du 15 novembre 2017
Date

Choisir une autre édition

OnePlus supprimera son Engineer Mode, perçu comme une porte dérobée

Un chercheur en sécurité, Robert Baptiste, a fait part de sa découverte dans les smartphones OnePlus : un composant permettant un accès root à toutes les données du téléphone.

Nommé Engineer Mode, ce composant (présent sous forme d’un fichier APK) n’est normalement utilisé qu’au terme des chaînes de montage dans les usines, pour vérifier que tout va bien. Il est protégé par un mot de passe, mais les chercheurs l’ont rapidement découvert, d’autant qu’il n’est guère compliqué : angela.

OnePlus, de son côté, indique que l’Engineer Mode nécessite dans tous les cas un accès physique et qu’il ne peut en aucune être exploité à distance. Surtout, il dispose bien d’un accès root, mais seulement pour lui-même : il n’autorise pas des applications tierces à en bénéficier.

Le constructeur ne voit en outre pas dans ce composant un problème de sécurité majeur, puisqu’il réclame notamment l’activation de l’USB Debugging, inactif par défaut. Une prochaine mise à jour supprimera quand même le fichier APK des smartphones. Aucune raison donc a priori de considérer cet Engineer Mode comme une porte dérobée.

Notez également que le composant ne provient pas de OnePlus, mais de Qualcomm. Motherboard fait ainsi remarquer que d’autres constructeurs s’en servent, notamment Lenovo et Motorola. Nos confrères ont contacté Qualcomm mais n’ont pas encore eu de réaction du fondeur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sur le quatrième trimestre, la société a engrangé 3,3 milliards de dollars de revenus, une hausse de 32,6 % en un an. Cette progression vient notamment de celle du nombre d'abonnés, huit millions étant arrivés sur la période, dont six millions en dehors des États-Unis. L'EBITDA se situe à 313 millions de dollars.

Cette croissance a plus que plu à la bourse, la valorisation du groupe dépassant les 100 milliards de dollars. Les séries originales, principalement The Crown, Black Mirror et Stranger Things, sont citées comme moteurs de cette bonne santé.

En parallèle, Rodolphe Belmer devient le dixième membre du conseil d'administration du groupe. Il est directeur général du premier opérateur français de satellite, Eutelsat, après une carrière à Canal+, dont il était devenu directeur général en 2012.

Copié dans le presse-papier !

Google déploie actuellement une modification pour les appareils sous Android 8.1 : la liste des réseaux Wi-Fi publics affiche un indicateur clair de la vitesse de chacun.

On trouve quatre indicateurs :

  • Lent : assez pour des appels en Wi-Fi
  • OK : assez pour la navigation web, les réseaux sociaux et le streaming musical
  • Rapide : assez pour la plupart des vidéos en streaming
  • Très rapide : assez pour le streaming vidéo en très haute qualité

Non qu'il s'agisse d'un changement révolutionnaire bien sûr, mais ces informations seront nettement plus claires que le classique « logo à ondes » qui donne surtout l'intensité du signal.

Deux facteurs limitent toutefois la fonctionnalité : sa disponibilité exclusive à Android 8.1 (qu'on ne trouve essentiellement que sur les smartphones de Google) et son incompatibilité avec les réseaux protégés. L'indicateur nécessitant un court test de performances, aucune donnée ne peut circuler en effet sans le mot de passe.

Copié dans le presse-papier !

La nomination a été officialisée hier par Mohunir Mahjoubi à l'occasion du sommet « Choose France » organisé hier à Versailles. Pour rappel, John Chambers a passé 20 ans à la tête de Cisco avant de devenir le président exécutif du conseil d'administration.

En plus d'être consulté sur « sur la stratégie start-up du gouvernement », sa mission, « accomplie à titre bénévole », s'articulera autour de deux axes :

  • « Promouvoir les acteurs de la French Tech à l’international, en mettant en avant les start-ups les plus prometteuses, organisant des visites à l’étranger et participant aux principaux salons internationaux.
  • Contribuer à l’attractivité de la France pour les fonds d’investissements, les grandes entreprises numériques et les start-ups étrangères. »

Pour rappel, John Chambers est un fervent défenseur de la France depuis plusieurs années. Il met régulièrement en avant la « force » de l'Hexagone dans ses interviews. En 2016 par exemple, il affirmait au Figaro : « la France sera à la tête de l'Europe et peut-être du monde développé »

Copié dans le presse-papier !

Il y a un peu moins de deux semaines, Intel annonçait se pencher sur les cas de reboots intempestifs (principalement avec des processeurs des générations Broadwell et Haswell) suite à l'installation du correctif. La semaine dernière, le fondeur parvenait à reproduire le souci et cherchait une solution.

Dans un nouveau billet de blog, la société explique avoir identifié la « cause profonde » et commencé à déployer un nouveau correctif, mais uniquement à des partenaires triés sur le volet pour le moment. Elle demande à ces derniers de le tester afin de le valider, avant de le déployer à plus grande échelle le cas échéant.

Plus surprenant, Intel « recommande que les équipementiers, fournisseurs de services cloud, fabricants de systèmes,  fournisseurs de logiciels et utilisateurs finaux arrêtent le déploiement des correctifs actuels, car ils risquent d'entraîner des redémarrages plus importants que prévu et d'autres comportements imprévisibles ». De nouvelles informations seront publiées au cours de la semaine promet l'entreprise.

Dans un échange de messages publics avec un développeur d'Amazon, Linus Torvalds s'en prend vertement à Intel et à ses patchs qu'il qualifie, entre autres sobriquets, de « poubelle ». On rappellera que ce n'est pas la première fois que le père du noyau Linux s'en prend au fondeur sur sa communication autour des failles Meltdown/Spectre.

Copié dans le presse-papier !

Nos confrères de ZDNet.com relatent l'histoire d'une brèche permettant de contourner la double authentification sur Uber. Pour l'exploiter, il faut donc disposer de l'identifiant et du mot de passe d'un compte.

Identifiée par le chercheur Karan Saini et remontée via la plateforme HackerOne, elle aurait été catégorisée par la société de VTC comme « contenant des informations utiles, mais ne justifiant pas une action immédiate ou une solution ».

Uber précise à Engadget qu'il a en fait attribué ce statut car il était déjà en train de la corriger, mais n'explique pas pourquoi il avait qualifié cette faille de pas « particulièrement sévère » auprès du chercheur.

Quoi qu'il en soit, la brèche est désormais comblée, comme l'indique ZDNet.com : « Uber précise qu'il a corrigé le bug de contournement de l'authentification à deux facteurs après la publication de cette actualité, et après avoir ignoré plusieurs rapports pendant des mois ».