du 01 février 2018
Date

Choisir une autre édition

Les pare-feux Cisco ASA touchés par une méchante faille de sécurité

C'est un carton plein pour le fabricant, avec la note maximale sur l'échelle CVSS v3 : 10/10. Il faut dire que la faille baptisée CVE-2018-0101 a de quoi inquiéter : « Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance » explique le CERT-FR.

Le constructeur explique que cette brèche vient de la fonctionnalité VPN SSL (Secure Sockets Layer) du logiciel ASA (Adaptive Security Appliance). Bien évidemment, des mises à jour logicielles sont disponibles pour la corriger. Il n'existe pas d'autre manière de la colmater affirme le fabricant. La longue liste des produits touchés est disponible par ici.

Cisco indique enfin ne pas avoir eu de retour laissant penser à une exploitation malveillante de cette faille. Il remercie enfin Cedric Halbronn du groupe NCC pour l'avoir signalée. « Bien qu'il s'agisse d'une vulnérabilité extrêmement sérieuse, il est important de féliciter Cisco pour la rapidité avec laquelle l'entreprise a pris des mesures lorsque cette question a été portée à son attention » explique de son côté le groupe NCC.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Annoncé en 2017 et promis pour 2018, le jeu en réalité augmentée de Niantic avait finalement été repoussé à 2019, sans la moindre explication.

L'attente touche à sa fin pour les joueurs aux États-Unis et au Royaume-Uni qui pourront en profiter dès le 21 juin sur Android (les préinscriptions sont ouvertes) et iOS. Rien n'est précisé concernant le calendrier de déploiement dans d'autres pays.

De plus amples informations sont disponibles (y compris en français) sur le site officiel du jeu.

Copié dans le presse-papier !

Au début de la semaine, Google était accusée par Genius de lui voler des paroles de chansons pour les afficher dans ses Cartes en première position.

Google en profite pour affirmer qu'il « paye aux éditeurs le droit d'afficher les paroles ». Mais ces derniers ne disposent généralement pas de copie numérique des paroles, Google (comme d'autres) passe donc par un prestataire. L'enquête est toujours en cours pour déterminer comment les apostrophes de Genius se sont retrouvées dans les Cartes Google.

Dans un billet de blog, il réaffirme sa position, en ajoutant qu'il va désormais afficher le nom de sa source à côté des paroles.

Copié dans le presse-papier !

Google enrichit l’actuel Chrome 75 de deux fonctions dédiées à la sécurité, l’une intégrée, l’autre disponible sous forme d’extension, toutes deux liées à Safe Browsing.

D’abord, une nouvelle page d’avertissement quand l’adresse visitée a toutes les apparences d’une tentative de tromperie. Google cite un exemple classique : go0gle.com au lieu de google.com. Le service se réfère à l’historique pour s’assurer que le site n’est pas visité régulièrement afin de ne pas bloquer un site finalement légitime.

Ensuite, une extension peut être installée pour signaler manuellement tout site suspect à Safe Browsing. L’avertissement est pris en compte, Google promettant une analyse de l’adresse et du comportement du site.

Google compte donc sur les utilisateurs pour enrichir son service de protection, en faisant presque appel au civisme : « Si le site est ajouté aux listes de Safe Browsing, vous ne protègerez pas seulement les utilisateurs de Chrome, mais également ceux des autres navigateurs ».

Copié dans le presse-papier !

Le centre est exploité par la société privée Utac Ceram et comprend 12 km de piste, comme l'explique l'AFP. Pour rappel, Orange mène sur place plusieurs expérimentations 5G depuis plusieurs mois, là encore autour de la voiture autonome/connectée.

« Baptisé Teqmo, il inclut une zone de circuit autoroutier, une zone reconstituant des voies urbaines et d'autres parties permettant de simuler des scénarios de stationnement, de manœuvres ou de freinage », expliquent nos confrères.

Bruno Le Maire, ministre de l'Économie et des Finances, était sur place pour l'inauguration. Il en profite pour reconnaître le retard de la France sur ses sujets (l'intégralité de son discours est disponible par ici) :

« Deux révolutions sont en cours : la révolution de la motorisation électrique et la révolution du véhicule autonome. Nous sommes en passe de réussir la première – avec un peu de retard mais nous avons mis un coup d’accélérateur. Sur la seconde, en revanche, nous faisons confiance à Anne-Marie Idrac pour nous mettre l’épée dans les reins et garantir que les choses avancent. Nous avons pris du retard et il faut rattraper ce retard ».

Il cite trois « besoins » clés pour la voiture autonome : développer les technologies (en particulier l'intelligence artificielle), la 5G (même si la 4G est largement suffisante pour de nombreux usages) et expérimenter.

Le ministre en profite pour revenir sur le cadre réglementaire : « Qui est responsable lors d'un accident avec un véhicule autonome ? Ce qui a été décidé dans le projet de loi sur la croissance et la transformation des entreprises, c’est que ce sera le titulaire de l’expérimentation qui sera responsable en cas d’accident ».

Reste maintenant à définir ce même cadre lorsque les voitures autonomes seront mise en vente. Qui sera alors responsable ? Le propriétaire, le fabricant, le vendeur, le développeur…

Copié dans le presse-papier !

Microsoft a publié la première préversion de Windows Server sur la branche 20H1, qui désigne pour rappel la première évolution semestrielle prévue pour l’année prochaine. L’éditeur n’évoque pratiquement pas la branche 19H2, qui devrait être une révision mineure.

Plusieurs nouveautés font leur apparition dans cette build 18917, dont une réclamée depuis longtemps. Les administrateurs peuvent en effet choisir indépendamment les mises à jour à installer.

Ils peuvent également déclarer désormais dans l’Admin Center que le serveur est déconnecté, quel que soit la raison. À la différence d’une déconnexion accidentelle, Windows ne préviendra plus d’erreurs liées à Azure, aux mises à jour d’extensions et autres.

Un outil d’import/export des machines virtuelles a été ajouté. L’import permet de choisir un nouvel ID et de copier ou laisser sur place les données. L’export peut se faire vers un volume local ou distant. Les machines virtuelles peuvent également être labellisées sur un serveur Hyper-V.

Quelques autres nouveautés sont à signaler, comme le chargement du contenu depuis un flux pour l’outil Azure Hybrid services ou la possibilité de basculer entre plusieurs comptes Azure depuis le menu idoine.