du 01 juillet 2019
Date

Choisir une autre édition

La fondation OpenID demande à Apple de corriger sa solution de login

Dans une lettre ouverte adressée à Craig Federighi, vice-président d’Apple en charge de l’ingénierie logicielle, la fondation OpenID félicite l’entreprise pour avoir « largement adopté » OpenID Connect pour son module de connexion Sign In with Apple, ou en tout cas « semble l’avoir fait ».

Mais des différences d’implémentation, résumées dans un document, créent plusieurs problèmes selon la fondation. Les utilisateurs seraient ainsi exposés à d’éventuels problèmes de sécurité et de vie privée. Un comble quand on connait la force avec laquelle Apple martèle désormais son orientation dans ce domaine.

Toujours selon la fondation, l’implémentation déplace inutilement un poids sur les épaules des développeurs, tant ceux de la solution Apple que d’OpenID. Elle invite donc l’entreprise à corriger ces écarts, ainsi que quelques démarches supplémentaires.

Elle aimerait ainsi qu’Apple se mette totalement en conformité avec le standard OpenID Connect, via trois actions très concrètes :

  • Utiliser la suite logicielle de certification pour améliorer l’interopérabilité entre les deux systèmes de connexion
  • Faire savoir publiquement que Sign In with Apple est compatible avec OpenID Connect
  • Rejoindre la fondation

On peut s’en douter, la fondation ne peut que lorgner sur un ajout de poids dans sa liste de membres, qui contient déjà plusieurs grands noms de l’industrie, dont Google, Microsoft et PayPal. Autant militer un peu pour sa paroisse.

Apple n’a pour l’instant pas réagi. L’entreprise n’a jamais évoqué la moindre reprise des spécifications OpenID, mais la fondation semble sûre de son fait après analyse du comportement de Sign In with Apple.

Rappelons que ce système de connexion doit combattre notamment les solutions de Facebook et Google, avec un angle très axé sur la vie privée. Aucune donnée n’est ainsi transmise à Apple ou à un partenaire.

« SIWA » sera par ailleurs imposé aux développeurs dès lors que leurs application proposeront au moins un système de connexion tiers, quel qu’il soit. En outre, les conditions d’Apple obligent à proposer SIWA en tête de liste.

La firme aurait cependant tout intérêt à accepter les demandes de la fondation OpenID. Son module gagnerait en visibilité en établissant une parenté avec un « standard » soutenu par une structure à but non lucratif et reposant massivement sur le protocole OAuth 2.0.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'Association des opérateurs télécoms alternatifs (AOTA) avait demandé début juin au gouvernement de « se saisir de la transition vers IPv6 et de la préservation de l’équilibre concurrentiel ».

L'AOTA vient d'avoir une réponse de la Direction générale des entreprises (DGE), qui partage les « préoccupations » de l'Association, en ajoutant que « la transition vers ce nouveau [vieux de déjà 20 ans, ndlr] protocole de communication apparaît aujourd’hui comme un enjeu majeur de compétitivité et d’innovation ».

La DGE affirme par contre que « les capacités d’action du gouvernement en la matière sont cependant limitées par l’absence de base législative l’autorisant à réglementer ce type de ressources, du fait que les adresses IP sont gérées au niveau international par l’ICANN et attribuées directement au niveau européen par le registre Internet européen, le RIPE NCC basé à Amsterdam ».

Pour apporter une réponse, « les autorités françaises vont proposer à la présidence du Conseil de l’Union européenne qu’elle mette à l’agenda d’un groupe de travail du Conseil "Télécommunications et société de l’information" la question de la transition vers l’IPv6 et qu’elle se saisisse de l’Organe des régulateurs européens des communications électroniques (ORECE) pour avis sur ce dossier ».

L'AOTA se félicite que le gouvernement prenne la question au sérieux, malgré une « – très – timide réponse ». Enfin, la DGE rappelle que l'Arcep peut jouer un rôle d'appui pour faciliter la transition vers IPv6, et qu'une « "task force" sera prochainement mise en place par l’ARCEP sur ce sujet ».

Copié dans le presse-papier !

L’évènement ressemble dans les grandes lignes à celui survenu en 2017, avec la même cible : CCleaner. À l’époque, l’outil appartenait encore à son créateur, Piriform, depuis racheté par Avast. Un malware avait pu être distribué pendant un mois.

Selon l’éditeur, la nouvelle attaque a été rendue possible par le vol d’identifiants VPN d’un employé. Facteur aggravant, le compte en question n’était pas protégé par une double authentification.

L’attention a été attirée par une soudaine élévation des privilèges sur le compte piraté, qui ne possédait pas de droits administrateurs, mais avait réussi à les obtenir.

La brèche a été repérée le 23 septembre, mais les preuves retrouvées remontent jusqu’au 14 mai, soit plus de cinq mois. L’éditeur se montre assez franc, avouant s’être replongé dans ce qu’il avait jugé être « des faux positifs » renvoyés par ATA (Advanced Threat Analytics), service commercialisé par Microsoft. Des éléments qui prenaient alors un sens nouveau.

Selon Avast, la connexion a été laissée volontairement active après coup, afin de suivre l’activité du ou des pirates, et de remonter jusqu’à la source si possible. Elle n’a donc été fermée que le 15 octobre, le temps de vérifier le code de CCleaner, qui semblait tant intéresser l’attaquant.

Ce code avait été mis hors ligne à la découverte de l’incident. Après vérification de son intégrité, le certificat utilisé a été révoqué et un nouveau a été ajouté. Enfin, une mise à jour a été envoyée automatiquement aux installations existantes le 15 octobre. L’entreprise a en outre remis à zéro tous les mots de passe des employés.

Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.

L’incident est rare, mais est potentiellement dévastateur. On se souvient notamment de la contamination du client BitTorrent Transmission pour macOS en 2016.

Copié dans le presse-papier !

Des chercheurs de SRLabs (Security Research Labs) ont mis au point des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo.

Elles ont passé sans problème les processus de contrôle des deux géants du Net et étaient utilisables sur n'importe quelle enceinte connectée (les applications ont depuis été supprimées).

Deux attaques différentes ont été menées. La première fait croire que l'application n'est pas disponible dans votre pays, l'utilisateur pensant alors que l'application s'est arrêtée. En fait, elle laisse seulement une minute de blanc avant d'annoncer une mise à jour pour l'enceinte connectée, en demandant à l'utilisateur son mot de passe.

Dans la seconde attaque, l'application semble fonctionner correctement et fait croire à l'utilisateur que la session est terminée et qu'elle arrête donc d'écouter. En réalité, ce n'est pas le cas.

Amazon et Google ont été contactées en amont. Les deux sociétés ont affirmé à Ars Technica qu'elles avaient mis en place des changements dans leurs procédures de validation, sans plus de détail.

Rien ne dit non plus que des applications malveillantes de ce genre ne sont pas encore disponibles sur les deux assistants numériques. Une preuve qui montre une fois de plus qu'il faut être prudent face à ce genre de produits. 

Copié dans le presse-papier !

Ces derniers mois, le navigateur de Mozilla a renforcé son action contre le pistage en ligne, notamment dans les options activées par défaut.

Le résultat est là : « Depuis le 2 juillet, nous avons bloqué plus de 450 milliards de requêtes de pistage tentant de vous suivre en ligne », précise la fondation. Ce, malgré des réglementations comme le RGPD. 

« L'industrie publicitaire utilise des dark patterns pour pousser les internautes au consentement » constate Mozilla, qui justifie ainsi ses actions renforcées, face à un secteur qui peine à s'autoréguler et à respecter les droits de chacun.

Avec Firefox 70, les équipes veulent tout d'abord améliorer l'information de l'utilisateur, avec un nouveau rapport précisant le nombre d'éléments bloqués chaque jour et leur typologie : cookies, empreintes, modules sociaux, cryptominage, etc.

La liste détaillée n'est pas donnée, mais Firefox en profitera pour mettre en avant des services de Mozilla comme Monitor (permettant de vérifier si votre mot de passe a fuité en ligne) ou Lockwise (pour stocker vos mots de passe). Des outils améliorés pour l'occasion. On imagine que d'autres pourront trouver leur place à cet endroit. La future offre de VPN payant par exemple ?

Quoi qu'il en soit, la protection contre le pistage renforce sa lutte contre les modules sociaux et leur pistage « cross-site ». 

Les équipes précisent également que les performances JavaScript sont améliorées, alors que WebRender est disponible pour plus d'utilisateurs sous Windows (les IGP Intel sont pris en charge). Sous macOS, le navigateur se veut plus économe en énergie, surtout quand il lit des vidéos.

La gestion du thème sombre suit désormais les paramètres des OS, l'import de mots de passe est fonctionnel depuis macOS et des bugs ont bien entendu été corrigés. Pour les développeurs, la liste des améliorations apportée se trouve ici

Copié dans le presse-papier !

L'opérateur développé par le géant peut proposer une large couverture outre-Atlantique puisqu'il dispose d'accords avec trois opérateurs américains. Il est ainsi possible de passer de l'un à l'autre automatiquement en fonction des lieux.

Désormais, Google Fi peut se connecter à deux réseaux différents, avec un seul abonnement. « Ainsi, si vous regardez une vidéo et que Fi vous fait passer à un meilleur réseau, vous ne subirez aucune attente, vous ne le remarquerez même pas ».

Google explique utiliser la technologie Dual Sim Dual Standby (DSDS) qui nécessite deux cartes SIM. C'est le cas du Pixel 4, premier à profiter de cette fonctionnalité, avec un emplacement SIM et un eSIM. 

Le déploiement de cette fonctionnalité se fera progressivement au cours des prochaines semaines.