LeBriefdu 5 mai 2021
Une Tesla piratée depuis un droneCrédits : Win McNamee/Getty Images News/Thinkstock

Deux chercheurs ont montré comment une Tesla – et éventuellement d'autres voitures – pouvait être piratée à distance, depuis un drone, et sans aucune interaction de l'utilisateur, note Security Week.

L'attaque, baptisée TBONE, avait été initialement préparée pour le concours de piratage Pwn2Own 2020, qui offrait une voiture et d'autres prix importants pour le piratage d'une Tesla. Mais les résultats ont ensuite été rapportés à Tesla via son programme de bug bounty après l'élimination temporaire, par les organisateurs de Pwn2Own, de la catégorie automobile en raison de la pandémie de coronavirus.

TBONE implique l'exploitation de deux vulnérabilités affectant ConnMan, un gestionnaire de connexion Internet pour les appareils embarqués. Un attaquant peut exploiter ces failles pour prendre le contrôle total du système d'infodivertissement d'une Tesla, sans interaction de l'utilisateur, depuis un drone situé jusqu'à 100 mètres.

Il serait dès lors possible d'effectuer les mêmes actions qu'un utilisateur à partir du système d'infodivertissement. Cela comprend l'ouverture des portes et du coffre, le changement de position des sièges, la lecture de musique, le contrôle de la climatisation et la modification des modes de direction et d'accélération. 

Une bonne nouvelle, cependant : « Cette attaque ne permet pas de contrôler la conduite de la voiture », précisent Ralf-Philipp Weinmann et Benedikt Schmotzle, les chercheurs à l'origine de TBONE qui ont présenté leurs découvertes fin avril à CanSecWest (vidéo).

Tesla a corrigé les vulnérabilités avec une mise à jour publiée en octobre 2020 et aurait cessé d'utiliser ConnMan. Intel, créateur de ConnMan, a également été informé. Selon les chercheurs toutefois, la société aurait déclaré que le problème ne relevait pas de sa responsabilité. Intel a depuis fermé la page de son site web consacrée à ConnMan, qui n'était cela dit plus mise à jour depuis 2017, et que l'on peut néanmoins consulter sur archive.org.

ConnMan est largement utilisé dans l'industrie automobile, ce qui pourrait signifier que des attaques similaires pourraient être lancées contre d'autres véhicules.

Signal : « Les publicités Instagram que Facebook ne vous montrera pas »

Signal avait conçu une série de publicités ciblées « pour vous révéler les données personnelles que Facebook collecte à votre sujet et dont elle vend l'accès ». 

Elles montraient certaines des informations collectées utilisées par la plateforme publicitaire, mises en exergue, comme le montrent les images diffusées sur ce post du site officiel

Par ce biais, l’éditeur souhaitait montrer comment ces acteurs envahissent notre vie privée. « En lieu et place, Facebook a fermé notre compte », indique Signal sur Twitter

La solution de messagerie sécurisée ne décolère pas : « être transparent sur la manière dont les publicités traitent les données des gens est visiblement suffisant pour être banni. Dans le monde Facebook, le seul usage acceptable est de cacher ce que vous faites à votre public ».

Trump fait du micro-blogging sur son propre site depuis des semaines

Alors que l’ancien président des États-Unis a été banni de Twitter (son réseau social fétiche) et Facebook, il publie depuis le 24 mars des messages son propre site « From The Desk of Donald J Trump ». Ce dernier vient tout juste d’être annoncé officiellement par Fox News.

The Next Web « s’amuse » de cette situation et du seul auteur présent : « l’adhésion est si restrictive que seuls les anciens présidents américains qui ont été mis en accusation à deux reprises sont autorisés à y poster ». 

Hasard ou pas du calendrier, ce lancement officiel coïncide avec le jugement très attendu du conseil de surveillance de Facebook, qui doit se prononcer aujourd’hui à 15h sur le bannissement définitif de Donald Trump.

Pour rappel, Mark Zuckerberg et Facebook ont affirmé, lors de la création de cette « cour suprême » interne, que les décisions qu’elle rendrait seraient contraignantes. Le verdict tombera donc dans quelques heures à peine. 

La résidence, critère pour l'enregistrement de noms de domaine en .frCrédits : Filograph/iStock

La députée LREM Anne Genetet a questionné le secrétaire d’État au numérique sur le droit applicable pour l’enregistrement des noms en .fr. 

Et pour cause, « alors que l'article 45-3 du code des postes et des communications électroniques prévoit que ne peuvent demander l'enregistrement d'un nom de domaine en « .fr » que les personnes physiques ou morales domiciliées dans l'UE, il ne précise pas ce qu'il en est lorsque ces derniers changent de domiciliation ».

Cédric O lui a rappelé les modalités prévues par la Charte de nommage de l’Afnic à savoir, en substance, que  « toutes personnes physiques résidant et toutes personnes morales ayant leur siège ou établissement principal sur le territoire de l'Union européenne, de l'Islande, du Liechtenstein, de la Norvège ou de la Suisse (Etats membres de l'Association européenne de libre-échange : AELE), peuvent demander l'enregistrement ou le renouvellement d'un nom de domaine en .fr ».  

L'article L. 45-3 du Code des postes et communications électroniques retenant le critère de la résidence ou de l’établissement, « en l'état actuel du droit, le titulaire d'un nom de domaine en .fr qui était résident de l'UE (…) ou d'un pays de l'AELE, mais qui résiderait définitivement ou provisoirement hors de ces territoires ne serait plus éligible », sauf s’il produit un justificatif de résidence sur l'un de ces territoires.

Ainsi, « si l'office d'enregistrement peut refuser de renouveler un nom de domaine au motif d'un changement de domiciliation, la fourniture d'une attestation de résidence, même secondaire, sur le territoire de l'Union ou de l'AELE, dans le cas d'un contrôle, suffit à maintenir le nom ».

Freebox Server et répéteurs mis à jour : le filtrage par adresse MAC ajouté

De nombreux bugs ont été corrigés avec la version 4.3.2 de Freebox OS, certaines possibilités étant ajoutées au passage, comme l'accès aux partages réseau lorsque l'on passe par le VPN. 

On note surtout l'arrivée du filtrage par adresse MAC lorsque les répéteurs sont actifs, ce qui permet par exemple d'éviter que tel ou tel appareil se connecte au Wi-Fi. 

Les répéteurs sont d'ailleurs automatiquement mis à jour. La version 1.5.14 de leur firmware corrige quelques soucis avec les câbles RJ45 limités à 100 Mb/s ou les LED renvoyant une qualité de réseau incorrecte.

Bientôt un produit Google équipé du système d’exploitation Fuchsia ?

Ça n’a l’air de rien, mais 9to5Google a repéré sur le site du Bluetooth SIG (Special Interest Group) une curieuse référence de produit. Nommé « Google Home Hub », il fait mention de « Fuchsia 1.0 » comme numéro de version du logiciel.

Puisque de type « End Product », ce Hub est a priori prévu pour la commercialisation. Au vu des conventions de nommage en vigueur dans l’entreprise, il y a d’ailleurs des chances que « Home » soit remplacé par « Nest ».

Rappelons que Fuchsia est un mystérieux système d’exploitation en développement depuis plusieurs années chez Google. Il dispose d’un site officiel, l’entreprise indiquant simplement que son projet se concentre sur la facilité de mise à jour, la sécurité et les performances.  Il doit également permettre le prolongement des expériences sur de nombreux appareils « durables ».

Peut-être en saura-t-on davantage à la Google I/O, qui se tient du 18 au 20 mai.

Edge disponible en bêta sur Linux, la finale se rapproche

On peut dire que Microsoft prend son temps avec la version Linux de son navigateur. La première préversion est sortie il y a environ huit mois, uniquement sur le canal Dev mis à jour chaque semaine (avec la build Canary la plus stable).

L’éditeur n’est pas resté les bras croisés : toutes les nouveautés ajoutées ces derniers mois aux versions Windows et macOS ont été scrupuleusement répercutées sur la mouture Linux. Cette dernière a également rattrapé son retard sur des points importants comme la synchronisation via le compte Microsoft.

L’arrivée dans le canal bêta marque un nouveau pas vers la version stable. Microsoft rappelle que ce canal est mis à jour toutes les six semaines, signalant qu’il faudra peut-être encore plusieurs versions avant que Edge pour Linux soit réellement disponible.

La branche proposée est la 91, la même que pour Windows et macOS. L’installation est fournie en paquets deb et rpm, à l’instar de nombreux logiciels. 

On peut également passer par la ligne de commande, à condition que Curl soit installé pour connecter le dépôt d’Edge au système. Un simple sudo apt install curl suffit. Il faudra ensuite entrer le texte suivant dans le terminal (on peut copier/l’ensemble d’une traite) : 

curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /etc/apt/trusted.gpg.d/
sudo sh -c 'echo "deb [arch=amd64] https://packages.microsoft.com/repos/edge stable main" > /etc/apt/sources.list.d/microsoft-edge-dev.list'
sudo rm microsoft.gpg

Après quoi on pourra mettre à jour les dépôts et lancer l’installation du navigateur :

sudo apt update && sudo apt install microsoft-edge-beta

Pour supprimer Edge, on passera soit par le gestionnaire de logiciels intégré, soit par la commande :

sudo apt remove microsoft-edge-beta 
Twitter se paie Scroll, partenaire de Mozilla dans les abonnements à la presse

Le service de micro-blogging vient d'annoncer le rachat de l'entreprise, permettant d'accéder aux contenus de presse « sans publicités, pop-ups et autres », promettant au lecteur une expérience « propre » de lecture, contre un abonnement mensuel. 

Twitter dit travailler à son intégration au sein de son prochain abonnement, tout en faisant grossir le réseau d'éditeurs partenaires qui y diffuseront leur contenu. Il n'a pas été précisé si le partenariat établi avec Mozilla était toujours d'actualité.

Microsoft supprimera définitivement Flash de Windows 10 en juillet

C’est via une mise à jour cumulative – sans doute le Patch Tuesday du 13 juillet – que l’entreprise diffusera automatiquement l’outil de suppression de Flash.

Pour rappel, ce dernier existe depuis octobre, mais est proposé sur une base d’installation manuelle. Si beaucoup ont déjà supprimé l’ancien lecteur – qui n’est plus supporté depuis plusieurs mois déjà – il reste l’immense majorité des machines, dont les utilisateurs se contentent des mises à jour mensuelles et automatiques.

Bleeping Computer a repéré que la page d’informations au sujet de cet outil de suppression a été récemment modifiée. Microsoft y explique que l’outil sera testé fin juin dans une préversion de la mise à jour, avant diffusion générale à tous les Windows 10 de version 1809 ou ultérieure.

La toute petite mise à jour, de référence KB4577586, peut toujours être installée manuellement depuis cette page (attention, c'est le bazar). Elle est valable également pour Windows 8.1. 

Amazon EU Sarl : 44 milliards d’euros de chiffre d’affaires, 0 € d'impôts

Amazon a réalisé un chiffre d'affaires de 44 milliards d'euros en Europe en 2020, mais sa filiale luxembourgeoise a aussi enregistré une perte de 1,2 milliard d'euros, et n'a donc payé aucun impôt sur les sociétés, constate The Guardian.

L'unité luxembourgeoise – qui gère les ventes pour le Royaume-Uni, la France, l'Allemagne, l'Italie, les Pays-Bas, la Pologne, l'Espagne et la Suède – emploie seulement 5 262 personnes, ce qui signifie que le revenu par emploi s'élève à 8,4 millions d'euros.

Les comptes Amazon EU Sarl déposés au Luxembourg montrent que les ventes de 2020 ont augmenté de 12 milliards d'euros, profitant de la pandémie. Les comptes, qui s'étendent à seulement 23 pages (contre des centaines pour les grandes entreprises britanniques), ne sont pas ventilés pour chaque pays européen.

La semaine dernière, Amazon a annoncé son plus grand bénéfice trimestriel de 8,1 milliards de dollars sur des ventes de 109 milliards de dollars.

Un porte-parole d'Amazon a déclaré : « Amazon paie toutes les taxes requises dans chaque pays où nous opérons. L'impôt sur les sociétés est basé sur les bénéfices et non sur les revenus, et nos bénéfices sont restés faibles compte tenu de nos investissements lourds et du fait que le commerce de détail est une entreprise hautement compétitive et à faible marge. Nous avons investi bien plus de 78 milliards d'euros en Europe depuis 2010, et une grande partie de cet investissement est dans des infrastructures qui créent des milliers de nouveaux emplois, génèrent d'importantes recettes fiscales locales et soutiennent les petites entreprises européennes. »

Amazon est arrivée au Luxembourg en 2003 et a obtenu en quelques mois un accord confidentiel avec les autorités fiscales du pays. Bob Comfort, responsable des impôts d'Amazon jusqu'en 2011, a déclaré à un journal luxembourgeois que Jean-Claude Juncker (alors Premier ministre du pays et ancien président de la Commission européenne) avait personnellement proposé d'aider Amazon.

« Son message était simplement : "Si vous rencontrez des problèmes que vous ne semblez pas être en mesure de résoudre, veuillez revenir et me le dire. J'essaierai d'aider." ». Comfort a ensuite été nommé consul honoraire du Luxembourg à Seattle, où se trouve le siège américain d'Amazon.

Le mois dernier, Joe Biden a présenté des plans à l'Organisation de coopération et de développement économiques, un club de pays pour la plupart riches, pour des changements radicaux au système fiscal mondial , y compris un taux minimum d'imposition des sociétés dans le but d'arrêter les entreprises multinationales d'exploiter les failles dans le système.

Un plancher fiscal mondial serait également convenu. Les États-Unis ont suggéré un taux de 21 %. Bezos, plus riche personne du monde, a salué les propositions de Biden et a déclaré qu'Amazon était « favorable à une augmentation du taux d'imposition des sociétés ».

Microsoft Counterfit, un outil pour tester la sécurité des modèles de machine learning

Counterfit était initialement une simple série de scripts conçus pour attaquer des modèles et observer leur comportement. Selon une étude réalisée par ses soins, Microsoft aurait découvert que sur 28 organisations ayant participé, 25 estimaient que leurs modèles n’étaient pas assez robustes.

Les scripts ont évolué pour devenir un outil complet, incluant l’automatisation des tests. Counterfit est indépendant des environnements, modèles et données, et peut donc être utilisé – a priori – dans tous les développements, sur site ou dans le cloud.

Counterfit peut attaquer plusieurs modèles à la fois et mettre en évidence d’éventuelles faiblesses dans les services utilisés pour l’apprentissage automatique ou profond. Les attaques réalisées peuvent être de type pénétration ou recherche de failles. Les résultats sont enregistrés dans des journaux.

Microsoft ajoute que son outil peut être facilement utilisé avec les entreprises se servant de Metasploit ou PowerShell Empyre. Il est open source (licence MIT) et peut être récupéré depuis son dépôt GitHub.

John Justice, vice-président Google et chef de produit Stadia, quitte le navire

Le principal intéressé n’a pas encore mis à jour sa page LinkedIn. L’annonce a été faite par The Information, puis confirmée par la société à 9to5 Google : « Nous pouvons confirmer que John n'est plus avec Google et nous lui souhaitons bonne chance pour sa prochaine étape »

Il y a deux mois, l’entreprise fermait son studio de jeux vidéo Stadia Games & Entertainment. Il a été créé en 2019, avec Jade Raymond à sa tête. Elle a quitté l’entreprise lors de cette fermeture, tandis que les employés étaient en partie reclassés. Avec ce nouveau départ, se repose la question de l’avenir du service de cloud gaming de Google.

Stadia : Google met fin à son studio de jeux vidéo, quel avenir pour la plateforme ?

Galactic Starcruiser : Disney dévoile son « vrai » sabre laser

L’annonce a évidemment été faite hier, le 4 mai ou May The 4th dans la langue de Shakespeare. Il y a trois semaines, Josh D'Amaro (président des parcs et des produits Disney) avait teasé l’arrivée du produit, mais sans visuel.

Nous avons désormais droit à une vidéo d’une quinzaine de secondes présentant le sabre en action. Une actrice le tient en main et le met en marche. On voit alors le « faisceau lumineux » sortir du manche pour prendre forme.

La vidéo est plutôt convaincante et le rendu prometteur. Aucun détail technique n’est donné, mais il semblerait que le sabre se déroule un peu à la manière d’un mètre ruban. Il est développé en interne par les équipes Walt Disney Imagineering Research and Development. 

Il ne sera pas vendu pour le moment et servira d’accessoire pour les visiteurs profitant de l’attraction Star Wars: Galactic Starcruiser. Il s’agit d’une immersion de deux jours qui ouvrira ses portes aux États-Unis en 2022. Vos décisions auront des conséquences sur le déroulement de l’histoire. 

Encore une faille dans les processeurs AMD et Intel… ça ne s’arrête jamais ?

Depuis l’annonce des failles Spectre et Meltdown, nous avons eu droit à de très nombreuses variantes. Un jeu du chat et de la souris s’est installé entre les fabricants de puces et les chercheurs en sécurité, les premiers bouchant les brèches découvertes par les seconds. 

Ce début du mois de mai ne déroge pas à la règle, comme le rapporte Ars Technica : « Des chercheurs de l'Université de Virginie ont déclaré la semaine dernière avoir trouvé une nouvelle variante d'exécution transitoire qui brise pratiquement toutes les défenses qu'Intel et AMD ont mises en œuvre à ce jour sur leurs puces ».

« La nouvelle technique fonctionne en ciblant un tampon des puces qui met en cache des "micro-opérations", des commandes simplifiées dérivées d'instructions complexes », ajoutent nos confrères. Tous les détails sont donnés dans cette publication scientifique.

Fusion nucléaire : du 10 au 15 mai, suivez la 28e conférence de l'AIEA

L'Agence internationale de l'énergie atomique réunira des « experts de haut niveau du monde entier » afin de discuter des « progrès réalisés en matière de production d'énergie à partir de la fusion nucléaire », et donc de la « promesse d'une énergie abondante, sûre et sans carbone ».

Tout le monde peut y assister : « Les différentes sessions de la conférence et les événements parallèles seront tous virtuels et pourront être suivis gratuitement par le grand public sur inscription ». Le programme est disponible par ici.

Cookies : clôture de la procédure d’injonction visant Google, la CNIL reste aux aguetsCrédits : ArtemSam/iStock

En décembre dernier, comme l’avait révélé Next Inpact, la CNIL avait condamné Google à 100 millions d’euros d’amende

Elle avait dans sa foulée enjointe à Google « d’informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil » du moteur, « des finalités de tous les cookies soumis au consentement » et « des moyens dont elles disposent pour les refuser ».

Elle vient finalement de clore cette procédure

« Il ressort des éléments fournis dans le courrier de réponse du 30 mars 2021 que les personnes se rendant sur le site google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site », affirme la CNIL.

Cette décision ne concerne toutefois que l’injonction du 7 décembre. L’autorité prend soin de préciser qu’elle n’a pas encore éprouvé la conformité du bandeau d’information « aux nouvelles règles en matière de cookies, portant notamment sur le consentement, qui sont éclairées par les lignes directrices et la recommandation du 17 septembre 2020 » (notre actualité).

En conséquence, elle « se réserve désormais la possibilité de contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive ».

Les eurodéputés Verts lancent une consultation pour améliorer le DSA et le DMA

Au Parlement européen, les élus « Verts » viennent de lancer deux consultations, l’une sur le Digital Market Act, l’autre sur le Digital Service Act. L’idée ? Proposer à des experts, représentants d’ONG et autres de soumettre des commentaires, voire des suggestions pour aiguiser le texte. 

« Votre contribution sera précieuse pour nos travaux et amendements au Parlement européen » préviennent les élus.

Instagram : les sous-titres automatiques débarquent sur les Stories et Reels, en anglais pour l’instant

Cette fonctionnalité permet au réseau social de s’ouvrir aux personnes sourdes ou malentendantes, mais propose aussi une alternative à ceux qui ne peuvent pas (ou n’ont pas envie) d’écouter la partie audio.

Les créateurs de contenus peuvent ainsi utiliser le « captions sticker » qui fera la conversion entre la voix et le texte. Vous pouvez ensuite choisir le style et la position des écritures pour l’adapter au mieux à votre vidéo. Les sous-titres seront alors visibles par tout le monde.

Pour le moment, ce service est limité à l’anglais et dans les pays anglophones, mais Instagram promet d’étendre cette fonctionnalité selon plusieurs de nos confrères américains.

12 projets innovants retenus par la CNIL dans le domaine de la santé numériqueCrédits : ipopba/iStock

En février dernier, la CNIL lançait un premier appel à projets dans le domaine de la santé numérique. L’idée ? Identifier plusieurs « projets innovants », afin de leur faire bénéficier d’un accompagnement renforcé de l’autorité « pour aboutir à un service ou produit conforme à la réglementation en vigueur et respectueux de la vie privée ».

Trois mois plus tard, la Commission a finalement sélectionné quatre projets sur les soixante candidatures enregistrées. « Quatre critères de sélection ont été retenus : le caractère innovant du projet, le bénéfice pour le public, l’intérêt pour la protection des données, et un engagement fort du porteur dans la démarche ».

Ces quatre projets sont : 

  • L’apprentissage fédéré en intelligence artificielle appliquée aux études cliniques, projet du CHU de Lille et de l’équipe Magnet d'Inria
  • Une solution d’aide au diagnostic en oncologie, « de la jeune pousse Resilience développant »
  • Le projet Magellan destiné à construire des indicateurs statistiques anonymes de description des populations en recherche médicale, porté par le bureau d’études Clinityx
  • Le projet Vertexa du Centre hospitalier d’Arras, « une solution de réalité virtuelle à visée thérapeutique pour lutter contre les troubles de l’alimentation des mineurs ».

Un appui plus ponctuel profitera à huit autres projets, dont Sharp-Tx, une « IA de prédiction Alzheimer et application de traitement préventif »

Android Studio 4.2 améliore la fonction Appliquer les changements

Nouvelle mouture pour l’environnement de développement, relativement mineure pour une fois.

La plus grosse amélioration concerne la fonction Appliquer les changements, qui permet pour rappel de pousser du nouveau code ou des ressources dans une application en cours d’exécution sans avoir besoin de la redémarrer.

Elle ne peut cependant pas être utilisée à chaque fois. Android Studio 4.2 augmente donc le nombre de cas où la fonction est autorisée, notamment sur les ressources, qui comptent (selon Google) pour 23 % des redémarrages nécessaires de l’application. Seule condition, que l’appareil ou l’émulateur utilisé soit au moins sous Android 11.

Parmi les autres nouveautés, on note une mise à jour d’IntelliJ (Community Edition 2020.2), un rafraîchissement visuel pour les assistants Nouveau projet et Nouveau module (chaque modèle a désormais son ViewBinding), ou encore le grand retour du déploiement sur plusieurs appareils à la fois, fonction qui existait aux débuts d’Android Studio et avait mystérieusement disparu.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !