du 13 février 2019
Date

Choisir une autre édition

Elle a été découverte par le développeur Jeff Johnson, comme le rapporte The Hacker News. Il explique que l'accès à certains dossiers est normalement interdit par défaut, sauf pour quelques applications triées sur le volet (Finder par exemple). C'est notamment le cas de ~/Library/Safari.

« Cependant, j'ai découvert un moyen de contourner ces protections dans Mojave et de permettre aux applications d'accéder à ~/Library/Safari sans obtenir la permission du système ou de l'utilisateur [...] De cette manière, une application malveillante pourrait violer secrètement la vie privée d'un utilisateur en examinant son historique de navigation sur le Web », explique-t-il.

Dans une interview à BleepingComputer, le développeur ajoute avoir découvert ce bug en travaillant sur une de ses applications : « J'utilisais une API particulière, que je ne nommerai pas, et il m'est apparu que je pouvais l'utiliser pour lire des dossiers restreints. Le contournement n’a rien de complexe, il nécessite simplement des connaissances de développeurs sur Mac ».

Jeff Johnson précise que son attaque fonctionne avec le « hardened runtime » de Mojave, mais qu'elle ne peut pas être utilisée par des applications sandboxées. Toutes les versions de Mojave (y compris la dernière 10.14.3) sont concernées, mais pas High Sierra.

Le développeur a prévenu Apple en amont et indique n'avoir pour le moment reçu qu'une réponse automatique.

Une faille dans macOS Mojave (10.14) permet d'accéder à l'historique de Safari
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Première mise à jour majeure pour le nouvel Edge rebâti sur Chromium dans le canal Dev. La version passe à la 75.0.131.0, très proche finalement de la 75.0.133.0 de la branche Canary.

L’ajout principal est la disponibilité du Media Cast, qui permet tout simplement de « streamer » le contenu d’un onglet, du bureau ou d’un fichier vers un appareil compatible.

D’après nos premiers essais, lancer le cast d’une vidéo YouTube vers un téléviseur connecté sous Android TV n’a pas posé de problème particulier, pas plus que vers une barre de son (HT-ZF9) après le choix d’un MP3.

Les travaux avancent donc, mais il manque encore de très nombreux éléments dans Edge, comme nous aurons l’occasion de le voir plus tard dans la journée.

Notez que le navigateur peut maintenant être installé sur les moutures 32 bits de Windows 10. Les versions pour Windows 7, 8.1 et macOS sont toujours attendues.

Copié dans le presse-papier !

Petite mise à jour d’entretien pour LibreOffice, dont la version 6.2.3 corrige environ 90 bugs divers. Les notes complètes sont réparties entre les moutures RC1 et RC2.

Il n’y a aucune nouveauté à signaler, mais en dépit des correctifs supplémentaires, la Document Foundation continue de recommander la version 6.1.5 pour les entreprises, « où les fonctions sont moins importantes que la robustesse ».

Copié dans le presse-papier !

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Copié dans le presse-papier !

Depuis fin 2017, les deux géants se livrent une guerre. Comme Amazon ne vend pas certains produits Google (Chromecast, Home, Nest) et ne permet pas aux utilisateurs Prime Video d'utiliser Google Cast, le moteur de recherche avait décidé de retirer YouTube de l'Echo Show et des Fire TV Stick. Bref, les utilisateurs trinquent encore.

Mais la situation va changer. Dans un communiqué, Amazon explique que les applications officielles YouTube et YouTube Kids arrivent sur les Fire TV et les télévisions Fire TV Edition, tandis que son service de vidéo en streaming Prime Video va prendre en charge Chromecast et Android TV.

Les changements devraient être opérationnels au cours des prochains mois.