du 14 février 2018
Date

Choisir une autre édition

Salon.com proposera de miner du Monero à ceux qui bloquent la publicité

Dans sa documentation, repérée par Coindesk, le magazine en ligne indique qu'il compte ouvrir une nouvelle solution aux lecteurs bloquant les réclames. Via un message en surimpression du contenu, il suggérera de « supprimer les publicités » en utilisant la puissance inutilisée de l'appareil.

Salon.com vit encore en bonne part de la publicité, dont les revenus ont fondu drastiquement ces dernières années. Le média ne précise pas quel outil sera utilisé pour miner la monnaie virtuelle (Monero), même s'il est probable qu'il intègre Coinhive, comme des confrères.

En France, StreetPress avait tenté l'expérience fin novembre, en attendant une centaine d'euros mensuels. Pas de quoi financer un média à lui seul, même si l'équipe avait quelques idées, comme une extension pour navigateur permettant aux plus fervents de miner en permanence.

Ces dernières semaines, nombre de sites gouvernementaux étrangers ont porté une version dérivée du script, minant pour un (ou des) pirate(s) à l'identité inconnue.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques jours, des membres de Facebook se sont plaints de notifications par SMS sur le numéro de téléphone qu'ils avaient réservé à l'authentification à deux facteurs. Après avoir répondu à ces SMS, le développeur Gabriel Lewis avait même tweeté le résultat : une publication sur son mur Facebook… un tout autre comportement que celui attendu.

L'entreprise a réagi à la nouvelle. « Il n'était pas dans nos intentions d'envoyer des notifications SMS sans rapport avec la sécurité à ces numéros de téléphone, et je suis désolé pour tout désagrément que cela a pu causer » écrit Alex Stamos, le directeur de la sécurité du groupe.

Un correctif est attendu pour les prochains jours, la fonctionnalité permettant de publier des statuts par SMS devrait être mise de côté. Stamos espère que l'incident ne découragera pas les internautes voulant utiliser cette fonction, aussi disponible via les applications du type Google Authenticator, au code généré localement.

Copié dans le presse-papier !

La plupart des Chromebook embarquent une puce TPM (Trusted Module Platform), chargée notamment d'opérations de chiffrement et de contrôle d'intégrité.

Ces puces sont en grande majorité fournies par Infineon et sont donc affectées par la fameuse faille dévoilée il y a quelques mois. Google propose bien un nouveau firmware, mais au vu du fonctionnement de la puce, il faut passer par un retour aux paramètres d'usine et donc une suppression de toutes les données personnelles.

L'entreprise a ainsi rendu ce correctif optionnel. L'opération est très rapide, mais nécessite de s'assurer que toutes les données ont bien été sauvegardées avant de se lancer. Attention en particulier aux applications Android qui n'enregistrent le plus souvent leurs données que localement.

Pour vérifier si vous êtes concerné, il faut ouvrir le panneau chrome://system et chercher le champ « firmware_version ». Si le numéro de version est 4.31, 4.32, 6.40 ou 133.32, votre machine est vulnérable. L'installation se déclenche manuellement et passe par le mode « powerwash ».

Copié dans le presse-papier !

La nouvelle n'étonnera personne, tant l'état de l'application était considéré comme proche de la catastrophe. Les commentaires sur la fiche du Windows Store sont éloquents, avec une note moyenne de 2,4 et des critiques parfois acerbes.

Uber a fini par répondre à MSPowerUser pour lui confirmer que l'application n'était en effet désormais plus supportée. Seules les moutures Android et iOS sont considérées comme actives, une entreprise de plus à ne se concentrer que sur les deux plateformes principales.

L'application était assez emblématique de ce que fut le Windows Store pendant toute la première période : une boutique pleine de projets développés à la va-vite ou simplement « traduits » depuis des versions Android et iOS, une solution qu'affectionne particulièrement Facebook. Dommage.

Copié dans le presse-papier !

Le Project Zero prévoit de révéler publiquement les détails d'une faille si, une fois signalée à son éditeur, elle n'est pas corrigée dans les 90 jours. Une brèche a ainsi été communiquée à Microsoft vers la mi-novembre, mais il y a trois jours, veille de la date limite, l'entreprise a répondu que le correctif était plus complexe à développer qu'anticipé.

Il était donc impossible de respecter le délai imparti, entrainant la diffusion des détails par Google il y a deux jours. La faille réside dans un choix fait par Microsoft pour protéger son navigateur contre les exploitations arbitraires de code. Arbitrary Code Guard déporte ainsi dans un processus isolé (sandbox) le compilateur JavaScript Just-In-Time du navigateur.

Problème, si le processus de contenu peut deviner à l'avance l'adresse que le compilateur compte allouer via la fonction VirtualAllocEx(), il y a danger qu'un malware puisse profiter d'une zone mémoire où s'ébattre joyeusement. Selon Google, trouver l'adresse n'est pas si compliqué, d'où la faille.

Le correctif devrait être prêt pour le prochain Patch Tuesday, le 13 mars.

Copié dans le presse-papier !

Dans un rapport annuel remis à la SEC (Securities and Exchange Commission), le fondeur a révélé être la cible de 30 recours collectifs classiques et de deux autres ciblant la sécurité.

L'ensemble de ces actions pourrait coûter très cher à Intel, d'autant qu'il y a aussi de l'agitation chez les actionnaires. Trois ont ainsi déposé chacun leur recours, accusant Intel et certains de ses responsables de n'avoir pas réagi à temps. Le fondeur précise que de nombreuses plaintes pourraient encore arriver dans le futur.

Une situation qui n'étonnera pas grand monde, tant la gestion du dossier par Intel interroge. Des failles vieilles de 20 ans, un manque de transparence, des correctifs grevant les performances et provoquant des redémarrages sauvages, l'obligation pour les partenaires de pousser rapidement des mises à jour puis de les retirer en urgence, l'attente des nouvelles versions...