LeBriefdu 26 mars 2021
Cybersécurité : l'Europe, cible privilégiée en 2021 ?Crédits : BlackJack3D/iStock

Alex Cresswell, un ancien du GCHQ (l'équivalent britannique de la NSA) et du NCSC (l'équivalent de l'ANSSI) estime que « les entreprises européennes ont des cyberdéfenses moins robustes qu'aux États-Unis », et qu'« en 2021, une vague d'attaques en Europe pour remplacer la perte de revenus cybercriminels aux États-Unis semble plausible ».

Dans un mémo publié sur The Cipher Brief, média anglo-saxon très prisé des professionnels du renseignement (notamment technique), il relève en effet que « l'incidence et la gravité des attaques de ransomwares et de cyber extorsion en Europe continentale ont fortement augmenté au quatrième trimestre 2020 et au premier trimestre 2021 ».

D'après son analyse, « près de 20 groupes criminels utilisent la cybercriminalité pour infliger de graves pertes commerciales aux entreprises américaines du secteur privé ». Dans une très grande majorité, leurs membres opèrent depuis la Russie, la Biélorussie et l'Ukraine, et forment « une industrie très rentable en termes de ransomware et de cyber extorsion ».

Pour autant, « les mesures prises par l'industrie de la cybersécurité en 2020 montrent clairement que, pour les entreprises américaines dont les revenus dépassent 50 millions de dollars par an, l'incidence et la gravité des attaques de ransomwares et de cyber extorsion plafonnent ». Et même que « le quatrième trimestre 2020 a vu une baisse de l'activité dans tous les domaines ». 

Microsoft, AWS, Apple et Google emploient en effet « plus de 20 000 personnes dans le domaine de la sécurité numérique », parce qu'« ils savent que des failles dans les défenses de leurs plates-formes cloud pourraient entraîner une perte de confiance catastrophique et une hémorragie des clients ». 

Or, l'Europe, qui n'a pas été autant attaquée, n'aurait pas déployé autant de contre-mesures et serait donc plus vulnérable, a fortiori parce que « le risque politique pour les pirates informatiques russes et chinois est réduit ».

L’EssentielB HeYou 60 de Boulanger épinglé pour dépassement du DAS

L’Agence nationale des fréquences « prend acte de la mise à jour par la société SOURCING ET CREATION du téléphone portable EssentielB HeYou 60 commercialisé par la société Boulanger, afin de respecter les valeurs limites des DAS localisés "tronc" et "membre" ».

Les valeurs initiales étaient de 2,86 W/kg pour le DAS tronc et de 5,26 W/kg pour le DAS membre, alors que les limites réglementaires sont de 2 et 4 W/kg maximum.

Après mise à jour du smartphone, elles sont descendues à 1,11 et 2,92 W/kg. Comme toujours, l’ANFR invite les propriétaires de ces téléphones à vérifier qu’ils ont été mis à jour.

Le CEA revient sur « les principes Clefs de la physique »

Le Commissariat à l'énergie atomique et aux énergies alternatives explique que ces principes « jamais formellement démontrés mais jamais non plus mis en défaut, fondent aujourd’hui la science. Ils ont pour noms la relativité, l’inertie, l’égalité de l’action et de la réaction, la moindre action, l’équivalence, la thermodynamique, l’exclusion…».

Le premier épisode est en ligne avec le principe de relativité, suivra ensuite le principe d’inertie, de Curie, d’équivalence, etc. 

Trois députés MoDem veulent que YouTube affiche l’empreinte carbone de chaque vidéo

Le projet de loi portant lutte contre le dérèglement climatique sera examiné en séance à partir du 29 mars. Son article 4 va interdire (partout) « la publicité en faveur de la vente des énergies fossiles », sous peine d’une amende de 30 000 € pour une personne physique et 75 000 € pour une personne morale.

Le Conseil supérieur de l’audiovisuel se voit chargé de promouvoir des codes de bonne conduite en matière environnementale. Ils auront notamment pour objet « de réduire de manière significative les communications commerciales audiovisuelles relatives à des biens et services ayant un impact négatif sur l’environnement, en particulier en termes d’émissions de gaz à effet de serre, d’atteintes à la biodiversité et de consommation des ressources naturelles sur l’ensemble de leur cycle de vie ». 

L’Arcep se voit chargée de rédiger, en lien avec le CSA, « un rapport annuel mesurant l’impact environnemental des différents modes de réception de la télévision et des services de médias audiovisuels à la demande ». Il aura « vocation à renforcer l’information des consommateurs sur la consommation énergétique et les émissions de gaz à effet de serre liées à la consommation de contenus audiovisuels ».

Relevons également l’article 9 qui vient inverser la logique actuelle de la publicité dans les boites aux lettres physiques : à titre expérimental, dans certaines collectivités, et pour une durée de trois ans, « la distribution à domicile d’imprimés en plastique, en papier ou cartonnés à visée commerciale non adressés, lorsque l’autorisation de les recevoir ne fait pas l’objet d’une mention expresse et visible sur la boîte aux lettres ou le réceptacle du courrier, est interdite ».

Dans l’inévitable travail d’amendements, trois députés MoDem souhaiteraient que les plateformes affichent « l’empreinte carbone de chaque vidéo en ligne ». Un indice d’impact serait calculé à partir des données de l’Agence de l’environnement et de la maîtrise de l’énergie. Un « amendement [...] travaillé avec le Shift Project ». 

Dans cet autre amendement, un député LREM veut interdire le prélèvement de la redevance pour copie privée sur les biens reconditionnés, jusqu’au 1er janvier 2028.  

Selon Alexandre Freschi, « si les produits numériques reconditionnés devaient être soumis à cette redevance, le coût supplémentaire serait supporté par les consommateurs eux-mêmes et pourrait favoriser l’achat de produits neufs à faible coût, mais de moindre qualité technique et de plus fort impact environnemental plutôt que l’achat de produits reconditionnés en Europe ».

Paula Forteza aimerait pour sa part que les vendeurs autorisent les consommateurs à rétablir l’ancienne version « lorsqu’il fait une mise à jour non nécessaire à la conformité du bien ». 

ORP : « lancement du plus grand réseau européen d’astronomie »

Le CNRS explique que « l’Europe était jusqu’ici dotée de deux grands réseaux collaboratifs pour les observations astronomiques au sol, l’un optique et l’autre dans le domaine des ondes radio. En se regroupant aujourd’hui, OPTICON et RadioNet donnent naissance au plus grand réseau collaboratif européen d’astronomie au sol ».

En France, ce réseau « implique trois établissements de recherche, trois laboratoires de recherche, deux observatoires français et cinq infrastructures internationales partenaires ».

61 organisations réclament le rejet du règlement terroriste par le Parlement européenCrédits : Jorisvo/iStock/ThinkStock

« La réglementation sur les contenus terroristes dans son état actuel n'a pas sa place dans le droit européen ». Amnesty International, Digital Rights Ireland, l’Electronic Frontier Foundation, EDRI, la FIDH, l’Internet Society, La Quadrature du Net, la Ligue des Droits humains, RSF ou encore Wikimédia France ont signé une lettre ouverte contre le projet de règlement.

Ces 61 signataires recommandent aux eurodéputés de voter contre ce texte relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne. En l’état selon eux, il incitera les opérateurs de plateformes à utiliser des outils automatisés de modération des contenus.

Or, « il est impossible pour les outils automatisés de différencier invariablement le militantisme, les contre-discours, et la satire à propos du terrorisme du contenu considéré comme terroriste lui-même, une automatisation accrue entraînera à terme la suppression de contenus légaux comme le contenu journalistique, le traitement discriminatoire des minorités et de certains groupes sous-représentés ».

Le texte laisse aux États membres le soin d’armer une autorité pour émettre des injonctions de retrait. Selon les organisations, « seuls les tribunaux ou les autorités administratives indépendantes faisant l’objet d’un contrôle judiciaire devraient avoir [ce] pouvoir ».

Elles dénoncent encore le manque de garde-fous, puisque dans un État membre, il pourra être demandé le retrait d’un contenu hébergé dans l’UE, dans le délai d’une heure. 

« La procédure de notification, émise à l’État membre concerné, et de vérification par ce même État, prévue dans le texte actuel, ne contient pas de garanties suffisantes contre une intervention excessive et les abus de pouvoir d’un État ».  

Mise à jour de sécurité 1.1.1k pour OpenSSL : deux failles corrigées

Les développeurs avaient prévenu il y a quelques jours qu’un correctif serait déployé pour corriger des failles, laissant penser que la dangerosité serait élevée. 

Deux brèches ont été identifiées. La première (CVE-2021-3449) permet à des pirates de faire planter un serveur OpenSSL à distance, la seconde (CVE-2021-3450) concerne la gestion des certificats et a été introduite avec OpenSSL 1.1.1h. 

Comme toujours, il est plus que recommandé de se mettre à jour dès que possible.

La plateforme de décryptage d'Europol ne permet pas de décrypter les communications chiffréesCrédits : code6d/iStock

Elle n'est d'ailleurs utilisée par les autorités répressives de l’UE que pour décrypter les seules informations obtenues lors d’enquêtes criminelles, précise Euractiv. 

Interrogé par des eurodéputés, qui s'inquiétaient des risques d’abus, en particulier dans les pays où l’État de droit et l’indépendance du pouvoir judiciaire ont été remis en question, un représentant de la Commission européenne a expliqué que la technologie n'est en outre capable de décrypter que les seuls codes d’accès aux smartphones, ordinateurs, ordinateurs portables et tablettes. 

Sophie in ‘t Veld, de Renew Europe, voulait savoir comment la Commission réagirait dans les cas où l’indépendance du pouvoir judiciaire aurait déjà été remise en question, comme en Hongrie et en Pologne.

Le député S&D Paul Tang a pour sa part demandé comment l’exécutif européen pourrait s’assurer que la technologie « ne soit pas utilisée de manière abusive pour obtenir des informations sur les communications des voix critiques des gouvernements. »

« Il n’y a absolument aucune place pour les abus par le biais de cette plateforme et les intrusions dans des équipements appartenant à des individus qui ne font pas l'objet d'une procédure judiciaire », a répondu le représentant de la Commission.

Chrome 90 utilisera par défaut le HTTPS

Enfin ! Après bien des années, le navigateur le plus utilisé au monde se servira bientôt du HTTPS par défaut quand une adresse sera entrée sans protocole précis dans sa barre. 

Le changement avait été repéré début janvier et aura donc vite remonté les étapes du développement pour arriver dans le canal stable. Il survient cependant tard.

De très nombreux sites ne proposent plus en effet que l’accès HTTPS par défaut. Si vous tapez par exemple « facebook.com », vous arrivez systématiquement sur « https://www.facebook.com », quel que soit le navigateur utilisé. Mais Chrome 90 permettra au moins d’aller par défaut sur la connexion chiffrée quand la version HTTP existe toujours.

La nouvelle version du navigateur est prévue pour le 13 avril. Le changement sera disponible dans les moutures pour systèmes fixes et Android. Celle pour iOS devrait arriver « peu de temps après ».

Samsung et Marvell développent ensemble un SoC pour la 5G

Les deux partenaires veulent « améliorer l’efficacité énergétique et la capacité réseau des systèmes de prochaine génération ». Le développement devrait être rapide puisque la puce est attendue pour le second trimestre de cette année.

« Le nouveau SoC est prévu pour prendre en charge simultanément les réseaux 5G et 4G, et il peut également économiser jusqu'à 70 % d'énergie par rapport aux solutions précédentes ». De belles promesses dont il faut maintenant attendre les fruits.

Linus Torvalds n’est pas opposé à l’idée de code Rust dans le noyau Linux

Depuis sa création par Mozilla en 2015, Rust a parcouru du chemin. Il est maintenant géré par une fondation dédiée, figure régulièrement en tête des langages les plus populaires et Microsoft se demande même s’il pourrait servir à de futurs développements système de Windows.

La grande particularité de Rust, c’est de se situer à mi-chemin entre le C et un langage managé comme le C#. Il a les performances du premier et la protection de la mémoire du second, mettant Rust à l'abri des fuites mémoire et autres dépassements de mémoire tampon.

L’été dernier, lors de la conférence Linux Plumbers 2020, Linus Torvalds avait donné son avis sur l’éventuelle intégration de code Rust dans le kernel Linux, le sujet revenant souvent et de manière plus insistante.

Il n’était pas foncièrement opposé au Rust dans le kernel. Il souhaitait d’ailleurs que le compilateur Rust puisse être détecté par le noyau (via Kconfig) en vue de tester d’éventuelles inclusions de code.

Interrogé récemment par ZDnet en compagnie du développeur Greg Kroah-Hartman, Torvalds a réitéré sa position. La situation a d’ailleurs progressé car un portage de Coreutils en Rust a depuis fait son apparition. Le travail sur ce composant essentiel est réalisé par le Français Sylvestre Ledru, l’un des directeurs de Mozilla et développeur de Debian.

Torvalds se dit en attente et continue d’observer l’évolution. Ledru lui-même estime que le portage est fonctionnel, mais pas encore de qualité nécessaire pour la production. L’objectif serait quand même un remplacement de l’actuel Coreutils par sa version Rust.

Mais Torvalds pense que les pilotes sont un bien meilleur choix pour tester l’intégration de code Rust dans le noyau. Kroah-Hartman abonde : « les pilotes sont probablement le premier choix pour une tentative comme celle-là, puisqu’ils sont « les dernières feuilles » sur l’arbre des dépendances dans les sources du noyau. Ils dépendent de fonctionnalités centrales du noyau, mais rien ne dépend d’eux ».

Tous deux s’accordent sur l’extrême prudence qu’il faudra montrer, et l’attention qui sera portée aux premiers essais. Tout se jouera dans les interactions entre le nouveau code en Rust et l’architecture du noyau en C.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !