du 15 novembre 2017
Date

Choisir une autre édition

Estampillée Sylvia, cette nouvelle mouture de la distribution GNU/Linux n’est pas seulement une « release à point » condensant les correctifs sortis de la précédente.

Qu’il s’agisse de l’édition MATE ou Cinnamonn, des améliorations sont présentes. Par exemple, une gestion simplifiée des logiciels via le gestionnaire, dont l’interface (inspirée de GNOME Software) a été remaniée. Il prend en charge les paquets Flatpak (comprenant les binaires et dépendances), dont le support est intégré au système.

Autre apport important, une révision complète de l’outil de sauvegarde. Entièrement réécrit, il se concentre sur le dossier home de l'utilisateur, ou sur une sélection de logiciels. Linux Mint 18.3 introduit également Timeshift, chargé de créer et restaurer des snapshots du système. Il est présenté comme le compagnon du Backup Tool puisqu’il sauvegarde le système lui-même et non les données personnelles.

Linux Mint : une bêta pour la version 18.3
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

Copié dans le presse-papier !

La députée Sandrine Le Feur (LREM) vient de transmettre une question écrite à Cédric O, le secrétaire d’État au Numérique, afin de l’interpeller au sujet des faux avis laissés sur Internet (sur des sites de e-commerce, de notation de restaurants, etc.).

« Alors que ces avis déterminent souvent le choix [des consommateurs, ndlr], cette pratique peut être dévoyée car elle permet à des usagers mal intentionnés, voire à des concurrents, de s'exprimer pour tromper sciemment les internautes », s’inquiète l’élue.

L’exécutif est ainsi prié de lui indiquer « comment il compte renforcer le contrôle de ces avis frauduleux ». Sandrine Le Feur met d’ailleurs en avant une piste : « imposer la publication du numéro IP de l'émetteur du commentaire à côté de l'avis ».

Pas sûr néanmoins que cette suggestion soit du goût de la CNIL, l’adresse IP étant une donnée personnelle (en ce qu’elle permet d’identifier une personne, directement ou indirectement).

Cédric O dispose d’un délai de deux mois pour répondre à cette question écrite.

Copié dans le presse-papier !

Le père de Firefox s’en prend désormais aux algorithmes de YouTube, particulièrement sous le feu des projecteurs depuis un an pour d’évidents ratés.

Le site contient 28 histoires d’utilisateurs montrant comment YouTube s’est, en quelque sorte, « retourné contre eux ». Toutes partent de vidéos regardées volontairement pour aboutir sur des recommandations peu en phase avec l’historique.

Un père raconte comment son jeune fils regardait Thomas the Tank Engine et a fini par se retrouver sur des crashs de trains, un autre comment il est parti de matchs de boxe pour finir sur des combats de rue sordides, un autre encore comment, de vidéos réalisées par une drag queen et parlant de confiance en soi, il s’est retrouvé sur des contenus haineux anti-LGBT.

Mozilla précise que ces histoires ne sauraient résumer à elles seules une situation, mais l’éditeur estime qu’elles sont un bon échantillon de ce qui attend les utilisateurs de YouTube. 

Le problème est d’autant plus important que 70 % des vidéos regardées sur le service de Google font suite à des recommandations. Or, de nombreux contenus doivent être approchés avec prudence, car plusieurs catégories de public n’ont pas forcément les armes et l’esprit critique nécessaires.

Mozilla pense en particulier aux enfants, aux personnes âgées sans grande connaissance d’Internet, ou encore à celles souffrant de troubles mentaux. Par effet d’accumulation, la dépression et/ou la paranoïa peuvent survenir. Pour l’éditeur, il est clair que les algorithmes tiennent essentiellement de l’engagement global, impliquant le nombre général de clics, l’activité dans les commentaires ou encore les partages.

Mozilla reproche également à Google de ne fournir aucune donnée exploitable par des chercheurs, et de maintenir une opacité complète autour de ses algorithmes. La firme a par exemple affirmé avoir réduit de 50 % les contenus « limite » et de désinformation, mais cette déclaration ne peut être vérifiée. 

Concrètement, Mozilla demande à Google d’agir sur trois points :

  • Fournir aux chercheurs un accès aux données importantes (nombre de recommandations pour une vidéo, engagement, descriptions, etc)
  • Construire un outil de simulation pour les chercheurs qui permettrait de créer des profils de navigation
  • Lever, toujours pour les chercheurs, les limites actuelles de l’API et leur donner accès à une archive historique de vidéos
Copié dans le presse-papier !

Ce projet consiste à utiliser deux fuselages d'avion et pas moins de six moteurs avec des fusées que l'on peut installer au milieu. Celles-ci sont ensuite larguées en vol pour rejoindre l'espace. Une idée dans la même veine que Virgin Galactic.

Paul Allen, cofondateur de Microsoft, était à l'origine de ce projet. Suite à son décès mi-octobre 2018, l'avenir de la société était incertain. Elle a tout de même réussi un vol historique pendant plus de 2h en avril 2019, mais certains prévoyaient que Stratolaunch allait mettre la clé sous la porte.

Ce n'est finalement pas le cas et un repreneur a été trouvé : « Stratolaunch a changé de propriétaire et poursuit ses activités », explique la société dans un bref communiqué. Le nom du nouveau propriétaire n'est pas précisé.

Copié dans le presse-papier !

La firme de Mountain View commercialisera aujourd’hui, aux États-Unis, une nouvelle version de sa clé Titan. En association avec Yubico et pour 40 dollars, la clé présente notamment un connecteur USB Type-C.

Cette USB-C Titan Security Key est compatible avec Android, Chrome OS, macOS et Windows. Les composants sont les mêmes que pour les modèles Titan USB-A/NFC et Bluetooth/NFC/USB, dont la puce de sécurité chargée de vérifier l’intégrité de la chaine de sécurité.

Ce type de clé permet pour rappel de renforcer la sécurité des procédures d’authentification à plusieurs facteurs. Google cite plusieurs exemples de services compatibles, en-dehors des siens : 1Password, Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe, ou encore Twitter.

Aucune information supplémentaire pour le reste du monde, mais la France devrait être concernée, puisque les précédents modèles de clés Titan y sont commercialisés.