du 25 février 2019
Date

Choisir une autre édition

Non, Internet n'est pas mort ce week-end (mais déployez DNSSEC)

Un  vent de panique a soufflé ce week-end dans les équipes IT d'astreinte, certains médias évoquant une cyberattaque visant le « cœur » d'Internet. En réalité, rien de spécial ces derniers jours, si ce n'est la publication jeudi dernier d'un billet de blog de l'ICANN (Société pour l'attribution des noms de domaine et des numéros sur Internet). Ce genre de risque n'a rien de nouveau, l'ICANN elle-même en parlait déjà en 2005 par exemple.

L'organisme y explique qu'il « existe un risque important et permanent pour les éléments clés de l'infrastructure du système de noms de domaine (DNS) ». Il s'appuie notamment  sur un billet de blog de KrebsOnSecurity, lui-même reprenant le rapport FireEye de début janvier sur une attaque DNS visant de nombreuses entreprises et organisations.

L'ICANN recommande d'utiliser DNSSEC (Domain Name System Security Extensions) qui existe depuis de nombreuses années, mais est encore trop rarement utilisé (alors qu'il devrait). « Bien que cela ne résolve pas les problèmes de sécurité d'Internet, DNSSEC vise à garantir que les internautes atteignent la destination souhaitée en aidant à prévenir les attaques dites "d'homme au milieu" », explique l'organisme.

Stéphane Bortzmeyer, spécialiste des noms de domaines, joue aux questions/réponses sur twitter : « DNSSEC aurait-il aidé contre les attaques actuelles contre les noms de domaine ? Réponse : peut-être, dans certains cas, mais c'est compliqué ». Il rappelle aussi qu'il avait publié un billet de blog sur ce même sujet en… 2013.

Dans une interview à France Info, Bortzmeyer explique qu'il « n'y a pas de raison urgente de paniquer. L'ICANN, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens [...] L'attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

C'est Marianne qui la diffuse dans son numéro 1158 de son magazine et sur son site.

« Le géant américain choisit avec soin les communes françaises dans lesquelles il s’installe. Et exige une grande discrétion de la part des élus, jusqu’à leur faire signer des clauses de confidentialité », expliquent nos confrères.

Marianne explique notamment que le revendeur choisit ses « cibles avec soin » : des régions touchées par des licenciements et « abandonnées par l’industrie ». Les responsables se plient en quatre pour attirer le géant américain et sa promesse de milliers d'emplois dans son sillage.

Copié dans le presse-papier !

Les Coffres, ou Vaults, permettent de mettre de l'argent de côté sur son compte (mais sans intérêt). Vous pouvez « arrondir vos transactions, mettre en place un paiement récurrent ou simplement effectuer des versements ponctuels », explique la jeune pousse.

Elle vient de lancer les Coffres collaboratifs. Le principe est le même, mais plusieurs personnes peuvent interagir avec le Coffre. Pratique par exemple au sein d'une famille, que ce soit pour les parents ou l'argent de poche des enfants.

Et justement, Revolut travaille sur Youth, une nouvelle application pour « les jeunes clients ». Aucune information supplémentaire n'est donnée pour l'instant.

Copié dans le presse-papier !

Elle sera diffusée sur la plateforme Amazon Prime Video. Pour rappel, une autre série autour de l'univers de Star Trek est disponible sur Netflix : Discovery.

Dans Star Trek : Picard, Patrick Stewart reprend donc son rôle de l'emblématique officier de Starfleet Jean-Luc Picard. Une question dans la bande-annonce : « Pourquoi avez-vous quitté Starfleet, amiral ? ». Et une affirmation : « La fin n’est que le commencement ».

Aucune date de sortie pour le moment.

Copié dans le presse-papier !

Motherboard affirme que « plusieurs départements du géant des médias sociaux Snap ont des outils dédiés pour accéder aux données des utilisateurs, et des employés ont abusé de leur privilège pour espionner les utilisateurs »

Nos confrères expliquent avoir eu confirmation de la part de plusieurs employés, dont un encore en poste, via des copies d'emails internes. Des employés auraient ainsi eu accès à la localisation d'utilisateurs, leurs Snaps et des informations personnelles (numéro de téléphone, email).

Un des outils utilisés a été baptisé SnapLion et, selon un des anciens employés, il fournit « les clés du royaume ». Son utilisation initiale devait être de fournir des informations en cas de demandes des forces de l'ordre. Toujours selon les sources de Motherboard, des accès abusifs aux données ont été commis « plusieurs fois » chez Snap.

Problème, SnapLion serait désormais utilisé plus généralement dans les équipes, notamment pour réinitialiser les mots de passe des comptes piratés.

Copié dans le presse-papier !

Dans le cadre de sa conférence Satellite, GitHub a procédé à plusieurs annonces importantes, notamment dans le domaine de la sécurité.

L’un des principaux mouvements est ainsi le rachat de Dependabot et son inclusion directe dans le service. L’outil analyse les dépendances d’un code pour y chercher des failles connues. Auquel cas, les dépendances sont mises à jour automatiquement.

Un partenariat avec WhiteSource devrait également permettre une augmentation générale de la sécurité, avec recherche plus efficace de failles potentielles dans le code, statistiques pour l’entreprise sur la manière dont collaborent les employés, avis de sécurité, espace de discussion pour la correction des brèches nouvellement découvertes, etc.

Outre la sécurité, GitHub a dévoilé Sponsors, son propre concurrent de Patreon. Les internautes pourront ainsi financer directement des projets qu’ils apprécient. Les développeurs pourront de leur côté définir des paliers de soutien avec, évidemment, des récompenses différentes.

Pour être certain de créer un appel d’air, la première année du service ne coûtera rien aux développeurs intéressés. Les frais de paiement seront à la charge de GitHub, qui ne prélèvera aucune commission dans la limite des 5 000 premiers dollars.

Notez enfin que GitHub a annoncé la formation d’un conseil consultatif composé de plusieurs responsables d’importants projets open source. Objectif, rassembler et réfléchir aux soucis opérationnels rencontrés par les développeurs open source.