du 13 décembre 2018
Date

Choisir une autre édition

Office 365 : sérieuses failles corrigées, rien sur de potentielles victimes

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après un énième retard annoncé début février par la NASA, le premier lancement de la capsule CST-100 (Crew Space Transportation) Starliner de Boeing était programmé pour avril. Selon des sources de Reuters, il faudra finalement attendre le mois d'août.

Pour rappel, cette capsule est prévue pour envoyer des humains dans l'espace et sur la Station spatiale internationale. Ce premier vol test sera par contre inhabité. La capsule Crew Dragon de SpaceX a pour sa part réussi cette première étape avec succès.

Ce décalage de trois mois entraine aussi un même glissement de la date du premier lancement habité. Il est désormais prévu pour novembre, au lieu d'août. Interrogé par nos confrères, un porte-parole de Boeing a refusé de commenter.

Copié dans le presse-papier !

Elle sera proposée de série sur toutes les voitures du constructeur à partir de 2021. Le propriétaire de la voiture peut ainsi définir une limite de vitesse pour lui-même, les membres de sa famille ou des amis à qui il prête son véhicule.

Cette annonce intervient peu de temps après celle d'une limite de vitesse à 180 km/h sur toutes ses voitures « à compter de 2020 ». Le constructeur veut ainsi « envoyer un message fort sur les dangers de la vitesse au volant ».

Håkan Samuelsson, directeur général de Volvo Cars, en profite pour affirmer que son entreprise « entend engager un dialogue portant sur le droit, voire l’obligation, pour les constructeurs de doter leurs véhicules d’équipements technologiques susceptibles de modifier le comportement de leurs utilisateurs ».

Copié dans le presse-papier !

Le régulateur explique que son « tableau de bord trimestriel vise à mettre en lumière l’état des déploiements des opérateurs mobiles au regard de ces nouvelles obligations de déploiement ». Il a été mis à jour pour intégrer les données du quatrième trimestre 2018.

Les informations sont également disponibles en open data sur cette page.

Dans le même temps, un arrêté ministériel publié ce matin au JO définit « les premières listes des zones à couvrir pour l’année 2019 ». Une centaine de zones sont ainsi mises en avant. Une consultation publique avait été lancée en février, justement pour définir les zones à couvrir en priorité pour 2019.

« Dans chaque zone, les opérateurs désignés sont tenus de fournir des services de radiotéléphonie mobile et d'accès mobile à très haut débit [...] au moyen de l'installation de nouveaux sites dont le nombre est défini en annexe, en vue notamment d'assurer la couverture des points d'intérêt de la zone ».

Copié dans le presse-papier !

Après le rover baptisé Rosalind Franklin, c'est au tour de la plateforme d'atterrissage d'avoir un petit nom : Kazachok, un choix fait par les Russes de Roscosmos. L'agence spatiale européenne explique qu'il signifie « petit cosaque » et qu'il s'agit d'une danse folklorique.

La plateforme est également arrivée à Turin, en Italie. Pour rappel, ExoMars 2020 est une initiative conjointe de l'ESA et de l'agence spatiale russe. Le lancement est prévu pour juillet 2020. Si tout se passe bien, une fois sur le sol martien, le rover quittera sa plateforme pour aller explorer la surface.

Copié dans le presse-papier !

L'ESA rappelle qu'il s'agit de sa première mission consacrée à l’étude des exoplanètes. Le lancement à bord d'une fusée Soyouz est prévu entre le 15 octobre et le 14 novembre 2019.

Une fois dans l'espace, « le satellite observera les étoiles brillantes dont on sait qu’elles abritent des exoplanètes, en ciblant plus particulièrement les planètes d’une taille comprise entre celles de la Terre et de Neptune », explique l'agence spatiale européenne.