du 13 mai 2019
Date

Choisir une autre édition

Une faille béante dans des milliers de traceurs GPS permet d'obtenir la position et d'écouter les conversations

Les utilisations des produits du genre sont très nombreuses : alarmes connectées pour personnes âgées, suivi des déplacements pour les enfants et les véhicules, etc.

Problème, via l'envoi d'un simple SMS, un traceur GPS vendu en marque blanche par un fabricant chinois laisse fuiter des informations très sensibles, comme l'explique TechCrunch qui s'appuie sur une publication de Fidus. Nos confrères expliquent qu'il est utilisé par de nombreux fabricants : Pebbell, OwnFone Footprint et SureSafeGo pour ne citer qu'eux.

Les petits boîtiers utilisent la 2G pour se connecter aux réseaux mobiles et, même s'ils ne permettent pas d'accéder à Internet, l'envoi d'un SMS permet en retour d'obtenir la localisation avec des données sur l'altitude et la vitesse, le numéro IMEI et bien plus encore.

Il est aussi possible de désactiver les alarmes de mouvement, de chute ou de batterie faible, éteindre l'appareil et même… d'écouter à distance en appelant le numéro de téléphone. TechCrunch a pu tester ces vulnérabilités et confirme qu'elles sont réelles.

Un code PIN peut être ajouté pour protéger l'accès, mais il est désactivé par défaut. Pire, même s'il est présent, les commandes reboot et reset ne nécessitent pas le code PIN pour être utilisées. Cette dernière remet l'appareil dans sa configuration par défaut… sans code PIN.

Pour les chercheurs, réparer cette faille serait « trivial », par exemple en imprimant un code unique sur chaque appareil, nécessaire pour accéder à celui-ci à distance. Ils estiment par contre que rien ne peut être fait pour ceux déjà en circulation, notamment à cause de la commande reset accessible sans authentification.

Contactés en amont, certains constructeurs ont commencé à rappeler leurs produits, tandis que d'autres n'ont pas répondu.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Deadline explique que Constantin Film a acheté les droits à Avalanche studio et Square Enix.

Nos confrères affirment que le film gardera l'esprit du jeu : « Rico Rodriguez participe à une course contre la montre pour arrêter The Black Hand, un groupe de mercenaires meurtrier ». Le tournage pourrait débuter en 2020 si un réalisateur et un acteur pour le personnage principal sont rapidement trouvés.

Copié dans le presse-papier !

Le mystérieux compte SandboxEscaper sur GitHub a publié récemment les détails de trois failles 0-day dans Windows.

La première a été publiée mardi et est de type escalade de privilèges. Elle réside dans le Windows Task Scheduler et peut permettre à un utilisateur authentifié localement d’obtenir les droits SYSTEM.

La deuxième, également de type escalade, a été publiée hier. Elle se trouve cette fois dans le service Windows Error Reporting. Exploitée, elle pourrait autoriser un utilisateur à modifier des fichiers normalement hors d’atteinte.

La dernière, elle aussi publiée hier, affecte Internet Explorer 11. Elle pourrait permettre à un code JavaScript d’être exploité avec des privilèges plus élevés que ce que ne permet la sandbox.

Ces trois nouvelles failles viennent s’ajouter aux quatre autres dont les détails avaient été publiés au cours de l’année écoulée. Aucune des sept vulnérabilités ne peut être exploitée à distance.

Elles ne sont donc pas critiques, mais restent sérieuses puisqu’un pirate pourrait gagner des droits administrateur depuis un compte classique s’il devait en obtenir un à distance. En outre, ces failles peuvent être éventuellement exploitées en conjonction d’autres brèches pour obtenir cette fois un scénario d’attaque distante.

Microsoft n’a pas encore réagi à ces informations.

Copié dans le presse-papier !

Depuis plusieurs années, la FTC accuse le fabricant d'entraver le bon déroulement de la concurrence sur le marché des modems.

La juge Lucy Koh donne raison à la Federal Trade Commission : « Les pratiques de Qualcomm en matière de licences ont étouffé la concurrence sur les marchés des puces modem haut de gamme [...] pendant des années et ont nui aux concurrents, aux équipementiers et aux consommateurs », comme l'indique Reuters.

Elle demande donc au fabricant de renégocier ses contrats et d'octroyer à des prix raisonnables des licences à ses concurrents. Qualcomm a fait part de son intention de demander la suspension immédiate du jugement et de faire appel : « Nous sommes fermement en désaccord avec les conclusions de la juge, son interprétation des faits et son application de la loi ».

En bourse, cette condamnation a eu l'effet d'une douche froide avec une chute de plus de 10 % de l'action. De plus de 77 dollars, elle est descendue sous les 70 dollars.

Copié dans le presse-papier !

La Las Vegas Convention and Visitors Authority (LVCVA) valide ce contrat avec la société d'Elon Musk, comme le rapporte The Verge.

Le but est de construire deux tunnels et trois stations pour les véhicules et les piétons. Il servira notamment à relier les halls d'exposition du Las Vegas Convention Center utilisés durant le CES.

Sur Twitter, Elon Musk pense qu'il sera opérationnel d'ici la fin de l'année (sans préciser avec combien de mois/années de retard). Plus prudente, la LVCVA pense l'utiliser pour le CES 2021, selon nos confrères.

Copié dans le presse-papier !

Après six ans dans la société et trois ans à sa tête, Mandelbrot explique qu'il quitte ses fonctions pour « des raisons personnelles ». Il en profite pour dévoiler le nom de son successeur : Andy Yang, un ancien de Reddit et de 500px.

S'il n'en est pas fait mention dans le message de David Mandelbrot, la société aurait procédé à des licenciements, c'est du moins ce qu'affirment des sources à The Verge.

Interrogés sur ce point, Mandelbrot et Indiegogo ont refusé de commenter.