du 11 mars 2019
Date

Choisir une autre édition

C'est une nouvelle fois l'équipe d'Impreva qui a fait cette découverte. En novembre dernier elle avait pour rappel détecté une brèche dans Facebook qui pouvait dévoiler des informations personnelles.

La technique, proche de celle utilisée en novembre dernier, est détaillée ici. Pour mener une attaque, un pirate a besoin d'attirer sa cible sur un site spécialement conçu et de le faire cliquer n'importe où sur la page, pour lancer une vidéo par exemple.

Un nouvel onglet s'ouvre, laissant l'ancien où se déroule l'attaque en arrière-plan. Il était alors possible de « vérifier à distance si un utilisateur avait discuté avec une personne ou une entreprise en particulier ». Un prototype a été mis en ligne par ici.

Impreva a contacté Facebook en amont de sa publication. Une première mise à jour a été déployée pour atténuer le risque, mais l'équipe de chercheurs a réussi à contourner les protections. Le réseau social a alors « décidé de supprimer complètement tous les iframes de l'interface utilisateur de Messenger », rendant cette attaque impossible.

Une faille de Messenger permettait de savoir avec qui vous aviez discuté
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Au début de la semaine, Google était accusée par Genius de lui voler des paroles de chansons pour les afficher dans ses Cartes en première position.

Google en profite pour affirmer qu'il « paye aux éditeurs le droit d'afficher les paroles ». Mais ces derniers ne disposent généralement pas de copie numérique des paroles, Google (comme d'autres) passe donc par un prestataire. L'enquête est toujours en cours pour déterminer comment les apostrophes de Genius se sont retrouvées dans les Cartes Google.

Dans un billet de blog, il réaffirme sa position, en ajoutant qu'il va désormais afficher le nom de sa source à côté des paroles.

Copié dans le presse-papier !

Mozilla vient de mettre à jour toutes les versions supportées de Firefox pour corriger une faille critique 0-day.

Rapportée à l’éditeur par le chercheur Samuel Groß pour le compte du Google Project Zero, la brèche peut permettre à un pirate d’exécuter à distance un code arbitraire, pouvant mener à une prise totale de contrôle. Soit le pire des scénarios.

Estampillée CVE-2019-11707, la vulnérabilité peut affecter tout utilisateur de Firefox sur ordinateur, donc sous Linux, macOS ou Windows. Elle réside dans la manière dont Firefox manipule des objets JavaScript à cause d’un problème dans Array.pop, le navigateur souffrant d’une « confusion de types ». Aucun détail supplémentaire ni prototype d’exploitation n’a encore été révélé.

Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.

Copié dans le presse-papier !

C’est décidé : il n’y aura plus de versions 32 bits pour les variantes officielles d’Ubuntu à compter de la prochaine version majeure, à savoir la 19.10 prévue pour octobre.

Canonical ne va donc plus compiler aucun élément vers l’architecture i386, y compris les bibliothèques. La conséquence la plus directe est que les utilisateurs de l’actuelle version 19.04 en 32 bits ne pourront pas migrer vers la 19.10 quand elle sera disponible.

Environ 1 % seulement des utilisateurs se serviraient de ces versions, et cela faisait plus d’un an que l’éditeur réfléchissait à cet abandon. La question s’est accentuée avec les réflexions en cours pour la future version LTS 20.04. Les développeurs ont finalement décidé d’être « plus proactifs ».

Toutes les distributions Linux basées sur Ubuntu (comme Mint) seront obligées de suivre le même chemin. Se pose encore la question des applications nécessitant des bibliothèques 32 bits pour fonctionner, même si elles ne sont plus guère nombreuses.

Copié dans le presse-papier !

Il ne reste que quelques dizaines d'heures, mais la barrière fatidique des 19 600 euros a été franchie avec près de 400 contributeurs. Le projet étant sur le principe du « tout ou rien », le documentaire verra donc normalement le jour.

Il « se penchera sur des besoins concrets en matière de vie privée : hygiène numérique au quotidien, alternatives aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft), logiciels libres, moyens de réduire son exposition face aux risques de harcèlement et de piratage », explique le réalisateur.

Marc Meillassoux avait déjà réalisé Nothing to Hide qui s'attaquait au sempiternel argument  « je n’ai rien à cacher ». Il est désormais disponible en ligne sous licence Creative Commons.

Copié dans le presse-papier !

Deux semaines seulement après l'annonce du partenariat entre Amazon et ModiFace (L'Oréal), YouTube se lance aussi dans le maquillage virtuel.

Lorsque vous regardez un tuto par exemple, l'écran peut se diviser en deux avec le youtubeur en haut et votre visage en réalité augmentée en bas. Pendant que la vidéo vante les mérites d'un rouge à lèvres, vous pouvez essayer en réalité augmentée différentes nuances.

S'agissant d'un produit publicitaire, un lien est évidemment présent pour acheter le maquillage. Cette fonctionnalité, pour le moment en test (version alpha), est disponible sur FameBit, la plateforme des contenus de marque de YouTube.