du 19 avril 2019
Date

Choisir une autre édition

Tchap : à peine lancée, déjà une faille (corrigée) pour la messagerie instantanée sécurisée de l'Etat

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La ville a publié un communiqué expliquant que les services de police ont reçu un appel le 19 septembre à 11h30 (heure locale) leur « signalant qu'un homme adulte de sexe masculin avait sauté du 4e étage d'un immeuble ».

Sur place, les services de secours ont trouvé la personne inanimée. Ils n'ont rien pu faire, si ce n'est constater le décès. La ville ajoute que l'enquête préliminaire laisse penser qu'il n'y a aucun acte criminel dans « cet apparent suicide ».

Un porte-parole de Facebook confirme la situation à TechCrunch, mais ne donne aucun détail supplémentaire. Pour l'instant, aucune piste n'est évoquée concernant les raisons qui ont poussé cet homme à sauter du 4e étage.

Copié dans le presse-papier !

Hier matin, Next INpact révélait le jugement du TGI de Paris ordonnant à Valve d’autoriser la revente de jeux achetés sur Steam. 

Dans un communiqué publié après coup, l’UFC-Que Choisir a annoncé qu’elle étendrait cette action à d’autres plateformes.

Comme nous l’anticipions, Valve a décidé de faire appel. Doug Lombardi, responsable du marketing chez l’éditeur de jeux vidéo, a indiqué à PC Gamers qu’il allait faire appel : 

« Nous sommes en désaccord avec la décision du tribunal de grande instance de Paris et nous ferons appel. La première décision sera donc sans effet sur Steam tant que l’affaire ne sera pas rejugée ».

Et pour cause, cette procédure va geler la décision du 17 septembre, qui n’est pas assortie d'une exécution provisoire.

Copié dans le presse-papier !

Partant du constat que la gestion des onglets de Chrome sur les terminaux mobiles est une calamité, le géant du Net se décide enfin à changer la donne

Au cours des prochaines semaines, une « grille » permettra de regrouper les onglets par paquets, avec des miniatures pour les repérer facilement. En bas de chaque page, une liste des autres onglets appartenant au même paquet sera affichée, vous permettant de passer rapidement de l'un à l'autre. Pour rappel, la grille est déjà disponible sur iOS, mais sans la possibilité de créer de dossier pour l'instant. 

Enfin, sur les ordinateurs, Google pense à ceux qui ouvrent toujours des dizaines d'onglets et qui ne peuvent plus lire les titres des pages. Vous pouvez toujours l'afficher en survolant l'onglet, mais cette fonction sera bien plus fluide qu'avant si l'on en croit le géant du Net, avec le nom de domaine en plus.

Prochainement, des miniatures s'ajouteront pour avoir un aperçu de la page. Aucun calendrier n'est précisé pour le déploiement de ces fonctionnalités, si ce n'est qu'elle devrait être en place à l'automne. 

Copié dans le presse-papier !

C'est en tout cas le message qu'a fait passer Kenneth Bowersox, administrateur par intérim de la NASA en charge de l'exploration et des opérations humaines, comme le rapporte Associated Press.

Lors d'un passage devant un sous-comité du Congrès, il affirme que la NASA fait de son mieux pour tenir le calendrier annoncé par la Maison Blanche, mais qu'il « ne parierait pas le cadeau d’anniversaire de son fils aîné, ou quelque chose comme ça ».

« Ce qui est important, c'est de démarrer quand nous sommes prêts et que notre mission soit un succès.  Je ne vais pas m'asseoir ici pour vous dire arbitrairement que nous allons y arriver », ajoute-t-il. 

Copié dans le presse-papier !

Une semaine et demie après la sortie de cette mouture, Google publie une mise à jour de sécurité sans attendre Chrome 78.

Quatre failles sont pointées du doigt : une critique (remontée à Google le 5 septembre) et trois avec un niveau de dangerosité élevé. Les détails techniques seront dévoilés ultérieurement, lorsqu'une majorité des utilisateurs aura installé la mise à jour. Selon The Hacker News, un attaquant pourrait en profiter pour exécuter du code arbitraire.

Man Yue Mo, qui a découvert deux des quatre failles, a obtenu une récompense de 40 000 dollars (20 000 dollars pour chacune), tandis que le montant des deux autres (notamment celle critique) n'est pas précisé.

Dans tous les cas, il est urgent de se mettre à jour si ce n'est pas déjà fait. Vérifier que vous avez bien la version 77.0.3865.90 au minimum (sur Windows, macOS et Linux).