du 16 novembre 2018
Date

Choisir une autre édition

Un opérateur laissait sa base de données SMS accessible à tout le monde, en quasi-temps réel

C'est la triste découverte faite par le chercheur allemand Sébastien Kaul et rapportée par TechCrunch. Il s'agit de Voxox (anciennement Telcentris), un opérateur de San Diego en Californie.

La cause de cette faille majeure de sécurité ? Simple comme bonjour, comme trop souvent malheureusement : « un serveur n’était pas protégé par un mot de passe, permettant à toute personne sachant où regarder de suivre les flux de messages texte en quasi temps réel », indiquent nos confrères. Le chercheur précise l'avoir trouvé via le moteur de recherche spécialisé Shodan.

« Pire encore, la base de données – exécutée sur Amazon Elasticsearch – était configurée avec une interface Kibana », facilitant ainsi la navigation et la recherche dans les messages. Avec chaque enregistrement se trouvait le numéro du destinataire, le contenu du message ainsi que l'identité du client Voxox.

Dans le lot, nos confrères ont trouvé des mots de passe envoyés en clair, des codes pour l'identification à deux facteurs sur plusieurs services (Booking, Google, etc.), des notifications d'expédition de produits par Amazon avec un lien de suivi, des rappels de rendez-vous d'hôpitaux, etc.

En plus de la confidentialité de certains messages exposés à la vue de tous, cette faille donnait accès aux codes d'identification en quasi-temps réel, permettant ainsi de contourner des protections. Pour rappel, la double authentification par SMS est déjà mise à mal à cause des réseaux mobiles, mais cette histoire ne va certainement pas arranger les choses.

Après une demande de renseignement de la part de nos confrères auprès de la société, la base de données a été mise hors ligne. Toujours selon TechCrunch, elle semblait contenir au moins 26 millions de SMS depuis le début de l'année, mais ce chiffre pourrait être largement supérieur.

Kevin Hertz, cofondateur et directeur technique de l'opérateur, indique à nos confrères qu'il « examine le problème et suit la politique standard en matière de violation de données ». Bien évidemment, la société est ainsi en train « d'évaluer l'impact » de cette faille majeure de sécurité.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le loueur s'est associé avec Clear pour mettre au point son nouveau service. Il est réservé aux membres Gold Plus Rewards.

Ils devront s'inscrire préalablement au programme Clear, avec une captation de leur visage et de leurs empreintes digitales (cette opération peut être faite dans une agence Hertz). Ensuite, ils réservent une voiture en ligne, puis valident leur location avec leur visage ou une empreinte avant de quitter le parking.

« Fast Lane powered by Clear » est disponible à l’aéroport Hartsfield-Jackson d’Atlanta. Le loueur prévoit de déployer cette technologie dans une quarantaine de lieux en 2019, notamment les aéroports de Los Angeles International Airport (LAX), au John F. Kennedy International Airport (JFK) de New York et au San Francisco International Airport (SFO).

Copié dans le presse-papier !

Le jeu est pour le moment le seul à exploiter cette technologie promise sur une vingtaine de titres en septembre. Pour rappel, il s'agit d'entraîner une IA à régler les soucis d'aliasing dans un jeu précis, puis d'utiliser le modèle qui en résulte en temps réel afin d'offrir un meilleur ratio résultat/performances.

NVIDIA utilise les Tensor Core de son architecture Turing, présents au sein des GeForce RTX. FF XV Windows Edition avait ainsi déjà été utilisé comme démonstration pour la presse, à travers son outil de mesure de performances.

Désormais, le jeu complet bénéficie lui aussi du DLSS. Le tout est néanmoins annoncé en bêta, sans doute pour parer à d'éventuels bugs qui pourraient survenir, comme ce fût le cas pour le ray tracing dans Battlefield V.

Pour tester cette fonctionnalité, il vous faudra le dernier patch du jeu, ainsi que les pilotes 417.35 qui viennent d'être mis en ligne. Quelques bugs sont corrigés au passage.

Copié dans le presse-papier !

C'est une nouvelle fois au compte Twitter Evan Blass que nous devons une majorité des rumeurs, comme l'indique Gizmodo.

Le prochain vaisseau amiral du fabricant devrait disposer d'un dalle « Infinity O » avec un trou pour la caméra, d'un capteur d'empreintes digitales sous l'écran et de trois capteurs optiques à l'arrière.

Trois versions devraient être proposées : S10 Lite de 5,8 pouces, S10 de 6,1 pouces et S10+ de 6,4 pouces. Le premier coûterait 881 dollars avec 128 Go, le second 1 000 (128 Go) et 1 300 dollars (256 Go), tandis que le dernier oscillerait entre 1 130 et 1 800 dollars (de 128 Go à 1 To de stockage).

La famille des Galaxy S10 serait annoncée le 20 février, un peu avant l'ouverture du MWC, avec des précommandes dans la foulée. Il serait ensuite disponible à compter du 8 mars.

Copié dans le presse-papier !

Après les versions de 13,3 à 15,6" dévoilées en janvier au CES de Las Vegas, le fabricant enrichit sa gamme avec un modèle de 17" (2 560 x 1 600 pixels) et un hybride tactile de 14" (1 920 x 1 080 pixels), avec une couche de Corning Gorilla Glass 5 pour ce dernier.

Ils sont tous deux animés par un processeur Intel Core de 8ème génération avec 8 ou 16 Go de mémoire vive et 256 ou 512 Go de stockage. Les claviers sont rétroéclairés et intègrent un lecteur d'empreintes digitales.

La connectique du 17" comprend trois USB 3.1 (sans plus de précision sur la génération), un USB 3.1 Type-C (avec Thunderbolt 3 en option), deux micros, une sortie HDMI et connecteur jack pour micro ou casque. L'hybride de 14" reprend la même base avec un USB 3.1 de moins et sans la possibilité d'avoir Thunderbolt 3, mais il est livré avec un stylet LG Stylus Pen (Wacom AES 2.0).

Les nouveaux portables Gram seront présentés durant le CES de Las Vegas, qui sera certainement l'occasion d'en apprendre un peu plus sur leur disponibilité et tarif, notamment en Europe/France.

Copié dans le presse-papier !

La nouvelle version du système vous permettant de préserver votre anonymat en ligne corrige quelques bugs et met à jour ses principaux outils : noyaux Linux 4.18.20, Tor Browser 8.0.4 et Thunderbird 60.3.0.

Pour le reste, trois changements sont à noter. Le premier concerne l'ajout d'une étape de confirmation entre le téléchargement et l'application d'une mise à jour. Le second consiste à afficher un message d'alerte lorsque le système est lancé depuis une machine virtuelle.

Enfin, Autocrypt est désormais désactivé par défaut dans Thunderbird pour éviter l'envoi de message non chiffrés par erreur.