du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Les utilisateurs se rendant sur la page d'accueil du réseau social peuvent y voir un petit bandeau gris sur le haut du site, avec le message suivant :

« À la suite d'un projet de migration de serveur, il est possible que tous les fichiers audio, photos et vidéos téléchargés il y a plus de trois ans ne soient plus disponibles. Nous nous excusons pour le dérangement. Si vous souhaitez plus d'informations, veuillez contacter notre délégué à la protection des données à l'adresse suivante: DPO@myspace.com ».

Via une simple ligne de texte, Myspace annonce donc avoir perdu les fichiers multimédia uploadés sur son site avant 2015. Le réseau social ayant été créé en 2003, cela fait donc la bagatelle de 12 ans de données.

Dans un courrier repris par The Verge, le DPO explique que les fichiers sont corrompus et qu'il n'y a malheureusement aucune manière de récupérer les données perdues.

Nos confrères rappellent qu'il y a un an des utilisateurs se plaignaient déjà de ne pas pouvoir accéder à leurs fichiers. Myspace expliquait alors que le problème pourrait être réglé, mais ce n'est visiblement pas le cas.

Quoi qu'il en soit, cette histoire rappelle à quel point il est important de sauvegarder correctement ses données, et pas seulement en s'appuyant sur un service en particulier.

Copié dans le presse-papier !

Le fabricant annonce fièrement que son portefeuille électronique pour cryptomonnaies est « le premier et le seul » sur le marché à être certifié par l’agence nationale de la sécurité des systèmes d’information.

La CSPN, ou Certification de Sécurité de Premier Niveau, a été mis en place par l’ANSSI en 2008. L'agence explique qu'elle « consiste en des tests en "boîte noire" effectués en temps et délais contraints ». Les procédures et méthodologies sont détaillées par ici, tandis que la liste des produits certifiés CSPN se trouve par là.

L'ANSSI précise par contre que « la certification ne constitue pas en soi une recommandation du produit par l’agence nationale de la sécurité des systèmes d’information (ANSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables ».

Ledger ne compte pas s'arrêter en si bon chemin et veut obtenir cette certification pour d'autres produits, notamment le portefeuille Bluetooth Nano X.

Copié dans le presse-papier !

L'année 2018 a été particulièrement dure pour la société, avec une baisse de 28 % de son chiffre d'affaires. Le groupe dispose néanmoins de plus de 160 millions d'euros de trésorerie au 31 décembre 2018, notamment grâce à la vente de Parrot Faurecia Automotive.

Dans un entretien aux Echos, Henri Seydoux explique que la dégradation des résultats s'explique d'abord par l'échec commercial du drone Anafi, sur lequel le groupe avait « fondé beaucoup d'espoirs ». Problème : « nous n'avons vendu qu'un tiers de ce que nous avions prévu ».

Le dirigeant revient aussi sur l'OPA qu'il a lancée sur l'ensemble du groupe Parrot : « La valeur de la boîte s'est effondrée jusqu'à devenir négative ! Je ne pouvais laisser sur le marché une boîte qui vaut trois fois moins que sa trésorerie ».

Quant à l'idée de chercher des actionnaires, Henri Seydoux ne tourne pas autour du pot : « en toute lucidité, je pense que nous n'intéresserions personne [...] Financièrement, nous avons deux ans pour redresser la situation, sinon c'est fini pour Parrot tel que nous le connaissons aujourd'hui. Notre visibilité est réduite, je conçois que ce ne soit pas un profil très attractif en Bourse ».

Par contre, « Parrot n'abandonnera pas les drones », affirme-t-il. Il pense d'ailleurs que le drone est un produit d'avenir : « Mon souci aujourd'hui c'est le temps qu'il va mettre à rencontrer ses publics ».

Copié dans le presse-papier !

Microsoft tâche de faire monter la pression autour du prochain lancement de Visual Studio 2019, prévu pour le 2 avril.

L'événement a ainsi son agenda, avec des sessions prévues toute la journée : présentation générale, session de questions/réponses, chasse aux bugs, DevOps, IA, développement C++, multiplateforme avec Xamarin, Azure, .NET Core et ainsi de suite.

Toutes les sessions seront retransmises sur Twitch (canal twitch.tv/visualstudio), en plus de YouTube et Channel 9. Seule la #CodeParty prévue en fin de journée sera exclusive à Twitch.

Copié dans le presse-papier !

Après Windows, Office, Skype et d’autres produits, Microsoft lance un canal de test Insider pour Halo.

Avec Halo: The Master Chief Collection confirmé pour une arrivée sur le Microsoft Store, donc sur les PC Windows 10, l’éditeur cherche à embrigader des joueurs dans sessions de tests pour « aider 343 Industries » à peaufiner ses titres.

Le site pour s’inscrire est déjà ouvert et concerne donc tous les possesseurs d’une Xbox One ou d’un PC. Bien que le titre doive débarquer dans la boutique de Microsoft, il semble bien que le jeu pourra aussi être récupéré sur Steam.

On ne sait pas encore quand la Master Chief Collection sera disponible. 343 Industries a en revanche confirmé que les titres seraient diffusés un à la fois, en commençant par Halo Reach.