du 17 septembre 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

LastPass pouvait laisser fuiter le dernier mot de passe utilisé

La vulnérabilité a été découverte par Tavis Ormandy, chercheur en sécurité membre du programme Project Zero de Google.

Elle résidait dans l’extension pour les navigateurs. Celle-ci, plutôt que d’utiliser la méthode do_popupregister(), se servait de la dernière valeur en cache, via ftd_get_frameparenturl().

Il devenait en théorie possible pour un site frauduleux de créer un iframe lié au fichier popupfilltab.html de LastPass et d’y afficher le dernier mot de passe utilisé. La faille a été signalée confidentiellement à LastPass, qui l’a rapidement corrigée.

Dans un billet publié vendredi, l’éditeur explique qu’il fallait un lot de circonstances bien particulier pour exploiter la brèche, limitant son impact potentiel. Il dit ne pas être au courant d’une quelconque exploitation. Les détails, eux, ont été publiés dimanche par Ormandy.

Une nouvelle version 4.33 de LastPass a été distribuée à l’ensemble des boutiques d’extensions pour les navigateurs. Mieux vaut donc contrôler que vous êtes à jour, même si les extensions sont en théorie automatiquement remplacées quand une nouvelle version est publiée. Les applications mobiles ne sont pas concernées.

Rappelons que les gestionnaires de mots de passe sont des outils pratiques, mais ne représentent pas l’alpha et l’oméga de la sécurité. Ils permettent de stocker des centaines ou milliers de mots de passe, de créer de longues séquences aléatoires de caractères, tout en les rendant disponibles sur presque toutes les plateformes.

Mais en cas de problème de sécurité, cette base de données est en danger. Les mots de passe ne suffisent plus depuis longtemps. Sans remettre en cause ces outils bien pratiques, nous vous conseillons d’activer une protection supplémentaire comme l’authentification à deux facteurs, partout où c’est possible.

Lancé en 2016, ce projet permet aux communes de profiter d'un coupon de 15 000 euros pour financer l'achat du matériel afin de proposer du Wi-Fi gratuit pendant au moins 3 ans.

2 800 coupons ont été distribués en novembre 2018, puis 3 400 en avril 2019. Comme prévu, un troisième appel à candidatures arrivera d'ici la fin de l'année. La Commission européenne précise qu'il ouvrira ses portes le 19 septembre à 13h (CEST). 

Pour rappel, le principe d'attribution est « premier arrivé, premier servi », avec « une répartition géographique équilibrée entre les pays ». Depuis le second appel, les conditions ont été légèrement revues, avec 15 % maximum des coupons par pays (au lieu de 8 % auparavant).

WiFi4EU : la troisième vague débutera le 19 septembre, des coupons de 15 000 € à récupérer

Avec cette consultation, l’autorité compte réviser ses lignes directrices sur ce créneau sensible. Le projet veut tenir compte de plusieurs évolutions depuis 2013. 

Sont visées notamment les contraintes formelles en matière de projet de concentration. L’entité veut aussi dresser une liste d’opérations qui ne seront a priori pas  susceptibles de générer des problèmes de concurrence.  

« La réorganisation de la structure des lignes directrices a vocation à rendre le document davantage intelligible et maniable, au bénéfice des opérateurs économiques, qui ne sont pas toujours coutumiers de la procédure de contrôle des concentrations et du mode de raisonnement des autorités de concurrence » explique-t-elle.

Sont intégrées également diverses jurisprudences en matière de contrôle des engagements pris par les entreprises. 

Sont citées ses décisions relatives à Fnac et Darty (cession de trois magasins non réalisée), le raccordement des immeubles dans le cadre du contrat de co-investissement entre SFR et Bouygues Telecom ou encore la situation d’Altice/Numericable et Outre-Mer Télécom.

Concentrations : l'Autorité de la concurrence ouvre une consultation publique

Dans un billet de blog vantant « la crédibilité et de la cohérence », la plateforme de streaming explique que « les artistes seront désormais classés en fonction du nombre de vues organiques » de leurs vidéos. On se demande d'ailleurs pourquoi ce n'était pas déjà le cas. 

YouTube Music Charts : les vues publicitaires ne seront plus comptées
Enchères 5G : pour Orange, les arguments avancés par Free et BT « sont faux »

Didier Casas et Xavier Niel s'en sont ouvertement pris au projet d'attribution des fréquences de la 5G. Les deux dirigeants estiment qu'il avantage Orange et SFR, qui disposent de plus de moyens.

Sébastien Soriano était revenu sur la question ce week-end : « Je crois que tout le monde est bien conscient de la réalité des choses. Par le passé on a été accusé de faire la courte échelle à Free ou d'autres ». Il rappelle que l'Arcep est un « arbitre neutre » et « impartial ».

C'est désormais au tour d'Orange d'entrer dans la danse, par l'intermédiaire de Fabienne Dulac, sa directrice générale adjointe : « Ce modèle a la vertu d'éviter la surenchère qu'on a pu observer en Italie ou en Allemagne et de nous prémunir contre une explosion des prix », comme le rapporte ZDNet.

Elle n'en reste pas là et répond à ses concurrents : « Je comprends la position de Free et Bouygues Telecom, mais mathématiquement, les arguments avancés sont faux. Ce modèle en deux étapes est bien meilleur que le précédent où nous commencions tous à zéro et où nous étions dans des enchères permanentes pour acquérir les dix premiers mégahertz ». 

Enfin, concernant le lot de base à prix fixe de 40 MHz ou 60 MHz, c'est « du détail au vu de l'enjeu global ». « Chacun défend son intérêt pour s'offrir un maximum de fréquences pour un moindre prix », ajoute-t-elle.

La plateforme de streaming l'a annoncé officiellement sur son compte Twitter. La série des années 90 a remporté des Emmy Awards et est considérée comme « la meilleure sitcom de tous les temps » suite à une enquête de Vanity et 60 minutes. Elle sera distribuée mondialement.

Une bonne opération pour Netflix, qui vient en plus de signer un accord avec Canal+ en France. Reste maintenant à voir si Seinfeld permettra de contrebalancer la perte de Friends et The Office à la fin de l'année. 

Netflix proposera les 180 épisodes de la série Seinfeld en 2021

Prévu pour cette année, le service de cloud gaming du géant du Net ne devrait pas être disponible sur Android TV avant 2020. C'est en tout cas ce qu'affirme XDA Developpers en se basant sur l'information d'une source présente à l'International Broadcasting Convention.

Toujours selon cette même personne, il faudrait attendre Android 11 « R ».

Cloud gaming : Stadia de Google n'arriverait pas avant 2020 sur Android TV

Le fabricant a envoyé des invitations à la presse, avec comme seul message « venez voir quelques nouveautés Made by Google », comme l'indique Patently Apple.

Il devrait donc être question des Pixel 4 (déjà évoqués par Google dans une vidéo en juillet), du Pixelbook 2 et des enceintes connectées Home. 

Google présentera ses nouveautés « hardware » le 15 octobre
 En marge de l’affaire Epstein, Stallman démissionne du MIT et de la Free Software Foundation

Richard M. Stallman claque la porte du laboratoire d’informatique et d’intelligence artificielle du MIT (le CSAIL). « Je le fais en raison de la pression exercée sur le MIT et moi-même à la suite d'une série de malentendus et de descriptions erronées » explique-t-il sur son site. 

Même situation à la Free Software Foundation. Ce même 16 septembre, Stallman, fondateur et président de la fondation, a décidé de démissionner de ses fonctions de président et du conseil d'administration. « Le conseil procédera à la recherche d'un nouveau président » se borne à annoncer la FSF. 

Pourquoi cette décision ? Dans un échange de mails rendu public par Selam Jie Gano (ici sur Medium, repris sur Vice), RMS se penche sur le cas d’une adolescente de 17 ans qui se dit victime d'un proche d'Epstein, Marvin Minsky.

Ce dernier, fondateur du CSAIL, décédé en 2016, est accusé d’agressions sexuelles sachant qu’Epstein a été l’un des généreux donateurs de l’université.

Et les commentaires de l'ex-président de la FSF ont depuis été largement critiqués : « On peut imaginer de nombreux scénarios, mais le plus plausible est qu’elle s’est présentée à lui comme tout à fait disposée » commente par exemple Stallman, pour récuser la façon dont sont présentés les faits (« sexual assault », etc.) 

« Je pense qu'il est moralement absurde de définir le terme de « viol » selon des détails mineurs tels que le pays dans lequel cela s’est produit ou si la victime avait 18 ans ou 17 ans » ajoute-t-il dans le fil.

La nouvelle version majeure de la distribution Linux est donc proche, après un retard dû à une focalisation des développeurs sur la mouture 7.7, qui doit apporter des corrections aux installations actuelles.

CentOS est un système important puisqu’il représente en moyenne un serveur Linux sur cinq. Le projet est en quelque sorte une version gratuite de RHEL (Red Hat Enterprise Linux), puisqu’elle en récupère les sources pour compiler des binaires 100 % compatibles.

CentOS 8 devrait donc reprendre les nouveautés de RHEL 8, dont l’interface Cockpit par défaut pour l’administration, un nouveau YUM basé sur DNF, une architecture divisée en trois dépôts (BaseOS, Application Streams et CodeReady Builder), Wayland comme serveur d’affichage par défaut, le remplacement d’iptables par nftables, etc.

Notez que le tweet initial de l’équipe de CentOS était flou : une nouvelle version annoncée pour le 24 septembre. Mais puisque la mouture 8 avait été repoussée pour finir la 7.7, certains se demandaient ce qui allait vraiment paraître en ce début d’automne.

Le wiki du projet, entre temps mis à jour, confirme cependant bien l’arrivée de CentOS 8. La 7.7 reste « imminente ». 

CentOS 8 sera disponible le 24 septembre

La fonction est également ce que son nom décrit : des canaux partagés entre organisations différentes. Les cas d’utilisation ne manquent pas.

Slack cite de nombreux exemples, d’un nouvel employé ayant besoin de se plonger dans les interactions avec une autre structure à une meilleure gestion du support, en passant par la mise en commun d’informations entre une entreprise et ses clients.

Les canaux partagés ont toutes les capacités des classiques. Leur création repose sur une demande de l’administrateur à celui de l’entreprise concernée. Une fois la demande acceptée, les employés autorisés à y participer sont choisis, le canal comportant une icône spécifique à son statut partagé.

La nouvelle fonction est disponible immédiatement pour les clients de Slack.

Slack déploie ses canaux partagés
Windows : Microsoft reconnait les soucis liés au dernier Patch Tuesday

Trois types de problèmes ont été soulevés depuis la publication de la version 18362.356 : menu Démarrer et recherche, baisse du volume sonore rendant certains effets inaudibles dans des jeux, et des adaptateurs réseau ne fonctionnant plus.

Le premier était déjà reconnu, Microsoft passe donc au suivant. Les soucis audio proviennent d’un changement demandé par certains éditeurs de jeux dans l’optique de mieux gérer le son multicanal. L’éditeur a entendu les retours et se prépare donc à retirer cette modification.

En attendant qu’un nouveau patch soit publié, les joueurs concernés sont invités à désactiver partout où ce sera possible les options liées au son multicanal et tout ce qui touche au surround virtuel. Ces réglages peuvent se trouver dans les jeux ou dans le panneau de contrôle de l’équipement associé, selon la puce son présente dans le PC.

Côté adaptateurs réseau, Microsoft reconnait là aussi le problème. Seraient particulièrement concernés les équipements Intel Centrino 6205/6235 et Broadcom 802.11ac.

Microsoft recommande de désactiver puis réactiver l’adaptateur dans le gestionnaire de périphériques, permettant en théorie de rester stable jusqu’au prochain redémarrage de la machine.

Cette solution ne fonctionne cependant pas pour tout le monde. La seule manipulation garantissant pour l’instant une résolution du problème est de supprimer la mise à jour concernée, estampillée KB4515384. Elle aura causé décidément bien des difficultés. 

La fonction permet pour rappel de « sortir » une vidéo de sa page pour la déplacer ailleurs dans l’écran. Dans le cas de Firefox, elle est redimensionnable et reste toujours au premier plan.

Le mode est actuellement disponible dans le canal Nightly de Firefox pour Windows, et devrait être disponible dans la version finale 71 du navigateur. 

Son maniement ressemble largement à celui choisi par Opera depuis un bon moment déjà. Au survol de la souris, la vidéo affiche un petit encart (bleu pour Firefox) qui, si l’on clique dessus, coupe la vidéo sur le site et la fait apparaitre dans un cadre dédié.

Les versions Mac et Linux devraient suivre prochainement.

Mozilla compte fournir le mode Picture-in-Picture dans Firefox 71

Microsoft s’octroie encore un peu de temps pour peaufiner le code de son .NET Core 3.0, version particulièrement importante de son environnement de développement. Il est pourtant considéré comme prêt pour la production depuis la Preview 7, les 8 et 9 étant sorties depuis.

.NET Core est pour rappel le « reboot » complet de l’environnement .NET. Entièrement open source (licence MIT), il en est une version modulaire distribuée via NuGet. Il devient graduellement le point de jonction des technologies de Microsoft, se veut nettement plus performant que l’ancienne génération et est disponible sur Linux, macOS et Windows.

.NET Core 3.0 prend en charge C# 8.0 et la bibliothèque .NET Standard 2.1, génère des exécutables dépendant du framework, supporte l’empaquetage en exécutable unique, peut supprimer les assemblys inutilisés, se sert par défaut de la compilation hiérarchisée, peut déployer en MSIX

Mais l’une des plus grosses nouveautés est la prise en charge des applications de bureau Windows. Via le composant Windows Desktop du SDK, les développeurs peuvent porter leurs applications Windows Forms et WPF. La transition permet au passage d’appeler les éléments modernes d’interface (WinUI) via les îles XAML.

Première Release Candidate pour .NET Core 3.0

Aucune entrée pour les catégories selectionnées.