du 20 août 2018
Date

Choisir une autre édition

Titan : Google dévoile ses clés de sécurité U2F maison (ou pas)

Le géant de la recherche a toujours été un ardent défenseur de ce standard, notamment à travers Chrome qui a longtemps été le seul à le supporter. Une situation en train de changer à travers la mise en place de WebAuthn.

On a appris il y a quelques semaines que la société mettait en vente ses propres clés. Mais en réalité, il appose simplement sa marque sur des produits déjà existants. En effet, en y regardant de plus près, on reconnaît les produits du chinois Feitian, dont la Multipass FIDO que nous avions testée en novembre dernier.

Des produits jusqu'alors recommandés par Google… à travers un lien vers Amazon. La société a donc sans doute cherché à trouver une manière plus directe de commercialiser ce produit, désormais proposé aux clients de son offre Cloud, avant une apparition prochaine au sein de sa propre boutique en ligne.

Yubico en a d'ailleurs profité pour revenir sur sa position en matière de produits mobiles, qui se focalise sur le développement du NFC plutôt que du Bluetooth utilisé par la Multipass FIDO, qui a notamment besoin d'une batterie pour assurer son fonctionnement. L'occasion pour la société de rappeler qu'elle travaille avec l'ensemble des écosystèmes.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Principalement connu pour ses drones avec caméra, le fabricant change son fusil d'épaule et se lance sur les platebandes des kits éducatifs Lego avec son Robomaster S1.

Il « prend en charge les langages de programmation Scratch et Python », peut tirer des billes de gel et comprend 46 composants. On retrouve notamment sept moteurs, six détecteurs d'impact, sept capteurs infrarouges et un optique, un micro et un haut-parleur, deux gyroscopes et 21 LED.

Tous les détails sont disponibles sur cette page. Le Robomaster S1 n'est pour le moment disponible qu'aux États-Unis pour 499 dollars.

Copié dans le presse-papier !

En partenariat avec le National Geographic, une équipe de chercheurs a parcouru les plus hauts sommets du monde pour y installer des stations météo autonomes.

L'une se trouve à 8 430 mètres, une autre à 7 945 mètres et trois sur le mont Everest. Ils ont également récupéré une carotte de glace à 8 020 mètres et procédé à diverses analyses qui donneront certainement lieu à des publications.

Le but est non seulement de surveiller la montagne, mais aussi de mesurer le changement climatique.

Copié dans le presse-papier !

La société s'est retrouvée à la une de nombreux médias ces dernières semaines grâce à sa version low cost du Thermomix de Vorwerk. La raison ? Elle est désormais disponible en France, allant jusqu'à créer des bousculades en magasin face au manque de stock.

Mais aucun des nombreux tests n'avait relevé un élément pourtant visible de l'extérieur : un micro est intégré en complément d'un petit haut-parleur. Une « découverte » qui a ému sur les réseaux sociaux hier, faisant réagir la marque.

Les micros se sont fait une place croissante dans nos appareils du quotidien, des PC aux smartphones en passant par les enceintes et autres objets connectés. Problème : sa présence n'était pas mentionnée dans la fiche technique.

Si l'on devait retenir un enseignement de cette « affaire », c'est que LIDL est meilleur pour organiser les buzz que pour gérer sa communication de crise. Il suffit de voir les différentes positions, parfois contradictoires, publiées chez BFM ou Les Numériques.

Finalement, un communiqué de presse a été diffusé, relayé par Numerama. On y apprend que le micro est là pour de futures fonctionnalités comme la commande vocale. Aucune date n'a été donnée.

Espérons au passage que les mises à jour de sécurité basiques seront effectuées. Comme de nombreux appareils à bas prix avec une interface tactile, il ne s'agit que d'une simple tablette sous une vieille version d'Android (6.0).

Espérons que cette présence constante des micros dans nos vies incite certains à se poser des questions, alors que des usages détournés et abusifs, qui ne sont pas que du fait de pirates malintentionnés, sont parfois mis en lumière.

On pourrait en effet imaginer une obligation légale de mentionner la présence d'un micro ou d'intégrer un interrupteur coupant physiquement son fonctionnement dans les objets connectés. Un mécanisme dont le robot de LIDL est malheureusement dépourvu.

Copié dans le presse-papier !

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

Copié dans le presse-papier !

La nouvelle bêta du navigateur contient plusieurs changements assez marquants, après plusieurs versions sages qui ne proposaient surtout que du neuf pour les développeurs.

Le premier apport est une nouvelle mesure contre Flash. Le lecteur est toujours intégré dans Chrome, mais la fonction liée est maintenant coupée par défaut.

Si vous utilisez le canal bêta et que vous avez besoin de Flash, il faudra vous rendre sur le réglage chrome://settings/content/flash. Le réglage « Demander d’abord » est devenu « Empêcher les sites d’exécuter Flash », accompagné d’une parenthèse « recommandé ». Il suffira alors de réactiver la fonction.

Autre changement, celui-là poussé en avant par l’un des développeurs de Chrome (Paul Irish), l’impossibilité pour les sites de détecter le mode Incognito du navigateur. Il s’agit pour rappel de la fonction navigation privée, qui n’enregistre aucune trace locale de la session de surf.

Le développeur s’excuse dans la foulée pour les scripts de détection du mode navigation privée qui, du coup, ne fonctionneront plus. Pourquoi de tels scripts ? Parce que de nombreux sites utilisant un paywall permettent une lecture d’un à trois articles gratuits par jour. Ils ne devraient donc plus être en mesure d’exploiter cette solution.

D’autres changements sont à noter. Quand un site visité est détecté comme PWA (Progressive Web App), un bouton « + » apparaît à droite de la barre d’adresse. La mention « Installer » s’affiche brièvement, montrant à l’utilisateur où cliquer pour installer cette application web. La suite est connue puisqu’il s’agit simplement d’un raccourci vers la fonction se trouvant dans le menu général.

Chrome 76 permet également aux sites de détecter le mode d’affichage en cours pour l’interface : clair ou sombre. Puisque le mode sombre est maintenant disponible sur macOS et Windows, les sites pourront interroger Chrome avec une ligne de code et s’adapter en conséquence s’ils le souhaitent.

Enfin, de nombreux ajouts et changements ont été faits pour les développeurs. C’est notamment le cas pour l’API Payments, qui introduit des capacités supplémentaires, comme la possibilité pour un site de déclencher une action quand un changement de méthode de paiement est détecté.

La version finale de Chrome 76 est attendue pour le 26 juillet, après les six semaines environ de test classiques.