du 03 octobre 2019
Date

Choisir une autre édition

Les PDF chiffrés vulnérables à deux types d’attaques, les données exfiltrables

Des chercheurs allemands ont trouvé le moyen de récupérer des données dans des PDF chiffrés et protégés par des mots de passe. 

Plutôt que de devoir percer ou contourner les défenses, la solution consiste à modifier le fichier, pour qu’à l’ouverture par un utilisateur légitime, une copie déchiffrée du document soit envoyée vers un serveur.

Les chercheurs se sont appuyés sur deux faiblesses du chiffrement dans les PDF. D’une part, le support du chiffrement partiel, qui laisse les objets définissant la structure du document en clair. D’autre part, l’exploitation du mode CBC (Cipher Block Chaining) sans contrôle d’intégrité, autorisant la modification du fichier pour créer des lots de données capables de s’exfiltrer par eux-mêmes.

Acrobat Reader, Foxit Reader, Okular, Evince, Nitro Reader ou encore les visionneuses PDF de Chrome, Firefox, Safari et Opera sont toutes vulnérables. En tout, les chercheurs indiquent avoir réussi à exploiter au moins une faiblesse du PDF sur 27 visionneuses courantes, les deux dans la plupart des cas.

L’équipe de chercheurs, à qui on doit notamment les découvertes sur les failles EFAIL, ont publié leurs explication et un prototype d’exploitation sur un site dédié. L’ensemble des éditeurs concernés a été averti en amont. En théorie, tous ont déjà été mis à jour.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Opera vient se mettre au niveau de ce que font Firefox et le nouvel Edge en appliquant un réglage « Strict » sur les traqueurs. Scripts analytiques, pixels de suivi et autres méthodes de collectes de données sont ainsi bloqués.

Ce bloqueur est séparé de celui de la publicité, pour les utilisateurs qui souhaiteraient simplement empêcher le suivi et donc la personnalisation de cette dernière à travers l’espionnage des habitudes.

Opera vante les avantages de sa solution : utilisés ensemble, les deux bloqueurs peuvent améliorer le temps de chargement des pages jusqu’à 23 %. Une communication qui reste donc largement axée sur les performances, comme depuis le début.

L’éditeur n’a toutefois pas réinventé la roue. Le bloqueur de traqueurs puise en effet ses informations dans la liste EasyPrivacy.

Opera 64 renforce également l’outil de capture, désormais bien plus complet. Il peut maintenant créer une image de la page intégrale (plutôt que la seule partie visible) et l’exporter dans plusieurs formats, y compris le PDF. L’outil peut également capturer une section précise et permet les annotations, le texte au clavier et différents symboles comme les flèches (choix de la couleur) ou les emojis.

La nouvelle mouture est disponible comme d’habitude sur Linux, macOS et Windows. La mise à jour peut se récupérer de la section dédiée dans le menu principal.

Copié dans le presse-papier !

L'éditeur explique qu'un bug réside « dans la version 69.0.2 de Firefox et dans la version bêta 70.0b11 et les suivantes qui provoque l’échec des téléchargements dans Windows 10 quand le contrôle parental ou des restrictions de contenu sont actifs ». 

Un autre bug concernait les utilisateurs de Yahoo Mail qui « étaient invités à télécharger des fichiers en cliquant sur des emails ».

Copié dans le presse-papier !

Apple a récemment mis en ligne une nouvelle fournée de bêtas pour ses systèmes d'exploitation (iOS 13.2, iPadOS 13.2, tvOS 13.2, watchOS 6.1, etc.).

En plus d'une nouvelle fournée d'emojis, il est désormais possible de supprimer l'historique des enregistrements et des actions de Siri ; un mouvement global des assistants numériques après qu'ils ont été pris la main dans le pot de confiture sur les questions de respect de la vie privée. 

Apple demande désormais à ses clients explicitement l'autorisation de récupérer des données audio pour améliorer son assistant, comme l'explique TechCrunch. De plus, seuls les employés d'Apple y auront accès, pas les sous-traitants. Ces derniers continueront d'avoir accès aux transcriptions textuelles générées par Siri.

D'autres petits changements sont de la partie, avec notamment la possibilité de supprimer une application via un appui long sur son icône. Le travail étant en cours, de nouvelles fonctionnalités arriveront certainement au fil du temps.

Copié dans le presse-papier !

L'annonce de cette fonctionnalité a été faite par PC Gamer, puis confirmée par Alden Kroll de chez Valve.

Le but : permettre « à des amis de jouer à des titres coopératifs locaux sur Internet, comme s'ils se trouvaient dans la même pièce ». Pensée pour les jeux  à écrans partagés, cette technologie « diffuse votre écran en streaming chez votre ami, enregistre les mouvements et les renvoie au jeu ».

La bêta devrait débuter le 21 octobre, il sera alors temps de vérifier les performances en situation. Une manière originale d'utiliser le streaming de jeux vidéo, technologie qui a le vent en poupe ces dernières années.

Copié dans le presse-papier !

L'information a d'abord fuité via un mémo interne, puis a été confirmée par Nat Friedman. Des employés ont rapidement fait part de leur grogne et de leur désapprobation face à la politique du gouvernement sur l'immigration. 

Nat Friedman (patron de GitHub) est de ceux-là et reconnaît que la société (rachetée par Microsoft) « n’a aucune visibilité sur la façon dont les logiciels sont utilisés ». Pour défendre ce contrat, il ajoute que l'Immigration and Customs Enforcement (ICE) a également d'autres missions comme la lutte contre la traite des êtres humains.

GitHub en profite pour annoncer qu'il effectuera « un don de 500 000 dollars » à des organisations à but non lucratif aidant les communautés d'immigrants touchées par les politiques de l'administration Trump.