LeBriefdu 14 mai 2021
FragAttacks : une série de failles sur le Wi-Fi, trois concernent la norme en elle-même

Comme nous avons déjà eu l’occasion de l’expliquer en détail dans notre premier magazine, l’histoire du Wi-Fi est jalonnée de failles et de correctifs en tout genre. Le dernier protocole en date, WPA3, tient bon pour le moment même si des soucis dans son implémentation ont été détectés.

FragAttacks (fragmentation and aggregation attacks) regroupe pas moins de douze brèches permettant à un attaquant « qui se trouve à portée radio d'une victime de les utiliser pour voler des informations personnelles ou attaquer des appareils ».

Un point particulièrement inquiétant est mis en avant : « Trois des vulnérabilités découvertes sont des défauts de conception dans la norme Wi-Fi et affectent donc la plupart des appareils. En plus de cela, plusieurs autres vulnérabilités ont été trouvées, causées par des erreurs de programmation dans les produits Wi-Fi ».

Selon le chercheur belge Mathy Vanhoef qui est à l’origine de cette découverte, « chaque produit Wi-Fi est affecté par au moins une faille et que la plupart des produits sont affectés par plusieurs d’entre elles […] Les vulnérabilités découvertes affectent tous les protocoles de sécurité du Wi-Fi, y compris la dernière version WPA3 ».

Faut-il paniquer ? Un peu, mais pas trop car, comme le reconnaît le chercheur, ces brèches « sont difficiles à utiliser, car elles nécessitent une interaction de l'utilisateur ou ne sont possibles qu’avec l’utilisation de paramètres réseau inhabituels ».

Une démonstration en vidéo est disponible par ici avec de plus amples détails, par là. Avant d’être dévoilées, ces failles ont fait l’objet d’un embargo de neuf mois afin de permettre aux sociétés concernées de préparer des correctifs, en partenariat notamment avec la Wi-Fi Alliance et l’Industry Consortium for Advancement of Security on the Internet (ICASI). 

Plusieurs sociétés ont déjà déployé des mises à jour, notamment Cisco, Intel, Juniper et Microsoft pour ce citer que celles-là.

C’est le dernier jour pour s’inscrire sur les listes électorales

Le ministère de l’Intérieur rappelle que « les élections départementales, régionales et des assemblées de Corse, Guyane et Martinique se tiendront les 20 et 27 juin prochain ». Afin de pouvoir voter, il faut être inscrit sur les listes. Plusieurs solutions s’offrent à vous : par internet, en se rendant directement en mairie et par courrier.

Le ministère précise que « les nouveaux électeurs de 18 ans qui ont fait leur recensement citoyen sont inscrits automatiquement sur les listes électorales. C'est le cas également des personnes devenues françaises après 2018. En revanche si vous avez déménagé, vous devez vous réinscrire auprès de la mairie de votre nouveau domicile ou déclarer votre nouvelle adresse en cas de déménagement dans la même commune ».

Friends : « La réunion » est prévue pour le 27 mai

HBO Max semble vouloir enchaîner les « coups » pour séduire de nouveaux abonnés. Ainsi, après la « Snyder Cut » de Justice League, on aurait droit au retour de Friends, 17 ans après la fin de la série mythique.

Cette « réunion », sur laquelle on sait encore peu de choses, est prévue pour le 27 mai, dans un peu moins de deux semaines. Il devrait s'agir non pas d'un nouvel épisode, mais d'une discussion entre tous les premiers rôles de la série réunis pour la première fois et des « guests », le tout avec une grosse dose de nostalgie.

En Conseil des ministres, le filtrage des contenus protégés par le droit d’auteurCrédits : Marco_Piunti/iStock

La ministre de la Culture a présenté ce 12 mai une ordonnance très attendue par les industries culturelles. Elle vient notamment transposer l’article 17 (ex article 13) de la directive sur le droit d’auteur. 

« Le Gouvernement s’est fortement mobilisé pour l’adoption de cette directive qui renforce la capacité des titulaires de droits à être rémunérés par les plateformes de partage de contenus en ligne et qui améliore la protection des droits des auteurs et des artistes-interprètes dans leurs relations avec les exploitants de leurs œuvres ».

Et pour cause : les plateformes diffusant un grand nombre de contenus sous droit d’auteur, comme YouTube, Dailymotion, Facebook et les autres, auront une alternative simple : ou bien passer des accords de licence avec les sociétés de perception et de répartition des droits, ou bien déployer (et démontrer avoir déployé) les meilleurs efforts pour filtrer les contenus, juridiquement imposées par le texte européen (notre schéma de cette construction).  

« L’ordonnance permettra ainsi aux créateurs, soit d’être rémunérés par les plateformes de partage qui diffusent massivement leurs oeuvres, soit d’obtenir l’application de mesures préventives efficaces garantissant l’indisponibilité des contenus non autorisés, tout en apportant une plus grande sécurité juridique et de nouveaux droits aux utilisateurs », explique le compte rendu en Conseil des ministres. 

Le texte veut également « conforter la mise en oeuvre du droit à rémunération proportionnelle dans le secteur audiovisuel et de la garantie de rémunération minimale des artistes-interprètes pour les diffusions en streaming de leurs prestations ».

Puisque le véhicule choisi est l’ordonnance, le gouvernement fera l’économie d’un débat parlementaire autour des amendements, contrairement notamment au précédent de 2009 qui avait enfanté la Hadopi. 

« Vers une pollution zéro dans l'air, l'eau et les sols» : la Commission européenne adopte un plan d’action

Il s’agit, selon le communiqué, d’un « élément clé du pacte vert pour l'Europe ». Il définit à l’horizon 2050, la vision d’un « monde où la pollution est réduite à des niveaux qui ne sont plus nocifs pour la santé humaine et les écosystèmes naturels, ainsi que les étapes à franchir pour y parvenir ». Utopie ou réalité ? Seul l’avenir nous le dira…

Le plan d'action fixe des objectifs clés pour 2030 « afin de réduire la pollution à la source par rapport à la situation actuelle ». Parmis les objectifs, il y a : améliorer la qualité de l'air afin de « réduire de 55 % le nombre de décès prématurés causés par la pollution », de l'eau en réduisant les déchets, des sols « en réduisant de 50 % les pertes de nutriments et l'utilisation des pesticides chimiques », etc.

Les États-Unis retirent Xiaomi de leur liste noire

Nos confrères de Bloomberg expliquent que le gouvernement américain et le fabricant de smartphones sont arrivés à un accord… mais sans en préciser sa teneur. 

Xiaomi et huit autres sociétés avaient été classées comme « entreprises militaires chinoises communistes » mi-janvier alors que l’administration de Donald Trump vivait ses derniers jours.

Une porte-parole de la Maison Blanche affirme que « l'administration de Joe Biden est profondément préoccupée par les investissements américains potentiels dans des entreprises liées à l'armée chinoise, et pleinement déterminée à maintenir la pression sur ces entreprises ».

Huawei est par contre toujours sur cette liste noire.

Plan France THD : « les chiffres sont très bons », l’objectif de 80 % en fibre devrait être dépasséCrédits : Avalon_Studio/iStock

Mardi, la fédération Infranum publiait son Observatoire du Très Haut Débit. Le constat est largement positif : « 6,2 millions de prises devraient être déployées en 2021. C'est un nouveau record dans la course au très haut débit, très largement provoqué par la nette accélération des déploiements en zones peu denses (RIP) qui doublent cette année pour représenter presque 60% des déploiements totaux, ainsi que par un réel démarrage des déploiements en zones AMEL ».

Un des objectifs du plan est de proposer du très haut débit à tout le monde, dont au moins 80 % en fibre optique. Ce dernier « devrait être dépassé de 7 % » se réjouit Infranum. « Un satisfecit des acteurs de la filière qui peuvent se féliciter de réussir ce qu'aucun autre chantier d'infrastructure en France n'accomplit : être en avance », affirme Étienne Dugas, président de la fédération. 

Un second volet compliqué s’annonce ensuite : « Il ne restera alors "plus que" 6,5 millions de prises à déployer au total d'ici 2025, mais ce seront les plus ardues » précise Infranum. Car oui, un des volets est d’atteindre 100 % (ou du moins s’en approcher) de fibre optique en 2025. « Ne soyons pas plus bêtes que la moyenne : évidemment qu’on sait que le 100 % on ne l’atteindra jamais, mais on ne l’atteint avec aucun réseau », indiquait Patrick Chaize il y a quelques mois.

« Les chiffres sont très bons, mais il faut continuer ce travail collectif car il reste encore des défis à relever. Trois points doivent concentrer nos efforts : la transition cuivre-fibre, l'amélioration de la qualité des raccordements et l'anticipation de la période post 2021, notamment en ce qui concerne l'emploi », précise Cédric O.

Vinted lève 250 millions de dollars

La plateforme spécialisée dans la vente d’articles de seconde main entre particuliers annonce que cette somme lui servira notamment à se déployer dans de nouveaux pays, y compris en dehors de l’Europe. Elle revendique au passage 45 millions de membres dans le monde, indique l’AFP.

Elle était valorisée 3,5 milliards d’euros avant cette levée de fonds et avait obtenu son statut de licorne fin 2019 lorsqu’elle levait 128 millions d’euros. 

Il y a quelques mois, l’UFC-Que Choisir était monté au créneau dénonçant toutefois les frais de « Protection des acheteurs » qu’elle juge être une « appellation tendancieuse ». 

Le LABEL de la Dinum ne… labellisent pas ses « solutions »

L'équipe LABEL de la direction interministérielle du numérique du Premier ministre vient de lancer son « Catalogue GouvTech » de solutions numériques pour les services publics. « L’évaluation de ces solutions ne repose toutefois que sur les déclarations des éditeurs », note toutefois Acteurs Publics.

204 logiciels y sont à ce jour répertoriés, par catégories (5G, Big data, blockchain, cybersécurité, démocratie participative, IOT, machine learning, etc.), distribution (propriétaire ou – basée sur des briques – opensource), déploiement (Cloud et/ou On premise) et centrales d'achat.

« Les contenus des Fiches Solution sont élaborés par les Offreurs et n'engagent pas l’avis de la DINUM sur la fiabilité des informations qui y sont portées ou sur la qualité des Solutions », précisent cela dit les Conditions générales d'utilisation du catalogue.

Des CGU qui préviennent en outre ses utilisateurs qu'« il appartient aux Administrations d’effectuer toutes recherches et vérifications de toutes natures qu’elles jugeront utiles et de faire appel le cas échéant à des professionnels et/ ou d’experts afin de recueillir tous conseils et préconisations adéquates ».

Acteurs Publics s'étonne à ce titre qu'« un éditeur peut voir son logiciel référencé par la Dinum et donc recommandé à l’usage des acteurs publics, sans pour autant respecter les critères énoncés par cette même direction ». Cette stratégie ne vaudrait que pour un temps, l’idée étant de « lancer la machine et de parfaire ensuite le mécanisme qui demande un investissement financier non négligeable », explique notre confrère.

De plus, l’évaluation des solutions selon le barème et les critères définis par la Dinum « ne repose que sur du déclaratif et n’est pas vérifiée par la direction ». Un paradoxe qui fait bondir Frédéric Couchet, délégué général de l'association de promotion et de défense des logiciels libres April, à mesure que la mission LABEL de la DINUM est précisément de « labelliser des solutions et des outils numériques de qualité ».

Il s'offusque en outre que le catalogue promeuve sous le label « open source » des solutions qui n'auraient rien de « libre », telles que Remocra, Calenco ou Certification documentaire sur blockchain, et que les « vérifications de base » n’aient pas été faites. « Ce n'est pas très sérieux de la part de l’État de participer ainsi à l'open source washing », déplore de son côté un acteur du numérique de l’État. 

Tesla lâche le Bitcoin et rêve d'un avenir plus « vert »Crédits : Win McNamee/Getty Images News/Thinkstock

Après avoir vanté la crypto-monnaie et en avoir fait des tonnes sur le Dogecoin, il y a quelques jours encore, Elon Musk a eu une révélation : tout cela n'est pas bon pour la planète en raison de l'énergie fossile mobilisée pour le calcul des transactions, notamment à travers les fermes de minage chinoises. Des propos tenus alors qu'il soutenait récemment une vision contraire.

Ainsi, Tesla n'accepte plus de paiement en bitcoins, ceux encore détenus par la société ne vont pas être vendus, tant qu'une alternative plus efficace en termes de consommation énergétique ne sera pas trouvée. Doit-on s'attendre à ce que l'entrepreneur nous vante une nouvelle crypto-monnaie « verte » d'ici quelques jours/semaines ? Impossible à dire. 

Depuis, il a redit sa confiance en cette technologie et indique travailler avec les développeurs de Dogecoin, invitant à ne pas paniquer, comme s'il ne connaissait pas les effets de ses « sorties » publiques sur les marchés financiers en général et ceux des crypto-monnaies en particulier. L'histoire ne dit pas si la SEC compte se pencher sur le sujet.

Hasard du calendrier, on apprend dans le même temps que Tesla espère entrer sur le marché, à plusieurs milliards de dollars, des crédits pour carburants renouvelable poussé par l'administration Biden. Une demande à l'EPA a été déposée en ce sens selon Reuters

Quoi qu'il en soit, l'ensemble des marchés « crypto » a accusé le coup, avec une chute importante du Bitcoin (descendu à 39 000 euros) qui a entraîné presque toutes les autres dont Ethereum (moins de 3 000 dollars). Elles étaient respectivement aux alentours de 45 000 euros et 3 500 euros avant l'annonce de Musk.

Depuis, elles sont reparties à la hausse, sans revenir pour le moment à leur valeur initiale. Car Tesla n'est pas le seul acteur à s'intéresser aux crypto-monnaies et au Bitcoin. Bloomberg indique par exemple que Palantir devrait s'y mettre sous peu.

PayPal se paie la société Happy Returns

Comme son nom le laisse penser, cette société est spécialisée dans les retours d’articles après une commande en ligne. Elle propose des points de dépôts physiques (ils sont actuellement plus de 2 600 aux États-Unis) où les clients peuvent déposer leurs articles.

Elle vient donc de se faire croquer par PayPal qui, de se son côté, est justement utilisé pour payer des achats en ligne. Les deux protagonistes se connaissaient déjà depuis longtemps, PayPal avait même investi dans Happy Returns, comme le rappelle TechCrunch. Le montant de la transaction n’est pas précisé.

La justice européenne valide l’avantage fiscal accordé à Amazon par le Luxembourg

Le 4 octobre 2017, la Commission européenne envoyait un missile dans le ciel luxembourgeois.

Elle considérait illicites les avantages fiscaux accordés à Amazon. Une pratique illégale « au regard des règles de l'UE en matière d'aides d'État, car elle a permis à Amazon de payer sensiblement moins d'impôts que d'autres entreprises. Le Luxembourg doit à présent récupérer l'aide illégale » exposait Bruxelles.

Un « taxe ruling », ou décision fiscale anticipative, qui avait, selon la Commission, permis au géant du e-commerce de « transférer la majeure partie de ses bénéfices depuis une société du groupe Amazon assujettie à l'impôt au Luxembourg (Amazon EU) vers une société qui ne l'est pas (Amazon Europe Holding Technologies) ». 

Quatre ans et quelques recours plus tard, le Tribunal de l’UE a finalement annulé cette décision dans son ensemble, en substance pour manque de preuves : la Commission n’a pas solidement démontré l’existence d’une aide qui aurait faussé ou menacé de fausser la concurrence.

Biden impose le chiffrement des données fédérales américainesCrédits : Gage Skidmore from Peoria, AZ, United States of America, CC BY-SA 2.0

Joe Biden a signé ce mercredi un nouveau décret qui, relève le New York Times, à l'image des normes de sécurité dans l'industrie automobile, ou sanitaire dans les restaurants, imposera de nouvelles normes strictes en termes de cybersécurité aux éditeurs de logiciel mais également aux agences fédérales.

Si tous les présidents depuis George W. Bush avaient eux aussi publié de nouvelles directives pour renforcer les défenses numériques du pays, celui de M. Biden, rédigé suite à la cyberattaque SolarWinds, est « destiné à pénétrer profondément dans le secteur privé », souligne le NYT, et s'avère « beaucoup plus détaillé que les efforts passés ».

Le document de 34 pages – « anormalement long pour un décret exécutif », souligne le WaPo - oblige notamment la notification au gouvernement des cyberincidents graves dans les trois jours, appelle à la création d'un comité chargé d'examiner les incidents importants, à l'élimination des obstacles contractuels au signalement des violations à la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security, et au renforcement d'un programme permettant à une agence fédérale de tester la sécurité d'un produit avant qu'il ne soit vendu au gouvernement.

Les États-Unis vont ainsi exiger que tous les logiciels achetés par le gouvernement fédéral satisfassent, dans un délai de six mois, une série de nouvelles normes de cybersécurité. Si le mécanisme reposera sur l'autocertification, les contrevenants seront retirés des listes de fournisseurs agréés, avec le risque de pertes afférentes à la clef.

Le décret présidentiel (Executive Order en anglais) oblige également les agences fédérales à chiffrer leurs données, tant en flux qu'en stock, dans les 180 prochains jours, ainsi qu'à passer à l'authentification multi-factorielle.

Le décret organise également un processus public-privé visant à développer « des approches nouvelles et innovantes pour sécuriser le développement de logiciels », et crée un programme pilote pour créer une étiquette de type « Energy Star » afin que le gouvernement – et le grand public – « puisse rapidement déterminer si le logiciel a été développé en toute sécurité ». 

« Dans de nombreux domaines de la sécurité informatique, ce que le gouvernement fédéral fait en premier, le secteur privé suit », a déclaré Ari Schwartz, qui était un cyber-responsable de la Maison Blanche au sein de l'administration Obama, au WaPo. « Ce que le gouvernement fédéral exige ici deviendra probablement la norme pour tous les logiciels à l'avenir - non seulement aux États-Unis mais à l'échelle internationale. »

Starship : SpaceX détaille le plan de son futur vol orbital avec le Super Heavy booster

Quelques jours seulement après le succès du prototype SN15 – qui pourrait reprendre du service selon Elon Musk –, la société explique à la FCC comment elle va procéder au premier essai orbital de sa prochaine fusée, comme le rapporte Engadget

Pour rappel, les prototypes SNx de Starship ne correspondent qu’au second étage, qui sera mis en orbite grâce au premier étage Super Heavy booster. Dans la vision de SpaceX, les deux morceaux sont réutilisables.

Le premier lancement des deux éléments doit avoir lieu depuis la base de Boca Chica au Texas. Au bout de 170 secondes, ce sera la séparation. « Le Booster effectuera ensuite un retour partiel et atterrira dans le golfe du Mexique à environ 32 km du rivage ».

De son côté, le second étage Starship « continuera à voler entre dans le détroit de Floride. Il atteindra l'orbite jusqu'à ce qu'il effectue un atterrissage ciblé et motorisé à environ 100 km au large de la côte nord-ouest de Kauai [une île de l'archipel d'Hawaï, ndlr] avec un atterrissage en douceur dans l'océan ».

Android Auto : l’Autorité de la Concurrence italienne inflige une amende de 100 millions d’euros à Google

L'Autorité de la concurrence italienne a infligé ce 13 mai une amende de plus de 100 millions d'euros à Alphabet Inc., Google LLC et Google Italy pour violation de l'article 102 du traité sur le fonctionnement de l'Union européenne. Elle reproche aux sociétés de ne pas avoir autorisé Enel X à développer une version de son application JuicePass compatible avec Android Auto, et relative à la recharge des véhicules électriques. 

« En refusant l'interopérabilité d'Enel X Italia avec Android Auto, Google a injustement limité les possibilités pour les utilisateurs finaux de se prévaloir de l'application Enel X Italia lors de la conduite et recharge d'un véhicule électrique ». Il est reproché dans le même temps à l’éditeur d’avoir privilégié Google Maps, certes aujourd’hui limité aux itinéraires pour trouver des points de recharge, mais qui à l'avenir pourrait inclure d'autres fonctionnalités (réservation, paiement, etc.)

« L'exclusion de l'application Enel X Italia d'Android Auto dure depuis plus de deux ans, et si elle devait continuer, pourrait compromettre de manière permanente les chances d'Enel X Italia de se constituer une base d'utilisateurs solide à un moment de croissance significative des ventes de véhicules électriques ». 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !