Mardi, Debian a publié un bulletin d'alerte concernant le gestionnaire de paquets APT : « Le code traitant les redirections HTTP dans la méthode de transport HTTP ne vérifie pas correctement les champs transmis sur le réseau ».

Les conséquences peuvent être dangereuses avec une attaque de type « homme du milieu » qui pourrait s'en servir pour injecter du code malveillant au travers de la connexion HTTP : « Ce contenu pourrait ensuite être reconnu comme un paquet valable par APT et être utilisé plus tard pour de l'exécution de code avec les droits du superutilisateur sur la machine cible ».

Le CERT-FR précise que « toutes les distributions de Linux basées sur Debian sont potentiellement touchées », notamment Ubuntu. Les versions inférieures à la 1.4.9 d'APT sont touchées, ainsi que les moutures d'Ubuntu encore supportées : 18.10, 18.04 LTS, 16.04 TLS, 14.04 LTS et 12.04 ESM (Extended Security Maintenance).

« Dans la mesure où la vulnérabilité est présente dans le gestionnaire de paquets lui-même, il est recommandé de désactiver les redirections, afin de prévenir son exploitation durant cette mise à niveau », précise Débian. La procédure est détaillée par ici.

Debian a aussi mis en ligne la version 9.7 de son système d'exploitation en y intégrant la mise à jour d'APT afin de partir sur une nouvelle installation saine si besoin. « Aucune autre mise à jour n'est incluse » précise l'éditeur.

• Télécharger le correctif pour Debian
• Télécharger le correctif pour Ubuntu (et ici pour l'ESM)
• Bulletin d'alerte du CERT-FR

La Commission européenne a adopté hier une décision d'adéquation au profit du Japon. « Les parties sont convenues de reconnaître comme adéquats leurs systèmes respectifs de protection des données ». Comme expliqué, une telle reconnaissance va fluidifier le transfert des données entre les deux zones.

Selon le RGPD, une telle décision est rendue dès lors qu’un pays hors UE offre, aux yeux de la Commission, « un niveau de protection adéquat ». Ceci fait, les transferts de données personnelles ne nécessitent plus « d'autorisation spécifique », explique l’article 45 du règlement. L’article 13 oblige néanmoins le responsable à informer les personnes physiques de son intention d’effectuer des transferts vers des pays tiers et de l’existence d’une décision d’adéquation.

Lorsqu’elle examine la situation d’un pays, la Commission européenne doit s’assurer de l’état de droit, du respect des droits de l’homme, outre les règles d’accès aux données personnelles, parmi les critères pointés par la même disposition.

Dans le cas présent, le Japon a mis à jour sa législation afin d’offrir des garanties équivalentes. « Ces garanties supplémentaires renforceront, par exemple, la protection des données sensibles, l'exercice des droits individuels et les conditions selon lesquelles les données de l'UE peuvent être transférées ultérieurement depuis le Japon vers un autre pays tiers » explique Bruxelles.

Le gouvernement japonais a fourni plusieurs assurances sur l'accès aux données par les autorités publiques « aux fins des procédures pénales et de la sécurité nationale ». Enfin, les Européens pourront déposer plainte contre ces accès.

Selon Věra Jourová, commissaire chargée de la justice, « cet accord servira d'exemple aux futurs partenariats dans ce domaine stratégique et contribuera à édicter des normes mondiales. »

Cette reconnaissance n’est pas absolue. La décision d’adéquation des États-Unis avait ainsi été annulée par la Cour de justice de l’Union européenne, suite à l’arrêt Schrems, lui-même nourri par les révélations Snowden. Le Safe Harbor avait ensuite été remplacé par le Privacy Shield, depuis, lui aussi critiqué par de nombreuses organisations.  

Un changement est récemment apparu dans toutes les versions d’Opera : quel que soit le bloqueur de publicité utilisé, il laisse tranquille les résultats dans les pages de recherche de Google, Bing et tous les autres.

Opera ne s’est pas encore exprimé sur le sujet, la modification intervenant sur tous les canaux du navigateur : Stable, Beta et Developer. Elle ne concerne d’ailleurs qu’Opera et n’est pas une conséquence d’un changement dans la base Chromium.

En outre, ce changement est aisément réversible. Si vous utilisez le bloqueur intégré, il faut se rendre à l’adresse opera://settings/adBlocker et regarder dans les liste des exceptions pour y supprimer toutes les références aux moteurs de recherche (si c’est bien ce que vous souhaitez).

Dans le cas d’une extension comme uBlock, le raccourci Ctrl + Maj + E ouvre le panneau des extensions. Sous celle qui vous intéresse, vous trouverez une ligne « Autoriser l’accès aux résultats de la page de recherche ». Il suffira alors de cocher la case correspondante pour que le bloqueur redevienne actif sur les moteurs de recherche.

Comme le signale GHacks,la décision illustre parfaitement la situation de navigateurs alternatifs comme Firefox et Opera, assis entre deux chaises. D’un côté, la nécessité de préserver certains accords pour ne pas en couper les sources de revenus. De l’autre, le besoin de se différencier des mastodontes en offrant des fonctions capables d’attirer les curieux.

Une problématique facilement compréhensible… quand elle est expliquée. Il aurait suffi que l’éditeur se serve par exemple de son blog pour expliquer son choix et détailler la procédure pour restaurer le comportement que les utilisateurs connaissent, et donc attendent.

Comme l'explique Evening Standard, le but est de permettre aux personnes d'arriver dans une zone de débarquement, de décharger leur valises et de laisser ensuite un robot aller garer la voiture, sans avoir besoin d'un conducteur ou des clés du véhicule.

Baptisé Stan (et développée par les français de Stanley Robotics), le robot a en fait déjà plus de deux ans. Il utilise un plateau pour soulever la voiture et un GPS avec une précision militaire pour se repérer. Stan serait par contre mis en conditions réelles à l'aéroport de Gatwick cet été, selon nos confrères.

Ces derniers ajoutent que l'expérimentation se déroulerait dans le parking longue durée du terminal sud, où un emplacement de 170 places de parking serait libéré pour permettre aux robots de garer jusqu'à 270 voitures (elles sont plus serrées puisqu'il n'y a pas besoin de place pour entrer/sortir de la voiture).

Le système n'en est pas encore au niveau d'I, Robot où les voitures sont rangées verticalement pour occuper moins de place.

• Voir la vidéo de présentation de Stan par Stanley Robotics

Selon Bloomberg, un ancien vice-président de Samsung officie désormais chez Apple en tant que responsable du développement des batteries. Soonho Ahn aurait joué les transfuges dès le mois dernier.

Apple chercherait ainsi à réduire sa dépendance aux autres constructeurs sur les technologies qu’elle ne maîtrise pas. La société serait particulièrement intéressée par les batteries, ayant été cliente de Samsung dans ce domaine pendant des années, pour les iPhone notamment.

D’autres rapports de Bloomberg étaient déjà allés dans le sens de cette volonté d’indépendance. En février 2018, un article pointait ainsi des négociations en cours pour qu’Apple se fournisse directement en cobalt auprès des compagnies minières, le minerai étant un composant essentiel dans les batteries actuelles.

Un mois plus tard, un autre article suggérait un développement maison de sa propre technologie MicroLED, avec pour objectif de fournir en premier lieu une prochaine génération d’Apple Watch.

Réduire la dépendance à d’autres géants permettrait évidemment à Cupertino de s’émanciper sur un plan technologique, en avançant à son propre rythme tout en écartant d’éventuels soucis de négociations, comme a on a pu le voir avec Qualcomm.

Depuis ce matin, Microsoft permet aux testeurs du programme Insider de se pencher sur des actions spécifiques de Windows 10 pour vérifier que tout fonctionne bien.

En ouvrant le Hub de commentaires, ils trouveront ainsi sur la page d’accueil une longue série de « quêtes » signalées par des icônes de cartes au trésor sur fond vert. Elles sont datées du 24 janvier, traduites en français et demandent de réaliser des tâches.

Parmi celles disponibles, on note par exemple l’activation du stockage réservé, la modification de la luminosité depuis le curseur Action rapide sur un ordinateur portable, tester des commandes et recherches dans Cortana, partager des données et liens avec d’autres PC Windows 10 à proximité, etc.

Objectif de l’opération : collecter un maximum de retour pour identifier des bugs et les corriger. La prochaine mise à jour majeure du système a en effet déjà accompli les deux tiers du chemin, le dernier étant en général consacré aux corrections et optimisations.

Microsoft ne peut que savoir l’attente générée par cette mise à jour, l’éditeur étant attendu au tournant. Les deux évolutions semestrielles de 2018 se sont en effet accompagné de soucis évidents de qualité.

On s’étonne néanmoins qu’après presque quatre mois de tests sur cette branche, aucune préversion n’ait été encore diffusée dans le canal lent. C’est d’autant plus surprenant qu’il a été largement reproché à l’éditeur d’avoir sciemment sauté un canal de test pour son October 2018 Update (le canal Release Preview).

De fait, la session de course aux bugs qui commence aujourd’hui se fera sans tous ceux qui attendent généralement de recevoir une première build du canal lent pour se lancer sur la branche suivante de développement. Dommage.

TechCrunch et le chercheur en sécurité Bob Diachenk (@MayhemDayOne sur Twitter) expliquent qu'une instance Elasticsearch était librement accessible, sans mot de passe.

On y retrouvait « des contrats de prêts et d'hypothèques, des calendriers de remboursement et d'autres documents financiers et fiscaux extrêmement sensibles révélant l'intimité financière d'une personne », selon nos confrères.

Dans le lot des 51 Go de données, il y a des documents remontant à 2008 (si ce n'est plus) de CitiFinancial (ex-filiale de Citigroup), HSBC Life Insurance, Wells Fargo, CapitalOne et du Département du Logement et du Développement urbain des États-Unis.

La base de données aurait été accessible pendant deux semaines selon nos confrères. « Après avoir contacté plusieurs banques dont les informations de leurs clients ont été trouvées sur le serveur, l'accès à la base de données a été fermé le 15 janvier », explique TechCrunch.

Nos confrères pensent que la fuite viendrait de la société Ascension, dont l'un des services convertit des documents papiers en fichiers pour ordinateur (OCR). Selon Bob Diachenk, ce sont justement ces fichiers qui étaient accessibles.

Contactée, la maison mère d'Ascension (Rocktop Partners) confirme l'incident, mais affirme qu'elle ne vient pas de ses serveurs. Selon TechCrunch, elle proviendrait d'OpticsML, spécialisée dans la reconnaissance de texte, l'indexation et l'extraction de données de documents bancaires.

Impossible d'en avoir la confirmation puisque le site a été mis hors ligne entre hier et aujourd'hui. Le numéro de téléphone ne semble plus attribué.