du 11 octobre 2018
Date

Choisir une autre édition

WhatsApp colmate une brèche de sécurité dans les appels vidéos

WhatsApp a corrigé une importante faille de sécurité dans les versions Android et iOS de son application de messagerie.

La vulnérabilité permettait en théorie de dérober bon nombre de données à l’utilisateur s’il décrochait un appel envoyé par le pirate. Ce dernier devait envoyer des paquets Real-time Transport Protocol (RTP) conçus de telle manière qu’ils entraînent une corruption de la mémoire.

La brèche a été découverte fin août par Natalie Silvanovich, membre de l’équipe Project Zero chez Google. Comme toujours avec cette initiative, les détails devaient être publiés au plus tard 90 jours après la découverte, ou à moins que le correctif soit disponible largement.

Les versions corrigées de WhatsApp pour Android et iOS sont intervenues respectivement les 28 septembre et 3 octobre. Elles devraient donc se trouver sur une majorité d’appareils, si bien entendu les utilisateurs n’ont pas bloqué les mises à jour.

Notez également que cette faille ne pouvait être exploitées qu’à travers les appels passés entre ces deux applications, les seuls à exploiter RTP.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Au travers d’un décret paru samedi 20 octobre au Journal officiel, le gouvernement a confié à la députée Anne-Laure Cattelot une mission temporaire ayant pour objet « les plateformes d'accélération pour l'industrie du futur ». À en croire la déclaration d’intérêts de l’élue LREM, l’intéressée fut il y a quelques années conseillère en innovation au CNRS.

Copié dans le presse-papier !

Microsoft ne semble pas en avoir encore fini avec les problèmes de pertes de données dans son October 2018 Update. Si l’on en croit plusieurs billets dans Reddit, un souci semble exister avec la manière dont le système gère les archives Zip.

Windows supporte le format depuis longtemps, mais la mouture 1809 pourrait avoir un problème spécifique avec le remplacement des fichiers. Selon un commentaire, les conflits de données existantes ne seraient pas remontés à l’utilisateur, le nouveau fichier écrasant l’ancien.

Selon un autre témoignage sur Ask Woody, l’opération peut échouer, là encore sans que l’utilisateur soit averti. D’après un autre, le glisser/déposer vers et depuis une archive Zip serait « cassé », rendant imprévisible le résultat de ces manipulations.

Les commentaires vont dans la même direction, mais plusieurs autres indiquent n’avoir pas rencontré de problème. Il semble bien toutefois que la fonction Zip fasse des siennes, mais Microsoft n’a pas encore répondu.

On ne sait donc pas si cet éventuel souci sera pris en charge dans la révision d’une October 2018 Update qui n’en aurait donc pas encore fini avec les réparations. Notez qu'il s'agit bien ici de la fonction Zip intégrée. Si vous utilisez un programme tiers, la question ne se pose pas.

Rappelons que la mise à jour majeure est actuellement bloquée. Elle a provoqué chez une minorité d’utilisateurs (0,01 %) des pertes de données et autres difficultés. Difficile de faire pire, Microsoft ayant le malheur d'enchaîner deux évolutions problématiques de son système, avec l’érosion de la confiance que cela suppose.

Difficile de vanter les mérites d’un « système en tant que service » si le fonctionnement local impose à ce point sa réalité à l’utilisateur. L’éditeur a un besoin crucial de Windows Update, composant névralgique, et la mécanique des mises à jour d’une fiabilité à toute épreuve.

Copié dans le presse-papier !

Après le contournement, lui aussi simple, des protections de libSSH, c'est au tour de ce module populaire de faire parler de lui, et pas dans le bon sens.

Le CERT-FR explique que cette brèche « permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité ». Sont concernées toutes les versions antérieures à la 9.22.1 de jQuery File Upload exécutées sur un serveur Apache supérieur à 2.3.9 avec une configuration par défaut (AllowOverride None).

En effet, le support de .htaccess a alors été désactivé explique le développeur. « Sans la configuration dans le fichier .htaccess, autoriser l'upload de tous les types de fichiers permet l'exécution de code à distance ». La mise à jour 9.22.1 limite les types de fichiers aux seules images avec l'extension gif, jpeg et png.

Si vous êtes concerné, « appliquez le correctif dans les plus brefs délais car du code d'attaque est publiquement disponible et cette vulnérabilité est activement exploitée » exhorte le CERT-FR.

Cette vulnérabilité serait activement exploitée depuis trois ans selon le chercheur à l'origine de sa découverte, interviewé par ZDNet.com. Sachez également que, même si la faille est corrigée dans le module de Blueimp, ce projet a été forké plus de 7 800 fois, laissant de nombreux autres modules (et application l'intégrant) vulnérables.

Copié dans le presse-papier !

La diffusion d’une vidéo sur laquelle on voit un lycéen menacer une professeure, arme (finalement factice) à la main, a suscité de nombreuses réactions durant le week-end.

Comme le rapporte BFMTV, les faits auraient eu lieu jeudi dernier, à la fin d’un cours, au lycée Édouard Branly de Créteil : « Alors que la professeure est assise face à son ordinateur en train de travailler, Lassana, 16 ans, s'approche d'elle et brandit une arme en sa direction en lui demandant de le noter "absent", puis "présent", réalisant son erreur, alors que lui et plusieurs de ses camarades n'avaient pas assisté au cours. »

Emmanuel Macron a notamment jugé ces faits « inacceptables ». Le président a en outre demandé à ses ministres de l’Intérieur et de l’Éducation de prendre « toutes les mesures » pour que ceux-ci « soient punis et définitivement proscrits de nos écoles ».

Hier, dans un communiqué commun, Christophe Castaner et Jean-Michel Blanquer expliquaient que deux personnes avaient été placées en garde à vue « dès vendredi » par les policiers du Val-de-Marne, « dans le but de faire toute la lumière sur ces agissements ». L’enquête se poursuit.

« Dès la semaine prochaine », un « comité stratégique » devrait se réunir « afin d'arrêter un plan d'actions ambitieux, visant à mettre un terme à de tels comportements ».

Interrogé par Le Parisien, le ministre de l’Éducation a déclaré que cet événement montrait « à quel point » la majorité avait « eu raison de systématiser l’interdiction du téléphone à l’école et au collège ». « À Créteil, on peut se demander si les faits n’ont pas été accomplis pour être filmés et diffusés », a poursuivi Jean-Michel Blanquer. Ce dernier a d’ailleurs encouragé les lycées à interdire les portables, faculté rappelée par la récente loi du 3 août 2018.

Copié dans le presse-papier !

L'éditeur français a annoncé que dix de ses titres ne disposeront plus de leurs services en ligne d'ici le 19 novembre prochain. Cela comprend l'accès au multijoueur en ligne, aux statistiques de jeu, ainsi qu'aux « ULC » (Unlockable Content) tels que les bonus de précommande, ou liés à certaines éditions limitées de jeux.

La liste complète des titres et plateformes concernés est accessible sur les forums d'Ubisoft. Elle comprend notamment les versions PS3, Wii et Xbox 360 de Just Dance 2014 à 2018, ou encore la version Mac d'Assassin's Creed II.