du 14 juin 2019
Date

Choisir une autre édition

Yubico rappelle des clés de sécurité « YubiKey FIPS Series »

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Hier, pour l'ouverture du 53e salon international de l'aéronautique et de l'espace, la France, l’Allemagne et l’Espagne se sont engagés sur le prochain avion de combat qui devra remplacer les Rafale et Eurofighter en 2040.

« Paris et Berlin prévoient de dégager 150 millions d’euros d’ici fin 2019 et au total 4 milliards d’ici 2025, dont 2,5 milliards pour la France [...] La participation industrielle et financière de l’Espagne n’est pas encore fixée », explique Reuters.

Nos confrères rappellent que le Système de combat aérien du futur (alias SCAF) aura au moins un concurrent : le Tempest britannique. « La concurrence entre Européens, quand elle nous nuit par rapport aux Américains, aux Chinois, ou aux autres, est ridicule », a lâché Emmanuel Macron.

Dans un communiqué repris par Reuters, Dassault Aviation et Airbus espèrent que leurs contrats seront notifiés d'ici la fin de l'année pour lancer les hostilités : « Cette phase de démonstration couvrira la période allant de 2019 à la mi-2021 et marquera le point de départ du développement des démonstrateurs et des technologies du chasseur de nouvelle génération (NGF), des drones d’appui (Remote Carriers) et d’un ‘Air Combat Cloud’ (ACC), en vue d’un vol inaugural d’ici à 2026 ».

Copié dans le presse-papier !

Le fabricant a publié la liste des terminaux sur son forum, comme le rapporte XDA-Developers.

Au quatrième trimestre de cette année, neuf smartphones sont prévus : Xiaomi Mi 9, Mi 8, Mi 8 Screen Fingerprint Edition, Mi 8 Explorer Edition, Mi Mix 2S, Mi Mix 3, Mi 9 SE, Redmi K20 et K20 Pro.

Au premier trimestre 2020, les Redmi Note 7 et Note 7 Pro suivront. Pour rappel, les Mi MIX 3 5G et Mi 9 peuvent déjà accéder à la bêta d'Android Q.

Copié dans le presse-papier !

Google ambitionne depuis un moment maintenant de remplacer les bons vieux SMS par une version nettement plus moderne : RCS. Problème, l’entreprise a laissé jusqu’ici les opérateurs de téléphonie activer cette fonctionnalité, selon leur bon vouloir.

Les temps changent. Selon The Verge, Google compte activer RCS en France et au Royaume-Uni, sans plus laisser le choix aux opérateurs. Deux pays pour commencer, avant de généraliser le mouvement à un nombre croissant de marchés dans les mois à venir.

En théorie, la disponibilité de la fonction provoquera une notification sur l’appareil, demandant à l’utilisateur s’il souhaite passer à RCS. Toujours selon The Verge, la fonction s’appuie sur Universal Profile RCS et est compatible avec toutes les implémentations des opérateurs.

Une fois RCS activé, l’application SMS dispose des statuts d’expédition et lecture des messages, des indicateurs de frappe au clavier, des groupes de conversation, des envois des photos et vidéos en haute qualité ou encore de la possibilité de tabler sur le Wi-Fi quand aucune connexion cellulaire n’est présente.

C’est la réponse de Google aux applications de messagerie, dont malheureusement pour l’entreprise beaucoup ont déjà l’habitude. De quoi transiter ? Pas sûr, d’autant que des applications comme WhatsApp, Messenger ou Telegram ont le gros avantage d’être multiplateformes.

En outre, si RCS permet de s’aligner sur iMessage (iOS) en matière de fonctionnalités, il n’en reprend pas le chiffrement de bout en bout, que l’on trouve également dans Signal et les applications reprenant ce dernier (dont WhatsApp).

Interrogée à ce sujet par nos confrères, l’entreprise a répondu qu’elle était à pied d’œuvre pour trouver une solution.

Google rappelle dans tous les cas qu’elle ne garde pas le texte des messages sur ses serveurs. Plus précisément, le texte est effacé dès que la ou les personnes destinataires l’ont reçu. Les fichiers sont cependant gardés pendant un temps, pour s’assurer que les concernés peuvent encore les récupérer. Les métadonnées sont évidemment enregistrées dans un journal.

Copié dans le presse-papier !

Il est désormais possible de consulter la liste des personnes ayant soutenu l’organisation d’un premier référendum d’initiative partagée, au sujet de la privatisation des Aéroports de Paris.

Comme l’avait réclamé la CNIL, il faut remplir un captcha avant de pouvoir accéder à chaque page de cette liste (classée par ordre alphabétique). L’objectif ? Éviter une extraction automatisée, notamment par des personnes malintentionnées. Cela n’a néanmoins pas empêché certains internautes de procéder à un comptage du nombre de soutiens. Benjamin Sonntag, par ailleurs co-fondateur de La Quadrature du Net, les a par exemple estimés à plus de 125 000.

Sont ainsi librement accessibles : le nom, le ou les prénoms et le lieu de vote de chaque électeur ayant apporté son soutien.

Un moteur de recherche est également proposé. Celui-ci est cependant destiné aux citoyens qui souhaitent par exemple vérifier que personne n’a « voté » pour eux. Il faut en effet fournir différentes informations dont seuls les intéressés disposent en principe : date et lieu de naissance, commune d’inscription sur les listes électorales, etc.

Cette liste sera consultable durant toute la période de recueil des soutiens (soit jusqu’au 12 mars 2020) et même au-delà, le temps que le Conseil constitutionnel rende sa décision arrêtant le nombre de soutiens définitivement exprimés en faveur de la proposition de loi référendaire. Les noms des électeurs seront accessibles jusqu’à dix jours après cette décision, puis détruits dans les deux mois.

Copié dans le presse-papier !

Selon un article de Wired sur certaines découvertes de Kaspersky, certains pirates se servent d’invitations à Google Agenda pour simuler des demandes paraissant légitimes.  

Ces demandes se basent sur une capacité du service activée par défaut pour simplifier la vie des utilisateurs : toute source externe peut placer un évènement dans le calendrier de l’utilisateur.

Problème, ces évènements peuvent déclencher des notifications, dont le contenu peut être trompeur. Des utilisateurs ont ainsi observé des évènements dont ils ne savaient rien, suivis d’invitations à répondre à un questionnaire, avec lien et formulaire réclamant informations personnelles et financières.

Les notifications portent souvent des noms « attrayants », tout du moins pour qui ne se méfie pas instantanément d’une nouvelle paraissant trop belle pour être vraie. Par exemple, « Vous avez reçu une récompense » ou « Un transfert de fonds a été fait en votre nom ».

Google a été averti du problème et indique que tout est actuellement fait pour enquêter sur l’origine de ces attaques. L’éditeur rappelle qu’une fonction permet de signaler un spam sur tout évènement suspect.

Dans les options d’Agenda, on peut en outre s’assurer de garder la pleine maîtrise des invitations. Dans le premier écran par exemple, la liste déroulante « Ajouter automatiquement les invitations » peut être réglée sur « Non, n’afficher que les invitations auxquelles j’ai répondu ». Par défaut, le service affiche également les évènements refusés. Il suffit de décocher la case idoine.