du 16 avril 2018
Date

Choisir une autre édition

Une faille partiellement corrigée dans Outlook

Le chercheur Will Dormann a découvert une brèche dans le client e-mail il y a plus de 18 mois. Microsoft a fini par fournir un correctif lors du Patch Tuesday du 10 avril, mais il ne colmate qu'en partie la vulnérabilité.

Cette dernière réside dans la manière d'Outlook d'afficher du contenu OLE hébergé à distance dans un email au format RTF. Outlook initie alors une authentification via SMB, dans laquelle il lance le nom d'utilisateur et un hash NTLMv2. Adresse IP, nom de domaine et nom d'hôte sont également communiqués.

La faille, bien que non critique, était quand même classée importante, car elle pouvait être exploitée pour révéler le mot de passe de la session Windows. Le correctif de Microsoft bloque l'authentification SMB, mais le chercheur estime que tous les scénarios n'ont pas été passés en revue.

Il fournit dans son billet explicatif une série de mesures à prendre pour se protéger de toute attaque. L'installation du correctif (normalement automatique) est dans tous les cas recommandée.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Jeudi, YouTube annonçait du changement dans l'attribution des badges « vérifiés ». La mesure allait créer des remous puisqu'elle impliquait que certains créateurs perdraient le fameux sésame.

En plus de l'authenticité, la plateforme voulait notamment vérifier que la chaîne « représente un créateur, un artiste, une personnalité publique ou une entreprise connue » et qu'elle est « largement reconnue en dehors de YouTube ». Comme on pouvait s'y attendre, la levée de boucliers fut rapide sur les réseaux sociaux par les créateurs de contenus ayant reçu une lettre les informant que leur badge allait disparaître. 

Le lendemain, le billet de blog était mis à jour et la plateforme reconnaissait avoir « complètement raté sa cible ». Susan Wojcicki, la directrice de YouTube, s'est également excusée sur Twitter. 

Premier gros changement : « les chaînes qui possèdent déjà le badge de vérification le conserveront », sans avoir besoin de passer par une procédure spécifique. « Comme par le passé, toutes les chaînes comptant plus de 100 000 abonnés seront éligibles. Nous rouvrirons le processus de candidature d'ici fin octobre. À l'avenir, nous examinerons ces chaînes pour vérifier leur identité », explique YouTube. Tous les détails se trouvent par ici.

Dans le billet de blog de jeudi, la « coche » placée à côté des comptes validés était mise à mort pour un changement de présentation : le nom de la chaîne était écrit sur un fond gris. Google souhaitait en effet ne pas associer la coche à une approbation et éviter que des petits malins puissent faire croire trop facilement que leur chaîne est « vérifiée », avec une « coche » dans le nom par exemple.

Ce changement n'est pas annulé, mais reporté dans le temps. Le nouveau badge sera déployé à partir de l'année prochaine. 

Copié dans le presse-papier !

Cette fonctionnalité a été lancée dans le grand bain en décembre 2018. Elle tirera sa révérence le 26 septembre prochain. Les stories sur les profils personnels restent évidemment en place.

Un porte-parole de Facebook confirme la fermeture à Cnet.com. Il ajoute que la plateforme souhaite « s'assurer que les fonctionnalités des groupes permettent aux gens de se connecter de manière amusante et utile, et cherche toujours des moyens d'améliorer l'expérience globale des communautés ».

Le réseau social confirme ainsi une information de Matt Navarra.

Copié dans le presse-papier !

Dans un communiqué de presse, la société annonce la signature « d'un accord définitif portant sur la vente de son activité IntelliFlash à DDN », une société spécialisée dans l'intelligence artificielle et le cloud. Cet accord prévoit également que DDN augmentera ses achats de disques durs et SSD provenant de Western Digital. 

« Cette annonce s'inscrit dans l'intention stratégique de Western Digital d'arrêter sa branche Storage Systems, qui regroupe les activités IntelliFlash et ActiveScale ». Le cas de ce dernier n'est pas précisé, la société explorant des « options stratégiques ».

Le fabricant n'arrête évidemment pas ses activités sur le stockage, seulement les systèmes dédiés en mémoire flash ou hybride. Western Digital explique que ces actions lui permettront notamment « d’optimiser son portefeuille OpenFlex ».

Copié dans le presse-papier !

L'affaire avait fait grand bruit en mars 2018 avec la fuite de données de 50 millions d'internautes. Bien évidemment, le réseau social avait rapidement promis d'enquêter et de faire le ménage dans ses applications et les autorisations accordées.

En mai 2018, 200 applications étaient ainsi suspendues, puis 400 en août de la même année. Vous trouvez déjà ce nombre élevé ? Ce n'est rien comparé au point d'étape de septembre 2019 avec « des dizaines de milliers » d'applications. Les raisons ne sont pas détaillées.

Elles ne proviendraient « que » de 400 développeurs différents : « Cela ne signifie pas nécessairement que ces applications constituaient une menace pour les personnes. Beaucoup d'entre elles n'étaient pas actives et étaient encore en phase de test quand nous les avons suspendues », explique Ime Archibong, un vice-président de Facebook. 

Facebook tente encore une fois de minimiser les chiffres : « Dans certains cas, nous avons complètement banni les applications. Cela peut se produire pour diverses raisons, notamment le partage inapproprié de données ou la mise à disposition publique de données sans protéger l’identité des personnes ». Aucun détail supplémentaire n'est donné.

Pour rappel, la société est toujours sous le coup de plusieurs enquêtes de différents organismes officiels aux États-Unis (SEC, ministère de la Justice, etc.). Fin août, la FTC infligeait une amende de 5 milliards de dollars à Facebook.

Copié dans le presse-papier !

 Selon France 3, un homme de 24 ans a été condamné à 5 mois de prison avec sursis. Son tort ? « Avoir filmé et diffusé sur le web des images tournées le 5 septembre, lors d'une manifestation de "Gilets Jaunes" » rapportent nos confrères de Bourgogne Franche-Comté 

Ce jour à Dijon, des manifestants s’en prennent à des gendarmes se trouvant derrière une barrière protégeant une caserne. Le manifestant a eu beau expliquer qu’il effectuait un travail journalistique, les magistrats n’ont pas été convaincus.

Il n’avait pas de carte professionnelle (elle n’est pourtant pas obligatoire) et portait lui-même un gilet jaune. 

C’est la législation anti-happy slapping qui a été utilisée à son encontre. L’article 222-33-3 du Code pénal considère comme complice des atteintes volontaires à l’intégrité d’une personne, celui qui enregistre ces images. Lorsqu’elles sont ensuite diffusées, l’auteur risque cinq ans d'emprisonnement et de 75 000 euros d'amende. 

Le législateur a prévu deux exceptions, l’une journalistique, l’autre pour les besoins de la preuve en justice. Elles n’ont pas été retenues.

L’incrimination fut introduite dans notre droit en 2007 dans le projet de loi sur la prévention de la délinquance. Elle fut modifiée en 2014, lors de la loi pour l’égalité réelle entre les femmes et les hommes. 

À l’époque, le phénomène concernait notamment les établissements scolaires. « Nous remontent comme signalement au ministère environ un cas de happy slapping par semaine » expliquait-on au ministère de l'Education.

Seulement, le texte est rédigé en des termes plus généraux, comme le montrait d’ailleurs déjà les débats à l’époque qui dépassaient le cadre de la cour des collèges et lycées.