un guide pour sécuriser les instances memcached. L'opération tient en quelques commandes. De quoi faire un bon projet pour ce vendredi ou le week-end.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après Windows, Office, Skype et d’autres produits, Microsoft lance un canal de test Insider pour Halo.

Avec Halo: The Master Chief Collection confirmé pour une arrivée sur le Microsoft Store, donc sur les PC Windows 10, l’éditeur cherche à embrigader des joueurs dans sessions de tests pour « aider 343 Industries » à peaufiner ses titres.

Le site pour s’inscrire est déjà ouvert et concerne donc tous les possesseurs d’une Xbox One ou d’un PC. Bien que le titre doive débarquer dans la boutique de Microsoft, il semble bien que le jeu pourra aussi être récupéré sur Steam.

On ne sait pas encore quand la Master Chief Collection sera disponible. 343 Industries a en revanche confirmé que les titres seraient diffusés un à la fois, en commençant par Halo Reach.

Copié dans le presse-papier !

Le fabricant annonce fièrement que son portefeuille électronique pour cryptomonnaies est « le premier et le seul » sur le marché à être certifié par l’agence nationale de la sécurité des systèmes d’information.

La CSPN, ou Certification de Sécurité de Premier Niveau, a été mis en place par l’ANSSI en 2008. L'agence explique qu'elle « consiste en des tests en "boîte noire" effectués en temps et délais contraints ». Les procédures et méthodologies sont détaillées par ici, tandis que la liste des produits certifiés CSPN se trouve par là.

L'ANSSI précise par contre que « la certification ne constitue pas en soi une recommandation du produit par l’agence nationale de la sécurité des systèmes d’information (ANSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables ».

Ledger ne compte pas s'arrêter en si bon chemin et veut obtenir cette certification pour d'autres produits, notamment le portefeuille Bluetooth Nano X.

Copié dans le presse-papier !

L'année 2018 a été particulièrement dure pour la société, avec une baisse de 28 % de son chiffre d'affaires. Le groupe dispose néanmoins de plus de 160 millions d'euros de trésorerie au 31 décembre 2018, notamment grâce à la vente de Parrot Faurecia Automotive.

Dans un entretien aux Echos, Henri Seydoux explique que la dégradation des résultats s'explique d'abord par l'échec commercial du drone Anafi, sur lequel le groupe avait « fondé beaucoup d'espoirs ». Problème : « nous n'avons vendu qu'un tiers de ce que nous avions prévu ».

Le dirigeant revient aussi sur l'OPA qu'il a lancée sur l'ensemble du groupe Parrot : « La valeur de la boîte s'est effondrée jusqu'à devenir négative ! Je ne pouvais laisser sur le marché une boîte qui vaut trois fois moins que sa trésorerie ».

Quant à l'idée de chercher des actionnaires, Henri Seydoux ne tourne pas autour du pot : « en toute lucidité, je pense que nous n'intéresserions personne [...] Financièrement, nous avons deux ans pour redresser la situation, sinon c'est fini pour Parrot tel que nous le connaissons aujourd'hui. Notre visibilité est réduite, je conçois que ce ne soit pas un profil très attractif en Bourse ».

Par contre, « Parrot n'abandonnera pas les drones », affirme-t-il. Il pense d'ailleurs que le drone est un produit d'avenir : « Mon souci aujourd'hui c'est le temps qu'il va mettre à rencontrer ses publics ».

Copié dans le presse-papier !

Apple commercialise depuis hier deux nouveaux modèles d’iPad. À commencer par un mini enfin modernisé, même s’il ne change pas de châssis, exactement comme l’évoquaient les rumeurs.

Les dimensions sont strictement identiques, avec un poids de 300,5 g pour la version Wi-Fi et 308,2 g pour la version cellulaire, soit respectivement 1,5 et 4,2 g de plus que le modèle précédent.

L’écran reste sur une définition de 2 048 x 1 536 pixels pour une résolution de 326 ppp, mais gagne la compatibilité True Tone, couvre l’espace colorimétrique DCI-P3 et est 25 % plus lumineux (500 nits). Comme l’iPad d’entrée de gamme, il est également compatible avec le Pencil de première génération.

À l’intérieur par contre, l’iPad mini laisse tomber la vieille puce A8 au profit d’une A12, soit la même équipant les iPhone XR et XS, soit un joli petit bond de performances. Le Bluetooth passe quant à lui du 4.2 au 5.0, et le modèle 4G gagne une eSIM.

À l’avant, l’ancien capteur 1,2 mégapixels est abandonné pour un 7 MP capable d’enregistrer en 1080p. La caméra arrière ne change pas et gagne simplement la compatibilité Live Photo. L’autonomie annoncée reste de 10 heures en Wi-Fi et 9 heures en 4G.

Les couleurs proposées restent les mêmes : argent, gris sidéral et or. Le nouvel iPad mini existe en versions 64 et 256 Go, vendues respectivement 459 et 629 euros, auxquels il faudra ajouter 140 euros pour la version 4G.

Si le renouvellement de l’iPad mini est attendu, le retour de l’iPad Air est beaucoup plus surprenant. Lui aussi reprend les lignes de l’ancien design mais passe à la puce A12. Les bords fins, Face ID et l’USB-C restent l’apanage des iPad Pro.

Le nouvel Air passe à 10,5 pouces (2 224 x 1 668), contre 9,7 pouces auparavant, avec les mêmes nouveautés que pour le mini 5 : espace colorimétrique P3, luminance de 500 nits et compatibilité Pencil de première génération. Le True Tone était déjà de la partie.

Les modifications sur les parties connectivité et photo sont les mêmes ici aussi : caméra avant de 7 MP pour de la vidéo 1080p, Bluetooth 5.0, ajout d’une eSIM pour la version 4G, etc.

L’objectif d’Apple semble être de combler un vide pour ceux qui voulaient un iPad plus grand sans forcément investir dans un iPad Pro. La question d’une éventuelle cannibalisation est cependant légitime.

Car là où l’iPad Pro 11 pouces démarre à 899 euros, l’iPad Air débute à 569 euros pour la version 64 Go, contre 739 euros pour 256 Go. Comme d’habitude, on ajoutera 140 euros pour les moutures 4G.

Pour toutes ces nouvelles tablettes, les commandes sont ouvertes dès maintenant, pour des livraisons prévues entre le 3 et le 5 avril.

Copié dans le presse-papier !

Les utilisateurs se rendant sur la page d'accueil du réseau social peuvent y voir un petit bandeau gris sur le haut du site, avec le message suivant :

« À la suite d'un projet de migration de serveur, il est possible que tous les fichiers audio, photos et vidéos téléchargés il y a plus de trois ans ne soient plus disponibles. Nous nous excusons pour le dérangement. Si vous souhaitez plus d'informations, veuillez contacter notre délégué à la protection des données à l'adresse suivante: DPO@myspace.com ».

Via une simple ligne de texte, Myspace annonce donc avoir perdu les fichiers multimédia uploadés sur son site avant 2015. Le réseau social ayant été créé en 2003, cela fait donc la bagatelle de 12 ans de données.

Dans un courrier repris par The Verge, le DPO explique que les fichiers sont corrompus et qu'il n'y a malheureusement aucune manière de récupérer les données perdues.

Nos confrères rappellent qu'il y a un an des utilisateurs se plaignaient déjà de ne pas pouvoir accéder à leurs fichiers. Myspace expliquait alors que le problème pourrait être réglé, mais ce n'est visiblement pas le cas.

Quoi qu'il en soit, cette histoire rappelle à quel point il est important de sauvegarder correctement ses données, et pas seulement en s'appuyant sur un service en particulier.