C’est le scénario catastrophe selon les chercheurs à l’origine de cette découverte : toutes les versions encore supportées de Windows sont concernées par une brèche qui permet à des attaquants de prendre le contrôle à distance, comme le rapporte Ars Technica.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges SYSTÈME. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges », confirme Microsoft.

Comme son nom l’indique, cette vulnérabilité (CVE-2021-34527) se situe dans le spouleur d’impression de Windows. Elle « est similaire mais distincte de la vulnérabilité attribuée à la CVE-2021-1675 », ajoute l’éditeur. Un prototype permettant d’exploiter cette faille a été mis en ligne avant d’être retiré… mais pas assez rapidement puisqu'il a été copié, il se trouve donc entre les mains de potentiels attaquants. Microsoft confirme d’ailleurs que cette brèche est d’ores et déjà exploitée.

Une solution de contournement est de désactiver le service Spouleur d’impression. Depuis peu, des mises à jour sont disponibles pour toutes les versions encore prises en charge de Windows, mais aussi – fait rare démontrant la dangerosité de la faille – pour Windows 7. C’est du moins ce qu’indique Microsoft, mais tout le monde n’est pas du même avis.

Sur Twitter, Benjamin Delpy explique en effet qu’il suffirait de passer par l’Universal Naming Convention (UNC) pour contourner les protections. Une vidéo de démonstration a été mise en ligne par ici. Interrogée par The Register sur ce nouveau trou dans la raquette, Microsoft n’a pas souhaité répondre pour le moment.

« Le générateur de mots de passe inclus dans Kaspersky Password Manager a rencontré plusieurs problèmes », a expliqué mardi l'équipe de recherche de Donjon sur son blog. « Le plus critique est qu'il utilisait un générateur de nombres pseudo-aléatoires (PRNG) non adapté à des fins cryptographiques. Sa seule source d'entropie était l'heure actuelle. Tous les mots de passe qu'il créait pouvaient être brutalement forcés en quelques secondes ».

Il générait en effet des mots de passe identiques à tout moment et partout dans le monde : « Par exemple, il y a 315 619 200 secondes entre 2010 et 2021, donc KPM pourrait générer au plus 315 619 200 mots de passe pour un jeu de caractères donné. Les forcer brutalement prend quelques minutes ».

« Kaspersky a corrigé un problème de sécurité dans Kaspersky Password Manager, qui permettait potentiellement à un attaquant de découvrir les mots de passe générés par l'outil », a déclaré un porte-parole de l'entreprise dans un e-mail à The Register. Il « n'était possible que dans le cas improbable où l'attaquant connaissait les informations du compte de l'utilisateur et l'heure exacte à laquelle un mot de passe avait été généré. Cela obligerait également la cible à réduire ses paramètres de complexité de mot de passe ».

C’est par l’intermédiaire de sa plateforme « Images des Mathématiques » (IdM) que le Centre national de la recherche scientifique a mis en ligne un dossier en trois parties sur le quantique (au sens large du terme). IdM a comme « but de présenter la recherche mathématique - en particulier française - et le métier de mathématicien, à l’extérieur de la communauté scientifique ». Les articles sont classés avec des codes couleurs comme pour les pistes de ski.

Il y a tout d’abord la verte pour le grand public, puis la bleue pour ceux qui se souviennent des cours de maths à l’école, la rouge qui nécessitent « un certain bagage mathématique, a priori de niveau d’une terminale scientifique d’aujourd’hui ». Enfin la noire et le hors-piste pour les férus de mathématiques.

Aujourd’hui on est sur une piste rouge, il faudra donc un minimum de connaissance pour suivre. Après une présentation rudimentaire de la cryptographie, le CNRS montre « comment la mécanique quantique offre, via le protocole BB84, une solution à un problème central de la cryptographie, qui est celui du partage de la clé de chiffrement entre les deux parties ».

Si ce n’est pas déjà fait, on vous conseille de lire les deux précédents articles du dossier :

• Surprenant hasard quantique (partie 1)
• Subtile mécanique quantique (partie 2)
• À la découverte de la cryptographie quantique (partie 3)

Un artiste belge a conçu un logiciel pour identifier les politiciens distraits qui utilisent leur téléphone lors des séances parlementaires, et qui les interpelle à ce sujet sur les réseaux sociaux, s'amuse RTL. Le logiciel, conçu en langage Python, utilise l'intelligence artificielle et la reconnaissance faciale pour repérer les représentants de la nation qui utilisent leur téléphone sur le flux vidéo général diffusé lors des séances. 

Les séquences sont ensuite découpées puis publiées sur Instagram et Twitter accompagnées d'un avertissement mentionnant le compte de l'intéressé. « Les scrollers flamands », précise RTL, est un projet imaginé par Dries Depoorter, un artiste numérique flamand travaillant sur les notions de vie privée, l'intelligence artificielle, la surveillance et les réseaux sociaux. 

Il s'était préalablement illustré en lançant « Die with me », une messagerie qu'il n'est possible d'utiliser que lorsque le smartphone dispose de moins de 5% de batterie, et un TinderIn, qui juxtapose des photos de profil d'une même personne sur Tinder et LinkedIn pour s'interroger sur les multiples façons dont les individus se mettent en avant en ligne.

Une parlementaire épinglée se défend, expliquant avoir certes été en contact avec un collaborateur qui ne pouvait pas suivre la réunion physiquement, mais qu'elle faisait « simplement des recherches supplémentaires » et qu'elle n'était donc pas « distraite ». « L'interprétation des images nécessite toujours un facteur humain », plaide-t-elle, ce que ne conteste pas l'artiste, qui travaille d'ailleurs à distinguer les personnes qui tapotent sur leur smartphone de celles qui se contentent de le consulter.

Ce qui ne changerait rien, cela dit, aux biais de confirmation induits par ce type d'algorithmes : s'informer, a fortiori répondre à une sollicitation urgente, implique une interaction, au-delà de la consultation... ce qui ne saurait donc caractériser un « comportement suspect », mais qui illustre a contrario les problèmes posés par le « solutionnisme technologique ».

Bouygues Télécom pactise avec les régies des trois groupes pour proposer la publicité segmentée sur les écrans connectés à ses box. Selon la localisation, les centres d’intérêts mais aussi « l’affinité aux programmes » voire les données des annonceurs, les publicités d’un foyer vont donc différer de celles du voisin. 

Cette exploitation des données à caractère personnel supposera néanmoins l’accord préalable des personnes concernées. Attendez-vous en conséquence à voir un bandeau sollicitant votre consentement, sachant que votre éventuel feu vert pourra se transformer en feu rouge à n’importe quel moment. 

Ces traitements à des fins publicitaires ont été rendus possibles suite à la diffusion d’un décret au plein cœur de l’été 2020. Un texte motivé par le souhait de combler « l’iniquité (…) entre les chaînes de télévision et les acteurs de l’Internet au détriment du financement des chaînes de TV qui ont un rôle majeur à jouer dans le paysage audiovisuel », expliquait Franck Riester, alors ministre de la Culture.

Plutôt que limiter le profilage sur Internet, le choix a donc été d’enclencher cette pratique sur les écrans autrefois passifs. Depuis cette publication, la course à la publicité dite « adressée » est lancée. Bouygues avait déjà signé avec CANAL+ Brand Solutions ou Google Ad Manager, Orange avec France TV et TF1, etc.  

En somme, quand vous regardez la télévision aujourd’hui, c’est aussi elle qui vous regarde.