du 11 mars 2019
Date

Choisir une autre édition

C'est une nouvelle fois l'équipe d'Impreva qui a fait cette découverte. En novembre dernier elle avait pour rappel détecté une brèche dans Facebook qui pouvait dévoiler des informations personnelles.

La technique, proche de celle utilisée en novembre dernier, est détaillée ici. Pour mener une attaque, un pirate a besoin d'attirer sa cible sur un site spécialement conçu et de le faire cliquer n'importe où sur la page, pour lancer une vidéo par exemple.

Un nouvel onglet s'ouvre, laissant l'ancien où se déroule l'attaque en arrière-plan. Il était alors possible de « vérifier à distance si un utilisateur avait discuté avec une personne ou une entreprise en particulier ». Un prototype a été mis en ligne par ici.

Impreva a contacté Facebook en amont de sa publication. Une première mise à jour a été déployée pour atténuer le risque, mais l'équipe de chercheurs a réussi à contourner les protections. Le réseau social a alors « décidé de supprimer complètement tous les iframes de l'interface utilisateur de Messenger », rendant cette attaque impossible.

Une faille de Messenger permettait de savoir avec qui vous aviez discuté
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La société a récemment déposé son dossier d'introduction en bourse, mais sans dévoiler la date de la première cotation ni le montant de la valorisation visé. D'après certains, il pourrait être aux alentours de 100 milliards de dollars.

En attendant, le VTC annonce une bonne nouvelle : Toyota et sa filiale DENSO vont investir 667 millions de dollars, tandis que SoftBank va injecter 333 millions. Toyota s'est également engagé à débourser 300 millions de dollars de plus sur les trois prochaines années.

Dans tous les cas, les fonds sont pour Uber ATG (Advanced Technologies Group), une branche d'Uber désormais valorisée 7,25 milliards de dollars. Le but de l'opération est « d'accélérer le développement et la commercialisation de services de covoiturage automatisés ».

C'est donc un signe fort pour les véhicules autonomes alors qu'une des voitures d'Uber était impliquée dans un accident mortel en mars dernier.

Copié dans le presse-papier !

Depuis hier, les enceintes connectées Google Home sont capables de fonctions supplémentaires, malheureusement dans quelques pays et en anglais uniquement.

L’enceinte prend ainsi en charge les ampoules Hue de Philipps pour les sessions de réveil ou de sommeil en douceur, avec évolution lente de la lumière dans un sens ou dans l’autre.

Plusieurs fonctions ont été ajoutées pour faciliter le sommeil, comme « Hey Google, je veux méditer », faisant le lien avec les applications proposant ce genre de fonction.

L’assistant est également compatible désormais avec l’enregistrement de recettes, que l’on peut chercher à la voix, avec instructions étape par étape. Google en profite pour remettre en avant son Home Hub avec écran intégré.

L’enceinte Home peut en outre être utilisée pour jouer des listes de lecture spéciales sport, régler des alarmes pour partir courir ou demander des à YouTube des démonstrations d’exercices physiques. Une petite pause lecture ? L’enceinte peut vous en lire un.

En bref, toujours plus de dépendance à un objet connecté pour régenter le moindre aspect de nos vies. Notez que Google ne dit rien pour l’arrivée de ces fonctions en Europe.

Copié dans le presse-papier !

Depuis fin 2017, les deux géants se livrent une guerre. Comme Amazon ne vend pas certains produits Google (Chromecast, Home, Nest) et ne permet pas aux utilisateurs Prime Video d'utiliser Google Cast, le moteur de recherche avait décidé de retirer YouTube de l'Echo Show et des Fire TV Stick. Bref, les utilisateurs trinquent encore.

Mais la situation va changer. Dans un communiqué, Amazon explique que les applications officielles YouTube et YouTube Kids arrivent sur les Fire TV et les télévisions Fire TV Edition, tandis que son service de vidéo en streaming Prime Video va prendre en charge Chromecast et Android TV.

Les changements devraient être opérationnels au cours des prochains mois.

Copié dans le presse-papier !

Petite mise à jour d’entretien pour LibreOffice, dont la version 6.2.3 corrige environ 90 bugs divers. Les notes complètes sont réparties entre les moutures RC1 et RC2.

Il n’y a aucune nouveauté à signaler, mais en dépit des correctifs supplémentaires, la Document Foundation continue de recommander la version 6.1.5 pour les entreprises, « où les fonctions sont moins importantes que la robustesse ».

Copié dans le presse-papier !

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.