du 25 septembre 2018
Date

Choisir une autre édition

Une faille 0-day dans macOS Mojave permet d'accéder à des informations personnelles

Le chercheur Patrick Wardle a découvert une faille dans la dernière mouture du système d'exploitation d'Apple qui vient tout juste d'être mis en ligne. Cet ancien de la NSA n'en est pas son coup d'essai (ouvrir un malware via Safari, contourner GateKeeper, mots de passe en clair, clics simulés, etc.).

À BleepingComputer, il explique avoir trouvé un moyen de contourner les protections pour « accéder aux contacts confidentiels des utilisateurs via une application sans privilège ». Il ajoute que cette faille 0-day découle de la manière dont Apple a mis en place ses protections. Il ne s'agit pas d'une clé « magique » ouvrant toutes les portes, mais permettant tout de même de passer certaines protections.

Il ne donne pour le moment pas plus de détails techniques, les gardant au chaud pour la conférence Mac Security qu'il organise à Hawaï en novembre prochain. Il regrette également qu'aucun bug bounty ne soit proposé sur macOS (contrairement à iOS et iCloud).

Sur Twitter, il affirme qu'il « aimerait » remonter cette faille à Apple via ce genre de programme, puis donner les sommes récoltées à des œuvres de charité.

La démonstration publique d'un bug le jour du lancement du système d'exploitation est certainement un moyen de mettre la pression sur Apple. Pour le moment, la société ne s'est pas exprimée sur le sujet et n'a pas répondu aux demandes de plusieurs de nos confrères américains.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.

Copié dans le presse-papier !

Nouvelle révision pour Vivaldi, dont l’orientation « power user » assumée ne cesse de se renforcer.

La version 2.2 donne encore un coup d’accélérateur à la gestion des onglets, déjà très poussée. L’utilisateur peut ainsi sélectionner spécifiquement les onglets (via Ctrl/Maj + clic) qu’il souhaite sauvegarder au sein d’une session (via le clic droit après sélection). Pratique, la manipulation évitant de déplacer les onglets dans une nouvelle fenêtre.

D’autres ajouts importants sont à signaler, comme la vidéo flottante (Picture in Picture), que l’on peut extraire d’une vidéo existante sur une page, exactement comme le propose Opera depuis un bon moment. Une fonction bien pratique, qui permet notamment de redimensionner la vidéo. Contrairement à Opera, le bouton n’apparait pas au survol, mais dans le menu contextuel (clic droit).

Vivaldi veut également rendre ses barres entièrement configurables. « Premier pas » selon l’éditeur, la possibilité de supprimer tous les boutons dans les barres d’adresses et d’état. Vous n’utilisez pas Précédent, Suivant, Accueil ou Rechargement ? Enlevez-les via la fonction Personnaliser, via un clic droit sur l’une des barres.

Parmi les autres ajouts, signalons le clic molette depuis les éléments du menu Précédent ou Suivant (clic droit ou gauche prolongé), un champ de recherche dans le Speed Dial, l’arrivée des onglets fermés dans les commandes rapides, la récupération automatique de Widevine pour les sites en ayant besoin (comme Netflix) ou encore la coupure du son pour tous les onglets sauf celui actif.

La nouvelle mouture vient tout juste d'être mise en ligne. Comme toujours, les utilisateurs pourront la récupérer depuis le menu dédié ou le site officiel.

Copié dans le presse-papier !

Le 30 novembre, SFR plaçait son activité de déploiement de fibre en zones peu denses dans une entreprise dédiée, dont 49,99 % a été vendue à trois investisseurs.

Cette fois, Bouygues Telecom et Axione signent un accord sur 30 ans avec le fonds Mirova, pour déployer 3,4 millions de prises restant en zones très denses (les 100 agglomérations les plus peuplées), rapportent Les Échos. Une nouvelle société nait, CityFast, détenue par Axione et Mirova.

Pour rappel, Axione est une filiale de Bouygues Construction, à la collaboration longtemps difficile avec la partie Telecom du groupe. Elle gère désormais des réseaux d’initiative publique (RIP) en zones rurales pour le compte de départements.

Selon le quotidien, le contrat est en négociation depuis un an et demi. Jusqu’ici, Bouygues Telecom comptait principalement sur SFR pour déployer la fibre en zones très denses, s’évitant cette charge sur trois millions de lignes.

La contrepartie a été un long gel des déploiements après le rachat de SFR par Numericable, qui lui a valu une sanction de 40 millions d’euros par l’Autorité de la concurrence. Malgré ce contrat signé en 2010, Bouygues Telecom devait encore connecter lui-même les lignes restantes. CityFast récupère les infrastructures de l’opérateur, qui gagne entre 43 et 45 millions d’euros.

Copié dans le presse-papier !

Razer vient de se lancer dans une opération commerciale complètement improbable. Le fabricant de périphériques propose en effet à ses clients de laisser tourner un mineur de cryptomonnaie en tâche de fond, en échange de points de fidélité.

Il leur faut pour cela télécharger le logiciel Razer SoftMiner, qui se chargera de miner diverses cryptomonnaies (la marque ne précise pas lesquelles) en exploitant la carte graphique de l'utilisateur.

Razer affirme qu'un possesseur de GTX 1050 ou de Radeon RX 460 devrait pouvoir récupérer environ 500 Razer Silver par jour. Ces points ont une durée de vie limitée à un an et peuvent être échangés contre des lots à cette adresse.

21 000 points permettent d'obtenir une copie Steam du jeu Torchlight (souvent soldé sous la barre des 5 euros). Pour un tapis de souris RGB, il faudra cumuler 84 000 points (soit près de six mois de minage continu) tandis que pour un clavier tel que le Huntsman Elite, comptez 280 000 points, soit près d'un an et demi d'efforts.

Copié dans le presse-papier !

La nouvelle version du système vous permettant de préserver votre anonymat en ligne corrige quelques bugs et met à jour ses principaux outils : noyaux Linux 4.18.20, Tor Browser 8.0.4 et Thunderbird 60.3.0.

Pour le reste, trois changements sont à noter. Le premier concerne l'ajout d'une étape de confirmation entre le téléchargement et l'application d'une mise à jour. Le second consiste à afficher un message d'alerte lorsque le système est lancé depuis une machine virtuelle.

Enfin, Autocrypt est désormais désactivé par défaut dans Thunderbird pour éviter l'envoi de message non chiffrés par erreur.