LeBriefdu 14 septembre 2021
Du Litecoin chez Walmart ? La fausse annonce officielle sème la zizanieCrédits : TommL/iStock

L’histoire commence par un communiqué de presse publié sur la plateforme GlobeNewswire : « Walmart annonce un partenariat majeur avec Litecoin (LTC) », comme le rapporte Mashable.

Il est repris par de nombreux blogs et des sites d’importance comme CNBC et Reuters, y compris le compte certifié @Litecoin. L’effet ne se fait pas attendre : le cours du Litecoin explose et s’approche des 200 euros, au lieu des 150 habituels.

Certains sont néanmoins sceptiques… à raison puisque cette annonce s’effondre ensuite comme un château de cartes. Walmart contacte la presse pour expliquer que le communiqué est faux. Le compte Litecoin Foundation confirme. Les articles et autres tweets sont retirés/corrigés les uns à la suite des autres. Certains articles sont toujours en ligne, sans aucune modification…

À y regarder de plus près, Mashable soulève plusieurs points suspects, notamment l’adresse email du compte utilisé sur GlobeNewswire : william.white@walmart-corp.com. walmart-corp.com est un nom de domaine créé il y a moins d’un mois et qui n’appartient à priori pas à la boutique.

GlobeNewswire explique qu’un « compte d'utilisateur frauduleux avait été utilisé pour publier un communiqué de presse illégitime » et qu’il a rapidement été retiré. « Cela ne s'est jamais produit auparavant et nous avons déjà mis en place des étapes d'authentification améliorées pour éviter que cet incident isolé ne se reproduise à l'avenir ». Une enquête est en cours et Globe Newswire collabore avec les autorités compétentes.

Le cours du Litecoin est depuis revenu à son niveau d’avant cette annonce, aux alentours des 150 euros. Les intentions derrière cette annonce ne sont pas connues et nous ne savons pour le moment pas si certains ont profité de la fulgurante ascension pour effectuer des opérations lucratives.

Nitrite : l’appli Yuka condamnée à la demande de l’industrie de la charcuterieCrédits : seb_ra/iStock

Selon les Echos, l’éditeur de l’application Yuka a été condamné à la demande du groupe ABC-Charcutier, un spécialiste du jambon cuit installé à Peyrolles-en-Provence. 

Yuka avait classé parmi les « additifs cancérigènes » et « génotoxiques » les nitrites qu’on retrouve dans ces produits.  

Le tribunal de commerce d’Aix-en-Provence a vu dans ce classement des « pratiques commerciales trompeuses » et un « dénigrement ». Yuka devra verser 25 000 euros de préjudice moral. ABC avait sollicité 564 000 euros. 

Selon nos confrères, « l'appli doit également "supprimer l'indication de risque élevé" relative à l'additif E 250 (nitrites) », ainsi que « la mention précisant que les nitrites sont cancérigènes et génotoxiques ou tout terme équivalent ».

En mai dernier, la même appli était condamnée pour « pratique commerciale déloyale et trompeuse », déjà sur fond de nitrite.

Yuka a fait appel.

Inspiration4 : SpaceX se prépare à son premier vol habité avec quatre civils

La société a déjà envoyé des astronautes dans l’espace et sur la Station spatiale internationale (notamment le Français Thomas Pesquet) dans le cadre de son contrat avec la NASA.

Inspiration4 est une mission un peu différente puisque les quatre astronautes qui prendront place dans la capsule Crew Dragon sont tous des civils qui vont jouer les touristes de l’espace.

Après une mise à feu statique réussie, le lancement est programmé dans la nuit de mercredi à jeudi, à partir de 2h02 du matin. Durant les sept derniers mois, les quatre astronautes en herbe se sont tout de même entraînés afin de se préparer à ce qui les attend.

Pour rappel, Richard Branson et Jeff Bezos ont déjà joué les touristes de l’espace, à bord de Virgin Galactic et Blue Origin respectivement.

Disney dévoile la bande annonce de sa prochaine série Marvel : Hawkeye

Personnage plutôt secondaire de la bande des Avengers, le héros sera « rattrapé par son passé », lorsqu'il avait pris l'identité de Ronin. Il sera accompagné d'une acolyte.

On a droit à de premières images où l'action et les cascades prennent bien entendu beaucoup de place. De manière assez étonnante, Disney a calé cette série à la période des fêtes de Noël, avec une influence sur la narration.

On a néanmoins hâte de découvrir ce qui semble être la véritable pépite de cette nouvelle histoire : Roger, the musical.

iOS/iPadOS 14.8, macOS 11.6 et watchOS 7.6.2 : Apple colmate une faille utilisée par Pegasus

Surprise, Apple n’a pas attendu les nouvelles moutures majeures qui arriveront dans les semaines qui viennent pour boucher deux brèches, dont une utilisée par le logiciel espion Pegasus.

Estampillée CVE-2021-30860 et présente dans Coregraphics, elle peut permettre une exécution de code arbitraire à distance par l’ouverture d’un document PDF spécialement conçu.

Cette vulnérabilité est considérée comme particulièrement dangereuse. Son exploitation ne réclame en effet aucune interaction de l’utilisateur (zero click). Elle a été repérée le mois dernier et baptisée FORCEDENTRY par les chercheurs de Citizen Lab. Selon eux, elle est activement exploitée depuis février au moins.

La société de sécurité donne en exemple le cas d’un iPhone appartenant à un activiste saoudien, avec une infection par Pegasus confirmée. L’arrivée du logiciel espion était passée par un fichier gif cachant un PDF, lequel contenait le code d’exploitation. Il suffisait que ledit gif s’affiche dans iMessage, vecteur d’exploitation.

Apple continue en parallèle de répéter que ces « attaques sont hautement sophistiquées, elles coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques ».

La société ajoute : « nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ». De fait, iOS 15 doit apporter des sécurités supplémentaires contre ce type de faille dans iMessage, puisque le mécanisme introduit dans iOS 14 (BlastDoor) ne suffit pas.

L’autre faille (CVE-2021-30858) est toute aussi sérieuse, puisqu’elle permet une exécution de code arbitraire en visitant une page web spécialement conçue. Apple indique avoir été notifiée d’une possible exploitation. La mise à jour des systèmes est donc chaudement recommandée.

Le CNRS va publier une bande dessinée sur « Les décodeuses du numérique »

À travers douze portraits de femmes dans le monde de la recherche, cet ouvrage tentera de répondre à une question : « Quelle science se cache derrière le terme de "numérique" ? ».

Si les chercheurs « s’unissent pour faire avancer le front des sciences du numérique, […] les femmes sont encore minoritaires dans ce domaine. Le CNRS a fait de la politique parité-égalité l’une de ses grandes priorités, notamment dans les recrutements et l’évolution des carrières ».

Le but de cette BD est donc de « mettre en avant la diversité des recherches en sciences du numérique et contribuer à briser les stéréotypes qui dissuadent les femmes de s’engager dans cette voie

Elle sera disponible à partir du 17 septembre, en commande sur le site de CNRS Éditions et « en consultation libre, avec des ressources supplémentaires, dans le cadre d'un partenariat avec différents acteurs de la médiation scientifique ».

iFixit démonte la Galaxy Watch4 de Samsung

Annoncée durant l’été, la nouvelle montre connectée du Coréen et sa version « Classique » ont été mises à nue par nos confrères. L’indice de réparabilité est de 7 sur 10.

Selon iFixit, ouvrir la montre est « simple », la batterie accessible et, « avec un peu de chaleur, l'écran de la Watch4 Classic peut être retiré sans aucun outil supplémentaire ». Dans l’ensemble, les « montres sont toutes deux très modulaires, seuls les capteurs arrière étant enfouis de manière inaccessible dans la coque arrière ».

Au niveau des regrets, « l'écran de la Watch4 reste obstinément dans le cadre et semble impossible à retirer sans l'endommager ».

Professionnels, ne dites plus « smurfing » mais « schtroumpfage »Crédits : Deagreez/iStock

Depuis le très sérieux ministère de la Culture, la Commission d’enrichissement de la langue française a apporté une nouvelle pierre à son édifice : la traduction en français des expressions et termes étrangers.

Au Journal officiel ce matin, dans la catégorie « Vocabulaire du Droit », cette instance a ainsi traduit « Dolphin Attack » en « attaque aux ultrasons » pour qualifier cette « technique d’intrusion qui consiste à envoyer, par ultrasons, un message à un assistant vocal pour en prendre le contrôle, à l’insu de son utilisateur attitré ».

On ne dira plus « digital forensics » mais « criminalistique numérique » pour qualifier la « technique d’enquête qui consiste à collecter et à exploiter des supports ou des données numériques pour établir des preuves pénales ».

« Cryptostealer » ? Que nenni ! Il faudra dire à l’avenir « détourneur de cybermonnaie », pour ces logiciels malveillants conçus pour « détourner, lors d’un transfert, de la cybermonnaie ».

On ne dira pas davantage « phishing » mais « hameçonnage », pas plus qu’on n’utilisera « whale phishing » mais « harponnage » pour parler de l’« hameçonnage ciblé d’un dirigeant par un cybercriminel qui se fait passer pour une personne influente ou investie d’une autorité ».

Ne dites plus « social engineering » mais « manipulation psychosociale ». « Jackpotting » sera laissé sur les plages de Californie au profit de « piratage de distributeur automatique ».

Enfin… le « smurfing », « technique de blanchiment d’argent qui consiste à faire effectuer, par de nombreuses personnes recrutées à cet effet, des dépôts bancaires inférieurs au seuil de l’obligation déclarative légale ». Les éminences grises et bénévoles, qui siègent au sein de la Commission, proposent « blanchiment fractionné », ou mieux, dans le « langage professionnel », la traduction « schtroumpfage ».

Selon un décret de 1996, ces termes francisés « sont obligatoirement utilisés à la place des termes et expressions équivalents en langues étrangères (…) dans les décrets, arrêtés, circulaires, instructions et directives des ministres, dans les correspondances et documents, de quelque nature qu'ils soient, qui émanent des services et des établissements publics de l'État ».

Peut-être aurons-nous un jour une très sérieuse circulaire du ministère de l’Économie et des Finances contre le « schtroumpfage », une autre de la Justice pour éviter aux crédules de se faire schtroumpfer par quelque Gargamel de passage.

De là-haut, Peyo doit adorer le pays des Bleus…

La Nintendo Switch passe à 270 euros

Alors que la nouvelle version avec un écran OLED se prépare à arriver (le 8 octobre), le fabricant a décidé de revoir le prix de sa console classique. Elle se trouve désormais aux environs de 270 euros dans la plupart des boutiques.

Le fabricant confirme à Eurogamer la baisse de prix et ajoute que les tarifs de la Switch Light et de sa future Switch OLED ne sont pas modifiés.

Jean Bolot est le nouveau directeur de la Recherche d’Orange

Il a pris hier ses fonctions au sein d’Orange Innovation, une « entité qui rassemble les activités autour de la création d’innovations stratégiques, de la recherche et de la mise en œuvre des politiques techniques et data ».

Jean Bolot était auparavant chez InterDigital, Technicolor et Sprint ; dans les trois cas, il dirigeait un laboratoire de recherche et/ou d’intelligence artificielle. Il a également été pendant huit ans membre de l'équipe de recherche à Inria, selon son profil LinkedIn.

Le monde de la pub lance un « certificat de l’Influence Responsable », facturé 49 eurosCrédits : nito100/iStock

Selon l’ARPP (Autorité de Régulation Professionnelle de la Publicité) et les professionnels du secteur, plus d’un quart des publications diffusées par 7 013 influenceurs « ne dévoilent pas leurs intentions commerciales ».

Dans le même lot, « 73,4 % des publications présentent au moins un début d’identification, dont 32,2 % sont améliorables en termes de clarté ou d’instantanéité ». Pour ces acteurs, « le défaut de transparence est davantage le fait des influenceurs à faible audience ».

Pour corriger le tir, l’ARPP vient de lancer son « certificat de l’Influence Responsable » (CIR). Ce certificat de confiance doit « permettre aux influenceurs de maîtriser le cadre légal et déontologique, protéger leurs audiences et se différencier auprès des marques ».

Ce CIR est payant : 49 euros TTC de frais d’inscription.

Sa délivrance est soumise à une série de questions. Et « si vous obtenez au moins 60 % de bonnes réponses, vous obtenez le Certificat de l’Influence Responsable ».

Le Lab IA de la DINUM lance un nouvel appel à projets

Après avoir accompagné une vingtaine d’expérimentations d'utilisation de l’intelligence artificielle (IA) dans les administrations depuis 2018, « pas toujours concluantes » d'après Acteurs Publics, le Lab IA de la direction interministérielle du numérique (Dinum) a lancé un appel à candidatures pour « identifier les projets d’administrations qui nécessiteraient des avancées scientifiques ».

Le Lab IA avait déjà financé l’emploi de quatre ingénieurs ou chercheurs d’Inria, le maître d’orchestre de la stratégie nationale de recherche en IA, pour qu’ils travaillent sur quatre projets d’administrations en 2019.

Il entend désormais faire bénéficier six nouvelles administrations d’État de son partenariat avec Inria, afin de « lever des verrous technologiques que les administrations lauréates auraient pu rencontrer dans l’implémentation d’une solution IA à leurs besoins existants ».

Dit autrement, écrit Acteurs Publics, « la Dinum reconnaît donc à demi-mot que les expérimentations conduites jusqu’à présent n’ont pas toutes pu produire les effets attendus ».

Facebook : une élite de près de 6 millions d'utilisateurs exemptée des règles de modération

D'après une enquête du Wall Street Journal, un programme de Facebook « permet à certaines célébrités, responsables politiques et internautes en vue de ne pas avoir à obéir aux mêmes règles sur la modération des contenus que le reste des utilisateurs », rapporte l'AFP.

Baptisé « Crosscheck » ou « XCheck », ce programme, qui aurait visé jusqu'à 5,8 millions d'abonnés en 2020, n’applique pas les mêmes contrôles aux messages postés sur les comptes Facebook et Instagram de ces « VIP » que sur les comptes lambda, d'après des documents internes consultés par le WSJ.

Facebook aurait par exemple permis à la star du football Neymar de montrer à ses millions d’abonnés des photos, nues, d’une femme qui l’accusait de viol, avant de les supprimer.

Le groupe aurait par ailleurs laissé certains comptes partager des affirmations jugées fausses par les fact-checkers de Facebook, y compris que les vaccins tuent, qu’Hillary Clinton a couvert des réseaux pédophiles ou que l’ex-président Donald Trump a qualifié d’« animaux » tous les demandeurs d’asile, souligne l'AFP.

Firefox court-circuite Windows pour faciliter son utilisation par défaut

Dans un article mi-août, nous avions abordé l’un des problèmes de Windows 11 : la déclaration des applications par défaut. Si d’un côté certains apprécieront la granularité du nouveau mécanisme, beaucoup pesteront contre l’idée de devoir associer une application à chaque type de fichier.

Même chose pour les navigateurs, et presque tous sont impactés par ce changement. Nous avions noté que Firefox échappait à la règle, le bouton « Définir par défaut » dans ses paramètres permettant effectivement de le déclarer comme tel, sans même passer par les réglages de Windows.

Le changement avait été repéré dans Firefox 91, et on ne savait pas très bien ce que Mozilla avait fait. Comme confirmé à The Verge, il s’agit d’un choix pleinement assumé, valable autant pour Windows 10 que 11.

« Les gens devraient pouvoir définir simplement et facilement des applications par défaut, mais ils ne peuvent pas. Tous les systèmes d’exploitation devraient offrir un support officiel aux développeurs pour les statuts par défaut […]. Puisque ce n’est pas le cas sous Windows 10 et 11, Firefox s’appuie sur d’autres aspects de l’environnement Windows pour offrir aux gens une expérience similaire à ce que Windows propose avec Edge […] ».

Plus précisément, Mozilla a pratiqué de la rétro-ingénierie sur Edge et son mécanisme de déclaration par défaut. Microsoft a réagi en se contentant d’expliquer que cette méthode n’était pas supportée. Pire, elle contournerait certains mécanismes de protection.

On attend maintenant de voir combien suivront la même méthode et combien de temps Microsoft laissera faire avant qu’une décision soit prise. Idéalement, permettre à tout le monde d’être traité de la même manière que son propre logiciel.

Chrome reçoit une mise à jour de sécurité corrigeant 11 vulnérabilités, dont deux critiques

Journée très active décidément pour la sécurité. Tout le monde peut récupérer la version 93.0.4577.82 de Chrome pour colmater une bonne dizaine de brèches, dont deux sont critiques et déjà exploitées.

La première, CVE-2021-30632, réside dans le moteur JavaScript V8 et est de type « Out-of-bounds Write ». En clair, l’application écrit avant ou après la zone tampon, pouvant entrainer un plantage, une corruption des données ou, dans le cas présent, une exécution arbitraire de code.

La seconde, CVE-2021-30633, se trouve dans l’API IndexedDB et est de type « Use after free ». Ce type d’erreur se produit lorsqu’une application fait référence à une zone mémoire déjà libérée, avec les mêmes conséquences que dans le cas précédent.

Avec ces deux failles, Chrome en est à 11 brèches 0-day depuis le début de l’année, comme le rappelle The Hacker News.

La récupération de la nouvelle version, si elle ne s’est pas encore faite automatiquement, passe par l’À propos du navigateur.

Le ministère de la Culture ouvre à consultation les deux seuils du DSA à la françaiseCrédits : Marc Rees (licence CC-BY-SA 3.0)

Le ministère de la Culture a lancé une consultation publique sur la mise en œuvre des obligations de moyens par les plateformes, prévues par la loi confortant le respect des principes de la République.

Au motif d’anticiper le futur Digital Services Act, cette loi a prévu une série d’obligations sur les épaules des réseaux sociaux, des moteurs de recherche et des plateformes de partage de vidéos, notamment.

Ces obligations dépendront de l’audience de chaque service et s’appliqueront en attendant l’adoption du DSA à l’échelle européenne.

Le projet de décret dévoilé par le ministère de la Culture décrit les deux seuils de déclenchement qu’il envisage en application de l’article 42 de la loi précitée.

Le premier serait de 10 millions de visiteurs uniques mensuels. Sous la supervision du CSA, les plateformes concernées devront notamment mettre en œuvre des procédures et des moyens humains et technologiques proportionnés permettant « d’informer, dans les meilleurs délais, les autorités judiciaires ou administratives des actions qu’ils ont mises en œuvre à la suite des injonctions reçues »

Elles devront aussi désigner un point de contact unique ou encore mettre à disposition du public, de façon facilement accessible, leurs CGU. Ces acteurs auront aussi à rendre compte au public des moyens mis en œuvre et des mesures adoptées pour lutter contre la diffusion des contenus haineux.

Un deuxième seuil de 25 millions de visiteurs uniques mensuels est proposé. Il contraint cette fois les plus grosses plateformes à respecter des obligations complémentaires, comme mettre en œuvre des mesures destinées à atténuer les risques de diffusion de certains contenus illicites ou évaluer les risques systémiques liés à leurs services.

Un opérateur de plateforme dont le nombre de connexions dépasserait l’un des deux seuils aurait six mois pour se mettre en conformité. Les sites de presse et les places de marché seront exclus du dispositif, mais non la partie « forum » d’un service en ligne, pour autant qu’elle soit considérée comme dissociable. Un critère qui risque d’être débattu devant les juridictions.

La consultation est ouverte jusqu’au 29 septembre.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !