du 12 janvier 2018
Date

Choisir une autre édition

Une équipe de chercheurs allemands indique avoir trouvé une faille de sécurité dans le fonctionnement des messages groupés de WhatsApp.

En effet, une personne ayant le contrôle des serveurs du service pourrait ajouter un participant à n'importe quelle conversation, lui donnant alors accès aux messages échangés.

Pour Alex Stamos, en charge de la sécurité de Facebook, il suffit de s'assurer que le groupe n'est composé que des personnes avec qui vous souhaitez échanger pour éviter tout problème de ce genre. Les conversations restent, elles, protégées par un chiffrement de bout-en-bout.

WhatsApp : attention à qui participe à vos conversations groupées
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L’ancien directeur de cabinet d’Axelle Lemaire (secrétaire d’État au Numérique) a été chargé « d’assurer la mise en œuvre du plan « AI for humanity » annoncé par le président de la République le 29 mars dernier ».

Bertrand Pailhès, qui a d’ores et déjà pris ses fonctions au sein de la Direction interministérielle au numérique (Dinsic), « travaillera en étroite collaboration avec tous les ministres en charge de la mise en œuvre du plan ». Il prendra notamment part au comité de suivi mensuel de la stratégie d’intelligence artificielle.

Copié dans le presse-papier !

Polémique autour d’une découverte faite dans Chrome 69 : le navigateur se connecte automatiquement au compte Google si l’utilisateur s’est connecté à n’importe quel service lié, comme Gmail.

Ce fonctionnement n’existait pas avant. On pouvait lancer Chrome, ouvrir Gmail et pourtant garder un navigateur déconnecté, avec ses données locales. Ce qui pose d’évidentes questions de vie privée.

En effet, Chrome active automatiquement Sync une fois la connexion au compte effectuée. Cela signifie-t-il qu’ouvrir Gmail déclenche la synchronisation dans le navigateur ?

Non, répond Adrienne Porte Felt, ingénieure et responsable chez Google. La connexion à Chrome est décrite comme un indicateur visuel, pour que l’utilisateur sache qu’il pourrait se rendre dans d’autres services sans avoir à retaper son mot de passe (ce qui est le cas depuis longtemps).

Elle se montre claire : bien que la connexion au compte soit automatique, elle ne déclenche aucune synchronisation. Bleeping Computer confirme après des tests dans Chrome 69 : la synchronisation est bien désactivée, attendant que l’utilisateur la déclenche manuellement une première fois.

Ce changement introduit une friction en matière d’expérience utilisateur. Les conditions d’utilisation de Chrome sont claires : si le navigateur est connecté, Sync prend le relai. En témoigne l’avatar de l’utilisateur en haut à droite.

Seulement voilà, Chrome 69 peut afficher cet avatar… qui ne veut plus tout à fait dire la même chose. Un même indicateur visuel peut signifier une connexion complète ou automatique, la première déclenchant Sync mais pas la seconde. Simple.

Google fait face désormais à l’idée qu’une simple connexion à Gmail déclenche l’envoi de données de navigation sur ses serveurs. La question fait débat, sur Twitter, sur des sites d’actualités ou encore chez des chercheurs en sécurité.

Matthew Green, par exemple, a publié un billet expliquant pourquoi il se débarrassait de Chrome. Pour lui, un tel changement change profondément le rôle de Chrome et n’aurait jamais dû avoir lieu, encore moins sans prévenir l’utilisateur. Il dénonce vivement l’absence totale de consentement et les risques pour l’utilisateur, particulièrement en cas de machine partagée.

Devant la levée de boucliers, Google sera probablement forcée de s’exprimer à nouveau. L’entreprise pourrait bien également faire machine arrière.

Copié dans le presse-papier !

Après les iPhone Xs (Max), nos confrères s'attaquent à la quatrième génération de la montre connectée d'Apple. Sans grande surprise, elle obtient exactement la même note que la précédente version : 6 sur 10.

L'écran et la batterie peuvent être remplacés, même si l'opération n'est pas simple. Par contre, l'utilisation de résine rend la plupart des réparations au niveau de la carte mère caduque et des microsoudures sur le boîtier ne facilitent pas les opérations.

Copié dans le presse-papier !

Le studio de jeux vidéo, qui a connu le succès en 2012 avec sa série épisodique The Walking Dead, ne conserve que 25 employés sur 250.

Telltale a pâti de sa recette usée d'un jeu à choix, dont il n'a pas su se détacher, et dans laquelle les ficelles apparaissent rapidement.

Elle a aussi maintenu un moteur de jeu jugé vieillissant, Telltale Tool. En l'absence de moteur physique, notamment, les développeurs devaient animer à la main certains événements aujourd'hui banals. Une cause de ce qu'on appellerait « la fatigue Telltale », qui amenait aussi par nombreux ralentissements et bugs pour les joueurs.

Le personnel a rapidement crû pour accumuler les projets mais les performances commerciales ont chuté à compter de 2014, souligne Gamekult. Le studio aurait tenu grâce au jeu de survie 7 Days To Die, qu'il éditait.

Selon l'entreprise, les améliorations de l'an passé ne se sont pas traduites en ventes suffisantes pour tenir. À en croire deux employés, les problèmes de fond étaient compensés par de nombreuses heures supplémentaires, sans grande récompense.

Les 25 employés restants devraient honorer le contrat sur Minecraft Story Mode. La saison finale de The Walking Dead, à moitié publiée, pourrait être bouclée à l'aide de partenaires dont Telltale ne dit rien.

La série Stranger Things convenue avec Netflix et la seconde saison de Wolf Among Us passeraient bien à la trappe. Dans le cadre de son contrat avec Netflix, Telltale devait abandonner son vieux moteur pour Unity, référence actuelle pour les indépendants, rapportait Variety.

Copié dans le presse-papier !

Le chercheur Patrick Wardle a découvert une faille dans la dernière mouture du système d'exploitation d'Apple qui vient tout juste d'être mis en ligne. Cet ancien de la NSA n'en est pas son coup d'essai (ouvrir un malware via Safari, contourner GateKeeper, mots de passe en clair, clics simulés, etc.).

À BleepingComputer, il explique avoir trouvé un moyen de contourner les protections pour « accéder aux contacts confidentiels des utilisateurs via une application sans privilège ». Il ajoute que cette faille 0-day découle de la manière dont Apple a mis en place ses protections. Il ne s'agit pas d'une clé « magique » ouvrant toutes les portes, mais permettant tout de même de passer certaines protections.

Il ne donne pour le moment pas plus de détails techniques, les gardant au chaud pour la conférence Mac Security qu'il organise à Hawaï en novembre prochain. Il regrette également qu'aucun bug bounty ne soit proposé sur macOS (contrairement à iOS et iCloud).

Sur Twitter, il affirme qu'il « aimerait » remonter cette faille à Apple via ce genre de programme, puis donner les sommes récoltées à des œuvres de charité.

La démonstration publique d'un bug le jour du lancement du système d'exploitation est certainement un moyen de mettre la pression sur Apple. Pour le moment, la société ne s'est pas exprimée sur le sujet et n'a pas répondu aux demandes de plusieurs de nos confrères américains.