LeBriefdu 29 octobre 2021
Un chercheur israélien craque 70 % des 5 000 réseaux Wi-Fi qu'il avait sniffésCrédits : RomoloTavani/iStock

Chercheur en sécurité à CyberArk, Ido Hoorvitch a utilisé un équipement de détection coûtant environ 50 dollars pour collecter 5 000 hash de réseaux Wi-Fi à Tel Aviv, et expliqué que « le processus de détection de Wi-Fi et les procédures de craquage ultérieures étaient très accessible en termes d'équipement, de coût et d'exécution ».

Cela a fonctionné dans plus de 70 % des cas, relève Hacker News. Cette nouvelle attaque Wi-Fi s'appuie sur les découvertes précédentes de Jens « atom » Steube, principal développeur du logiciel Hashcat qui permet de « casser » des mots de passe. La procédure consiste à capturer ce qu'on appelle les PMKID associés à un client (SSID) afin de tenter une attaque par force brute.

Hacker News rappelle que PMKID est un identifiant de clé unique utilisé par le point d'accès (AP) pour garder une trace de la clé pré-partagée (Pairwise Master Key ou PMK) utilisée pour le client. PMKID est un dérivé de l'adresse MAC du point d'accès, de l'adresse MAC du client, du PMK et du nom du PMK.

Les empreintes collectées ont ensuite été soumises à une « attaque de masque » pour déterminer si des numéros de téléphone portable étaient utilisés comme mots de passe Wi-Fi, une pratique courante en Israël, découvrant 2 200 mots de passe au cours du processus. Une attaque par dictionnaire en utilisant le plus célèbre d’entre eux, « RockYou.txt », comme source de mots de passe a permis de casser 900 empreintes supplémentaires.

« La leçon ? Plus le mot de passe est long, mieux c'est », explique Hoorvitch. « Un mot de passe fort doit inclure au moins un caractère minuscule, un caractère majuscule, un symbole, un chiffre. Il doit comporter au moins 10 caractères ».

NB : cette information n'est bien évidemment pas une invitation au piratage, mais bien à la sécurisation des mots de passe, cf à ce titre les nouvelles recommandations de l'ANSSI et de la CNIL en la matière.

Scaleway met sa CLI à jour

La publication s'est faite suite à notre article sur Cloud-init. Le problème que nous avions initialement rencontré avait en réalité été détecté cet été puis corrigé, mais pas encore mis en production. C'est désormais chose faite.

La version 2.4.0 apporte plusieurs nouveautés au passage, comme la gestion de fr-par-1 et nl-ams-1 pour l'offre bare metal, de fr-par-2 pour le load balancer, des instances Enterprise, un support initial du serverless et des IP flexibles, etc.

Facebook Inc devient Meta, Frances Haugen auditionnée en France

Ce changement, attendu, vient d'être officialisé. Il s'agit pour l'entreprise de renommer non pas ses services mais la maison mère, un peu à la manière d'Alphabet pour Google. Cela ne change rien à la structure ou aux rapports financiers, précise le communiqué. Une évolution qui doit également signifier l'engagement de Mark Zuckerberg et son entreprise dans la création du métavers pour transformer l'essai de son investissement dans la réalité virtuelle ces dernières années.

Il s'en explique d'ailleurs dans une lettre où il présente cette initiative comme « le nouveau chapitre d'Internet ». Une vision qui aura de quoi effrayer les défenseurs du réseau des réseaux qui n'auront sans doute pas oublié que derrière cette annonce se cache un enchaînement de scandales qui touche Facebook et donc Meta désormais. Au point qu'un nombre croissant d'acteurs se demandent s'il ne faut pas agir plus sérieusement et démanteler le géant comme d'autres l'ont été avant lui, lorsqu'ils devenaient plus néfastes pour la société qu'un acteur de progrès. Mais cela paraît encore improbable.

Frances Haugen, la lanceuse d'alerte qui s'est récemment dévoilée dans le cadre de ses accusations envers Facebook sera d'ailleurs entendue en France le 10 novembre par l'Assemblée nationale à 9h puis le Sénat à 16h30.

iFixit commence à démonter le MacBook Pro 14" (M1 Pro)... et la chiffonnette

Le spécialiste de la réparabilité a publié ses premiers clichés de la machine d'Apple, actuellement en cours d'analyse, notamment avec un passage aux rayons X. Ils en ont profité pour revenir sur le fameux accessoire proposé à 25 euros.

Il obtient un 0/10 en réparabilité « pour nous avoir distrait du très important démontage du MBP et ne pas s'être remis en place après que nous l'ayons découpé avec nos ciseaux ».

Nos confrères l'ont en effet ouvert en deux et analysé au microscope mais ne semblent pas convaincus par les deux couches de matières collées ensemble « qui ressemblent à l'intérieur d'une Smart Cover d'iPad ».

Festival Netflix : six films rediffusés, trois avant-première à la Cinémathèque et l’Institut Lumière

Les distributeurs craignaient que la plateforme fasse des salles de cinéma l’« antichambre de ses services », en réaction épidermique à sa volonté de lancer un Festival Netflix.  Finalement, cette manifestation se limitera à la diffusion de six films de son cru, sortis en 2021 et trois films en avant-première, à la Cinémathèque française et à l’Institut Lumière du 7 au 14 décembre 2021.

Seront rediffusés Pieces of a woman de Kornél Mundruczó, Malcolm & Marie de Sam Levinson, The Harder They Fall de Jeymes Samuel, The Power of The Dog de Jane Campion, The Guilty d'Antoine Fuqua et Clair-Obscur de Rebecca Hall. Les trois films en avant-première sont Don't Look Up : Déni Cosmique d'Adam Mckay, La Main de Dieu de Paolo Sorrentino et The Lost Daughter de Maggie Gyllenhaal.

« Cette initiative s’inscrit dans la continuité de la collaboration établie entre Netflix et la Cinémathèque française depuis 2019 avec un mécénat en faveur de la reconstruction de la version intégrale, dite « Apollo », du Napoléon d’Abel Gance (1927), l’organisation de projections exceptionnelles, de conférences et de master classes (Aaron Sorkin, David Fincher, etc.) » explique la plateforme

Ces deux lieux ne sont pas soumis aux règles en vigueur dans les cinémas commerciaux. La Fédération nationale des cinémas français (FNCF) estime pour sa part que ce festival « sèmerait clairement la confusion en termes de perception de la chronologie des médias entre les films de cinéma et les productions Netflix pour les spectateurs et les médias ». 

Orange et Oracle s'associent en Afrique de l'Ouest

Les deux entreprises « évalueront différents plans pour la construction de plusieurs régions Oracle Cloud utilisant les infrastructures d'Orange au Sénégal et en Côte d'Ivoire » précise le communiqué

« Les sociétés ont également annoncé leur intention de proposer conjointement des services cloud destinés aux entreprises et aux organismes publics, en premier lieu au Sénégal et en Côte d'Ivoire puis dans toute l'Afrique de l'Ouest » ajoutent-elles.

Orange sera ici client de l'offre cloud d'Oracle (OCI) avec « un projet de migration d’une partie des applications internes d’Orange sur Oracle Cloud, afin que la digitalisation soit synonyme d’une efficacité toujours plus grande, notamment dans les processus administratifs ».

Enfin, les deux partenaires « entendent promouvoir conjointement leurs solutions de santé, notamment dans le domaine de la vaccination. En permettant une meilleure gestion des stocks au travers d’un processus entièrement numérisé, cette coopération devrait profiter aux populations locales, notamment dans le contexte de la pandémie actuelle de COVID-19 ».

Pour rappel, Oracle a récemment annoncé son extension dans plusieurs régions du monde. L'entreprise inaugurera sa région cloud de Marseille le 8 novembre prochain dans un datacenter d'Interxion et doit faire de même à Paris dans un second temps.

Twitter explique comment il a généralisé les clefs de sécurité à ses 5 500 employés

À l'occasion du #CybersecurityAwarenessMonth, Twitter explique comment ses équipes ont « intensifié nos efforts pour accroître l'utilisation des clés de sécurité afin d'empêcher les attaques de phishing », et même « réussi à migrer 100 % des comptes des employés des anciennes méthodes 2FA à l'utilisation obligatoire des clés de sécurité en moins de trois mois ». Et ce, en mode télétravail, du fait du Covid-19, auprès de ses 5 500 salariés répartis dans le monde. 

L'entreprise rappelle que ces clés de sécurité « utilisent les normes de sécurité FIDO et WebAuthn pour fournir une authentification à deux facteurs résistante au phishing (2FA) ». Et qu'elles peuvent en outre « différencier les sites légitimes des sites malveillants et bloquer les tentatives de phishing que SMS 2FA ou les codes de vérification à mot de passe à usage unique (OTP) ne feraient pas ». 

De plus, et « heureusement, un nombre croissant d'appareils incluent des "clés de sécurité" intégrées qui exploitent le protocole WebAuthn pour offrir les mêmes avantages de résistance au phishing ». Ces authentificateurs de plate-forme incluent FaceID/TouchID d'Apple, Windows Hello et la clé de sécurité intégrée d'Android.

« En autorisant, mais sans exiger », les appareils WebAuthn pour 2FA, les employés ont pu inscrire leurs clés de sécurité au fur et à mesure qu'ils les recevaient « sans perdre l'accès aux systèmes avant la date de basculement, qui a été partagée avec l'ensemble de l'entreprise un mois à l'avance ». Twitter a atteint « environ 90 % d'inscriptions de clés de sécurité à la date limite et avons pu atteindre 100 % dans le mois qui a suivi la coupure, alors que les gens revenaient de vacances ou de congés ».

Pour encourager une utilisation encore plus large, Twitter avait « clairement indiqué que les employés seraient autorisés à conserver leurs clés de sécurité même après avoir quitté l'entreprise ». Ce qui a permis d'encourager les employés à utiliser leurs clés de sécurité pour protéger leurs comptes personnels lorsqu'ils sont pris en charge. 

Le service relève en outre que le remplacement d'une clé de sécurité est « un défi d'utilisation important, obligeant les utilisateurs à garder une trace de chaque service avec lequel ils ont enregistré une clé de sécurité et à visiter individuellement chaque service, à supprimer l'ancienne clé et à ajouter la nouvelle clé ». 

Ce pour quoi Twitter a remis à tous les employés deux clés de démarrage, une principale et une de sauvegarde (cela garantit une option de secours en cas de perte de la clé primaire) et également utilisé l'authentification unique pour minimiser le nombre de systèmes sur lesquels un utilisateur doit enregistrer ses clés. 

Microsoft étend la disponibilité de Windows 11

Le processus de mise à jour via Windows Update s'étend à de nouvelles machines, précise l'entreprise, qui dit utiliser pour cela un modèle de machine learning, entraîné au fur et à mesure du processus.

Pour rappel, il est possible de forcer cette mise à jour ou de faire une installation « fraîche » si vous disposez d'une machine compatible. Si ce n'est pas le cas, c'est également possible, mais il faut un peu bidouiller ou utiliser des applications spécifiques.

Copie privée : les verts attendent que le gouvernement tienne ses promesses de soutien aux reconditionneurs

Les débats le 2 novembre en séance seront courts. Cinq amendements ont été déposés sur le projet de loi visant à réduire l’empreinte environnementale du numérique. Quatre concernent la seule redevance copie privée étendue aux produits reconditionnés et d’occasion. Deux proposent d’exempter ces produits, comme déjà vu dans nos colonnes.

Le groupe des écologistes propose aussi, en guise de repli, de geler l’extension jusqu’au 1er juillet 2022. Dans leur amendement rédigé « en coordination avec la Fédération RCube et le syndicat SIRRMIET », il entend laisser un tel délai « afin que puissent être prises et entrer en vigueur les mesures de soutien promises par le Gouvernement pour compenser cette mesure et permettre la survie du secteur ». Selon nos informations, l’Élysée a fait miroiter aux syndicats du secteur plusieurs promesses. 

« Il faut faire en sorte que ça n'impacte pas les reconditionneurs, notamment les PME du secteur et les entreprises de l’économie sociale et solidaire » avait en ce sens indiqué Cédric O, le 18 juin dernier. Comme révélé dans nos colonnes, la veille des débats à l’Assemblée nationale, le 9 juin 2021, l’exécutif avait esquissé un possible chèque « reconditionné » de 10 euros pour aider les particuliers à acheter une tablette ou un smartphone reconditionné. 

Une manière d’éteindre les critiques du secteur…. mais aussi d’éponger la redevance du même montant, frappant ces produits de seconde vie lorsque leur stockage est supérieur à 64 Go. Et finalement, une façon de faire supporter sur les épaules de l’ensemble des contribuables la redevance privée perçue par les ayants droit. Dans cet autre amendement, les mêmes élus proposent de limiter le montant de la redevance à 1 % du prix final du produit d’occasion

Le 1er juin la Commission Copie Privée a voté un barème en crête de 10,08 € TTC pour les téléphones. Un tel montant « équivaut à environ 6 % du prix d’un smartphone vendu 150 €, alors même que les marges à la vente d’un smartphone reconditionné oscillent entre 3 et 6 % » soutient le groupe dans l’exposé des motifs.

« Ce coût de la rémunération de la copie privée est d’autant plus pesant pour les acteurs du reconditionnement qu’il est fixe, tandis que les marges se réduisent à chaque reconditionnement du même produit ». 

TrueNAS Scale (Debian) disponible en RC1

En préparation depuis plus d'un an, ce système abandonne BSD pour une base Debian et un noyau Linux, ajoutant des fonctionnalités comme le fonctionnement sur plusieurs nœuds, le trio Docker, k8s et KVM pour les conteneurs et la virtualisation, visant des usages dit « hyperconvergés » (HCI). 

Un comparatif est disponible par ici. Après plusieurs versions 20.x (Alpha) et 21.x (Alpha/Beta), une première release candidate (RC) de la branche 22 de TrueNAS Scale est disponible. Ses nouveautés sont détaillées sur cette page

Un amendement pour imposer l’écoconception des sites publics et des plateformesCrédits : imaginima/iStock

Toujours dans le cadre de la proposition de loi destinée à réduire l’empreinte environnementale du numérique, la sénatrice Esther Benbassa a déposé un amendement pour rendre obligatoire l’écoconception des plus importants sites web. 

Seraient concernés les sites de l’ensemble des personnes morales de droit public, mais aussi des personnes de droit privé délégataires d’une mission de service public et ceux des grandes plateformes. L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) en serait le gendarme. 

Sanction ultime ? Une interdiction de la publication sur les sites concernés, du moins tant que le remède n’est pas trouvé. Cette disposition s’intercalerait à l’article 16 de la proposition de loi qui, en l’état, demande à la même Arcep et au CSA, en liaison avec l’Agence de l’environnement et de la maîtrise de l’énergie, de définir un référentiel général de l’écoconception des services numériques. 

Ce référentiel préciserait « des critères de conception durable des services numériques afin d’en réduire l’empreinte environnementale ». Ils concerneraient « notamment l’affichage et la lecture des contenus multimédias pour permettre de limiter le recours aux stratégies de captation de l’attention des utilisateurs des services numériques. »

Fedora 35 sera disponible le 2 novembre

L'annonce vient d'être faite par Ben Cotton qui précise que la « release party » se tiendra du 12 au 13 novembre prochain.

Pour rappel, la beta avait été mise en ligne fin septembre. Vous trouverez une liste des nouveautés apportées par cette nouvelle mouture ici.

Le Sénat modifie lourdement le projet de loi sur le passe sanitaire

Il n’aura fallu qu’une journée au Sénat pour adopter le projet de loi « portant diverses dispositions de vigilance sanitaire ». Un texte déjà voté par l’Assemblée nationale, mais qui a subi pour l’occasion de profondes retouches.

Dans un amendement passé haut la main, le Sénat a fixé à 80 % le seuil de vaccination complet de la population du département au-dessus duquel le passe sanitaire ne pourra pas être exigé. Un tel amendement supprime en l’état le passe sanitaire sur le territoire métropolitain « puisque l’ensemble des départements ont effectivement dépassé le taux de vaccination complet de 80 % de leur population éligible » 

Cet autre amendement rétablit « la liberté de l'accès aux activités de loisirs ». Le recours au passe sanitaire se limiterait ainsi uniquement à celles qui ont lieu en intérieur. Les sénateurs ont souhaité par ailleurs que les mineurs puissent « continuer à pratiquer une activité physique et sportive au sein d’une association sportive ou d’un club, sans avoir à présenter de passe sanitaire ». Le texte a été adopté par 158 voix pour, 106 contre. Il part maintenant en commission mixte paritaire. 

Une « CMP », dans le jargon, chargée de trouver un arbitrage entre la version du projet de loi adopté par les députés, et cette version voulue par les sénateurs. Si cette réunion n’est pas conclusive, l’Assemblée nationale aura le dernier mot, là où le groupe LREM est en majorité. L’avenir du texte modifié par les sénateurs « est très incertain en CMP », anticipe Loïc Hervé, sénateur UC et par ailleurs membre du collège de la CNIL depuis 2014

« En cas d'échec, nous ne débattrons plus du passe sanitaire avant août 2022, alors qu'il devait être limité à quelques événements sportifs et culturels, temporairement. Or il a été généralisé, le temps d'un été, croyait-on. Il durera sans doute plusieurs années », a-t-il exposé, avant de donner son sentiment.

« Je ne m'y résous pas, en tant que parlementaire, citoyen et père de famille. On laisserait des fonctionnaires et des agents de sécurité privée contrôler l'état de santé de nos concitoyens ? Un tel dispositif n'a aucun sens, vu notre taux de vaccination. Je voterai contre ce texte ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !