du 23 avril 2018
Date

Choisir une autre édition

Les générateurs de mots de passe en ligne audités par un chercheur

Aaron Toponce s'est « amusé » à passer en revue bon nombre de générateurs en ligne, ou disponibles sous forme d'extensions pour Chrome et Firefox notamment.

Différents critères sont testés, l'ensemble des notes étant disponibles dans un tableau Google Sheets. Langues gérées, type de licence, générateur côté client ou serveur, présence d'un CRNG, HTTPS, niveau d'entropie, trackers et autres sont ainsi passés en revue.

Sur la seule liste des générateurs en ligne, la note maximale, 10, n'est atteinte que par celui de Toponce (qui se fait donc un peu de publicité au passage). Plusieurs obtiennent quand même 8, notamment Clavel, One Shall Pass, SSH.com ou encore Strong.

Parmi les reproches les plus courants, l'utilisation d'un générateur déterministe, les licences propriétaires, l'absence de CRNG et la présence de trackers. LastPass, par exemple, n'obtient que 4,5 sur 10, du fait de certains éléments flous, d'une génération propriétaire côté serveur et de quelques trackers.

Le tableau contient plusieurs onglets, selon le type de générateur que l'on cherche : purement web, phrases de passe, extensions Chrome ou Firefox, et plus récemment les gestionnaires complets. Peu ont encore été testés, KeePassXC obtenant pour l'instant la première place du podium avec 6/7. LastPass et 1Password n'obtiennent que 3/7, et le récent Bitwarden 5/7. Dashlane n'a pas encore été testé.

Une adresse à mettre de côté donc, le tableau se remplissant petit à petit. Sur Twitter, le travail de Toponce a été particulièrement bien accueilli.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Depuis le nouvel iOS, Apple collecte quelques informations sous forme chiffrée, afin de lutter contre certaines formes de piratage. Elles doivent surtout permettre de mieux contrôler si un achat sur iTunes est bien réalisé par le détenteur de la carte bancaire et diminuer le nombre de faux positifs.

L’appareil mobile obtient donc un score de confiance basé sur des informations simples comme le nombre d’appels passés ou d’emails échangés.

Selon Apple, qui s’en est expliquée à VentureBeat, l’indice de confiance est une valeur numérique et n’est basé sur aucune information personnelle. Dans les conditions d’utilisation d’iTunes (quatrième puce), l’entreprise précise que l’indice reste « une durée déterminée » sur ses serveurs, mais ne dit pas laquelle.

On notera que cet indice est créé depuis des appareils iOS, mais pas depuis des Mac ou une Apple TV, des appareils pouvant pourtant réaliser des achats simplifiés sur iTunes.

Copié dans le presse-papier !

WLinux se veut une distribution Linux axée sur l’utilisation sous Windows 10, via le WSL (Windows Subsystem for Linux). À l’inverse d’autres systèmes comme Ubuntu, Debian, Kali et OpenSUSE, WLinux serait pleinement conçue pour cet usage.

Selon son développeur principal, Hayden, elle fournit d’emblée une tripotée d’outils de développement (dont zsh shell, git, Python 3.7 et wslu), tout en supprimant des composants jugés inutiles, comme systemd.

La distribution est basée sur Debian et doit donc fournir un environnement prêt à l’emploi, sitôt après l’installation. Elle est également censée pouvoir être patchée plus rapidement que les distributions disponibles dans le Windows Store.

WLinux n’est cependant pas gratuite. Ses sources ont beau être disponibles sur GitHub (licence MIT), elle est vendue 19,99 dollars, avec une réduction de 50 % pour son lancement.

Beaucoup attendront sans doute d’avoir des retours sur cette nouvelle venue avant de se jeter à l’eau. Cela étant, une distribution Linux optimisée pour Windows 10 reste un amusant signe des temps.

Copié dans le presse-papier !

Mozilla a publié vendredi soir une mise à jour de sécurité pour sa branche ESR (Extended Support Release). Le numéro de version passe donc à 60.2.1.

Ces correctifs ont provoqué dans la foulée l’arrivée de la première mise à jour d’entretien du récent Tor Browser 8.0. le navigateur est pour rappel basé sur la branche ESR de Firefox.

La mouture 8.0.1 reprend les notes de version de Firefox 60.2.1 et y ajoute quelques corrections de bugs détectés dans Tor Browser 8.0. Mais il en reste, et pas de moindres, dont l’impossibilité de faire fonctionner WebGL et le support de l’accessibilité sous Windows. Actuellement, NoScript ne sauvegarde pas non plus les permissions site par site.

Copié dans le presse-papier !

C'est du moins ce qu'affirme une source proche du dossier à Bloomberg. Selon nos confrères généralement bien informés, l'annonce pourrait être officialisée le mois prochain. Toyota refuse de confirmer et indique simplement que c'est une hypothèse envisagée.

Pour rappel, Mark DeJongh, directeur exécutif des programmes de la voiture Avalon de Toyata, expliquait en avril dernier pourquoi il ne voulait pas d'Android Auto : « Nous sommes une entreprise conservatrice et nous voulons nous assurer que tout va bien [...] Nous voulons protéger la vie privée de nos clients ».

Le constructeur automobile avait longtemps résisté aux géants du Net. Mais il avait déjà ouvert une porte au début de l'année avec la prise en charge de CarPlay d'Apple sur l'Avalon.

Copié dans le presse-papier !

Le calendrier des conférences pour le mois d'octobre continue de se remplir. C'est au tour de HMD Global (fabricant des terminaux Nokia) d'envoyer des invitations pour le 4. Le message ne laisse pas de doute quant à l'annonce : « dernier ajout à la famille des smartphones Nokia ».

Pour rappel, le 3 octobre LG présentera son V40 ThinQ, puis nous aurons donc Nokia, suivie par la conférence « Made by Google » avec les Pixels 3 le 9 octobre et enfin Razer le 10 octobre, très probablement avec le Razer Phone 2.