Comme chaque deuxième mardi de chaque mois, Microsoft a publié hier soir les correctifs pour les Windows encore supportés. Dans le cas de Windows 7, ce sont les derniers, le système devant être considéré comme à l’abandon pour la grande majorité des utilisateurs.

• Windows 7 : avec la fin du support le 14 janvier, que faire ?

Pour Windows 7 et 8.1, les correctifs de sécurité s’appliquent aux composants Scripting Engine, Windows Input and Composition, Windows Storage and Filesystems et Windows Server. Sous Windows 8.1, Microsoft règle également un souci lié à la nouvelle règle des cookies SameSite de Chrome 80.

• Correctifs finaux pour Windows 7 et Server 2008 R2
• Correctifs pour Windows 8.1 et Server 2012 R2

Sous Windows 10 cependant, le programme est plus touffu. En plus des éléments déjà cités, il faut ajouter un renforcement de la sécurité autour de l’enregistrement et la gestion des fichiers, dans la manière dont le système gère les périphériques d’entrée (souris, clavier…), ainsi que des correctifs dans les composants Windows Management et Windows Cryptography.

La faille dans ce dernier est particulièrement importante. Elle a été signalée par la NSA, l’agence se retrouvant pour la première fois créditée par Microsoft. La vulnérabilité (CVE-2020-0601) réside dans la bibliothèque Crypt32.dll, plus particulièrement dans la manière dont elle gère les certificats Elliptic Curve Cryptography (ECC).

Exploitée, la faille pourrait permettre à une machine de s’authentifier sur un réseau dont elle serait normalement rejetée, sans parler des multiples retombées sur Internet Explorer et Edge (ancien et nouveau), ainsi que de très nombreuses applications tierces. 

Des pirates pourraient également exploiter la faille pour rendre un code « sûr » avec une fausse signature, ouvrant de larges portes d’entrée aux malwares. Le problème touche aussi Windows Server 2016 et 2019.

Il est recommandé d’installer les mises à jour au plus vite. Notez que ce correctif a fait l’objet d’une publication anticipée pour les infrastructures critiques (notamment militaires). 

Il semble que la NSA n'ait pas exploité la faille. Anne Neuberger, à la tête du Cybersecurity Directorate, a rappelé que lorsqu'une faille aussi grave est détectée, l'agence se tourne immédiatement vers l'éditeur concerné.

• Correctifs pour les versions 1903 et 1909 de Windows 10
• Correctifs pour la version 1809 de Windows 10
• Correctifs pour la version 1803 de Windows 10

Dans ce qui ressemble fort à une redite des évènements de San Bernardino en 2015, deux iPhone ont été retrouvés après qu’un lieutenant saoudien, en formation aux États-Unis, a tué trois personnes et blessé huit autres dans une base navale de Pensacola en Floride.

Apple aide depuis le FBI à récupérer des informations, mais se refuse à percer ses propres défenses pour récupérer les données stockées dans l’appareil, irrécupérables sans le code PIN à six chiffres.

William Barr, procureur général des États-Unis, a déjà attaqué frontalement Apple, estimant que la société n’en faisait pas assez, voire qu’elle était de mauvaise volonté. Ce à quoi Apple – dont l’armada d’avocats se prépare sans doute – avait répondu par un long communiqué détaillant tout ce qui avait été fait.

Mais un évènement a changé depuis les évènements de San Bernardino : le président des États-Unis. Barack Obama s’était tenu relativement à l’écart, Donald Trump a fait valoir son point de vue hier sur Twitter.

« Nous aidons tout le temps Apple sur le commerce et tant d’autres problèmes, et pourtant ils refusent de déverrouiller des téléphones utilisés par des tueurs, dealers de drogue et autres éléments criminels violents », fustige Trump, clôturant par un de ses célèbres « Make America great again ».

Dans le cas de San Bernardino, la bataille juridique entre Apple et FBI n’avait finalement pas eu lieu : le Bureau a acheté plus d’un million de dollars une faille de sécurité permettant d’obtenir ce dont les agents avaient besoin. Apple avait d’ailleurs demandé à avoir les détails de cette brèche, ce que le FBI avait refusé.

À moins que l’agence fédérale obtienne une nouvelle faille, il est probable que la bataille aura cette fois lieu. Une bonne partie du modèle commercial d’Apple étant bâti sur la sécurité et le respect de la vie privée (la plupart des services sont chiffrés de bout en bout), on peut s’attendre cette fois à ce que la firme se batte frénétiquement.

Lilo est un moteur de recherche alternatif qui « attribue 50% aux projets sociaux et environnementaux, 20% pour la promotion du moteur de recherche, 25% pour le fonctionnement et 5% pour la compensation carbone ». Suite à l’annonce des moteurs alternatifs ayant remporté les enchères de Google sur Android, Lilo revient sur le devant de la scène pour « dénonce[r] une dérive de nature à tromper les internautes, et renouvelle son refus de participer à ce modèle ».

Sophie Bodin, directrice générale de Lilo, s’explique : « Chez Lilo, nous n'avons pas participé à ces enchères et nous renouvelons notre refus de cautionner cette approche. Notre modèle et notre mission sont incompatibles avec le fait d'acheter des utilisateurs. Défendre un web éthique, c'est aussi refuser de céder à l'arbitraire ».

La société embraye : « L'esprit de la décision prise par la Commission européenne est aujourd'hui altéré par un modèle qui renforce les barrières à l'entrée. Lilo espère que ce système d'enchères pourra être revu au profit d'un modèle ouvert et gratuit élaboré dans l'intérêt des utilisateurs ». De plus, « le système de mise aux enchères initié par Google est de nature à installer une grande complexité et opacité pour le consommateur, privé des conditions d'apprécier réellement l'étendue des alternatives existantes ».

Qwant, particulièrement remonté contre le système d’enchères lorsque l’annonce avait été faite, y a tout de même participé, remportant au passage une des trois places disponibles. Il sera donc proposé aux côtés de DuckDuckGo, Info.com et bien évidemment Google.

• Choix du moteur de recherche sur Android : Google vend trois places aux enchères, Qwant enrage

La mission de la sonde Cassini de la NASA s’est terminée mi-septembre 2017 lorsqu’elle est rentrée dans l'atmosphère de Saturne. Une manœuvre délibérée et fatale.

Les scientifiques ont encore des tas de données à analyser, car elle est restée en orbite 13 ans, effectuant même des passages entre Saturne et ses anneaux, une première. Ils ont notamment permis d’obtenir des données et des images sur les aurores de la planète.

Des scientifiques de l’université de Lancaster ont mélangé ces informations (datées du 20 août 2017, avec des couleurs modifiées) avec des photos de Saturne de 2016 (en vraies couleurs). Le résultat est assez impressionnant.

Hasard ou non du calendrier, l’atterrisseur européen Huygens atterrissait sur Titan – le plus grand satellite naturel de Saturne – il y a tout juste 15 ans, le 14 janvier 2005. Il n’a pu transmettre des données que pendant un peu plus d’une heure, mais l’exploit était réalisé : il s’était posé sur Titan et avait envoyé de précieuses informations, en se servant de la sonde Cassini comme relais.

Selon une enquête du Norwegian Consumer Council (Forbrukerrådet) publiée sur Noyb.eu, une initiative fondée par l’activiste autrichien Maximilien Schrem, « de nombreuses applications pour smartphones envoient des données hautement personnelles à des milliers de partenaires publicitaires ».

L’organisation ajoute que « ces pratiques échappent à tout contrôle, entrainent des violations de la vie privée et du droit européen ».Trois plaintes ont été déposées à la CNIL norvégienne à l’encontre de Grindr et de cinq sociétés recevant des données personnelles via cette application : Twitter MoPub, AT&T AppNexus, OpenX, AdColony et Smaato.

Suite à la publication de ce rapport, l’UFC-Que Choisir monte également au créneau : « En utilisant les applications My Talking Tom, Tinder, Grindr, ou Clue, des centaines de sociétés tapies dans l’ombre récupèrent, utilisent, vendent vos données et réalisent des profils (très) détaillés sur vous ».

L'association alerte la CNIL et ajoute qu’« une vingtaine d’associations européennes et internationales alertent aussi leurs autorités ».

L’affaire a fait le tour des principaux médias, hier. Un agent de propreté avait été licencié en 2018 suite à la publication, sur Twitter, d’une photo sur laquelle on le voyait faire la sieste, dans une rue de Paris, les chaussures soigneusement posées à côté de lui.

« Voilà à quoi servent les impôts locaux des Parisiens, à payer les agents de propreté à roupiller, on comprend pourquoi Paris est si dégueulasse », avait commenté la personne à l’origine du cliché, qui s’était rapidement répandu sur Twitter.

Remercié dans la foulée de ce « bad buzz », le salarié a cependant contesté son licenciement pour « faute grave », hier, devant le conseil des prud’hommes de Créteil, comme le rapporte France Info.

L'employeur « tape très, très fort, pour pas grand-chose », a dénoncé l'avocat de l’ex-salarié, qui était en CDI depuis 2011. « On ne conteste pas la photo, mais il y a un contexte derrière tout ça. [L'agent] était en pause, pas en temps de travail » s’est-il notamment défendu.

Surtout, l’avocat espère pouvoir jouer sur le droit à l’image de son client. « La question qui se pose est : peut-on utiliser une photo prise à l'insu de quelqu'un pendant un temps de pause pour le licencier ? »