du 13 décembre 2018
Date

Choisir une autre édition

Office 365 : sérieuses failles corrigées, rien sur de potentielles victimes

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'annonce a été faite par Jeff Williams, directeur des opérations chez Apple, lors d'un témoignage devant la Federal Trade Commission (FTC), comme l'indique CNet.com.

Il explique que ce refus est la conséquence du litige juridique (guerre de brevets) qui oppose depuis longtemps les deux sociétés. Il ajoute qu'Apple avait prévu de se fournir chez Qualcomm et Intel pour les modems de ses derniers iPhone, mais qu'il a dû se tourner vers Intel exclusivement suite au refus de Qualcomm

Copié dans le presse-papier !

En décembre 2011, le département américain de la justice avait rendu un avis sur l'interprétation d'une loi de 1961 interdisant de transférer entre deux États ou à l'étranger des informations sur des paris.

Il estimait alors que la section du texte prohibant ceci (« the transmission in interstate or foreign commerce of bets or wagers or information assisting in the placing of bets or wagers on any sporting event or contest, or for the transmission of a wire communication which entitles the recipient to receive money or credit as a result of bets or wagers, or for information assisting in the placing of bets or wagers » en VO) ne portait que sur les paris sportifs, pavant ainsi la voie aux casinos en ligne, salles de poker sur internet et autres loteries.

C'était sans compter sur un nouvel avis daté du 2 novembre et rendu public cette semaine, publié par le même département de la justice. Celui-ci estime que grammaticalement parlant, l'ensemble des interdictions ne concerne pas uniquement les paris sportifs, mais l'ensemble des jeux d'argent. Ceci en raison du placement de deux virgules dans le texte.

Une ponctuation qui tombe à pic pour l'administration Trump qui avait fait de la révision de l'avis de 2011 un de ses objectifs, ce afin de favoriser les casinos physiques. Et peut-être aussi pour remercier Sheldon Adelson, propriétaire d'un casino à Las Vegas qui a injecté plusieurs millions de dollars dans la campagne de Trump.

Copié dans le presse-papier !

C'est l'épilogue d'un feuilleton démarré cet été lorsqu'Intel et Micron ont annoncé leur divorce autour de la 3D Xpoint. Après avoir développé ensemble cette technologie, ils font chambre à part « afin d'optimiser la technologie pour leurs produits et besoins commerciaux respectifs ».

En octobre, Micron faisait part de son intention de prendre entièrement le contrôle de la co-entreprise IM Flash Technologies (IMFT). Elle avait jusqu'au 1er janvier pour confirmer son intention et, sans grande surprise, c'est désormais fait.

Micron précise que cette transaction sera clôturée dans les six à douze prochains mois, à une date qui sera choisie par Intel. Le montant est de 1,5 milliard de dollars environ, mais Micron estime que cela « n’aura pas d’incidence significative sur ses résultats financiers ».

Ensuite, « IMFT deviendra une filiale à 100 % de Micron et tous ses employés feront partie de l’équipe ».

Copié dans le presse-papier !

Dans la journée du 16 janvier, la blockchain Ethereum va profiter d'une importante mise à jour, baptisée Constantinople. Ses contours sont dessinés depuis plus d'un an, mais elle apparaîtra malgré tout sans certaines des fonctionnalités qui lui étaient promises.

Cinq « EIP » (Ethereum Improvement Proposals) seront implémentées à cette date : 145, 1014, 1052, 1234, et 1283. La plus attendue est la numéro 1234, qui doit repousser d'encore douze mois l'augmentation progressive de la difficulté du minage mise en place, prévue pour faciliter l'abandon de la preuve de travail (PoW) pour la preuve de possession (PoS).

Seulement, cette transition réclame davantage de temps qu'initialement prévu. L'abandon de la preuve de travail est pour l'instant planifié pour la prochaine mise à jour majeure, Casper qui n'a pas encore de date officielle.

Il est à noter que les modifications apportées le 16 janvier ne devraient pas donner lieu à une division (fork) de la blockchain Ethereum.

Copié dans le presse-papier !

Alors que le « grand débat national » voulu par Emmanuel Macron débute officiellement aujourd’hui, Matignon a annoncé hier que « les contributions des Françaises et des Français pourront être directement déposées sur le site www.granddebat.fr » (ou envoyées par courrier) à compter du 21 janvier prochain.

Sous le contrôle de « garants », « toutes les contributions seront rendues publiques, analysées et restituées au président de la République et au gouvernement », affirme l’exécutif.

Matignon promet en outre de « [prendre] en compte tous les avis et propositions exprimés », « selon les principes de transparence, de pluralisme et d’inclusion, de neutralité, d’égalité, de respect de la parole de chacun ». L’association Regards Citoyens a réagi en affirmant que le gouvernement devrait de ce fait opter pour une plateforme reposant sur du logiciel libre, notamment.

Le « grand débat national » doit durer deux mois, soit jusqu’au 15 mars.