du 16 novembre 2017
Date

Choisir une autre édition

OnePlus : un autre outil pourrait poser des soucis de sécurité

Alors que le constructeur doit déjà émettre un correctif supprimant l’Engineer Mode de ses smartphones, il fait face à d’autres interrogations.

Pointé par le même chercheur en sécurité, OnePlusLogKit est un composant capable de récupérer des informations sur virtuellement tout ce qui se passe dans le téléphone, avant de stocker journaux et données sur la carte SD, sans chiffrement, y compris les photos et vidéos.

La légitimité de l’application n’est pas remise en cause, car il est évident qu’elle est utilisée à des fins de diagnostics et de collecte de données techniques. Mais pour le chercheur, elle brasse trop large et son accès est trop simple : il suffit de taper *#800# dans l’interface d’appel.

OnePlusLogKit n’est pas active par défaut, mais n’importe quelle application système serait capable de l’éveiller et d’appeler ses services. Une situation sur laquelle OnePlus n’a pas encore réagi.

Dans l’intervalle, le chercheur a publié les sources décompilées de l’outil dans son dépôt GitHub.

Notez que contrairement aux premières informations hier, l'Engineer Mode ne provient pas de Qualcomm. Le fondeur a précisé qu'en dépit de certains pans de code provenant bien de ses développeurs, le reste provient d'un autre auteur. Il n'a donc pas produit cet outil.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La société s'est retrouvée à la une de nombreux médias ces dernières semaines grâce à sa version low cost du Thermomix de Vorwerk. La raison ? Elle est désormais disponible en France, allant jusqu'à créer des bousculades en magasin face au manque de stock.

Mais aucun des nombreux tests n'avait relevé un élément pourtant visible de l'extérieur : un micro est intégré en complément d'un petit haut-parleur. Une « découverte » qui a ému sur les réseaux sociaux hier, faisant réagir la marque.

Les micros se sont fait une place croissante dans nos appareils du quotidien, des PC aux smartphones en passant par les enceintes et autres objets connectés. Problème : sa présence n'était pas mentionnée dans la fiche technique.

Si l'on devait retenir un enseignement de cette « affaire », c'est que LIDL est meilleur pour organiser les buzz que pour gérer sa communication de crise. Il suffit de voir les différentes positions, parfois contradictoires, publiées chez BFM ou Les Numériques.

Finalement, un communiqué de presse a été diffusé, relayé par Numerama. On y apprend que le micro est là pour de futures fonctionnalités comme la commande vocale. Aucune date n'a été donnée.

Espérons au passage que les mises à jour de sécurité basiques seront effectuées. Comme de nombreux appareils à bas prix avec une interface tactile, il ne s'agit que d'une simple tablette sous une vieille version d'Android (6.0).

Espérons que cette présence constante des micros dans nos vies incite certains à se poser des questions, alors que des usages détournés et abusifs, qui ne sont pas que du fait de pirates malintentionnés, sont parfois mis en lumière.

On pourrait en effet imaginer une obligation légale de mentionner la présence d'un micro ou d'intégrer un interrupteur coupant physiquement son fonctionnement dans les objets connectés. Un mécanisme dont le robot de LIDL est malheureusement dépourvu.

Copié dans le presse-papier !

La grande finale nationale se déroulait hier à Grenoble. Comme son nom l'indique, le principe est de ne laisser que trois minutes aux doctorants pour présenter leur sujet de recherche sur des sujets pointus.

Tom Mébarki est le grand gagnant : il remporte la première place et le prix du public. Il a présenté « La “folie organisée” dans l’opéra buffa rossinien. Vers une transhistoire du son ». Il représentera donc la France lors de la finale internationale à Dakar en septembre.

Leah Vandeveer est deuxième avec « la phonologie des consonnes rares : une approche typologique », tandis qu'Apolline Chabenat prend la troisième place avec la « modification des polymorphismes liés aux défenses vis-à-vis des prédateurs par des médicaments psychotropes chez un céphalopode et un décapode ».

  1. Revoir la finale de « Ma thèse en 180 secondes »
Copié dans le presse-papier !

Selon son profil LinkedIn il est arrivé chez Intel en mai. Le fondeur a confirmé à plusieurs de nos confrères qu'il l'avait bien embauché.

Toujours selon son profil, il était auparavant responsable des SoC des Xbox One, Xbox X et Scarlett chez Microsoft. Il était arrivé en 2005. Auparavant, il s'occupait de l'architecture des CPU et des GPU chez AMD de 1997 à 2005. Il a donc croisé le chemin de Raja Koduri chez Intel depuis fin 2017.

« Je ne pourrais être plus enthousiaste à l'idée que John Sell et Manisha Pandya rejoignent notre équipe », indique ce dernier dans un communiqué repris par VentureBeat.  Manisha Pandya est arrivé chez Intel en mars, après avoir passé dix ans chez Apple et cinq ans chez Broadcom.

Copié dans le presse-papier !

Après le partenariat signé avec Orange en France, on s'attendait à ce qu'il s'étende, mais cela n'a pas été le cas. A la place, le FAI français a annoncé sa propre initiative, concurrente, visant le marché B2B.

C'est donc finalement Proximus qui est le premier opérateur à intégrer le service de « PC dans le cloud » de Blade à son offre.  

Les détails n'ont pour le moment pas été dévoilés, l'offre devant être lancée en septembre. Mais un tel partenariat est une bonne nouvelle pour la startup française et son développement à l'étranger.

Copié dans le presse-papier !

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.