du 15 avril 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

 La messagerie Matrix piratée, des mots de passe à changer

L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.

Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).

Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.

Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.

Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.

Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.

Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.

Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.

La semaine dernière, nous apprenions que l'atterrisseur israélien s'était écrasé sur la surface de la Lune au lieu de s'y poser en douceur. Juste avant, il a tout de même pu prendre et envoyer une dernière photo de notre satellite naturel.

« J'ai eu du temps pour réfléchir à ce qui s'est passé, et vu tous les encouragements que j'ai reçus et les soutiens venus de personnes à travers le monde, je suis venu annoncer un nouveau projet : Beresheet 2 », explique Morris Kahn, président de SpaceIL et homme d'affaires ayant largement financé ce projet.

SpaceIL veut poser son drapeau sur la Lune et ainsi être la quatrième puissance mondiale à le faire après les États-Unis, la Russie et la Chine.

Beresheet : dernière photo avant le crash sur la Lune, SpaceIL veut retenter l'aventure

Annoncé depuis plusieurs mois, les hostilités ont commencé : « Les joueurs éligibles de chaque région de serveur pourront s'affronter dans des tournois virtuels ouverts hebdomadaires afin de tenter de se qualifier pour la finale de la Fortnite World Cup sur la plateforme de leur choix ».

Jusqu'au 16 juin, des tournois auront ainsi lieu chaque week-end et « chaque semaine, un cashprize de 1 million de dollars est mis en jeu », explique l'éditeur. La finale se déroulera du 26 au 28 juillet.

Tous les détails, les classements et les dates sont disponibles sur cette page.

C'est parti pour la coupe du monde Fortnite, avec 40 millions de dollars à la clé
Star Wars : The Rise of Skywalker, première bande-annonce

C'est à l'occasion de la Star Wars Celebration de 2019 de Chicago que Disney a décidé de lever le voile sur le titre mystérieux du dernier opus de la trilogie, et de premières images où l'on voit Rey (Daisy Ridley) en pleine maîtrise de la Force.

Guidée par Luke, lui expliquant qu'elle dispose désormais du savoir d'un millier de générations de Jedi, elle fait face à un TIE Silencer qu'elle semble bien décidée à couper en deux. Mais ces deux minutes sont surtout riches de symboles.

Du sabre d'Anakin à la médaille obtenue par Luke et Han suite à la bataille de Yavin IV, en passant par le casque de Kylo Ren en pleine réparation, on a droit à toute la panoplie des éléments « à ne pas rater ». La bande-annonce confirme au passage que Lando Calrissian (Billy Dee Williams) sera de la partie.

Mais on aperçoit surtout un morceau d'étoile de la mort détruite, Luke précisant que « personne ne disparait vraiment » alors que le rire de Dark Sidious (alias Sheev Palpatine) tonne en fond. De quoi signer son grand retour en tant que grand ennemi de cet ultime épisode, sous une forme ou une autre ? Impossible à dire.

J.J. Abrams et son équipe doivent pour le moment susciter l'envie, et faire progressivement « monter la sauce » d'ici au 18 décembre. Ainsi, cet enchevêtrement d'indices doit avant tout nourrir de nombreuses théories.

Elles peuvent alors se multiplier et s'exposer dans des milliers d'articles et vidéos d'analyse qui ne manqueront pas de s'attarder sur les moindres détails… avant d'être mises à mal par la vidéo suivante contenant d'autres « révélations ».

Espérons tout de même que cette troisième trilogie de la saga prendra fin comme il se doit. Et que L'Ascension de Skywalker apportera plus de réponses que de nouvelles questions.

Après une mise à feu réussie pour le moteur PGA (en hommage à l'initiateur du projet Paul Gardner Allen) en novembre, la société vient de faire voler pour la première fois son Stratolaunch.

Cet étrange avion comprend deux fuselages avec de la place pour installer une ou plusieurs fusées entre les deux. Une fois à haute altitude, ces dernières sont envoyées dans l'espace. Une idée reprise par Virgin Galactic.

« Cet avion » est construit à partir de deux 747, dont il récupère notamment les réacteurs. Après son décollage, il est monté jusqu'à 17 000 pieds (environ 5 km) d'altitude volant jusqu'à 300 km/h environ. Après plus de 2h, il est revenu se poser sur la terre ferme.

Reste maintenant une question : quel avenir pour cet avion ? Après sa conférence de presse, Stratolaunch n'a répondu à aucune question et n'a fait aucune annonce sur la suite, comme le rapporte The Verge.

Stratolaunch, le plus grand avion du monde, a volé pendant plus de 2h

Un mois et demi après avoir enfin lancé sa Tesla 3 à 35 000 dollars, le fabricant ne la propose déjà plus sur son site. Elle reste disponible, mais uniquement par téléphone ou dans les boutiques physiques du fabricant.

Désormais, il faut débourser 39 500 dollars minimum pour la Standard Range Plus avec une autonomie et une accélération légèrement en hausse. Le fabricant explique que la Model 3 Standard est une version bridée par logiciel de la Standard Plus, elle peut donc être mise à jour (OTA) après paiement de la différence évidemment. L'inverse est également possible, avec une restitution de la part de Tesla.

Autre changement important : l'option Pilotage automatique est désormais de série sur l'ensemble des Tesla... avec une hausse du prix. La Tesla Model 3 Standard Plus passe ainsi de 37 500 à 39 500 dollars, alors que l'option était auparavant facturée 3 000 dollars.

Un moyen pour le constructeur de forcer la main aux clients et ainsi récolter plus d'argent lors des ventes, tout en vantant les performances de son Autopilot qui permettrait de réduire grandement les risques d'accident.

Enfin, dernière nouveauté : le leasing. Contre le paiement d'un acompte et d'un forfait mensuel, les Américains peuvent louer une Tesla Model 3 pour 16 000, 19 000 ou 24 000 km par an.

Aucune option d'achat ne sera proposée, Tesla utilisera les véhicules restitués à la fin du contrat pour son service de véhicules autonomes en libre-service.

Tesla : Pilotage automatique de série, leasing aux États-Unis, la Model 3 Standard disparaît du site
Des députés veulent obliger les poids-lourds à avoir des GPS adaptés

« Il n’est pas rare, sur les petites routes départementales et communales, de se retrouver face à des véhicules à gros gabarit en difficulté face à un pont, dans une rue étroite ou un virage serré, parce qu’ils se sont engagés sur des voies totalement inappropriées, faute d’un renseignement de navigation pertinent » déplore le député Jacques Cattin, suivi par une vingtaine d’élus LR.

Pour éviter ce type d’incidents, le parlementaire vient de déposer une proposition de loi obligeant les poids lourds de plus de 3,5 tonnes à être « dotés d’un système spécifique d’aide à la navigation ». Un GPS qui sera nécessairement acquis par l’entreprise, précise son texte.

D’après Jacques Cattin, les outils de navigation « poids lourds » permettent « de prendre notamment en compte les ponts à hauteur limités, les routes à accès limité en fonction de la hauteur, du poids de la cargaison, du poids par essieu, de la largeur et de la longueur du véhicule. Ils signalent également les interdictions de tourner et de faire demi-tour aux poids lourds et les routes interdites aux transports des substances dangereuses ou inflammables. »

Ce texte provenant de l’opposition, il y a d’assez faibles chances qu’il soit débattu prochainement par l’Assemblée nationale. On peut néanmoins imaginer un « recyclage » sous forme d’amendement au projet de loi Mobilités, lequel sera examiné d’ici quelques semaines au Palais Bourbon.

Nouvelle révision mineure pour jQuery, la dernière avant la grande mouture 4.0 espèrent les développeurs.

Ce qui n’empêche pas jQuery 3.4.0 d’apporter quelques nouveautés, comme de meilleurs performances avec .width et .height (partout sauf Internet Explorer), la prise en charge des attributs nonce et nomodule pendant l’ajout d’éléments de scripts ou encore des corrections pour les éléments radio (les mêmes que pour les cases à cocher dans la version précédente).

jQuery 3.4.0 apporte quelques nouveautés en attendant la version 4.0

Le chercheur John Page a publié les détails et un prototype d’exploitation d’une vulnérabilité dans Internet Explorer. Une décision prise à la suite d’un refus de Microsoft de s’en occuper diligemment.

La faille est de XXE (XML eXternal Entity) et réside dans la manière dont Internet Explorer prend en charge les fichiers MHT. Ces derniers ont été pour rappel pendant longtemps le format classique d’enregistrement des pages web quand l’utilisateur voulait les enregistrer localement (Ctrl + S).

Bien que tous les navigateurs soient passés au HTML depuis longtemps, les fichiers MHT sont ouverts par défaut via Internet Explorer, même sur les Windows les plus récents.

Selon Page, ils peuvent donc être utilisés pour exploiter la faille dans Internet Explorer, exploitable de manière qu’aucune interaction de l’utilisateur soit requise. Le pirate serait alors en mesure de dérober des données locales.

Qu’Internet Explorer ne soit plus utilisé que par 6 ou 7 % des utilisateurs dans le monde n’y change pas grand-chose : le navigateur est installé par défaut et ouvre les fichiers MHT. En théorie, tout ce dont un pirate a besoin est donc d’un double clic sur une archive MHT.

Microsoft n’a pas refusé de corriger le problème, mais a répondu que ce ne serait pas dans l’immédiat. Le problème ne semble pas urgent à l’éditeur. La publication des informations par John Page pourrait donc accélérer le mouvement.

Faille 0 day dans Internet Explorer, les détails déjà disponibles
Microsoft : un « nombre limité » de comptes en partie piratés

Microsoft avertit actuellement certains utilisateurs que leur compte a potentiellement été piraté. Les évènements se sont déroulés entre le 1er janvier et le 28 mars.

Pendant ces presque trois mois, les pirates ont pu accéder aux adresses email des concernés, noms des dossiers, sujets des emails reçus ainsi que les adresses avec qui l’utilisateur a communiqué. Le contenu des courriers et des pièces jointes est resté protégé.

Un profil de piratage étrange, mais qui résulte de l’utilisation d’identifiants dérobés à un employé de Microsoft, a priori technicien de support. Ils ont été désactivés dès que la brèche a été mise au jour.

Bien que les contenus et les mots de passe n’aient pas été récupérés, Microsoft recommande par prudence de changer ces derniers si vous avez reçu le mail prévenant de l’incident.

En outre, les quelques informations potentiellement dérobées pourraient servir à des campagnes de phishing, voire de spear phising, avec des emails plus personnalisés.

Plusieurs questions restent cependant en suspens. On ne sait pas combien de personnes ont été touchées – l’éditeur n’évoque qu’un « nombre limité » – ni dans quelles régions. Comme le fait remarquer TechCrunch, l’Union européenne semble concernée, Microsoft donnant dans son email d’avertissement le contact de son délégué à la protection des données au siège irlandais.

L’entreprise promet également une protection renforcée sur les comptes concernés. On espère quand même de plus amples informations prochainement.

C'est via une vidéo de présentation qu'Electronic Arts annonce la date de sortie de ce nouvel opus se déroulant dans l'univers Star Wars et développé par le studio Respawn (qui appartient à Electronic Arts).

Il s'agit d'un « jeu d'action/aventure dans lequel l'Empire et ses terrifiants Inquisiteurs vous traquent. Développez vos pouvoirs de la Force, perfectionnez votre technique au sabre laser, et explorez les mystères d'une civilisation perdue pour approfondir vos connaissances sur la Force ».

Le jeu sera disponible sur Xbox One, PlayStation 4 et PC. Comme pour la bande-annonce de Star Wars : The Rise of Skywalker, l'annonce a été faite à l'occasion de la Star Wars Celebration de 2019 de Chicago.

Star Wars Jedi: Fallen Order sortira le 15 novembre

Cette fois-ci, c'est Hercules Capital qui a mis la main à la poche, comme l'indique TechCrunch. Il fait suite aux investissements de FirstMark Capital, Rho Ventures, Bessemer Venture Partners, TransUnion et Silicon Valley Bank.

Dans le même temps, Seth William Farbman (ancien de chez Gap et Spotify) rejoint le conseil d'administration de Dashlane. « Je vois beaucoup de similitudes entre Dashlane et Spotify lorsque j'y suis arrivé pour la première fois », indique-t-il dans un communiqué.

Dashlane lève 30 millions de dollars, Seth Farbman rentre au conseil d'administration
Les premiers résultats de TGO (ExoMars), en orbite autour de la planète Mars

L'Agence spatiale européenne explique que parmi les premiers temps forts « figurent de nouvelles preuves de l’impact qu’a eu l’orage de poussière à l’échelle planétaire sur l’eau dans l’atmosphère, et la surprenante absence de méthane ».

La mission scientifique de TGO a débuté deux mois avant le début de la tempête de poussière qui, pour rappel, a cloué au sol le rover Opportunity. De son côté, l'orbiteur « a suivi la formation et le développement de la tempête, et observé la manière dont l’augmentation de la poussière a influé sur la vapeur d’eau contenue dans l’atmosphère, ce qui est important pour comprendre l’histoire de l’eau sur Mars au fil du temps ».

« L’augmentation de la vapeur d’eau dans l’atmosphère a été remarquablement rapide, elle s’est faite en quelques jours au début de la tempête, ce qui indique une réaction rapide de l’atmosphère à la tempête de poussière », explique Ann Carine Vandaele, chercheuse principale de l’instrument NOMAD à l'Institut royal d'aéronomie spatiale de Belgique.

Elle ajoute : « Nous constatons que l’eau, deutérée ou non, est très sensible à la présence de nuages de glace, qui l’empêche d’atteindre les couches atmosphériques les plus hautes. L'eau a atteint des altitudes beaucoup plus élevées pendant la tempête. C’était prédit de manière théorique par les modèles depuis longtemps, mais c'est la première fois que nous avons pu l'observer ».

Autre résultat : « Les nouveaux résultats de TGO fournissent l'analyse à l’échelle planétaire la plus détaillée à ce jour, avec une limite supérieure de 0,05 ppbv, soit 10 à 100 fois moins de méthane que toutes les détections précédemment rapportées ».

Håkan Svedhem, scientifique du projet à l’ESA, explique son importance : « Les mesures haute précision effectuées par TGO semblent être en contradiction avec les détections précédentes; pour réconcilier les différents jeux de données et faire correspondre la transition rapide des panaches précédemment signalés au niveau de fond apparemment très faible, nous devons trouver ce qui détruit efficacement le méthane près de la surface de la planète. »

« La question de la présence de méthane et de sa provenance potentielle a suscité beaucoup de débats, et la question de savoir où il va et avec quelle rapidité il peut disparaître est tout aussi intéressante », conclut-il. 

Aucune entrée pour les catégories selectionnées.