du 25 septembre 2018
Date

Choisir une autre édition

Une faille 0-day dans macOS Mojave permet d'accéder à des informations personnelles

Le chercheur Patrick Wardle a découvert une faille dans la dernière mouture du système d'exploitation d'Apple qui vient tout juste d'être mis en ligne. Cet ancien de la NSA n'en est pas son coup d'essai (ouvrir un malware via Safari, contourner GateKeeper, mots de passe en clair, clics simulés, etc.).

À BleepingComputer, il explique avoir trouvé un moyen de contourner les protections pour « accéder aux contacts confidentiels des utilisateurs via une application sans privilège ». Il ajoute que cette faille 0-day découle de la manière dont Apple a mis en place ses protections. Il ne s'agit pas d'une clé « magique » ouvrant toutes les portes, mais permettant tout de même de passer certaines protections.

Il ne donne pour le moment pas plus de détails techniques, les gardant au chaud pour la conférence Mac Security qu'il organise à Hawaï en novembre prochain. Il regrette également qu'aucun bug bounty ne soit proposé sur macOS (contrairement à iOS et iCloud).

Sur Twitter, il affirme qu'il « aimerait » remonter cette faille à Apple via ce genre de programme, puis donner les sommes récoltées à des œuvres de charité.

La démonstration publique d'un bug le jour du lancement du système d'exploitation est certainement un moyen de mettre la pression sur Apple. Pour le moment, la société ne s'est pas exprimée sur le sujet et n'a pas répondu aux demandes de plusieurs de nos confrères américains.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L’éditeur n’était pas peu fier d’annoncer hier soir que sa solution de collaboration Teams comptait désormais 13 millions d’utilisateurs actifs quotidiennement et 19 millions par semaine. Slack, de loin le plus gros concurrent, compte 10 millions d’utilisateurs actifs par jour, mais le chiffre date de janvier.

On rappellera cependant à Microsoft que son Teams est fourni avec pratiquement tous les abonnements Office 365 pour entreprises, qui l’ont donc à disposition et n’ont qu’à tendre la main pour l’activer sans surcoût.

Plusieurs fonctions sont annoncées dans la foulée, disponibles dans le courant du mois. Les confirmations de lecture vont ainsi enfin débarquer dans le service. Teams va également ajouter les alertes prioritaires, qui notifieront le ou les destinataires toutes les deux minutes jusqu’à ce qu’ils répondent.

La gestion des canaux est en outre assouplie. Il va ainsi être possible d’y faire des annonces, de publier des messages dans plusieurs canaux à la fois et de nommer des modérateurs.

Des fonctions dédiées aux employées de « première ligne » arrivent également. Par exemple, la possibilité de « pointer » directement dans l’application plutôt qu’en un lieu spécifique, ou la possibilité pour un chef d’équipe de communiquer uniquement avec les employés d’un secteur spécifique.

Copié dans le presse-papier !

Valve vient de lancer ses Steam Labs, qui permettent de tester en avance certaines fonctionnalités dans le client Steam.

Trois sont pour l’instant proposés : 

  • Micro Trailers : permet aux éditeurs de créer un court clip vidéo de six secondes pour présenter un jeu, qui apparaîtra au survol de la souris sur la vignette du titre
  • Recommander : utilise le machine learning pour examiner les titres joués (et combien de temps) et proposer des recommandations adaptées, avec des filtres de préférences
  • The Automated Show : générera à terme automatiquement une vidéo récapitulative des titres populaires du moment (elle est pour l’instant validée et commentée par un employé)

L’arrivée de ces expérimentations peut surprendre, car on attendait plutôt de Valve qu’il officialise la bêta du nouveau client, dont l’interface modernisée est attendue. Elle ne devrait plus tarder, puisque l'éditeur avait signalé mi-juin son arrivée au cours des « prochaines semaines ».

Copié dans le presse-papier !

Les investissements d’Opera dans les cryptomonnaies continuent. La version Android bêta du navigateur s’ouvre ainsi aux blockchains bitcoin et TRON, qui rejoignent Ethereum (et les jetons ERC-20) dans le Crypto Wallet.

Au-delà de cette annonce, il n’y a rien de plus à en dire. Mais elle permet à Opera de présenter son navigateur comme le premier à vraiment se tenir pour le Web3.

La dénomination est soutenue par une fondation qui décrit l’appellation comme l’ensemble « des technologies et applications dans le domaine des protocoles pour logiciels web décentralisés, particulièrement ceux utilisant des méthodes cryptographiques modernes pour préserver la décentralisation, au bénéfice et pour la stabilité de l’écosystème Web3 ».

Les blockchains sont en effet le plus souvent abordées dans le cadre des cryptomonnaies, mais l’éditeur tient à ce que son navigateur soit prêt pour la prochaine génération d’applications décentralisées, qui devraient avoir leur mot à dire dans les années à venir.

Copié dans le presse-papier !

Dans une affaire ressemblant fortement à celle d’Amazon très récemment, un article du média belge VRT annonçait que les employés de Google pouvaient accéder aux enregistrements audio par l’Assistant maison, notamment à travers toutes les enceintes connectées l’utilisant.

On apprenait également que des sociétés tierces étaient payées pour travailler sur des échantillons vocaux, sans que l’on sache très bien dans quelle mesure la vie privée pouvait en être affectée. Une manière de rappeler cependant que tout ce qui se passe autour des enceintes est écouté.

En outre, grâce à une fuite, VRT a pu écouter environ un millier d’enregistrements audio, dont 153 paraissaient clairement accidentels, dans le sens où il s’agissait de conversations courantes, ne relevant pas d’une requête (à moins qu'Assistant ait cru l'inverse). Certaines étaient très intimes, de type « conversations au lit ».

Google n’a pas nié. L’éditeur s’est fendu d’un billet de blog pour expliquer sa position. Le travail avec des « experts » du monde entier est « essentiel » pour améliorer la technique de reconnaissance. Ces personnes ou entreprises travaillent sur un lot ne dépassant jamais 0,2 % du total.

La firme insiste : aucune de ces données n’est associée à un compte Google. En outre, elles ne correspondent normalement qu’à des requêtes clairement exprimées de l’utilisateur à l’Assistant. Une réponse ne cadrant pas avec les découvertes de VRT.

C’est d’ailleurs là que la réponse de Google s’éloigne de ce que l’on aurait pu en attendre. Plutôt que de s’excuser du manque de transparence autour du processus, la firme annonce qu’elle prend très au sérieux cette fuite et que le responsable sera poursuivi.

Copié dans le presse-papier !

Hier soir, les utilisateurs de Twitter étaient bien ennuyés : impossible de tweeter ou même de lire le flux, que ce soit sur le web ou dans l’un des multiples clients, officiels ou tiers.

Le problème a été identifié et corrigé en environ une heure. Sur sa page de statut, l’éditeur indique simplement que la panne était due à « un changement de configuration interne ». Le retour à la normale s’est fait ensuite progressivement.