du 20 avril 2018
Date

Choisir une autre édition

Valider Annuler

Lutte contre la censure : AccessNow demande à Google d'autoriser à nouveau le domain fronting

11

La pratique consiste à faire passer un service par une grande plateforme pour contourner la censure. Si un gouvernement tente de le bloquer, il se retrouve à bannir avec lui l'ensemble des clients de l'hébergeur.

Cette méthode est utilisée, sous une forme particulière, par Telegram en Russie, passant par les infrastructures d'Amazon et Google. L'autorité des télécoms tente d'en barrer l'accès depuis plusieurs jours, en bloquant plus de 15 millions d'adresses IP, mettant hors ligne de très nombreux sites, y compris Twitch et Viber.

Telegram refuse de fournir les clés de chiffrement de certaines conversations, réclamées par les autorités russes. Il y a quelques jours, un changement technique du Google App Engine a bloqué le domain fronting. Plusieurs associations se sont élevées contre cette décision, dont AccessNow.

« Google a longtemps clamé son support de la liberté sur Internet partout dans le monde, et elle a respecté cette croyance de bien des manières. Permettre le domain fronting a signifié que des millions de personnes ont pu disposer d'un Internet plus libre et profiter de leurs droits humains. Nous exhortons Google de se souvenir de son engagement pour les droits de l'Homme et la liberté sur Internet en permettant au domain fronting de continuer » écrit l'organisation.

À The Verge, Google répond que la modification du réseau était prévue de longue date et que le domain fronting n'a jamais été officiellement permis.

Lutte contre la censure : AccessNow demande à Google d'autoriser à nouveau le domain fronting

À découvrir dans #LeBrief

Firefox va se servir de BITS sous Windows pour ses mises à jour

Copié dans le presse-papier !

Mozilla se prépare à changer la manière dont les mises à jour s’effectuent pour Firefox sous Windows.

À compter de la prochaine version (68), le navigateur va se servir de BITS (Background Intelligent Transfer Service) pour la récupération des mises à jour. Ce service de Microsoft est notamment utilisé pour Windows Update, est asynchrone et peut reprendre les transferts interrompus.

L’éditeur veut fluidifier l’installation des mises à jour en leur permettant de s’effectuer en tâche de fond. Principal avantage : la sécurité. Le mécanisme évite ainsi que Firefox ait à s’ouvrir pour télécharger la nouvelle version, sachant qu’elle ne pourra pas s’installer tant que le navigateur n’aura pas été redémarré. Un risque en cas de vulnérabilités critiques à colmater au plus vite.

Dans un premier temps, le changement n’aura pas d’effet puisque le code pour appeler BITS se trouvera dans le binaire de Firefox lui-même. Il devra donc être ouvert pour s’en servir, mais les développeurs pourront en vérifier le comportement.

Plus tard, Mozilla introduira un véritable Update Agent indépendant, capable de communiquer avec BITS en tant qu’intermédiaire, même quand le navigateur sera fermé. Le changement devrait particulièrement profiter aux utilisateurs ayant une connexion lente et/ou n’étant pas familiarisés avec les processus de mise à jour.

Il ne devrait par contre pas plaire à ceux maîtrisant parfaitement leur machine et qui regretteront peut-être qu’un nouvel agent vienne résider en mémoire. En outre, comme mentionné dans un document expliquant le mécanisme, les utilisateurs de proxy pourraient rencontrer des difficultés.

Si vous utilisez déjà la bêta de Firefox 68, une version Dev ou Nightly, vous trouverez le réglage app.update.BITS.enabled dans le about:config. En le basculant sur True et après un redémarrage, Firefox se servira de BITS pour ses mises à jour.

Libra : la Banque de France rappelle à Facebook ses obligations

Copié dans le presse-papier !

La semaine dernière, le réseau social présentait sa cryptomonnaie Libra et son portefeuille Calibra, prévus pour 2020. « Si l’ambition du projet est vaste, il ne pourra exister qu’en respectant les règles qui valent pour tous », affirme François Villeroy de Galhau, gouverneur de la Banque de France et aussi membre du conseil des gouverneurs de la Banque centrale européenne, à Reuters

Il ajoute que le groupe chargé de mettre en place ce projet affiche « d’ailleurs cette volonté ». Parmi les obligations, le gouverneur rappelle que le projet devra « impérativement appliquer la réglementation anti-blanchiment ».

Il prend également les devants : si le projet veut « offrir des services bancaires, comme des dépôts, des placements financiers et des crédits, alors il devra être régulé comme une banque, avec une licence bancaire dans tous les pays où il opérera. Sinon, il serait illégal ».

Pour rappel, en France, la commission sénatoriale sur la souveraineté numérique s'est saisie du cas de Libra qui « pourrait bouleverser les conditions d’exercice de la souveraineté des États bien au-delà du domaine monétaire ». 

La commission a ajouté qu'elle « examinera les conséquences de cette évolution fondamentale ». Elle auditionnera notamment le gouverneur de la Banque de France et les représentants des plus gros services en ligne.

Apple rachète Drive.ai... deux jours avant sa fermeture

Copié dans le presse-papier !

La rumeur courrait depuis longtemps, c'est désormais officiel : la société de Cupertino se paye bien la start-up spécialisée dans les véhicules autonomes Drive.ai, comme l'indique The Verge

Nos confrères ajoutent que la société Drive.ai avait notifié l'Employment Development de Californie qu'elle allait définitivement fermer et licencier 90 employés. Apple n'a par contre pas donné de détails sur le montant de la transaction ni l'avenir des employés de Drive.ai.

Pour rappel, la firme à la Pomme travaille sur Titan, son propre projet de véhicule autonome. Elle a récemment licencié 190 personnes de ce projet.

À Lannion, des capteurs de smartphones pour tracer les piétons

Copié dans le presse-papier !

La ville de Lannion va tester des capteurs de smartphones dans les rues pour suivre à la trace les trajets des piétons. Cette initiative est le fruit d’un partenariat avec la société Éco-compteur, spécialiste du recensement de flux de personnes. 

Une vingtaine de compteurs sera installée le long des rues, nous apprend le Télégramme. Ils capteront les données des téléphones passant dans leur spectre pour déterminer le nombre de piétons. « Une initiative aux allures orwelliennes, même si la société lannionaise garantit le total anonymat des données récoltées et l’aval de la CNIL pour la mise en place de son expérimentation » assurent nos confrères. 

De fait, le RGPD se passe généralement d’un quelconque feu vert de l’autorité de contrôle, puisque la logique du texte est celle de la responsabilité. La commission intervient davantage a posteriori, comme l’avait montré l’affaire Vectaury (tracage des individus à des fins publicitaires).

Il revient avant tout à chaque acteur, public et privé, qui souhaite collecter des données personnelles, de prendre les mesures adéquates pour les protéger, avec en aval le recueil du consentement des intéressés, quand le traitement n’est pas justifié sur l’autel de l’intérêt légitime.

La ville de Lannion espère pouvoir adapter sa politique d’aménagement, selon les résultats obtenus. 

Une faille non corrigée de macOS attire les concepteurs de malwares

Copié dans le presse-papier !

Le 22 février, le chercheur Filippo Cavallarin signalait une importante faille de sécurité à Apple. Elle permettait le contournement de GateKeeper et donc à une application téléchargée de déclencher des actions sans les vérifications de sécurité propres au mécanisme du système.

Passé le délai standard de 90 jours pour laisser à l’éditeur pour corriger le tir, le chercheur s’est rendu à l’évidence à la fin du mois dernier : Apple n’a rien fait. Il a donc publié les détails de la brèche ainsi qu’un prototype d’exploitation.

Or, voilà qu’Intego rapporte désormais que quatre fichiers DMG (des images disque servant régulièrement à l’installation de logiciels sous macOS) ont été envoyés à VirusTotal, avec la particularité d’exploiter la brèche.

Toutes ne font que créer un fichier texte, ce qui indiquerait une phase de test. L’une d’elles utilisait cependant une signature Apple ID déjà repérée sur des centaines de faux installeurs Flash Player sur les trois derniers mois pour véhiculer l’adware OSX/Surfbuyer.

Intego a averti Apple de l’exploitation de la faille, entre temps baptisée OSX/Linker. Au moment où Intego publiait son billet de blog sur ses découvertes, Apple était en train de révoquer le certificat, ce qui devrait être fait désormais.

Reste le problème de fond, car Apple n’a rien dit sur la correction de la faille elle-même.

Voir #LeBrief dans son intégralité