du 10 octobre 2018
Date

Choisir une autre édition

Supermicro : Bloomberg affirme que des serveurs d'un opérateur américain ont été altérés

En fin de la semaine dernière, nos confrères ont publié un long papier expliquant comment les Chinois auraient ajouté une micropuce espionne sur des cartes mères Supermicro. Impliquées dans cette affaire, Amazon, Apple et Supermicro ont toutes les trois démenti ces accusations avec vigueur, soutenues par les renseignements américains et britanniques.

Hier, Bloomberg a lancé un nouveau pavé dans la mare dans un papier intitulé « nouvelle preuve de piratage de matériel Supermicro chez un opérateur américain ». Nos confrères expliquent que Yossi Appleboum (co-DG de Sepio Systems) leur a fourni des documents pour étayer leurs dires. Le matériel « manipulé » aurait été enlevé en août de cette année. Le nom de cet opérateur n'est pas précisé.

La situation n'est pas tout à fait identique, mais le principe reste le même : « des communications inhabituelles depuis un serveur Supermicro et une inspection physique ultérieure ont révélé un implant intégré dans le connecteur Ethernet du serveur » explique Bloomberg.

Yossi Appleboum affirme que ce n'est pas la première fois qu'il découvre ce genre de manipulation sur du matériel fabriqué par des sous-traitants en Chine, ajoutant que « Supermicro est une victime » dans cette histoire.

Interrogée, la société reste sur ses positions précédentes : « Nous ne sommes toujours pas au courant de composants non autorisés et n’avons été informés par aucun client de la présence de tels composants ».

Elle charge à nouveau Bloomberg : « Nous sommes consternés que Bloomberg ne nous fournisse que des informations partielles, aucune documentation et une demi-journée pour répondre à ces nouvelles allégations », ce à quoi notre confrère affirme avoir laissé 24h à Supermicro.

L'enquête continue outre-Atlantique, notamment par l'intermédiaire du sénateur John Thune siégeant au Comité du commerce qui sollicite auprès des dirigeants des entreprises impliqués un briefing avant le 12 octobre : « Les allégations selon lesquelles la chaîne d'approvisionnement en matériel informatique des États-Unis a été délibérément altérée par une puissance étrangère doivent être prises au sérieux ».

Les sénateurs Marco Rubio (républicain) et Richard Blumenthal (démocrate) ont de leur côté demandé à Supermicro des précisions sur la manière dont la société avait enquêté sur les affirmations de Bloomberg.

George Stathakopoulos, responsable sécurité chez Apple, reste sur la ligne de défense de la société affirmant qu'elle n'a découvert aucun signe de transmission suspecte ni aucune autre preuve d'altération du matériel.

Joe Fitzpatrick, expert cité dans le premier article de Bloomberg, revient sur cette histoire dans le Risky Business podcast, comme le rapporte Engadget. Il affirme avoir été cité hors contexte, que l'histoire de la puce espionne était alors « théorique » et qu'il se sentait « mal à l'aise ».

Bloomberg s'est de nouveau exprimé sur le sujet : « Joe FitzPatrick ne faisait pas partie des 17 sources comprenant des spécialistes et des responsables gouvernementaux, et sa citation directe dans l'histoire décrit un exemple hypothétique de la manière dont une attaque matérielle pourrait se dérouler ».

En bourse, c'est de nouveau une chute pour Supermicro qui passe sous les 12,5 dollars. La semaine dernière, la société était à plus de 21 dollars par action.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Bouygues Telecom vient de renouveler ses promotions sur sa marque mobile « low cost », avec de nouvelles « Séries spéciales » valables jusqu'au 29 avril. Deux forfaits sont ainsi proposés au même tarif de 16,99 euros par mois , mais avec des options différentes.

Le premier propose 50 Go de 4G en France avec « Internet illimité le week-end », 10 Go de roaming en Europe, dans les DOM, aux États-Unis et au Canada.

Le second grimpe à 80 Go de 4G en France métropolitaine, mais le roaming est moins important : 8 Go seulement et uniquement en Europe et dans les DOM.

Si le second est une nouveauté, ce n'est pas le cas du premier (50 Go) qui était déjà proposé avec les mêmes options (FIS de l'ancien et du nouveau)… pour 14,99 euros par mois. Le terme « série spéciale » semble bien choisi.

Notez au passage que le forfait B&You en promotion à 9,99 euros par mois est reconduit, mais avec deux fois moins de data : 20 Go au lieu de 40 Go auparavant, toujours avec 4 Go en roaming.

Pour rappel, vous pouvez retrouver l'ensemble des forfaits des opérateurs sur notre site dédié : Tous les Forfaits.

Copié dans le presse-papier !

Depuis fin 2017, les deux géants se livrent une guerre. Comme Amazon ne vend pas certains produits Google (Chromecast, Home, Nest) et ne permet pas aux utilisateurs Prime Video d'utiliser Google Cast, le moteur de recherche avait décidé de retirer YouTube de l'Echo Show et des Fire TV Stick. Bref, les utilisateurs trinquent encore.

Mais la situation va changer. Dans un communiqué, Amazon explique que les applications officielles YouTube et YouTube Kids arrivent sur les Fire TV et les télévisions Fire TV Edition, tandis que son service de vidéo en streaming Prime Video va prendre en charge Chromecast et Android TV.

Les changements devraient être opérationnels au cours des prochains mois.

Copié dans le presse-papier !

Fin mars, on apprenait que face aux décisions de la Commission Européenne, la société allait enfin proposer un choix clair au sein de son OS mobile. Restait à découvrir la méthode utilisée.

Dans un billet de blog, Google publie de premières captures d'écrans, précisant que le choix s'affichera « la première fois qu'un utilisateur ouvrira Google Play après avoir reçu une mise à jour à venir ».

On voit qu'il est possible d'installer quatre autres navigateurs et moteurs. Rien ne propose par contre de désinstaller ces derniers, ou même de les remplacer par le choix de l'utilisateur.

Il faudra d'ailleurs suivre une procédure manuelle pour les activer par défaut, une page détaillant la méthode. Sous Chrome, un message précisera à l'utilisateur qu'il peut changer de moteur de recherche s'il en a installé un.

Aucun lien ne permet d'accéder à une liste plus longue d'éléments, les différents acteurs devront donc se battre pour s'y faire une place. La société précise que le choix dépendra des pays, sans plus de précisions sur la méthode de sélection.

Le déploiement de cette fonctionnalité sera mis en place « dans les prochaines semaines » en Europe précise Google. L'implémentation pourra évoluer avec le temps (et les éventuelles remarques de la Commission).

Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Copié dans le presse-papier !

C’est un petit miracle : la dernière préversion de Chrome dans le canal Canary propose un mode lecture, repéré par ZDnet.

Cette fonction permet pour rappel d’afficher une vue simplifiée de la page web, avec uniquement le texte de l’article et les éventuelles images. Le mode lecture est notamment apprécié pour sa légèreté et la suppression de tout élément de distraction.

La fonction est pourtant loin d’être nouvelle. Apple avait été le premier à l’intégrer dans Safari en 2010, ajoutant même une option en 2017 pour utiliser cette vue par défaut sur tous les sites. Mozilla l’avait ajoutée dans Firefox en 2015.

Le fonctionnement dans Chrome est donc le même que partout ailleurs. Techniquement, ce n’est pas une nouveauté dans Chrome puisque la version Android propose une « Vue simplifiée » depuis longtemps. C’est donc le portage de cette variante vers la mouture pour ordinateurs de bureau.

Pour tester la fonction, il faut activer le flag chrome://flags/#enable-reader-mode dans la dernière préversion Canary de Chrome. Elle finira donc par remonter dans les prochaines semaines dans le canal bêta puis en stable. Tout vient à point…

Pour l'instant, ce mode lecture est accessible depuis le menu général sous l'étrange nom « Distill page ».