du 13 décembre 2018
Date

Choisir une autre édition

Office 365 : sérieuses failles corrigées, rien sur de potentielles victimes

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La Pologne a décidé d’attaquer la directive sur le droit d’auteur. C’est, sauf erreur, le premier pays a trainer le texte tout juste publié au Journal officiel de l’UE devant la Cour européenne de justice (CJUE). « La directive n’assure pas la balance entre la protection des ayants droit et les intérêts des citoyens et entreprises européennes » explique-t-elle dans un tweet.

De même, selon elle, le texte manque de clarté et engendre donc des incertitudes juridiques pour l’ensemble des parties prenantes. « Elle pourrait avoir un impact négatif sur la compétitivité sur le marché numérique et unique européen ». « Il y a un risque qu’elle gêne l’innovation au lieu de la promouvoir ». Mateusz Morawlecki, Premier ministre polonais : « nous sommes du côté de la liberté sur Internet ».

Contacté, le Parti Pirate se « félicite de cette initiative polonaise qui pourrait permettre de mettre sur le tapis une refonte de la directive copyright sur ses aspects liberticides, avec notamment la suppression de l'article 17 ».

Pierre Beyssac, quatrième de la liste, estime que « plus généralement, une réflexion sur les droits d'auteur reste de toute façon nécessaire sur le long terme à l'échelle européenne, car la situation actuelle, déséquilibrée en faveur de quelques intérêts privés, n'est pas satisfaisante, et pénalise tous les écosystèmes numériques ».

« Les Pirates français comptent bien s'y atteler dès qu'ils obtiendront des élus » conclut-il.

Dans leur programme disponible en ligne, le parti estime notamment que « les intermédiaires en ligne ne devraient pas être tenus responsables des actes de leurs utilisateurs », au motif que les filtres de téléchargement automatisés « entraînent souvent la suppression de contenus légaux, y compris la documentation des violations des droits de l'homme dans les zones de conflit, et empiètent sur les droits des utilisateurs d'utiliser des exceptions au droit d'auteur telles que la citation ou la parodie ».

Copié dans le presse-papier !

Le réalisateur explique que « Disparaître est un film documentaire qui s’intéresse aux moyens pour chacun d’entre nous de reprendre le contrôle de sa vie privée en ligne ». Un fait d'actualité avec les fuites et abus de données privées qui sont légions.

« Le documentaire se penchera sur des besoins concrets en matière de vie privée : hygiène numérique au quotidien, alternatives aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft), logiciels libres, moyens de réduire son exposition face aux risques de harcèlement et de piratage », explique le réalisateur.

Il ajoute : « À travers ses différents protagonistes, Disparaître abordera également des principes de protection pour les profils à risques : activistes, avocats, entrepreneurs, médecins, journalistes, lanceurs d’alerte etc. ».

La campagne participative a pour le moment récolté plus de 2 000 euros sur les 19 600 euros demandés, de 57 contributeurs. Elle est ouverte jusqu'au 21 juin avec le principe du « tout ou rien ». Le précédent documentaire de Marc Meillassoux avait récolté 15 000 euros (sur 9 800 demandés) de 409 contributeurs.

Pour rappel, Nothing to Hide s'attaquait au sempiternel argument  « je n’ai rien à cacher » lorsqu'il est question de surveillance. Le documentaire est disponible en ligne sous licence Creative Commons.

Copié dans le presse-papier !

À l’index, DoubleClick/Authorized Buyers, le cœur des enchères publicitaires de l’entreprise américaine. Une plainte avait été initiée en septembre 2018 par Johnny Ryan, l’un des responsables de Brave, le navigateur qui se veut respectueux de la vie privée.

Celui-ci considère que le système publicitaire en cause engendre une violation massive et permanente de données personnelles. « Chaque fois qu'une personne visite un site utilisant le système d'achats DoubleClick/Authorized de Google, des données personnelles intimes et sur ce qu'elle consulte sont communiquées via une « demande d'enchères » adressée à des dizaines ou des centaines d'entreprises, pour solliciter des offres d'annonceurs potentiels ».

« Nous devons réformer la publicité en ligne pour protéger la vie privée, mais aussi les annonceurs et les éditeurs des risques juridiques inhérents au RGPD » ajoute Johnny Brave, dans ce billet de blog.

Copié dans le presse-papier !

C'est du moins ce qu'affirment trois sources différentes à Reuters. Selon l'une d'elles, le projet aurait débuté il y a un an et demi. Selon une autre, le jeu ne devrait pas arriver cette année.

Tencent a refusé de commenter, tandis que Riot n'a pas répondu aux sollicitations de nos confrères pour l'instant.

Copié dans le presse-papier !

Cette nuit, depuis le Space Launch Complex 40 (SLC-40) à Cape Canaveral, une fusée a décollé avec pas moins de 60 petits satellites à son bord.

Ils ont été largués à 440 km d'altitude, à charge ensuite pour eux de rejoindre leur orbite de croisière à 550 km. Il s'agit pour rappel du premier lancement en masse pour Starlink, un réseau mondial d'accès à Internet par satellite.

Pour cette mission, SpaceX a réutilisé un premier étage qui avait déjà volé par deux fois (en septembre 2018 et janvier 2019). Pour cette troisième mission, il est encore venu se poser sans encombre sur une barge en pleine mer.