du 12 février 2019
Date

Choisir une autre édition

La version finale de cette dernière version du protocole de sécurisation des échanges (TLS 1.3) a été mise en ligne par l'Internet Engineering Task Force l'été dernier.

Dans une publication (qui a déjà quelques semaines) repérée par ZDNet.com et intitulée « Les 9 vies du chat de Bleichenbacher », six chercheurs (Eyal Ronen, Robert Gillham, Daniel Genkin, Adi Shamir, David Wong et Yuval Yarom) affirment avoir identifié une faille permettant d'intercepter des données, y compris chiffrées avec TLS 1.3.

Comme le titre de la publication le laisse entendre, il ne s'agit pas d'une nouvelle brèche, mais d'une énième variante de l'attaque de Bleichenbacher. Pour rappel, nous l'avions détaillée dans cette actualité sur la faille DROWN (elle aussi en est une variante).

Les chercheurs expliquent avoir testé leur attaque sur neuf implémentations de TLS (toutes à jour) : OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL et BoringSSL. Résultat : « seules les deux dernières (BearSSL et BoringSSL) n'ont pas pu être attaquées avec succès ».

Toutes les parties impliquées ont été informées en août 2018. Les chercheurs ajoutent avoir participé à l'étude et la réalisation de contre-mesures. Des correctifs ont été publiés en même temps qu'une préversion de cette publication, en novembre dernier.

Une nouvelle variante de l'attaque de Bleichenbacher cible TLS 1.3
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'ESA (Entertainment Software Association) a publié un premier bilan de l'E3 qui se déroulait la semaine dernière : environ 66 100 visiteurs et 200 exposants.

L'année dernière, ils étaient 69 200 à faire le déplacement. C'est également moins qu'en 2017 où 68 400 visiteurs étaient venus. Impossible de comparer avec les années précédentes puisqu'en 2017 le salon était pour la première fois ouvert au public.

Copié dans le presse-papier !

Le centre est exploité par la société privée Utac Ceram et comprend 12 km de piste, comme l'explique l'AFP. Pour rappel, Orange mène sur place plusieurs expérimentations 5G depuis plusieurs mois, là encore autour de la voiture autonome/connectée.

« Baptisé Teqmo, il inclut une zone de circuit autoroutier, une zone reconstituant des voies urbaines et d'autres parties permettant de simuler des scénarios de stationnement, de manœuvres ou de freinage », expliquent nos confrères.

Bruno Le Maire, ministre de l'Économie et des Finances, était sur place pour l'inauguration. Il en profite pour reconnaître le retard de la France sur ses sujets (l'intégralité de son discours est disponible par ici) :

« Deux révolutions sont en cours : la révolution de la motorisation électrique et la révolution du véhicule autonome. Nous sommes en passe de réussir la première – avec un peu de retard mais nous avons mis un coup d’accélérateur. Sur la seconde, en revanche, nous faisons confiance à Anne-Marie Idrac pour nous mettre l’épée dans les reins et garantir que les choses avancent. Nous avons pris du retard et il faut rattraper ce retard ».

Il cite trois « besoins » clés pour la voiture autonome : développer les technologies (en particulier l'intelligence artificielle), la 5G (même si la 4G est largement suffisante pour de nombreux usages) et expérimenter.

Le ministre en profite pour revenir sur le cadre réglementaire : « Qui est responsable lors d'un accident avec un véhicule autonome ? Ce qui a été décidé dans le projet de loi sur la croissance et la transformation des entreprises, c’est que ce sera le titulaire de l’expérimentation qui sera responsable en cas d’accident ».

Reste maintenant à définir ce même cadre lorsque les voitures autonomes seront mise en vente. Qui sera alors responsable ? Le propriétaire, le fabricant, le vendeur, le développeur…

Copié dans le presse-papier !

C’est décidé : il n’y aura plus de versions pour les variantes officielles d’Ubuntu à compter de la prochaine version majeure, à savoir la 19.10 prévue pour octobre.

Canonical ne va donc plus compiler aucun élément vers l’architecture i386, y compris les bibliothèques. La conséquence la plus directe est que les utilisateurs de l’actuelle version 19.04 en 32 bits ne pourront pas migrer vers la 19.10 quand elle sera disponible.

Environ 1 % seulement des utilisateurs se serviraient de ces versions, et cela faisait plus d’un an que l’éditeur réfléchissait à cette abandon. La question s’est accentuée avec les réflexions en cours pour la future version LTS 20.04. Les développeurs ont finalement décidé d’être « plus proactifs ».

Toutes les distributions Linux basées sur Ubuntu (comme Mint) seront obligées de suivre le même chemin. Se pose encore la question des applications nécessitant des bibliothèques 32 bits pour fonctionner, même si elles ne sont plus guère nombreuses.

Copié dans le presse-papier !

En fin de semaine dernière, des utilisateurs ont eu la mauvaise surprise de voir apparaître des publicités pour Booking sur leur écran de verrouillage, du moins ceux utilisant l'application fonds d'écran de paysages préinstallée.

Plusieurs pays sont concernés, dont la France (nous en avons fait l'expérience). Le fabricant confirme à XDA Developers que les images publicitaires ont été supprimées (elles peuvent toujours être disponibles sur les terminaux si elles ont été téléchargées).

Huawei ne donne par contre aucune explication : ont-elles été mises en place intentionnellement avec une volte-face devant le tollé, ou bien par erreur ? Booking a-t-il tenté de « détourner » l'application en ajoutant son logo comme l'avait fait The North Face sur Wikipedia ? Toutes les hypothèses restent ouvertes.

Copié dans le presse-papier !

Deux semaines seulement après l'annonce du partenariat entre Amazon et ModiFace (L'Oréal), YouTube se lance aussi dans le maquillage virtuel.

Lorsque vous regardez un tuto par exemple, l'écran peut se diviser en deux avec le youtubeur en haut et votre visage en réalité augmentée en bas. Pendant que la vidéo vante les mérites d'un rouge à lèvres, vous pouvez essayer en réalité augmentée différentes nuances.

S'agissant d'un produit publicitaire, un lien est évidemment présent pour acheter le maquillage. Cette fonctionnalité, pour le moment en test (version alpha), est disponible sur FameBit, la plateforme des contenus de marque de YouTube.