du 02 juillet 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

OpenPGP : des certificats « empoisonnés » se propagent et bloquent des installations

Les certificats de Robert J. Hansen (alias rjh) et Daniel Kahn Gillmor (dkg), deux contributeurs de haut niveau à OpenPGP, ont été « empoisonnés » via « une attaque exploitant un défaut du protocole OpenPGP lui-même », explique Hansen. Plus tard, celui de Kristian Fiskerstrand s'est ajouté à la liste.  

« Quiconque tente d'importer un certificat "empoisonné" dans une installation OpenPGP vulnérable la bloquera très probablement d'une manière difficile à déboguer ». Problème, ces certificats sont déjà sur les serveurs de clés SKS et se répandent donc au fil des importations/vérifications. 

Hansen ajoute que cette attaque ne peut pas être atténuée par les serveurs de clés SKS pour l'instant à cause de leur manière de fonctionner. Les futures versions d'OpenPGP auront certainement des mécanismes de défense, mais aucun délai n'est donné et tout le monde ne profitera certainement pas de cette mise à jour. 

Actuellement, la meilleure protection est d'arrêter de recevoir des informations des serveurs de clés SKS. Si une petite poignée de certificats sont pour le moment concernés, leur nombre ira certainement croissant selon Hansen, augmentant ainsi les risques.

Daniel Kahn Gillmor arrive à la même conclusion et propose donc les mêmes mesures de protection pour le moment : « Mon identité cryptographique publique a été spammée à un point tel qu'elle est inutilisable [...] N'actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS ». Il recommande à la place d'utiliser « un serveur de clés "contraint", tel que keys.openpgp.org » et « un client de messagerie compatible avec Autocrypt ». Il donne de plus amples détails sur son blog.

Il ajoute que « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer en raison du mécanisme de synchronisation ». Le module de chiffrement Enigmail pourrait ainsi devenir inutilisable avec un certificat « empoison » de cette manière. 

Hansen en profite enfin pour pousser un coup de gueule contre certains utilisateurs qui ne mettent jamais (ou presque) à jour leur installation : « Ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné [...] Cela pourrait arriver demain ou dans cinq ans ».

« La prochaine version d’Enigmail n’utilisera plus le réseau SKS par défaut. Génial ! Mais qu'en est-il des utilisateurs Enigmail existants ? Ils verront une signature, cliqueront sur "Import Key", et ... bam. Ils ne vont probablement pas penser à une attaque malveillante empoisonnant les certificats. Ils vont penser "c'est de la merde" et s'en aller ».

Elle ne sera pas visible en Europe et il faudra être situé dans une bande traversant le Pacifique et une petite partie de l'Amérique du Sud pour en profiter (elle traversera les pays à 2 640 km/h). Une carte est disponible par ici.

Si peu de personnes pourront en profiter, les scientifiques ont de quoi se réjouir : elle passera par l'Observatoire Européen Austral de La Silla (Chili), comme l'indique Sciences et Avenir

Elle débutera à 18h55 et se terminera à 23h50, avec un point culminant à 21h22. Plusieurs retransmissions en direct seront proposées, notamment par l'ESO (European Southern Observatory), l'Exploratorium de San Francisco et la NASA.

L'Agence spatiale américaine propose d'ailleurs une petite fiche technique des principales informations à connaître et surtout des précautions à prendre. Pour rappel, il ne faut jamais regarder directement une éclipse de Soleil (même avec des lunettes de Soleil).

Aujourd'hui, suivez en direct une éclipse du Soleil à partir de 18h55

La liste est pour le moment assez courte (Save the Children, WWF et ILGA-Europe), mais c'est un début. D'autres doivent arriver, la néobanque précisant que sa communauté participera aux décisions d'ajout.

Comme d'autres, Révolut soigne ici son image en permettant un don presque instantané depuis son interface. Un compteur indiquera les montants collectés. 

Bien entendu, aucun frais n'est prélevé sur la transaction.

Revolut veut faciliter les dons à certaines organisations
25 ans de Robots.txt : le parser C++ de Google open source, un draft soumis à l'IETF

Les développeurs de sites rêvent d'un référencement parfait de leurs pages sur les moteurs de recherche. Mais il y en a certaines qu'ils ne veulent pas y voir apparaître, pour des raisons diverses.

Pour cela, il existe un petit fichier à placer à la racine d'un domaine, indiquant aux « robots » crawlers les règles à respecter : robots.txt. Aucune obligation légale de le prendre en compte, mais les moteurs de recherche le font en général.

Ce fichier, utilisé par plus de 500 millions de sites, répond au Robots Exclusion Protocol (REP), initié en 1994 par Martijn Koster et maintenu depuis. C'est un standard de fait, dont l'interprétation peut varier.

Google s'est donc associé à d'autres moteurs, Koster et des responsables de sites pour documenter le REP et soumettre le résultat à l'IETF afin qu'il soit reconnu comme un standard, géré et implémenté comme tel.

De plus, la bibliothèque C++ utilisée pour interpréter les fichiers robots.txt a été diffusée en open source par Google, sous licence Apache 2.0. Elle est disponible sur GitHub.

Comme l'explique TechCrunch, l'État « a adapté sa législation et rend désormais illégal le partage de photos ou vidéos de personnes nues sans leur consentement, qu'elles soient réelles ou fictives » .

Nos confrères rappellent que la Virginie interdisait déjà le revenge porn depuis 2017, mais avec des lacunes sur les contenus retouchés. Problème, les techniques se sont grandement améliorées et surtout automatisées au fil des années, comme on peut s'en rendre compte avec l'affaire DeepNude.

Revenge porn : deepfakes et autres photomontages désormais illégaux en Virginie

Suite à une demande du gouvernement américain, la NASA travaille à renvoyer des hommes sur la Lune en 2024 dans le cadre du projet Artemis, d'y établir une base permanente en 2028 et ensuite aller sur Mars. 

Après avoir sélectionné trois entreprises pour envoyer du fret en 2020 et 2021 dans le cadre du programme Commercial Lunar Payload Services (CLPS), l'agence spatiale présente 12 projets qui seront de la partie.

« Sept sont axés sur des réponses aux questions de planétologie ou d'héliophysique, tandis que cinq d'entre elles feront la démonstration de nouvelles technologies », précise la NASA. 

Il est notamment question du MoonRanger capable d'évoluer à un kilomètre de sa base, du système de caméras flexibles Heimdall permettant de « modéliser les propriétés du régolithe lunaire » et d'un « système informatique reconfigurable et tolérant aux radiations ». La liste détaillée se trouve par ici.

Dans un registre différent, mais toujours dans l'optique d'envoyer des hommes sur la Lune, la NASA devrait lancer aujourd'hui son Ascent Abort Test 2 (AA-2). Il vérifiera que le module d'éjection de la capsule Orion fonctionne correctement.

Le but est d'envoyer très rapidement la capsule habitable loin de la fusée en cas de problème. Un mécanisme qui peut sauver des vies, comme en atteste le lancement loupé de Soyouz en octobre dernier.

Une retransmission sera proposée par la NASA sur son site. La fenêtre de lancement s'ouvre à 13h et se referme à 17h.

La NASA détaille 12 projets scientifiques qui iront sur la Lune, test d'éjection d'urgence pour Orion
Windows 10 : la branche 19H2 dans le canal lent, une simple évolution qualitative

Après plusieurs mois de silence, Microsoft a finalement diffusé hier soir la première build de la branche 19H2, qui doit déboucher sur l’évolution semestrielle de Windows 10 cet automne.

On s’attendait à ce que cette future mise à jour ne soit pas si majeure. Après tout, l’éditeur ne semblait avoir d’yeux que pour sa branche 20H1, avec des préversions plus d’un an à l’avance, laissant imaginer de profonds changements techniques.

Microsoft n’utilise pas le mot « mineur », mais évoque simplement une mise à jour axée sur les performances, les fonctions d’entreprise et l’amélioration de la qualité.

Pour les utilisateurs ayant déjà la May 2019 Update (lire notre dossier), elle s’installera ainsi comme une mise à jour cumulative mensuelle, donc sans passer par un processus séparé. L’éditeur semble sûr de son coup.

Pour ceux en revanche avec un Windows plus ancien, cette future version automnale remplacera la May 2019 Update comme mouture majeure à installer depuis Windows Update.

Cette nouvelle build est estampillée 18362.10000, montrant bien la « simple » évolution qualitative de l’actuelle May 2019 Update, qui en est à la 18362.207. Les testeurs la trouvent dans le canal lent, le rapide étant réservé à la branche 20H1.

Microsoft vise actuellement une diffusion pour septembre.

Il y a un mois et demi, nous parlions de mauvaises nouvelles à répétition chez Tesla avec, pêle-mêle, des accidents mortels, plaintes, incendies et départs en série. 

C'est aujourd'hui au tour de Peter Hochholdinger de quitter Tesla pour passer à la concurrence : Lucid Motors. Il était auparavant directeur de la production dans la société d'Elon Musk depuis trois ans, comme l'explique Reuters. Il a également été directeur de la production chez Volkswagen AG.

Lucid Motors travaille sur des voitures électriques et peut compter sur un important soutien financier de l'Arabie Saoudite. En septembre dernier, elle a effectivement obtenu un milliard de dollars du fonds souverain saoudien, Public Investissement Fund (PIF)

Encore un départ chez Tesla : le directeur de la production passe chez Lucid Motors

Depuis aujourd’hui, les smartphones sous Windows Phone 8/8.1 ainsi que les PC sous Windows 8 ne reçoivent plus de mises à jour applicatives depuis le Store. La boutique est à considérer comme définitivement morte sur ces plateformes.

Seul petit espoir, essayer de récupérer l’application Upgrade Advisor avant que la boutique ne soit réellement fermée. À l’heure où nous écrivons ces lignes, nous ne savons pas si l’opération est encore possible.

Une fois installée, elle permet de déclencher la mise à jour vers Windows 10 Mobile, ce qui fera gagner du temps si on souhaite garder le smartphone encore un moment. Le Store y est plus que moribond, mais encore fonctionnel.

Notez pour les PC que Windows 8.1 est toujours supporté jusqu’en juillet 2023. On s’étonne d’ailleurs que Microsoft travaille sur une version Windows 8 de son prochain Edge, puisque le système n’est officiellement plus supporté. La migration vers Windows 8.1 est, elle, toujours disponible dans le Store.

Windows 8 et Phone 8/8.1 : plus de mises à jour applicatives dans le Store
Samsung : le Galaxy Fold a été lancé « avant qu'il ne soit prêt », conférence Unpacked le 7 août

Lors d'une rencontre avec plusieurs de nos confrères, dont The Independent, le directeur général du fabricant, DJ Koh, a reconnu que la situation était « embarrassante » : « je l'ai poussé avant qu'il ne soit prêt ».

Il ajoute que, « à l'heure actuelle, plus de 2 000 appareils sont testés sous toutes les coutures [...] Nous avons identifié tous les problèmes, même certains auxquels nous n'avions pas pensé ».

Pour le moment, aucune date de retour du Galaxy Fold n'a été annoncée et il ne fallait pas compter sur le patron de Samsung pour en dire davantage. Pour couper court aux nombreuses questions sur le sujet, il a simplement indiqué qu'il arriverait « en temps voulu » en demandant « un peu plus de temps ».

Pour rappel, quelques semaines après Samsung, c'était au tour de Huawei de repousser la sortie de son smartphone pliable : le Mate X. « Nous ne voulons pas lancer un produit qui détruirait notre réputation », indiquait en juin le fabricant. Après s'être lancé dans une course à qui sera le premier, les deux concurrents semblent avoir été bien trop vite en besogne.

Quoi qu'il en soit, Samsung continue d'aller de l'avant et présentera son prochain téléphone le 7 août lors d'un événement Unpacked 2019. Un stylet et une caméra sont mis en avant dans le court teaser.

Sauf surprise, il devrait s'agir du Galaxy Note10 (ou Note 10). Pour rappel, le Note9 a été dévoilé en août 2018.

Google a publié hier soir un site officiel pour son futur système d’exploitation Fuchsia.

Dans sa forme actuelle, ce site n’est surtout qu’une version « propre » du dépôt Google Source qui existait déjà. On y retrouve ainsi la documentation que l’on connaissait pour les développeurs, mais rien de plus pour l’instant.

Si l’on n’apprend donc rien de plus, le site pourrait témoigner d’une éventuelle prochaine communication plus importante autour du projet : ses tenants et aboutissants, ses particularités, ses ambitions, comment il se placera face à Android et Chrome OS, etc.

Car contrairement à ces deux produits, Fuchsia ne repose pas sur un noyau Linux, mais sur Zircon. Ce micro-noyau est un dérivé de LK (Little Kernel), à la base conçu pour les systèmes embarqués. Fuchsia, lui, semble être taillé pour à peu près tous les types de terminaux.

Chez Google, Fuchsia a maintenant son propre site

FreeDOS est à la base le projet d’un étudiant qui appréciait le DOS, et déçu que Microsoft l’abandonne au profit d’un Windows toujours plus présent. FreeDOS fut donc lancé en 1994.

Le projet est libre, très léger (on peut lancer sa base depuis une simple disquette) et reste entièrement compatible avec DOS. Si vous avez de vieux jeux qui s’accommodent mal de Windows, ce peut être l’occasion de les ressortir du placard.

Le projet a fêté le 29 juin ses 25 ans car – oui ! – il est toujours actif. Il est resté très longtemps en bêta, la version 1.0 finale ne sortant qu’en 2006, soit 12 ans après ses débuts. Mais des versions sont publiées depuis. La dernière, la 1.2, est ainsi parue en décembre 2016.

Les intéressés pourront le récupérer depuis le site officiel. L’installation recommandée passe par une image ISO à graver sur un CD pour y démarrer ensuite, mais une version pour clé USB existe également. Et pour disquette.

FreeDOS a fêté ses 25 ans

9to5google est parvenu à activer la fonction Fast Share présente dans l’actuelle bêta d’Android Q. elle permet le partage de données entre deux appareils proches, à la manière de ce que propose Apple avec AirDrop.

La fonction se présente sous forme d’un losange bleu. L’utilisateur doit simplement choisir un nom pour son appareil puis approcher ce dernier d’un autre appareil compatible. Celui-ci recevra la demande, qui pourra bien sûr être acceptée ou déclinée.

On peut partager à peu près tout et n’importe quoi : photo, vidéo, adresse web, morceau de texte, contact, etc. Google fournit des exemples et indique notamment que la fonction peut être utilisée pour partager des informations avec des Chromebook, d’autres appareils Android, des montres connectées et… des iPhone.

Nos confrères ne disent pas comment ils ont activé la fonction, mais notent qu’elle fonctionne. Selon eux, elle pourrait même apparaitre sur d’anciennes versions d’Android puisqu’elle est intégrée aux services Play et ne semble pas liée spécifiquement à Android Q.

Google FastShare, future fonction de partage de données entre appareils proches
Mageia 7 est disponible en version finale

Elle se sera fait attendre par ses utilisateurs, mais la version 7 de Mageia est enfin disponible au téléchargement.

Une vaste modernisation pour la distribution Linux, qui bascule dans la plupart des cas sur les versions les plus récentes des paquets.

Cette version finale embarque ainsi un noyau Linux 5.1.14, Mesa 19.10, Plasma 5.15.4, GNOME, 3.32, Xfce 4.14, Firefox 67, Chromium 73, LibreOffice 6.25.3, rpm 4.14.2, dnf 4.2.6 et ainsi de suite.

L’écran d’accueil a été remanié pour être plus simple, le support des architectures ARMv7 et AArch64 nettement amélioré, DNF est toujours utilisé comme alternative à URPMI et gagne au passage la compression Zchunk pour les métadonnées, avec de meilleures performances à la clé. Le gestionnaire de démarrage rEFInd est proposé comme alternative à GRUB2.

Dans les commentaires, les réactions à l’annonce sont positives, mais un utilisateur note et regrette que Python 2 est toujours utilisé par défaut.

La distribution peut être téléchargée directement ou via Torrent via le site officiel. On retrouve comme d’habitude les images ISO habituelles pour le DVD d’installation classique, Live Media et Network.

Aucune entrée pour les catégories selectionnées.