du 25 septembre 2018
Date

Choisir une autre édition

Une faille 0-day dans macOS Mojave permet d'accéder à des informations personnelles

Le chercheur Patrick Wardle a découvert une faille dans la dernière mouture du système d'exploitation d'Apple qui vient tout juste d'être mis en ligne. Cet ancien de la NSA n'en est pas son coup d'essai (ouvrir un malware via Safari, contourner GateKeeper, mots de passe en clair, clics simulés, etc.).

À BleepingComputer, il explique avoir trouvé un moyen de contourner les protections pour « accéder aux contacts confidentiels des utilisateurs via une application sans privilège ». Il ajoute que cette faille 0-day découle de la manière dont Apple a mis en place ses protections. Il ne s'agit pas d'une clé « magique » ouvrant toutes les portes, mais permettant tout de même de passer certaines protections.

Il ne donne pour le moment pas plus de détails techniques, les gardant au chaud pour la conférence Mac Security qu'il organise à Hawaï en novembre prochain. Il regrette également qu'aucun bug bounty ne soit proposé sur macOS (contrairement à iOS et iCloud).

Sur Twitter, il affirme qu'il « aimerait » remonter cette faille à Apple via ce genre de programme, puis donner les sommes récoltées à des œuvres de charité.

La démonstration publique d'un bug le jour du lancement du système d'exploitation est certainement un moyen de mettre la pression sur Apple. Pour le moment, la société ne s'est pas exprimée sur le sujet et n'a pas répondu aux demandes de plusieurs de nos confrères américains.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a deux semaines, la société annonçait une conférence de presse pour le 30 octobre afin de dévoiler son nouveau smartphone. Il y a quelques jours, c'était au tour d'Apple de convier les médias pour une présentation, également le 30 octobre.

Face au géant de Cupertino, OnePlus reste lucide : « Nous venons tout juste de commencer notre voyage et nous ne pouvons pas nous permettre de laisser l'un des produits les plus importants de notre histoire être affecté par un autre grand lancement de produit ».

« Nous avons pris la décision d’avancer notre conférence, afin de maximiser la présence des médias mais aussi de permettre à notre communauté passionnée par la technologie de suivre les deux annonces » explique la société. Elle aura donc lieu le 29 octobre à 16h.

Ce changement n'est pas anodin pour les personnes ayant acheté un billet et planifié leur déplacement pour assister à la conférence, qui se déroulera à New York. OnePlus prend les devants : « Tous les détenteurs d'un billet ne pouvant plus participer à l’évènement pourront demander le remboursement intégral de leur billet à OnePlus. La compagnie couvrira aussi tous les coûts que les personnes pourront encourir pour modifier leurs plans (vol ou hébergement) ».

Dans tous les cas, « l’équipe OnePlus contactera individuellement tous les propriétaires de billets pour les aider ». Comme toujours, une retransmission en direct sera aussi proposée :

Copié dans le presse-papier !

La situation se tend pour Julian Assange. Le fondateur de WikiLeaks attaque en effet l’Équateur, qui lui offre pourtant l’asile politique depuis six ans dans son ambassade londonienne.

Assange estime en effet que ses libertés fondamentales sont bafouées. Il semble que l’attaque fasse suite à une série de règles confiées récemment à Assange par l’Équateur : nettoyer sa salle de bain, nourrir son chat, laver son linge, ne pas participer à des débats houleux avec le personnel…

Des règles de bienséance jugées dégradantes par Assange.

Baltasar Garzon, son avocat, a indiqué récemment au cours d’une conférence téléphonique que le fondateur de Wikileaks a été « détenu dans des conditions inhumaines depuis plus de six ans. Même les personnes emprisonnées ont leurs appels payés par l’État ».

Un choix de mots très particuliers. « Détenu » renvoie à une situation d’emprisonnement après condamnation. Assange n’est pas en prison mais réfugié politique. Difficile de fait de savoir quels intérêts se jouent ici.

Le Royaume-Uni répète depuis des années qu’Assange sera arrêté au premier pas en dehors de l’ambassade. Les États-Unis pourraient alors le faire extrader pour ses activités liées à WikiLeaks. Quant à l’Équateur, son président Lenin Moreno indiquait en juillet qu’Assange ne pouvait pas rester « pour toujours » dans son ambassade.

Il est probable que le réfugié soit devenu un problème gênant pour un nombre croissant d’intérêts. Sa plainte pourrait reposer sur une base légitime mais, même dans ce cas, elle risque fort d’agacer l’Équateur. Elle pourrait cependant éclairer un peu les conditions réelles de vie d’Assange depuis six ans.

Copié dans le presse-papier !

L'organisation américaine, en charge des ressources mondiales du Net, a publié une lettre le 20 octobre (PDF), traduisant les tensions sur la réforme du « whois » des noms de domaine à extension générique, imposée par le Règlement général sur la protection des données (RGPD).

Les coordonnées des titulaires doivent désormais être masquées par défaut, l'ICANN ayant pris très tardivement conscience du problème (voir notre analyse). Depuis, des États et groupes privés poussent le maintien de cette information publique.

Dans sa missive, elle réfute servir les intérêts de certains acteurs, comme les forces de l'ordre et des sociétés privées dont l'activité dépend du moissonnage du « whois », sans le consentement des internautes.

L'organisation répond à une lettre du Groupe des acteurs non-commerciaux du GNSO, présidé par Farzaneh Badii, directrice exécutive de l'Internet Governance Project (IGP).  Datée du 17 octobre (PDF), elle accuse l'ICANN de défendre des intérêts particuliers en cherchant un moyen de maintenir l'annuaire public. Le groupe estime aussi que l'ICANN entre dans la régulation des contenus, qui est hors de son champ de compétences officiel.

Pour l'ICANN, il n'est pas question de maintenir l'annuaire public, malgré les apparences. Il ne serait pas non plus question de favoritisme pour certains intérêts, ni de discussions à huis clos avec les CNIL européennes.

De même, elle assure s'inquiéter des droits des titulaires sur leurs données. Elle se défend enfin d'entrer dans la régulation de contenus, dans la conception de son modèle l'accès aux données.

« Nous sommes inquiets que votre lettre soit par moments fondée sur des opinions présentées comme des faits, et tente de réécrire une partie de l'histoire entre la communauté de l'ICANN et les lois de protection des données » tance l'organisation.

Des groupes sont pourtant actifs pour maintenir ce « whois » public. En août, l'IGP avait révélé un brouillon de loi poussé par des sociétés au Congrès américain. Il réduirait le champ du RGPD sur le « whois », en créant des obligations de publicité des coordonnées pour des acteurs américains et ceux visant le pays.

Copié dans le presse-papier !

Microsoft l’avait promis lors de la conférence Ignite : ses produits Server sur site allaient bientôt recevoir la mouture 2019.

C’est le cas désormais avec Office, SharePoint Exchange, Skype for Business et Project, pour les entreprises n’étant pas déjà abonnés à Office 365. Rappelons que ces versions sont conçues pour rassembler les nouveautés des dernières années, à destination des licences perpétuelles.

SharePoint est l’un des gros morceaux avec de nombreuses transformations : nouveaux sites individuels et d’équipes modernisés, publication simplifiée de pages, listes revisitées, mise en relation simplifiée, envoi de fichiers jusqu’à 15 Go, etc.

Skype for Business apporte de son côté le support de TLS 1.2, une migrations simplifiée vers Teams (qui doit à terme rassembler tout ce qui touche à la communication), le Cloud Call Data Connector pour des statistiques d’appels (notamment de qualité), ou encore le Cloud Voicemail pour l’accès à la boîte vocale de n’importe où.

Exchange propose pour sa part des améliorations de performances et fiabilité, une recherche améliorée via « les technologies Bing », de nouvelles options pour restreindre le transfert des invitations ou encore un contrôle amélioré sur les paramètres de type « hors du bureau ».

Tous ces produits réclament Windows Server 2019 et sont conçus pour fonctionner ensemble. Point intéressant, le billet de blog de Microsoft précise que ce Windows et la mise à jour 1809 sont actuellement indisponibles à cause d’un problème de qualité. Une précision qui pourrait entraîner une méfiance des entreprises.

On ne sait pas encore combien de temps Microsoft continuera à proposer des versions sur site ou destinées au cloud hybride, c’est-à-dire mélangeant des installations sur site à du cloud classique. Ces « nouvelles » versions n’apportent ainsi rien de neuf dans l’absolu et ne font que rattraper leur retard sur leurs déclinaisons 365.

Copié dans le presse-papier !

Brendan Iribe, co-fondateur et ex-PDG d'Oculus, a annoncé son départ de l'entreprise, suite à une récente réorganisation.

Selon TechCrunch, son départ serait lié à l'arrêt du développement de la prochaine génération du casque de réalité virtuelle Rift, dédié au monde PC. Facebook préfèrerait selon nos confrères se focaliser sur la réalité virtuelle mobile, représentée par l'Oculus Go et le futur casque Quest dans la gamme de l'entreprise.

De son côté, le réseau social assure que le Rift 2 fait toujours partie de la feuille de route d'Oculus.