du 15 octobre 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

Unix/Linux : importante faille dans Sudo, le correctif disponible

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

En coordination avec la CNIL, elle serait chargée de superviser et évaluer les expérimentations. « Il ne faut pas avoir une vision exclusivement nihiliste de la reconnaissance faciale » assure le secrétaire d’État dans une interview au MondeExpérimenter est également nécessaire pour que nos industriels progressent ».

Sur l’idée de coupler cette technologie en temps réel à la vidéosurveillance, Cédric O souffle le froid et le chaud. « Je suis extrêmement partagé sur la question. On en voit très bien l’utilité, par exemple pour identifier des terroristes dans une foule, mais aussi les risques. Il faut donc en définir très clairement le cadre et les garanties pour éviter la surveillance généralisée ». 

Et le locataire de Bercy d’appeler à un débat avec les citoyens, les élus locaux et les parlementaires.

Cédric O propose une instance de supervision de la reconnaissance faciale

Dans un peu moins d'un mois, la plateforme de streaming sera lancée aux États-Unis, au Canada et aux Pays-Bas pour 6,99 dollars ou euros par mois. Une partie des titres avait été dévoilée, mais la société s'est énervée hier sur son compte Twitter.

Pendant plusieurs heures, elle a listé l'ensemble des contenus qui seront disponibles. Pour rappel, en plus des dessins animés et films Disney, la société dispose des licences Pixar, Marvel, Star Wars et National Geographic ; excusez du peu.

Si vous n'avez pas envie de lire l'intégralité des tweets, Disney a également publié une vidéo avec des extraits des contenus disponibles le 12 novembre. On commence en 1937 avec Blanche-Neige et les Sept Nains pour finir avec The Mandalorian en 2019. Si vous comptez la regarder, libérez-vous du temps : elle dure plus de 3h.

Disney+ : l'ensemble des contenus disponibles le 12 novembre, en tweets et en vidéo (3h)

« Ni plante, ni animal, ni champignon », il débarquera le 19 octobre, explique le CNRS qui profite de cet « événement » pour publier une interview de l'éthologiste Audrey Dussutour. L'occasion de revenir sur cet « organisme unicellulaire, dépourvu de cerveau et de système nerveux [qui] fascine chercheurs et grand public ».

« C’est la première fois qu’un organisme unicellulaire entre dans un parc zoologique ! Il sera installé dans un vivarium et le public pourra regarder des vidéos où il résout des problèmes. On verra par exemple comment il choisit la nourriture qui lui est la plus profitable », explique la scientifique. 

Et si vous pensiez que c'était forcément petit un blob, détrompez-vous : « Au début de sa vie, il mesure 50 micromètres. Dans de bonnes conditions, sa taille double tous les jours. Des chercheurs se sont même amusés à obtenir un blob de 10 mètres carrés, enregistré au livre des records. C’est lié à son mode de reproduction : ce n’est pas la cellule qui se divise, mais uniquement le noyau ».

Le parc zoologique de Paris a mis en ligne une vidéo sur cette nouvelle espèce qui débarque.

Le blob va faire son entrée au parc zoologique de Paris
Canal+ intègre Netflix, en option ou dans un pack à 50 euros par mois (15€ de remise au lancement)

C'est fait ! Annoncé à la rentrée, ce partenariat étonnant prend forme, au tarif annoncé par les équipes du groupe Canal.

Ainsi, le nouvel ensemble « Canal+ et pack Ciné Séries » avec Netflix est à 49,90 euros par mois sans engagement (numérique uniquement) ou avec un engagement (numérique + TV) de 2 ans. Si vous ne vous engagez que pour un an, il vous en coûtera 54,90 euros.

Pour ce lancement, une remise de 15 euros est consentie, ce qui fait tomber le tarif à respectivement 34,90 et 39,90 euros par mois. 

C'est 15 euros de plus que l'abonnement simple à « Canal+ la chaîne », un tarif intéressant puisque outre Netflix, ce pack intègre l'accès aux chaînes et replay de Canal+ Cinéma, Canal+ Séries, Disney Cinéma, Fox, Polar+, WB TV, Série Club, TCM Cinéma, Paramount Channel, Action, Sundance TV mais également au bouquet OCS.

Par défaut, l'abonnement du service de SVOD intégré est celui proposant deux écrans avec une définition HD, facturé habituellement 11,99 euros. Pour passer à l'abonnement supérieur à 15,99 euros par mois (quatre écrans et 4K/UHD), il faudra logiquement débourser 4 euros de plus par mois. 

Une page dédiée à l'offre est désormais en ligne, en complément de la FAQ. Il y est confirmé que les clients actuels pourront souscrire à des options, sans plus de précisions sur le tarif exact. L'ajout du service de SVOD pour un abonné à l'ancienne offre passe par un contact avec le service client, et donc un prix qui sera peut être fonction de son statut. Le lien entre les deux comptes se fait à travers une procédure d'activation gérée sur le site de Netflix.

Comme argument, Canal+ précise que son offre avec engagement permettra de s'affranchir d'éventuelles hausses de Netflix à l'avenir : « Le prix de votre offre ou de votre abonnement ne variera pas et restera fixe pendant toute la durée de votre engagement ».

La députée Sandrine Le Feur (LREM) vient de transmettre une question écrite à Cédric O, le secrétaire d’État au Numérique, afin de l’interpeller au sujet des faux avis laissés sur Internet (sur des sites de e-commerce, de notation de restaurants, etc.).

« Alors que ces avis déterminent souvent le choix [des consommateurs, ndlr], cette pratique peut être dévoyée car elle permet à des usagers mal intentionnés, voire à des concurrents, de s'exprimer pour tromper sciemment les internautes », s’inquiète l’élue.

L’exécutif est ainsi prié de lui indiquer « comment il compte renforcer le contrôle de ces avis frauduleux ». Sandrine Le Feur met d’ailleurs en avant une piste : « imposer la publication du numéro IP de l'émetteur du commentaire à côté de l'avis ».

Pas sûr néanmoins que cette suggestion soit du goût de la CNIL, l’adresse IP étant une donnée personnelle (en ce qu’elle permet d’identifier une personne, directement ou indirectement).

Cédric O dispose d’un délai de deux mois pour répondre à cette question écrite.

Une députée suggère de publier l’adresse IP des auteurs d’avis en ligne

Quasiment un an jour pour jour après l'annonce de son service, Microsoft ouvre doucement les vannes, tandis que d'autres invitations suivront au cours des prochaines semaines. L'annonce a été faite par Phil Spencer sur Twitter.

Rien de surprenant puisque la date avait déjà été annoncée il y a quelques semaines. Par contre, seuls les utilisateurs aux États-Unis, au Royaume-Uni et en Corée sont pour le moment concernés.

Projet xCloud : Microsoft envoie les premières invitations pour la bêta

« C’est une proposition qui a été faite, mais cette date me semble prématurée » expose le secrétaire d’État, toujours au Monde.

« Nous avons saisi le Conseil national du numérique et les députées Paula Forteza et Christine Hennion ont débuté un travail pour le compte de l’Assemblée nationale sur le sujet de l’identité numérique. Nous n’ouvrirons pas le test plus largement avant que nous ayons eu leurs premiers retours ».

L’« authentification en ligne certifiée sur mobile », fruit d’un décret du 16 mai dernier, utilisera la reconnaissance faciale lors de la création du compte.  « Alicem vérifie par reconnaissance faciale que la personne qui utilise le smartphone est bien le détenteur du titre. C’est un moyen de lutter contre l’usurpation d’identité » explique l’Intérieur. 

Le décret a été critiqué par la CNIL et attaqué par la Quadrature du Net

Alicem mise en œuvre dès novembre ? « Prématurée » selon le secrétaire d’État au numérique

Ce projet consiste à utiliser deux fuselages d'avion et pas moins de six moteurs avec des fusées que l'on peut installer au milieu. Celles-ci sont ensuite larguées en vol pour rejoindre l'espace. Une idée dans la même veine que Virgin Galactic.

Paul Allen, cofondateur de Microsoft, était à l'origine de ce projet. Suite à son décès mi-octobre 2018, l'avenir de la société était incertain. Elle a tout de même réussi un vol historique pendant plus de 2h en avril 2019, mais certains prévoyaient que Stratolaunch allait mettre la clé sous la porte.

Ce n'est finalement pas le cas et un repreneur a été trouvé : « Stratolaunch a changé de propriétaire et poursuit ses activités », explique la société dans un bref communiqué. Le nom du nouveau propriétaire n'est pas précisé.

Stratolaunch change de propriétaire et « poursuit ses activités »
Mozilla dénonce les ratés de YouTube avec un nouveau site

Le père de Firefox s’en prend désormais aux algorithmes de YouTube, particulièrement sous le feu des projecteurs depuis un an pour d’évidents ratés.

Le site contient 28 histoires d’utilisateurs montrant comment YouTube s’est, en quelque sorte, « retourné contre eux ». Toutes partent de vidéos regardées volontairement pour aboutir sur des recommandations peu en phase avec l’historique.

Un père raconte comment son jeune fils regardait Thomas the Tank Engine et a fini par se retrouver sur des crashs de trains, un autre comment il est parti de matchs de boxe pour finir sur des combats de rue sordides, un autre encore comment, de vidéos réalisées par une drag queen et parlant de confiance en soi, il s’est retrouvé sur des contenus haineux anti-LGBT.

Mozilla précise que ces histoires ne sauraient résumer à elles seules une situation, mais l’éditeur estime qu’elles sont un bon échantillon de ce qui attend les utilisateurs de YouTube. 

Le problème est d’autant plus important que 70 % des vidéos regardées sur le service de Google font suite à des recommandations. Or, de nombreux contenus doivent être approchés avec prudence, car plusieurs catégories de public n’ont pas forcément les armes et l’esprit critique nécessaires.

Mozilla pense en particulier aux enfants, aux personnes âgées sans grande connaissance d’Internet, ou encore à celles souffrant de troubles mentaux. Par effet d’accumulation, la dépression et/ou la paranoïa peuvent survenir. Pour l’éditeur, il est clair que les algorithmes tiennent essentiellement de l’engagement global, impliquant le nombre général de clics, l’activité dans les commentaires ou encore les partages.

Mozilla reproche également à Google de ne fournir aucune donnée exploitable par des chercheurs, et de maintenir une opacité complète autour de ses algorithmes. La firme a par exemple affirmé avoir réduit de 50 % les contenus « limite » et de désinformation, mais cette déclaration ne peut être vérifiée. 

Concrètement, Mozilla demande à Google d’agir sur trois points :

  • Fournir aux chercheurs un accès aux données importantes (nombre de recommandations pour une vidéo, engagement, descriptions, etc)
  • Construire un outil de simulation pour les chercheurs qui permettrait de créer des profils de navigation
  • Lever, toujours pour les chercheurs, les limites actuelles de l’API et leur donner accès à une archive historique de vidéos

L'annonce a été faite par le patron du VTC, Dara Khosrowshahi, dans un email envoyé à ses employés et publiée par TechCrunch. Tous les secteurs d'activité sont concernés : Eats, marketing, ressources humaines, voitures autonomes, etc. 

Selon nos confrères, plus de 70 % des suppressions de postes concernent les États-Unis et le Canada. Selon un porte-parole de la société, ces licenciements représentent 1 % de la masse salariale de la société.

Deux autres vagues de suppression de postes ont eu lieu au cours des trois derniers mois, avec 400 et 435 employés sur le carreau. 

350 nouveaux licenciements chez Uber

Comme chaque année à la même époque, l’association française de sensibilisation du grand public aux libertés numériques lance une campagne de récolte de dons, principale source de revenus.

Dans un billet de blog, elle revient sur les annonces récentes autour des arrêts de services lancés dans le sillage de « Dégooglisons Internet ». Elle revient également sur l’aspect trompeur de l’action : « dégoogliser » ne suffit pas, car même si Google devait disparaître, d’autres prendraient rapidement sa place.

Entre aujourd’hui et le 31 décembre, Framasoft publiera une fois par semaine un compte-rendu des actions entreprises dans le cadre de la campagne Contributopia, afin que les utilisateurs se rendent mieux compte du travail effectué par l’association, et pourquoi elle mettra fin à la majorité de ses propres services (tout en gardant les plus populaires).

La version bêta de Mobilizon devrait également être lancée aujourd’hui. À noter que PeerTube 2.0 n’est plus très loin non plus. 

Framasoft raconte ses actions Contributopia et relance sa campagne de dons

« Après neuf ans, l’équipe derrière Sensorly a pris la décision difficile de mettre fin au support des produits Sensorly et de mettre les applications et les cartes hors ligne », explique l'éditeur sur son site ainsi que sur le Play Store et l'App Store, comme l'a repéré le compte Twitter Muzikals.

Sensorly avait pour rappel été racheté en février 2016 par l'américain Mosaik. Pour le moment, les cartes de couvertures et de tests de débits sont toujours disponibles sur le site.

L'éditeur remercie enfin sa communauté qui réalisait les tests depuis leurs smartphones.

L'application mobile Sensorly tire sa révérence
Groupe M6 serait victime d'un rançongiciel, téléphones et messageries électroniques seraient inutilisables

Hier, le groupe affirmait avoir été victime d'une cyberattaque, sans donner la moindre précision supplémentaire. Depuis ce week-end, les équipes « sont mobilisées pour rétablir le bon fonctionnement de tous [les] équipements et moyens informatiques ».

Selon l'Express, un rançongiciel serait la cause du problème. Il s'agit pour rappel d'un logiciel chiffrant les données d'un ordinateur et demandant une rançon pour espérer les récupérer (payer n'est jamais une bonne idée pour rappel, contrairement aux sauvegardes).

« Les lignes téléphoniques et la messagerie électronique de l'entreprise sont inutilisables », affirme une source interne reprise par nos confrères. « Tous les outils de bureautique et de gestion rencontrent d'importantes perturbations », ajoute-t-elle. 

La diffusion TV et radio ne semble pas impactées par cette cyberattaque. L'ANSSI est mobilisée affirment nos confrères, comme c'était déjà le cas lors de l'attaque de TV5Monde

La firme de Mountain View commercialisera aujourd’hui, aux États-Unis, une nouvelle version de sa clé Titan. En association avec Yubico et pour 40 dollars, la clé présente notamment un connecteur USB Type-C.

Cette USB-C Titan Security Key est compatible avec Android, Chrome OS, macOS et Windows. Les composants sont les mêmes que pour les modèles Titan USB-A/NFC et Bluetooth/NFC/USB, dont la puce de sécurité chargée de vérifier l’intégrité de la chaine de sécurité.

Ce type de clé permet pour rappel de renforcer la sécurité des procédures d’authentification à plusieurs facteurs. Google cite plusieurs exemples de services compatibles, en-dehors des siens : 1Password, Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe, ou encore Twitter.

Aucune information supplémentaire pour le reste du monde, mais la France devrait être concernée, puisque les précédents modèles de clés Titan y sont commercialisés.

Google s’est associée à Yubico pour sa nouvelle clé de sécurité Titan USB-C

Yueting Jia « envisage de céder sa participation dans l'entreprise chinoise de véhicules électriques afin de rembourser ses dettes personnelles », explique Reuters

« Cette affaire n'affecte aucune des activités commerciales normales de Faraday Future », affirme le fabricant automobile. Yueting Jia doit la bagatelle de 3,6 milliards de dollars à différents créanciers.

Le fondateur de Faraday Future se déclare en faillite

Aucune entrée pour les catégories selectionnées.