LeBriefdu 10 mai 2021
La Chine militarise ses concours de vulnérabilitésCrédits : BlackJack3D/iStock

Une attaque ciblant des iPhone a été utilisée pour espionner la minorité musulmane de Chine. Des responsables américains, écrit la Technology Review du MIT, affirment qu'elle a été développée lors de la plus grande compétition de recherche de vulnérabilités du pays.

Les hackers chinois ont longtemps dominé les concours type Pwn2Own consistant à exploiter des failles de sécurité dans divers systèmes d'exploitation et logiciels. Mais en 2017, tout s'est arrêté, raconte le MIT.

Le PDG fondateur (et milliardaire) du géant chinois de la cybersécurité Qihoo 360, un des leaders du secteur, critiqua publiquement les Chinois partant à l'étranger pour participer à de telles compétitions. Dans une interview, il expliqua qu'une fois ce type de vulnérabilités exposées à l'étranger, elles ne pouvaient plus être exploitées.

Il les exorta à « rester en Chine » afin de leur permettre de reconnaître la « valeur stratégique » de ces failles.

Peu de temps après, les autorités chinoises leur interdirent de participer à des compétitions à l'étranger, et un nouveau concours, la Coupe Tianfu, fut organisée, promettant des prix totalisant plus d'un million de dollars. 

Lors du premier Tianfu, en novembre 2018, le chercheur Qixun Zhao, de Qihoo 360, remporta 200 000 dollars pour avoir identifié une chaîne d'exploits, qu'il surnomma « Chaos ». Elle permettait de prendre le contrôle des iPhone les plus récents et à jour, via une faille dans le navigateur Safari.

Deux mois plus tard, Apple corrigeait la faille. Mais Google identifia cinq chaînes d'exploit, reprenant Chaos, exploitant des iPhone « en masse » mais sans, pour autant, identifier l'attaquant ni les victimes.

D'après le MIT Technology Review, les États-Unis seraient parvenus à faire le lien entre la Coupe Tianfu, Chaos, et le fait que l'attaque visait bel et bien à permettre aux autorités chinoises d'espionner des musulmans Ouïghours.

« La décision initiale de ne pas permettre aux pirates de se rendre à l'étranger pour participer à des compétitions semble être motivée par le désir de conserver les vulnérabilités découvertes en Chine », déclare Adam Segal, expert en politique de cybersécurité chinoise au Council for Foreign Relations. Elle a également coupé les principaux hackers chinois d'autres sources de revenus « afin qu'ils soient contraints de se rapprocher de l'État et des entreprises établies ».

Qihoo, évalué à plus de 9 milliards de dollars, est par ailleurs l'une des dizaines d'entreprises chinoises ajoutées à une liste noire commerciale par les États-Unis en 2020. Le département du Commerce avait estimé qu'elle pourrait soutenir l'activité militaire chinoise.

Drones : Darmanin avait demandé à la CNIL de taire sa sanction

Fin 2020, révèle Mediapart, le ministre de l'Intérieur a écrit à la CNIL, qui l'avait informé d'une procédure de sanction au sujet de son utilisation des drones, pour lui demander, « dans l'éventualité où une sanction serait prononcée, à ne pas la rendre publique ni l'assortir d'une injonction de cesser les usages des drones » ou, à tout le moins, qu'elle soit assortie d'un « délai de six mois pour permettre au ministère de la mettre en oeuvre ».

« Les conséquences » de la publicité d’une telle sanction seraient en effet « susceptibles de nuire aux travaux parlementaires en cours », précisait Gérald Darmanin, alors que l’Assemblée nationale débattait de la proposition de loi « Sécurité globale », qui prévoit notamment la généralisation de l’utilisation des drones par les forces de l’ordre. 

Mediapart publie également les conclusions de l’instruction menée par la CNIL pendant des mois, qui aboutissent à l’illégalité de cette utilisation « sur l’ensemble du territoire, et quelles que soient les finalités poursuivies ». 

Saisi par le Premier ministre, ainsi que par plus de 60 députés et sénateurs, la loi « Sécurité globale », dont son article sur l'utilisation des drones, attend encore sa validation, en tout ou partie, par les Sages du Conseil constitutionnel.

Les restes de la fusée Longue Marche 5B sont tombés dans l’océan indien

Comme prévu, c’est ce week-end que le premier étage de la fusée chinoise est entré dans l’atmosphère terrestre après quelques jours dans l’espace. Sa trajectoire n’était pas contrôlée et les spéculations allaient bon train quant à son point de chute, impossible à déterminer.

Fin du suspense : les débris sont tombés dans l’océan Indien, au nord des Maldives.

« Une rentrée océanique était statistiquement la plus probable. Il semble que la Chine ait gagné son pari (à moins que nous n'ayons des nouvelles de débris aux Maldives). Mais c'était quand même imprudent », explique Jonathan McDowell du Center for Astrophysics (unité mixte Harvard et Smithsonian).

Crédit d’impôt pour le premier abonnement à un journal, c’est parti !

La troisième loi de finances rectificative avait introduit en juillet 2020 un crédit d'impôt pour le premier abonnement à un journal, à une publication périodique ou à un service de presse en ligne d'information politique et générale (IPG). 

Le coup de pouce fiscal est de 30 % du montant de l’abonnement, accordé une fois par foyer jusqu'au 31 décembre 2022. Cet abonnement doit être d’un an, minimum. La somme vient en déduction de l’impôt sur le revenu. L’excédent éventuel est restitué au contribuable  

Cette aide d’État n’avait toujours pas été activée, puisque tributaire d’une procédure préalable de notification européenne. L’étape ayant été franchie, après bien des impatiences parlementaires, le gouvernement a pu publier le décret d’application au Journal officiel du 8 mai

Techniquement, le texte d’application prévoit que cette aide s’applique pour les abonnements souscrits à compter du lendemain de la publication de ce décret. 

Les « kits de criminalistique automobile » peuvent cloner vos smartphonesCrédits : MoreISO/iStock

Les douanes américaines (CBP) ont payé 456 073 dollars à la société suédoise d'extraction de données MSAB pour acheter cinq « kits de criminalistique automobile » iVe fabriqués par Berla, une société américaine. Objectif, aspirer des tonnes d'informations personnelles stockées à l'intérieur des voitures, selon un contrat fédéral examiné par The Intercept.

Un document connexe indique que le CBP estimait que le kit serait « essentiel dans les enquêtes du CBP car il peut fournir des preuves [non seulement] de l'utilisation du véhicule, mais également des informations obtenues via des appareils mobiles associés au système d'infodivertissement. »

MSAB affirme que ces données peuvent inclure « les destinations récentes, emplacements favoris, journaux d'appels, listes de contacts, messages SMS, e-mails, photos, vidéos, flux de réseaux sociaux et l'historique de navigation de partout où le véhicule a été ». 

MSAB vante même la possibilité de récupérer des données supprimées, des « plans futurs », « quand et où les lumières d'un véhicule sont allumées et quelles portes sont ouvertes et fermées à des endroits spécifiques », les « changements de vitesse, le compteur kilométrique, les cycles d'allumage, les journaux de vitesse, etc. », ou encore d'« identifier les associés connus et établir des modèles de communication entre eux ».

iVe est compatible avec plus de deux douzaines de marques de véhicules (Audi, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dodge, Fiat, Ford, GMC, Hummer, Hyundai/Kia, Infinity, Jeep, Lincoln, Mercedes-Benz, Maserati, Mercury, Nissan, Pontiac, Ram, Saturn, Seat, Skoda, SRT, Toyota et Volkswagen), précise MSAB.

Interrogé par The Intercept, MSAB a refusé de commenter les risques pour la vie privée et les libertés, et déclaré que l'entreprise « ne définit pas de politique client ou de gouvernance sur l'utilisation ».

Le CBP, ainsi que d'autres services de police et de renseignement, seraient tout particulièrement intéressés par l'exploitation des sauvegardes ou synchronisations faites dans les véhicules – ce que nombre d'utilisateurs ignorent –, à mesure que les smartphones sont de plus en plus sécurisés, et chiffrés.

Lors d'une apparition en 2015 sur le podcast « The Forensic Lunch », le fondateur de Berla, Ben LeMere, avait expliqué que « les gens louent des voitures, font des choses avec et ne pensent même pas aux endroits où ils vont et à ce que la voiture enregistre. Lorsque vous le branchez sur le port USB, elle chargera votre téléphone, et aspirera toutes vos données. »

Il avait ainsi raconté avoir récupéré, sur une voiture de location, les journaux d'appels, contacts, préférences musicales et SMS des 70 téléphones qui s'y étaient connectés.

Un responsable de l'ACLU explique à The Intercept que « ce qu'ils nous disent, c'est : "Nous pouvons exploiter les gens parce qu'ils sont stupides". » Et ce, d'autant plus que cette technologie pourrait aussi être exploitée à fins de recherches téléphoniques sans mandat...

Les AirTag déjà détournés par un chercheur en sécurité

Les petits accessoires lancés par Apple permettent de retrouver facilement les objets auxquels ils sont attachés.

Un chercheur, Stack Smashing, a publié samedi des photos montrant ses tentatives réussies de modification d’AirTag (après plusieurs ratés ayant « briqué » deux AirTag). Il indique avoir pu modifier le microcontrôleur pour lui faire exécuter des actions personnalisées, par exemple ouvrir une URL spécifique sur l’iPhone connecté plutôt que le service Localiser.

Il semble que le chercheur ait surtout cherché à s’amuser, l’utilité de la manipulation restant à démontrer. Certains proposent déjà d’y faire tourner Doom. 

Octave Klaba répond aux inquiétudes concernant le site de Roubaix

Hier soir, le patron d'OVHcloud a indiqué que « depuis 2006, à Roubaix, on a acheté et transformé progressivement les bâtiments en datacenters. Chaque bâtiment a eu droit à une déclaration ICPE séparée. C’est ce qu’on a toujours fait ».

Il évoque ici le cas des Installations Classées pour la Protection de l'Environnement (ICPE). Il ajoute qu'en « 2019-2020 a eu [lieu] un débat avec les autorités locales pour décider si les installations de 2 côtés de la route ou 1 bâtiment isolé à 500m peuvent être considérées comme plusieurs déclarations ICPE ou on doit passer sous une seule déclaration ICPE ».

Ce qui a amené l'hébergeur en 2021 à « passer sur une seule déclaration ICPE. On a donc commandé l’enquête publique et on met en conformité les 2-3 manquements comme le bassin de rétention d’eaux d’incendie ».

Une référence à un article du JDN qui fait mention d'un rapport de Bureau Veritas sur différents manquements, ce qui fait forcément réagir après l'incendie de Strasbourg. Ce document est d'ailleurs accessible à tous, faisant partie du dossier de l'enquête publique évoquée par Klaba dans ses tweets. 

On y apprend de nombreux détails sur le site de Roubaix, notamment qu'il « ne consomme pas d'eau pour son système incendie : les installations d'OVH ne sont pas équipées de RIA actifs, de systèmes de brouillard d'eau ou de système d'extinction automatique par sprinklage ». Selon Klaba, « les travaux vont prendre 18-24 mois : très complexes car il y a peu de place ». 

Voici la version Cargo de la voiture électrique AMI de Citroën

Un an après la version classique, le constructeur lance la version Cargo qui, comme son nom l’indique, est pensée pour accueillir du chargement. 

Elle propose « un volume utile total de plus de 400 litres et une charge utile de 140 kg grâce à un espace optimisé et modulaire en lieu et place du siège passager », qui est remplacé par une « boîte modulaire et protégée composée de 7 cloisons en polypropylène ».

Orientées vers les pros, les entreprises pourront les personnaliser. 

Pour véhiculer leur image via My Ami Cargo, les clients auront prochainement la possibilité de pousser plus loin la personnalisation extérieure sur demande.

« Des offres "à la carte", attractives et modulables, permettent à chaque professionnel d’accéder à la mobilité selon son besoin et son budget, de l’achat au comptant dès 6 490 euros TTC (bonus de 900 euros déduit) au loyer mensuel dans le cadre de la location longue durée à partir de 24,18 euros par mois (1er loyer 2 508,43 euros, bonus de 900 euros déduit pour une LLD 48 mois en France) », explique Citroën.

PS5 et Xbox Series : à défaut de consoles, des chaussures

Les deux concurrents semblent avoir eu la même idée : s’associer à des fabricants de chaussures pour en proposer des versions aux couleurs de leurs consoles.

Sony était le premier à dégainer la semaine dernière avec les PG 5 PlayStation 5 Colorway en partenariat avec Nike. Elles seront disponibles à partir du 14 mai. De son côté, Microsoft s'acoquinerait avec Adidas, comme le rapporte Complex, avec une disponibilité prévue pour juin.

Cinquième vol d’Ingenuity sur Mars : le drone change d’endroit et grimpe jusqu’à 10 mètres d’altitude

Fin avril, Ingenuity réalisait son quatrième vol sur Mars. Il décollait à une altitude de 5 mètres avant d’effectuer un vol à 133 mètres de son point de départ puis y revenir, soit 266 mètres en tout. 

Installé à 80 mètres de là, le rover Perseverance a capturé le vol du drone avec ses caméras, mais aussi avec son micro. 

Plus récemment, le drone a effectué son cinquième vol, qui marque une nouvelle étape. Ingenuity n’est en effet pas venu se reposer à son point de départ, mais à 129 mètres vers le sud.

« Après son arrivée au-dessus de son nouvel aérodrome, Ingenuity a atteint un record d'altitude de 10 mètres et a capturé des images couleur haute résolution de son nouveau quartier avant d'atterrir », explique la NASA

Nouvelles conditions : WhatsApp assouplit légèrement la barrière du 15 mai

Le service devait entériner ses nouvelles conditions à cette date, avec comme épée de Damoclès la perte totale des fonctions liées en cas de non acceptation.

L’éditeur se montre finalement un peu plus souple. À compter du 15 mai, toute personne n’ayant pas accepté les nouvelles conditions se verra afficher un rappel régulier. Cette phase durera « quelques semaines », après quoi le rappel deviendra permanent.

Dès lors, on ne pourra plus consulter la liste générale des messages ni entrer dans une conversation. En revanche, il sera toujours possible de répondre aux messages via les notifications et de prendre les appels audio et vidéo.

Après à nouveau « quelques semaines » de ce régime, tout sera bloqué cette fois. Il faudra obligatoirement accepter les nouvelles conditions pour se servir de WhatsApp.

Dans sa fiche mise à jour (en anglais), WhatsApp se dépêche d’ajouter que le compte ne sera pas supprimé si vous n’acceptez pas les conditions. 

Et de rappeler que l’on peut exporter ses messages et son profil. L’éditeur demande cependant à ceux qui envisageraient de supprimer leur compte d’y réfléchir à nouveau, l’opération étant irréversible. C’est toutefois ce que l’on espère de ce genre d’opération.

KeePass 2.48 reçoit de multiples améliorations

Nouvelle mouture pour le gestionnaire de mots de passe, avec notamment le format de fichier KDBX 4.1, qui débloque plusieurs nouveautés, dont le support des tags de groupes.

On trouve de nombreux apports dans le domaine de l’interface, par exemple dans la gestion des groupes, des améliorations de texte ou de la sélection d’icônes.

On note aussi que les imports depuis d’autres gestionnaires de mots de passe ont été renforcés, en particulier pour LastPass (prise en charge des dernières versions), BitWarden et nPassword.

Starlink traduit son site en français et ses prix en euros

Il n’en fallait pas plus pour que certains y voient le lancement du service en France, alors que ce n’est pas encore le cas. Les précommandes sont pour rappel ouvertes depuis mi-février.

Comme c’était déjà le cas auparavant, la société précise : « Starlink est actuellement disponible pour un nombre limité d’utilisateurs par zone de couverture. Les commandes seront traitées par ordre d’arrivée, selon le principe du « premier arrivé, premier servi ».

Bref, rien de neuf sous les satellites de SpaceX. Nous avions détaillé le fonctionnement du service lorsqu’il avait obtenu le feu vert de l’Arcep il y a un peu moins de trois mois.

Windows 10X, dans sa forme actuelle, aurait été abandonné

Si l’on croit le généralement très bien informé Brad Sams, Windows 10X ne sortirait ni cette année ni même jamais. Le projet, tel qu’on le connaît, aurait été abandonné.

10X devait être cette version allégée de Windows 10 pensée comme un concurrent crédible à Chrome OS. On trouvait même des préversions où l’on pouvait tester son interface simplifiée et son nouveau menu Démarrer, mélangeant applications et documents.

On attendait surtout Windows 10X sur la Surface Neo et son double écran. Puis l’appareil fut repoussé, 10X prit la direction plus classique de portables à écran unique et on était sans nouvelles depuis. Les ressources auraient été principalement réattribuées à Windows 10.

Après Windows RT, 10S et 10X, Sams pose la question de savoir si Microsoft a réellement besoin d’une autre version du système, actif sur 1,3 milliard d’appareils. L’interrogation est depuis longtemps sur la table, Microsoft ayant bien du mal à sortir du monde PC.

Toujours selon Brad Sams, les retours collectés par Microsoft sur 10X auraient été très clairs. Il serait apparu que Windows 10 bénéficiait d’une image de grande souplesse, que 10X ne pouvait pas exploiter. Une thématique déjà explorée avec RT en son temps.

Selon les testeurs, les améliorations réalisées dans 10X auraient dû se retrouver dans le système d’origine. Ce qui, selon Sams, serait précisément la décision prise par Microsoft. Dans sa forme actuelle, 10X aurait été jugé inadéquat, ne pouvant s’insérer dans aucun scénario.

Nouveau record pour SpaceX : ce week-end, une fusée Falcon 9 a volé pour la 10e fois

La société d’Elon Musk enchaîne les succès ces derniers mois, que ce soit dans l’exploration spatiale avec sa capsule Crew Dragon, le travail sur son prochain lanceur Starship ou son actuelle fusée Falcon 9.

Lors d’une mission Starlink pour envoyer 60 nouveaux satellites en orbite, un premier étage de Falcon 9 a effectué son dixième décollage, un record. Cerise sur le gâteau, il est venu se poser en douceur sur la barge Just Read the Instructions en pleine mer. 

Clubhouse lance la bêta de son application Android, aux États-Unis

L’application phénomène se dote enfin d’une variante Android, après un lancement sur iOS il y a plus d’un an. Son succès ne se dément pas, certains salons vocaux étant régulièrement visités par des célébrités.

Dans son billet, la société indique que la bêta pour Android est dans un premier temps limitée aux utilisateurs américains. La version finale sera étendue à l’ensemble des marchés anglo-saxons, et plus tard au reste du monde.

Elle revient sur cette « prudence » qui la caractérise dans l’approche de sa croissance. Le système d’invitations reste donc en place, alimentant au passage la désirabilité du service chez une partie du public.

Elle affirme qu’en dépit de ce système, le nombre d’utilisateurs a rapidement explosé, provoqué des pannes de serveurs et des problèmes avec les algorithmes. Les nouvelles fonctions ont donc été mises en pause au profit d’embauches pour stabiliser les existantes.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !