du 04 juin 2019
Date

Choisir une autre édition

macOS victime d'une faille laissant passer les clics synthétiques sur les demandes d'autorisations

L’année dernière, Apple a introduit dans macOS Mojave un système d’autorisation équivalent à celui d’iOS. Une confirmation est ainsi réclamée pour tout accès par une application à des données personnelles, comme la géolocalisation, l’historique de navigation, les contacts, etc.

En théorie, seul l’utilisateur peut cliquer. Mais le chercheur Patrick Wardle a trouvé une faille dans le système permettant à des applications tierces d’avoir recours aux clics synthétiques, c’est-à-dire des clics invisibles et programmatiques, donc ne provenant pas d’une action manuelle et volontaire.

Ces clics sont normalement réservés aux applications approuvées tirant partie des fonctions d’accessibilité du système. C’est là que réside la faille : dans la manière dont Mojave vérifie l’intégrité d’une application avant approbation.

Dans une démonstration réalisée à la conférence Objective By the Sea de Monaca, Wardle a montré comment il pouvait introduire un malware dans VLC et quand même faire approuver l’application par Apple. Les demandes d’autorisations étaient alors automatiquement acceptées par des clics synthétiques.

Le chercheur précise cependant que ce scénario d’attaque est de « seconde phase ». Traduction, il faut déjà un accès à la machine, local ou distant, pour lancer l’attaque. La faille n’est donc pas critique puisqu’elle ne peut pas être exploitée automatiquement à distance.

Elle reste cependant importante. Apple a été informée de la vulnérabilité la semaine dernière, mais il ne semble pas pour l’instant y avoir eu de réponse.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le ministère de l’Intérieur annonce que les échanges transfrontaliers de données relatives aux infractions routières concernent désormais la République d’Irlande et la Suède.

« Ces échanges, qui s’inscrivent dans le cadre fixé par la directive européenne 2015/413 , vont permettre de poursuivre les ressortissants irlandais et suédois qui commettent des infractions routières relevées par radar sur le territoire français » indique le communiqué

Réciproquement, les conducteurs français flashés dans ces pays pourront être poursuivis par les autorités de ces pays. 

Au total, ces échanges de données concernent la Suisse et 19 pays européens : la Belgique, l’Espagne, l’Allemagne, les Pays-Bas, la Pologne, le Royaume-Uni, la Roumanie, l’Italie, le Grand-Duché du Luxembourg, l’Autriche, la Hongrie, la Slovaquie, la République tchèque, l’Estonie, la Lettonie, la Lituanie et le Portugal, outre l’Irlande et la Suède.

Selon les données de la Sécurité routière, « depuis le déploiement des radars vitesse en France, environ 21 % des infractions relevées (50 % en période estivale) concernent des véhicules immatriculés à l’étranger, alors qu’ils ne représentent que 5 % à 6 % du trafic ».

Copié dans le presse-papier !

WeTransfer est un service permettant d'envoyer des fichiers volumineux à des contacts. Ils sont hébergés sur les serveurs de la société et on peut y accéder via un lien. 

Problème, WeTransfer a découvert « un incident de sécurité le lundi 17 juin » : des emails ont été envoyés à d'autres personnes. Les clients concernés et les autorités sont informés de ce « bug ».

Cet « incident » s'est déroulé les 16 et 17 juin. Dès lundi, WeTransfer a pris des mesures pour essayer de limiter les dégâts : « Les utilisateurs peuvent avoir été déconnectés de leur compte ou invités à réinitialiser leur mot de passe. De plus, nous avons bloqué les liens de transfert pour assurer la sécurité des transferts de nos utilisateurs ».

La société enquête toujours sur la portée de cette faille de sécurité, ainsi que sur ses causes. Elle promet de plus amples informations prochainement.

Copié dans le presse-papier !

Alors que l’Assemblée débute aujourd’hui l’examen du projet de loi relatif à l’énergie et au climat, plusieurs députés de la majorité proposent au travers d’un amendement de prohiber purement et simplement tous les « dispositifs publicitaires numériques ».

En ce sens, ces onze élus menés par Frédérique Lardet visent toutes les publicités distillées via des écrans « composés de diodes, leds etc. qui peuvent présenter des images fixes, des images animées (faisant apparaître un slogan, prix, faisant évoluer une forme ou un pictogramme...) ou une vidéo ».

À leurs yeux, ces écrans qui pullulent par exemple dans les sous-sols du métro ou aux abords des abris-bus sont synonymes de « pollution lumineuse » et de « gaspillage énergétique » – peu compatibles avec les « objectifs ambitieux » de la France en matière de protection de l’environnement.

En guise de repli, Frédérique Lardet et ses collègues ont déposé un second amendement, lequel permettrait aux maires d’interdire ces « dispositifs publicitaires numériques » dans leur commune.

Copié dans le presse-papier !

Ce matin, le lanceur lourd a décollé prévu du Complex 39A (LC-39A) depuis le Kennedy Space Center de la NASA (Floride).

Les deux boosters latéraux avaient déjà été « éprouvés » en vol, c'est-à-dire recyclés du lancement d'Arabsat-6A en avril dernier. Ils sont venus se poser sans encombre sur la terre ferme, un peu plus de huit minutes après le décollage.

Le premier étage n'a par contre pas eu la même chance : il a loupé son atterrissage sur une barge. On peut le voir s'abîmer en mer (pas loin de la barge) un peu plus de 11 minutes après le lancement.

Le lanceur doit maintenant déployer 24 satellites sur trois orbites différentes. L'avancement des travaux peut être suivi sur le compte Twitter de la société.

Copié dans le presse-papier !

Apple est finalement en avance : toutes les bêtas publiques des nouvelles versions majeures sont disponibles pour le grand public.

Les nouveautés sont particulièrement nombreuses dans tous les domaines, comme nous l’avons vu dans nos articles, qu’il s’agisse des appareils mobiles ou des Mac. Le positionnement de l’iPad va ainsi largement évoluer.

Pour rappel, même si tout un chacun peut installer ces bêtas dès lors que l’appareil est compatible, il ne s’agit que des premières. Elle sont basées sur les Developer Preview 2, dont le développement est assez avancé pour tester presque toutes les nouveautés, mais avec des bugs et des incompatibilités.

Selon les applications que vous avez notamment sur votre iPhone ou iPad, vous serez plus ou moins embêté. Le client MEGA (stockage dans le cloud) ne peut par exemple plus se lancer. Si vous utilisez souvent la version web de WhatsApp, le fonctionnement en sera également très perturbé.

Pour les utilisateurs n’ayant pas trop le sens de l’aventure, mieux vaut donc encore attendre quelques semaines. Après tout, Apple avait parlé de « courant juillet » pour ces bêtas.

Nous publierons prochainement un article dédié à ces bêtas, de comment les installer au moyen de revenir aux versions stables.