du 11 octobre 2018
Date

Choisir une autre édition

WhatsApp colmate une brèche de sécurité dans les appels vidéos

WhatsApp a corrigé une importante faille de sécurité dans les versions Android et iOS de son application de messagerie.

La vulnérabilité permettait en théorie de dérober bon nombre de données à l’utilisateur s’il décrochait un appel envoyé par le pirate. Ce dernier devait envoyer des paquets Real-time Transport Protocol (RTP) conçus de telle manière qu’ils entraînent une corruption de la mémoire.

La brèche a été découverte fin août par Natalie Silvanovich, membre de l’équipe Project Zero chez Google. Comme toujours avec cette initiative, les détails devaient être publiés au plus tard 90 jours après la découverte, ou à moins que le correctif soit disponible largement.

Les versions corrigées de WhatsApp pour Android et iOS sont intervenues respectivement les 28 septembre et 3 octobre. Elles devraient donc se trouver sur une majorité d’appareils, si bien entendu les utilisateurs n’ont pas bloqué les mises à jour.

Notez également que cette faille ne pouvait être exploitées qu’à travers les appels passés entre ces deux applications, les seuls à exploiter RTP.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Cette initiative s'inscrit dans le cadre des 30 ans du web. Pour rappel, c'est le 12 mars 1989 que Tim Berners-Lee propose ce projet au CERN. Le navigateur WorldWideWeb fonctionnait sur un ordinateur NeXT. Le 30 avril 1993, le CERN l'a mis dans le domaine public.

Aujourd'hui, l'organisation européenne pour la recherche nucléaire propose de voyager dans le temps avec une restitution la plus fidèle possible et accessible via un navigateur moderne. Les développeurs en charge du projet ont d'ailleurs pu rencontrer Robert Cailliau, un des pères du World Wide Web avec Tim Berners-Lee.

Vous pouvez naviguer sur n'importe quel site en cliquant sur Document et ensuite sur Open from full document reference. Saisissez l'URL de votre choix et validez. Pour rappel, ce navigateur permet également de réaliser des modifications en temps réel sur la page.

Copié dans le presse-papier !

Microsoft a introduit la Timeline (Affichage des tâches) avec l’April 2018 Update. La fonction est disponible juste à droite de la zone de recherche dans la barre des tâches.

Cette vue rappelle fortement le mode Exposé de macOS, mais avec une différence importante : on peut faire défiler l’écran vers le bas, révélant les documents, photos, sites et autres ouverts les jours précédents. La fonction peut être désactivée, l’installation de Windows 10 posant même la question. Les données sont synchronisées entre les machines par le compte Microsoft.

Problème pour Microsoft : outre tous les formats de base reconnus, les applications doivent être compatibles pour s’afficher correctement dans la Timeline. Par exemple, pour reprendre un rapport à la page où l’on s’était arrêté.

L’éditeur propose justement une extension officielle pour Chrome. Une fois installée, elle demande une connexion au compte Microsoft. L’historique du navigateur sera alors récupéré par la Timeline, qui permettra à son tour de retrouver un onglet particulier.

En fait, puisque l’extension existe, on se demande si Microsoft ne travaille pas directement au support de la Timeline dans le code source de Chromium.

La nouvelle version d’Edge supportera nécessairement les fonctions spécifiques de Windows 10. Comme pour la Mixed Reality, il y a donc de fortes chances de voir rejaillir cette prise en charge dans Chrome lui-même, et par ce biais dans Brave, Opera et Vivaldi, pour ne citer qu’eux.

Copié dans le presse-papier !

L’apport était à prévoir, maintenant que Microsoft a décidé d’utiliser Chromium pour refonder son navigateur Edge. L’éditeur va évidemment travailler le support des technologies Windows 10, ce qui va se traduire par un glissement dans Chrome lui-même.

Voilà donc que la dernière préversion Canary de Chrome supporte la Windows Mixed Reality. Il ne suffit pas d’installer le navigateur : il faut au moins utiliser la build 18329 de Windows 10, disponible dans le canal rapide pour les testeurs membres du programme Insiders. Elle débloquait pour rappel l’utilisation de la Mixed Reality dans les applications Win32.

Si vous remplissez ces conditions, il faudra se rendre dans les paramètres cachés de Chrome (chrome://flags), y chercher la ligne Mixed Reality et l’activer. Une fois le navigateur redémarré, la technologie devient utilisable.

Bien qu’il ne s’agisse que d’un exemple spécifique, Microsoft tient avec Chromium un moyen puissant de diffuser le support de technologies spécifiques. Si Chromium prend en charge Mixed Reality, il y a fort à parier que Brave, Opera et Vivaldi en feront de même.

Pour rappel, l'installation de Chrome Canary ne remplace pas celle du Chrome classique. Elle permet donc de faire des tests sans affecter son navigateur principal, Canary pouvant être comparé à une version alpha.

Copié dans le presse-papier !

Ce n'est pas la première déclaration du genre de la part du dirigeant, mais il semble particulièrement sûr de lui cette fois-ci.

« Quand penserons-nous qu’une conduite autonome peut se faire sans risque ? Probablement vers la fin de cette année, et ensuite, ce sera aux organismes de réglementation qu’il appartiendra de décider quand ils voudront l’homologuer », expliquait-il lors de la présentation des résultats de la société il y a peu.

Lors d'un entretien avec des investisseurs détenant déjà des parts dans Tesla, Elon Musk persiste et signe, comme le rapporte CNBC : « Je pense qu'on proposera une conduite entièrement autonome cette année. La voiture pourra venir vous chercher sur un parking et vous emmener à votre destination sans intervention, dès cette année. Je dirais que j'en suis certain, ce n'est pas une question ».

Il ajoute néanmoins qu'il ne faut pas extrapoler : cette technologie ne peut pas (encore ?) fonctionner dans 100 % des situations, sans aucune action conducteur. Elon Musk pense par contre qu'il sera possible « qu'une personne s'endorme et se réveille à destination » avant la fin de l'année.

Copié dans le presse-papier !

Le nouveau domaine de premier niveau (TLD, pour Top Level Domain) vise évidemment les développeurs, mais pas seulement : designers, écrivains ou encore architectes sont invités.

En clair, tout projet nécessitant un développement de longue durée et tout ce qui peut bien s’y rapporter. Google continue ainsi de créer des TLD thématiques, après les .pages pour assurer une présence en ligne et les .app dédiés aux applications.

Pour donner de la visibilité au nouveau domaine, Google s’est assuré l’accompagnement de quelques poids lourds : GitHub.dev, Grow.dev, Accessibility.dev, Slack.dev, JetBrains.dev, Women.dev (Women Who Code) ou encore Codecademy.dev.

Le cas de Slack est représentatif. Son site .dev permet d'y regrouper toutes les ressources dédiées aux développeurs, comme les SDK, la documentation, les exemples de code et ainsi de suite.

Tout nouveau domaine sera obligatoirement en HTTPS, Google en profitant pour vanter les mérites de son nouveau TLD : « Avec chaque site .dev lancé, vous aidez le web à progresser vers un futur avec HTTPS partout ».

Depuis hier et jusqu’au 28 février, les domaines sont disponibles via l’Early Access Program, permettant de réserver un nom pour un coût additionnel. Plus on avancera vers le 28, moins le tarif sera élevé (au risque bien sûr de voir un nom particulier s’échapper).

Le lancement est donc prévu pour le 28 février, à un tarif qui dépendra du registrar. Google en fournit une liste filtrable par TLD. On y trouve par exemple Gandi, dont les tarifs débutent à 16,81 euros par an.