du 19 avril 2019
Date

Choisir une autre édition

Tchap : à peine lancée, déjà une faille (corrigée) pour la messagerie instantanée sécurisée de l'Etat

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après le décret de Donald Trump bannissant Huawei, plusieurs sociétés ont suspendu leurs activités avec le fabricant chinois. C'est notamment le cas de Google.

Suite finalement logique des événements, le Mate 20 Pro n'apparaît plus sur la page regroupant les terminaux pouvant profiter de la bêta d'Android Q, alors qu'il y est était début mai. C'est le seul à avoir disparu. La licence temporaire de 90 jours n'y change rien pour l'instant.

Pour rappel, Huawei peut toujours utiliser Android dans sa version AOSP (Android Open Source Project), mais celle-ci ne dispose alors pas des « Google Play Services » et donc des applications Google.

Copié dans le presse-papier !

Selon le Premier ministre, le « grand débat » organisé suite à la crise des « Gilets jaunes » devrait coûter aux alentours de 12 millions d’euros aux finances publiques. Interrogé il y a plusieurs semaines par le député Nicolas Dupont-Aignan, Édouard Philippe vient surtout de détailler les différents postes de dépenses de l’opération.

Parmi lesquels :

  • 1,1 million d’euros pour la « plateforme numérique » (confiée au prestataire Cap Collectif, non sans provoquer certains remous)
  • 3,25 millions d’euros pour le traitement et l’analyse des données (« dont : Numérisation, indexation et archivage des contributions en format libre par la Bibliothèque nationale de France et son sous-traitant : 330 k€ ; Transcription : 620 k€ ; Traitement et analyse des données issues des contributions libres : environ 900 K€ »)
  • 1,4 million d’euros pour le traitement et l’analyse des données issues de la plateforme numérique
  • 2,6 millions d’euros pour les « conférences citoyennes régionales en métropole »
  • 1,6 million d’euros de « plan de communication »
  • 142 000 euros pour le numéro vert assuré par Téléperformance

« Les chiffres définitifs seront connus fin mai » conclut le chef du gouvernement, qui précise néanmoins que toutes ces dépenses seront « couvertes par le budget de l'État ».

Copié dans le presse-papier !

« Les usages de plateformes dématérialisées de streaming audio et vidéo et de jeux vidéo en ligne ont pour conséquence une hausse exponentielle de la consommation d'énergie. Avec l'arrivée de nouvelles technologies telles que la 4K, la 8K et la 5G ainsi que l'usage des écrans HD, cette tendance ne fera que s'accélérer » s’inquiète le député Fabrice Brun, au travers d’une question écrite transmise hier au secrétaire d’État au Numérique, Cédric O.

L’élu LR juge qu’il est aujourd’hui « nécessaire » de « faire évoluer les pratiques des serveurs de stockage ». Il plaide en ce sens pour « une politique raisonnée des besoins en bande passante réduisant la facture environnementale des éditeurs de logiciels utilisés par les plateformes précitées ».

Son idée ? Obliger les éditeurs de logiciels à « consacrer un budget déterminé de recherche et développement afin de pratiquer une écriture plus vertueuse en terme environnemental du code informatique ». Il demande ainsi à Cédric O de se positionner sur cette piste, et suggère même au gouvernement de « mobiliser ses partenaires afin d'intégrer ces questions au programme de la prochaine COP25 qui se tiendra au Chili en novembre 2019 ».

L’exécutif dispose théoriquement de deux mois pour répondre aux questions écrites.

Copié dans le presse-papier !

Thibault Bazin, député LR de Moselle, vient d’interroger Cédric O, secrétaire d'État au Numérique, « sur la nécessité de la mise en place d'un contrôle de l'âge sur les sites pornographiques ».

Un système sera activé outre-Manche dès le 15 juillet 2019. À cette date, les sites X devront mettre en place un mécanisme robuste de vérification, sous peine d’être bloqués et leurs moyens de payement désactivés.  

Cette législation inspire à plein nez le député LR de Moselle : « Alors que les contenus pour adultes en ligne sont accessibles beaucoup trop facilement actuellement en France, avec tous les effets secondaires que cela peut provoquer », il demande « si le gouvernement a l'intention de mettre en place rapidement un système similaire afin de protéger les enfants de ces contenus inappropriés ».

La réponse du secrétaire d’État n’est pas encore publiée, mais rappelons qu’en mars 2017, Laurence Rossignol, alors ministre des Familles, avait imaginé un blocage par défaut de l’ensemble des sites pornos. Elle se disait également favorable à un contrôle d’accès par numéro de carte bancaire.

En 2011, le député Christian Vanneste (LR) avait envisagé un autre dispositif dans une proposition de loi : un blocage administratif là encore par défaut des sites X identifiés par une autorité. Les FAI auraient levé ce blocus mais « uniquement à ceux de leurs abonnés qui en font expressément la demande ».

Copié dans le presse-papier !

Apple vient de mettre à jour certains de ses ordinateurs portables, avec un changement plus ou moins important au niveau du processeur.

Les MacBook Pro avec Touch Bar de 13" gagnent ainsi quelques centaines de MHz de plus, mais restent sur des Core de 8ème génération. Les autres (sans TouchBar) sont toujours à la 7ème génération. Pas de changement sur les tarifs.

Le plus gros changement concerne les versions de 15" qui profitent des Core de 9ème génération. Le modèle le plus « accessible », 2 799 euros tout de même, reste à six cœurs, mais avec une fréquence revue à la hausse. Celui à partir de 3 299 euros passe par contre à huit cœurs au lieu de six.  

Des changements ont également été apportés au clavier. Comme l'avait déjà repéré iFixit, les touches du clavier des MacBook disposent depuis plusieurs mois d'une membrane. Mais cela n'était pas suffisant, comme le confirme le constructeur à TechCrunch. Il a donc décidé d'apporter de nouvelles modifications, sans préciser lesquelles.

Malgré tout, le fabricant a élargi son programme de réparation pour les claviers des MacBook (Pro) lancé en juin dernier. Il prend désormais en charge les MacBook Pro 2018 et 2019, y compris ceux qui viennent d'être annoncés.