du 03 avril 2018
Date

Choisir une autre édition

Le 31 mars, Mozilla fêtait ses 20 ans

Le projet est né le 31 mars 1998, quand le code source du navigateur Netscape a été ouvert à tout un chacun.

Le « 31/3 », ce code avait été nettoyé de toute trace propriétaire et une nouvelle licence avait été créée pour l'occasion, la Mozilla Public Licence (MPL), reconnue open source par l'OSI. Une première version du site Mozilla.org était également lancée, aujourd'hui consultable depuis WebArchive.

Difficile bien sûr d'imaginer le chemin que parcourrait cette entité, qui deviendrait fondation et accoucherait quelques années plus tard du projet Phoenix, devenant Firefox. Un succès foudroyant pour un navigateur très attendu et ayant joué un rôle profond dans la transformation du web, qui stagnait à cause d'un Internet Explorer presque figé. Microsoft ne s'en est d'ailleurs jamais remis.

Bien que la situation ait bien changé depuis (notamment à cause d'un Chrome omniprésent), la mission de la fondation n'a guère changé, et son poids reste important. Actuellement, Firefox vit d'ailleurs une grande transition technologique, avec un remaniement presque complet de ses fondations et l'arrivée de nombreuses fonctionnalités.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après le contournement, lui aussi simple, des protections de libSSH, c'est au tour de ce module populaire de faire parler de lui, et pas dans le bon sens.

Le CERT-FR explique que cette brèche « permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité ». Sont concernées toutes les versions antérieures à la 9.22.1 de jQuery File Upload exécutées sur un serveur Apache supérieur à 2.3.9 avec une configuration par défaut (AllowOverride None).

En effet, le support de .htaccess a alors été désactivé explique le développeur. « Sans la configuration dans le fichier .htaccess, autoriser l'upload de tous les types de fichiers permet l'exécution de code à distance ». La mise à jour 9.22.1 limite les types de fichiers aux seules images avec l'extension gif, jpeg et png.

Si vous êtes concerné, « appliquez le correctif dans les plus brefs délais car du code d'attaque est publiquement disponible et cette vulnérabilité est activement exploitée » exhorte le CERT-FR.

Cette vulnérabilité serait activement exploitée depuis trois ans selon le chercheur à l'origine de sa découverte, interviewé par ZDNet.com. Sachez également que, même si la faille est corrigée dans le module de Blueimp, ce projet a été forké plus de 7 800 fois, laissant de nombreux autres modules (et application l'intégrant) vulnérables.

Copié dans le presse-papier !

Dans un communiqué, Giovanni Buttarelli tente de mettre les points sur les « i » concernant le projet de règlement ePrivacy, censé combler les lacunes du Règlement général sur la protection des données (RGPD).

Le prémisse : le RGPD, appliqué depuis mai, protège les données des Européens mais ne garantit pas la confidentialité de leurs communications, notamment des métadonnées. Ce sera le rôle d'ePrivacy, d'abord censé arriver en mai dernier avec le RGPD, puis repoussé. Certains l'espèrent encore en novembre.

Surtout, selon Buttarelli, le RGPD ne suffit pas pour modifier le modèle économique dominant, celui de la surveillance.

« Un vaste écosystème s'est développé ces dernières années, financé par la publicité, pour exploiter [les métadonnées de conversations] sans réel consentement » estime le spécialiste. Ces entreprises seraient dans une zone grise qu'il s'agit d'éclaircir.

D'autant que « les fonctions utilisées illégalement par les attaquants [derrière les énormes fuites de données de ces dernières années] étaient souvent fournies pour des usages présumés légaux à des brokers et agrégateurs de données ».

ePrivacy doit aussi éviter que les services de communication (comme les réseaux sociaux) ne puissent esquiver le consentement explicite à l'exploitation des données.

« Si les règles d'ePrivacy ne s'appliquent pas à tous les fournisseurs de communications électroniques, ces fournisseurs peuvent arguer qu'ils n'ont pas besoin de demander la permission des individus pour utiliser leurs informations les plus intimes » écrit Buttarelli.

Il craint d'ailleurs qu'ePrivacy ne soit utilisé pour abaisser le niveau de protection fourni par le RGPD.

Il combat aussi l'argument selon lequel le règlement renforcerait la position dominante des géants de la publicité (comprendre Facebook et Google), fondée sur les données personnelles. Pour le contrôleur, un consentement ciblé pour chaque utilisation de données est nécessaire, ce qui ne fournirait pas d'avantage aux plus gros acteurs. Tout consentement global au traitement n'a pas de valeur, martèle-t-il.

Copié dans le presse-papier !

La première bêta de FreeBSD 12 est disponible au téléchargement. Problème : on ne sait pas ce qu’elle apporte.

Les développeurs n’ont en effet publié pour l’instant aucune liste des modifications et nouveautés. On se doute donc bien qu’il s’agit d’une version majeure, mais pas dans quelle proportion.

L’annonce a été faite dans la mailing list pour toutes les architectures prises en charge : amd64, i386, powerpc, powerpc64, powerpcspe, sparc64, armv6, armv7 et aarch64. Les sommes de contrôle sont fournies pour chaque image.

Selon les plans des développeurs, d’autres préversions sont prévues : une seconde bêta la semaine prochaine et les Release Candidates à partir de mi-novembre. Une troisième bêta pourrait s’insérer au passage. Beaucoup attendront sans doute quand même de savoir ce qu’apporte la nouvelle révision de cet Unix.

La version finale est prévue quand à elle pour la première semaine de décembre.

Copié dans le presse-papier !

Le 20 octobre 2008, l'opérateur devenait aussi fournisseur d'accès à Internet et lançait sa première Bbox.

Arrivée après ses trois principaux concurrents Orange, Free et SFR (qui a racheté Neuf Cegetel en avril 2008), la Bbox est toujours dans l'ombre de ses concurrents (lire notre analyse de 10 ans de recrutements). Fin juin, le FAI revendiquait 3,5 millions de clients sur le fixe.

Copié dans le presse-papier !

Ce week-end, un policier de la ville qui ne dort jamais a remarqué une fumée sortant de sa caméra-pétion Vievu LE-5 ; il l'a alors immédiatement enlevée. « Après l'avoir retiré en toute sécurité, l'appareil a explosé » explique le NYPD, qui ajoute qu'aucun blessé n'est à déplorer.

Les soupçons se portent vers la batterie, mais une enquête est en cours pour les déterminer avec précision. Par précaution, tous les officiers équipés d'une caméra-piéton Vievu LE-5 ont eu pour instruction de l'enlever et de la ramener à leur poste afin qu'elles puissent être analysées.

Le NYP précise que les Vievu LE-4 ne sont pas concernées et sont toujours utilisées par les forces de l'ordre.