du 01 avril 2019
Date

Choisir une autre édition

Lourde faille de sécurité dans la plateforme Magento

Les entreprises exploitant la solution d’e-commerce Magento doivent installer au plus vite les derniers correctifs de sécurité.

Une sérieuse faille de sécurité existe actuellement dans les moutures antérieures aux versions 1.14.4.1, 1.9.4.1, 2.1.17, 2.2.8 et 2.31. Les patchs ont été publiés jeudi, mais la vulnérabilité était déjà exploitée moins de 24h plus tard.

Découverte par les chercheurs français d'Ambionics, elle est exploitable via une injection SQL, sans authentification requise.

Les pirates avaient techniquement les moyens de récupérer les hash des identifiants et mots de passe. S’ils réussissaient à les décrypter, ils étaient alors en mesure de prendre le contrôle de l’installation.

Les administrateurs ont tout intérêt à réagir au plus vite car il semblerait que la faille existe depuis au moins un an dans toutes les branches de Magento.

Les prototypes d’exploitation fonctionnent déjà et Jérôme Segura, analyste en chef chez MalwareBytes, a affirmé à Ars Technica que les attaques n’étaient plus qu’une question de temps.

Principal danger ? Que les pirates installent du code visant à dérober les informations bancaires utilisées pour des paiements. Une paille.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Thibault Bazin, député LR de Moselle, vient d’interroger Cédric O, secrétaire d'État au Numérique, « sur la nécessité de la mise en place d'un contrôle de l'âge sur les sites pornographiques ».

Un système sera activé outre-Manche dès le 15 juillet 2019. À cette date, les sites X devront mettre en place un mécanisme robuste de vérification, sous peine d’être bloqués et leurs moyens de payement désactivés.  

Cette législation inspire à plein nez le député LR de Moselle : « Alors que les contenus pour adultes en ligne sont accessibles beaucoup trop facilement actuellement en France, avec tous les effets secondaires que cela peut provoquer », il demande « si le gouvernement a l'intention de mettre en place rapidement un système similaire afin de protéger les enfants de ces contenus inappropriés ».

La réponse du secrétaire d’État n’est pas encore publiée, mais rappelons qu’en mars 2017, Laurence Rossignol, alors ministre des Familles, avait imaginé un blocage par défaut de l’ensemble des sites pornos. Elle se disait également favorable à un contrôle d’accès par numéro de carte bancaire.

En 2011, le député Christian Vanneste (LR) avait envisagé un autre dispositif dans une proposition de loi : un blocage administratif là encore par défaut des sites X identifiés par une autorité. Les FAI auraient levé ce blocus mais « uniquement à ceux de leurs abonnés qui en font expressément la demande ».

Copié dans le presse-papier !

Pas de surprise, Steam Chat fait exactement ce que son nom laisse supposer : elle « inclut de nombreuses fonctionnalités clés du chat du client de bureau ».

Vous avez ainsi accès à votre liste d'amis, aux chats individuels ou en groupe, aux liens d'invitations, aux notifications personnalisables, etc.

Pour rappel, la semaine dernière l'application Steam Link était de retour sur iOS et Apple TV, quasiment un an après s'être fait rejetée.

Copié dans le presse-papier !

Après toute une série d'alpha, la mouture finale du navigateur est désormais proposée au téléchargement. Elle intègre Firefox 60.7.0esr et les nombreux correctifs qui vont avec. Signalons aussi HTTPS Everywhere to 2019.5.6.1, Torbutton to 2.1.8 et OpenSSL to 1.0.2r.

De petits ajustements cosmétiques sur l'interface ont également été apportés. Les logos ont été modifiés pour mieux représenter la version du navigateur : violet pour stable, vert pour alpha et bleu pour nightly. Les notes de versions sont disponibles par ici.

Au passage, l'équipe annonce que « Tor Browser 8.5 est la première version stable pour Android ». Pour rappel, la première alpha avait été lancé en septembre de l'année dernière.

Copié dans le presse-papier !

Laure de La Raudière, député LR spécialisée dans le numérique depuis plusieurs années, a interrogé en avril 2018 l’exécutif sur la question sensible de l’obligation de conservation des données. Cette obligation est indiscriminée en France, en ce sens que les intermédiaires techniques doivent impérativement conserver un an durant l’ensemble des données de connexion laissées dans le sillage des usages en ligne.

Dans ses arrêts Télé2 et Digital Rights Ireland Ltd notamment, la Cour de justice de l’Union européenne a imposé plusieurs garde-fous pour protéger ce qu'il reste de la vie privée : une conservation qui ne peut devenir la règle, un système concentré sur la criminalité grave, un contrôle préalable des accès par une juridiction ou une autorité, ou encore l’information des personnes concernées par un tel accès, lorsque cette alerte n’est plus susceptible de compromettre les enquêtes en cours.

Le gouvernement, par la voix du ministère de la Justice, lui a répondu un an plus tard. L’option choisie par Paris est bien celle de la temporisation.

Ses yeux sont tournés sur les questions préjudicielles posées par le Conseil d’État le 28 juillet 2018, à l’occasion de deux arrêts rendus à l’initiative de la FDN, FFDN et la Quadrature du Net. Comme expliqué, la juridiction est en quête de brèches permettant à la France de maintenir son régime actuel, au désespoir des requérants.

Le gouvernement se dit « particulièrement attentif » à la jurisprudence signalée par Laure de La Raudière. Il est cependant « nécessaire de recueillir au préalable les précisions demandées notamment par le Conseil d’État à la Cour de Justice de l'Union européenne avant d'apprécier dans quelle mesure il est nécessaire d'adapter le cadre normatif national aux exigences du droit européen », explique poliment Nicole Belloubet.

Copié dans le presse-papier !

Bien que dans le collimateur des États-Unis, le fabriquant continue de dévoiler ses nouveautés comme si de rien n'était, ou presque. Comme prévu, voici donc les Honor 20 et 20 Pro.

Les deux partagent le même écran de 6,26" avec un SoC maison : le Kirin 980. Le Honor 20 dispose de 6 Go de mémoire et 128 Go de stockage, contre respectivement 8 et 256 Go pour le Pro.

Une caméra de 32 Mpx est présente à l'avant des deux smartphones. À l'arrière, quatre capteurs à chaque fois : 48 Mpx (f/1.8), 16 Mpx (f/2.2), 2 Mpx (f/2.4) et encore 2 Mpx (f/2.4) pour le 20, contre 48 Mpx (f/1.4), 16 Mpx (f/2.2), 8 Mpx (f/2.4) et 2 Mpx (f/2.4) pour le Pro.

Leur usages sont différents : le 48 Mpx est le capteur principal, 16 Mpixels est un « super grand-angle » et le 2 ou 8 Mpixels suivant le modèle est un téléobjectif. Le dernier de 2 Mpixel est utilisé pour la macro. Le Pro a aussi droit à de la stabilisation optique sur la caméra principale et le téléobjectif.

Enfin, un capteur d'empreintes est présent sur le côté. Android 9 avec Magic UI 2.1.0 est de la partie. Pour le reste, les caractéristiques techniques du Honor 20 sont disponibles par ici, celle du 20 Pro par là.

Le Honor 20 sera disponible « avant le début de l'été » à partir de 499 euros. La date n'est pas précisée pour le 20 Pro, mais son tarif débutera à 599 euros. Le fabricant ne dit par contre pas un mot sur les conséquences de son bannissement des États-Unis, assorti pour le moment d'un sursis de 90 jours.