du 13 novembre 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

Encore de nouvelles failles sur les processeurs Intel, les correctifs sont disponibles

Selon Intel, la première faille TSX Asynchronous Abort (TAA) est « similaire » à une autre brèche dévoilée en mai dernier : Microarchitectural Data Sampling (MDS), liée à l'exécution spéculative des processeurs Intel. Les deux brèches touchent ainsi les mêmes mémoires tampons : Store buffers, Fill buffers et Load ports.

Là encore, un utilisateur authentifié avec un accès local pourrait récupérer des informations via une attaque par canal auxiliaire. TAA dispose d'un numéro CVE différent de MDS – CVE-2019-11135 – car « elle utilise un nouveau mécanisme pour exploiter » cette vulnérabilité. De plus amples détails techniques sont disponibles par ici.

Le fondeur dévoile également d'autres failles, comme la CVE-2018-12207, alias Intel Processor Machine Check Error, pouvant faire planter une machine avec le code d'erreur 0150H. Elle ne concerne visiblement que la virtualisation. 

Enfin, deux failles concernent l'IGP i915 : CVE-2019-0154 et CVE-2019-0155. La première peut provoquer un déni de service, tandis que la seconde permettrait à un attaquant avec un accès local de « récupérer des données sensibles ou éventuellement élever ses privilèges ».

Les brèches et correctifs ont été signalés en amont, ce qui explique qu'une vague de mise à jour se déverse ces dernières heures. Windows, Ubuntu et Red Hat ont d'ores et déjà commencé le déploiement. 

Alors que le réseau social n'est pas franchement réputé pour son respect de la vie privée, un nouveau problème de taille a été remonté sur l'application iOS.

Comme l'explique Joshua Maddux sur Twitter, vidéo à l'appui, un « bug » permet de voir que la caméra est activée en arrière-plan, alors que l'application affiche votre Timeline. Depuis, nos confrères de The Next Web ont pu reproduire le « bug ». Les iPhones avec iOS 13.2.2 sont concernés, tandis que ceux sous iOS 12 et 13.1.3 ne semblent pas touchés.

Comportement voulu ou « simple bug » ? Dans un communiqué envoyé à plusieurs de nos confrères, Facebook se range évidemment dans la seconde case, précisant qu'une mise à jour était en route. Depuis hier, une version 247 est disponible. Elle devrait corriger le « bug », mais les notes de version ne donnent aucune indication.

Dans tous les cas, une solution plus radicale est de révoquer l'autorisation de l'application à accéder à l'appareil photo (via les options se trouvant dans Réglages, Confidentialité et Appareil photo). 

Facebook sur iOS : un « bug » active parfois la caméra, sans raison apparente

Disponible depuis hier aux États-Unis et dans une poignée de pays, le service de streaming a connu un départ difficile, comme en attestent les nombreux messages sur les réseaux sociaux.

La société s'est fendue d'un message sur Twitter, en ressortant l'excuse la plus courante dans ce genre de cas : « La demande des consommateurs pour Disney+ a dépassé nos attentes. Nous travaillons pour résoudre rapidement le problème actuel des utilisateurs. Nous apprécions votre patience ». Par contre, aucune donnée chiffrée sur l'affluence n'a été dévoilée.  

Pour rappel, Disney+ arrivera en France le 31 mars 2020.

Soucis au lancement de Disney+, qui ressort l'excuse de la demande trop forte
Facebook Pay : le réseau social lance sa solution de paiement

Le service commencera à être déployé cette semaine sur Facebook et Messenger pour les utilisateurs aux États-Unis. Dans un premier temps, sont concernés les collectes de fonds, les achats in-game, les  billets de spectacles, le transfert d'argent entre personnes et des achats sur certaines Pages. Un site dédié a été mis en ligne.

Le réseau social prend les devants et précise directement que son service « n'est pas automatiquement configuré pour les applications où vous êtes actif, à moins que vous ne choisissiez de le faire». Vous pouvez accorder les autorisations au cas par cas, ou de manière globale.

En plus de Facebook et Messenger, Facebook Pay sera prochainement disponible sur Instagram, WhatsApp et d'autres applications. Il est distinct de Calibra, le portefeuille pour la cryptomonnaie Libra. 

Comme pour les autres moyens de paiement, Facebook enregistre la date de la transaction, le montant et les coordonnées. Une foire aux questions relatives à la vie privée a été mise en ligne.

On y apprend par exemple que, « comme avec les autres produits, les actions entreprises avec Facebook Pay peuvent être utilisées, entre autres, pour vous fournir des contenus et annonces plus pertinents [...] Par exemple, si vous achetez un gant de baseball sur Facebook Marketplace, vous pouvez voir une publicité pour une batte de baseball ».

Suite aux critiques suscitées par l'offre « sans tracker » de Libération, dont la découverte des scripts d'Eulerian hébergés sur un sous-domaine du journal afin de limiter leur blocage, certains trouvent des solutions.

C'est le cas de Shaft, expert du DNS, qui propose un petit tutoriel sous Unbound. Il vise à créer un fichier de zone dans lequel on indiquera avoir autorité pour les domaines principaux de la société, utilisés par les scripts de pistage. 

On bloque ainsi toutes les requêtes DNS vers ces domaines principaux afin de « régler » le problème. D'autres petites astuces sont données, comme le blocage direct des IP utilisées par Eulerian.

Shaft rappelle que la société n'est pas la seule à utiliser cette mécanique pour éviter d'exposer ses scripts. Ainsi, le blocage reste pour le moment l'une des seules solutions, à défaut de respecter le consentement explicite… pourtant imposé par la loi.

Bloquer les scripts d'Eulerian (utilisés notamment par Libération), simple comme du DNS

Yantar, que la marine russe présente comme un navire de recherche, mais soupçonné de servir à placer des systèmes d’écoute sur les câbles sous-marins, vient d’apparaître en Amérique du sud.

Parti il y a un mois de son port d’attache, une base sous-marine secrète située dans la ville fermée de Gadjievo, dans l’oblast de Mourmansk, il était resté invisible depuis, avant de rallumer son Système d'identification automatique (SIA) en arrivant à Trinité-et-Tobago, en mer des Caraïbes, au large du Vénézuéla. Six câbles sous-marins y convergent, dont Americas-II, reliant les États-Unis au Brésil, via la Guyane française. 

À son rythme de croisière, le voyage aurait normalement dû durer deux semaines environ. Il aura mis un mois. À défaut de savoir pourquoi, on notera que Yantar serait capable de déployer des sous-marins de plongée profonde, et qu’il possède deux systèmes de véhicules télécommandés (ROV) différents pouvant atteindre presque tous les câbles sous-marins de la planète, même en eau profonde.

Des médias affiliés au Kremlin s’étaient ainsi vantés du fait qu’Yantar pouvait non seulement se connecter à des câbles de communication top-secret, mais également les couper et « brouiller les capteurs sous-marins avec un système spécial ».

Pirate des Caraïbes et espionnage de câbles sous-marins
Avec la Bytecode Alliance, le WebAssembly va s’affranchir du seul web

Le WebAssembly est pour rappel un bytecode, c’est-à-dire un langage intermédiaire, précompilé et généré initialement à partir du JavaScript. Standardisé en 2017, le format binaire a rapidement fait des émules, puisque les développeurs pouvaient aussi bien utiliser du C++ ou du Rust.

Au vu des possibilités, plusieurs entreprises se sont rassemblées pour élargir ses horizons. Intel, Mozilla, Red Hat et Fastly forment ainsi la Bytecode Alliance, dans l’idée de créer un runtime multiplateforme pouvant donc servir dans les applications natives pour ordinateurs, appareils mobiles ou même environnements serveur.

L’Alliance n’est pas la première à vouloir créer un tel runtime, mais elle va concentrer les efforts pour proposer des outils pensés d’emblée pour la sécurité. « WebAssembly change le web, mais nous pensons qu’il peut jouer un rôle plus grand dans l’écosystème logiciel alors qu’il continue de s’étendre hors des navigateurs », estime Luke Wagner, ingénieur chez Mozilla.

Pour démontrer son implication et aller plus loin qu’une simple annonce, l’Alliance fournit déjà plusieurs outils. Wasmtime est par exemple un runtime indépendant pouvant servir de CLI ou embarqué dans d’autres systèmes. Lucet est aussi un runtime, mais spécifique, davantage taillé pour les CDN (content delivery network) et centré sur la compilation AOT et autres techniques pour réduire la latence.

Les outils fournis sont tous open source et disposent de leur dépôt GitHub. L’Alliance fournira avec le temps d’autres projets, au fur et à mesure que ses activités se déploieront et que d’autres acteurs rejoindront la formation.

Les ambitions sont grandes, puisque le WebAssembly a dans l’absolu la capacité de devenir un très sérieux concurrent à des langages comme Java ou C#, avec à terme la possibilité d’un code unique capable de s’exécuter partout.

Ce qui explique d’ailleurs que d’importantes entreprises ne soient pas présentes dans cette Bytecode Alliance : Apple, Google et Microsoft. Avec Mozilla, elles étaient pourtant les quatre piliers du WebAssembly lors de sa présentation en juin 2015.

Pourquoi ? Parce que le langage sort du cadre « prévu » et pourrait venir mettre des bâtons dans les roues de ces sociétés. Microsoft a par exemple sa propre approche du multiplateforme open source avec son .NET Core, même si ce dernier vise plus volontiers les environnements serveur pour l’instant.

Google ne jure que par les technologies classiques du web et pousse largement Kotlin pour le développement des applications mobiles sur Android. Quant à Apple, WebAssembly vient se heurter à ses investissements dans son propre langage Swift, lui aussi open source.

Si l’Alliance réussit son pari, les outils nécessaires au développement d’applications pour ces plateformes arriveront cependant vite. 

Lors de son introduction en bourse, le titre était aux alentours de 40 dollars. Mi-août, il est descendu à 33 dollars, avant de passer sous la barre des 30 dollars en octobre.

Travis Kalanick a attendu le 6 novembre, « date fixée pour l'expiration de la période de "lock-up" – soit six mois après l'introduction en Bourse, pour céder 20 % environ de la participation qu'il détenait dans une fiducie », explique Les Echos. Cela n'a pas spécialement aidé le cours de la bourse d'Uber qui est à 26,70 dollars seulement aujourd'hui.

Cet argent pourrait être investi dans une start-up de l'ancien patron d'Uber : CloudKitchens. Il s'agit pour rappel de « cuisines fantômes », c'est-à-dire d'entrepôts accueillant des cuisines pour préparer des repas exclusivement dédiés à la vente par livraison.

Travis Kalanick (ancien patron d'Uber) a vendu 20 % de ses actions Uber pour 547 millions de dollars

L'annonce a été faite par Elon Musk lors d'une cérémonie de remise des prix outre Rhin, comme le rapporte Reuters.

Il a ajouté que « gigafactory 4 » serait installée à proximité du nouvel aéroport de Berlin. Un centre d'ingénierie et de design ouvrira également ses portes dans la capitale.

Il y a quelques jours seulement, Tesla a présenté sa Model 3 fabriquée dans son usine en Chine, alias « gigafactory 3 ».

La prochaine gigafactory de Tesla s'installera en Allemagne, dans la région de Berlin
Données de santé : l'accord entre Ascension et Google fait grincer des dents

L'affaire a été dévoilée par le Wall Street Journal. Nos confrères parlent d'un « projet Nightingale » rassemblant des données personnelles de santé sur des millions d’Américains de 21 états. Le plus problématique étant que « les patients n’ont pas été informés », selon nos confrères. 

Les deux protagonistes ont réagi publiquement. Ascension parle d'un partenariat avec Google pour « transformer les soins », tandis que Google apporte son aide pour fournir de meilleurs soins aux patients.

Dans les faits, Ascension utilise le cloud de Google pour stocker les dossiers médicaux, ainsi que sa suite d'outils G Suite. Nos confrères du Monde expliquent que « Google et Ascension ont précisé a posteriori que l’accord était légal et respectait notamment le Health Insurance Portability and Accountability Act (Hippa). Ce texte de 1996 consacré au système d’assurance santé américain prévoit que les acteurs privés du secteur peuvent partager des données sans mettre les patients au courant si "les informations sont utilisées pour aider l’entité à assurer ses missions de santé" ».

Pour Google, c'est bien le cas :  « Ces données ne peuvent pas être – et ne seront pas – combinées avec les autres données détenues sur des consommateurs par Google ». Selon nos confrères du Wall Street Journal, les données de santé restent tout de même accessibles à près de 150 employés de Google.

Le cœur du problème dans le cas présent est donc le manque d'information auprès des patients, même si Google et Ascension affirment rester dans le cadre de la loi. 

Lancée en bêta fermée cet été, l'application s'ouvre au plus grand nombre, mais reste en bêta. Elle est spécialement « conçue pour les streamers afin de les aider à configurer facilement un stream de qualité et à interagir aisément avec leur communauté ».

Elle dispose de plusieurs calques et modèles par défaut, d'alertes pour gérer la communauté, etc. Une foire aux questions a été mise en ligne par ici.

Twitch Studio disponible en bêta pour tout le monde

En avril, Sega et la Paramount dévoilaient une première bande-annonce pour un film live sur le célèbre hérisson bleu, attendu pour novembre. S'en est suivi un tollé sur l'apparence du personnage, puis l'annonce d'un recul du film par le réalisateur. 

Depuis, il est attendu pour février 2020, mais nous étions sans nouvelles du projet. C'est chose faite, avec une nouvelle bande-annonce dévoilant un Sonic « v2 ».

Celui-ci se veut plus conforme à l'original et multiplie les appels de pieds aux fans, pièces et loopings à la clé. Reste à savoir si ces derniers seront suffisamment convaincus pour se rendre dans les salles afin de découvrir si le scénario et le reste de la réalisation sont à la hauteur.

Réponse le 12 février prochain.

Sonic dévoile son nouveau look, à trois mois de sa sortie en salles
« La reconnaissance faciale, on va y venir, c’est incontournable ! » estime Christian Estrosi

« De toute façon, ça se fera. Je ne veux pas qu’on perde le même retard que celui qu’on a perdu dans notre pays avec le développement des réseaux de caméras de videosurveillance ». 

Sur Franceinfo, Christian Estrosi lance un énième plaidoyer pour la reconnaissance faciale.

« La reconnaissance faciale, on va y venir, c’est incontournable ! ». Il rappelle qu’au Carnaval de Nice, 800 volontaires ont accepté de se prêter à une expérimentation à l’aide de caméras installées à des portiques.

« C’est un moyen de lutte contre le terrorisme, l’insécurité, tous les phénomènes de barbarie quels qu’ils soient, qui peut démultiplier l’efficacité de la police tout en préservant les libertés individuelles » assure le maire de Nice.

« Seuls ceux qui figurent sur des fichiers décidés par l’État (…) ont une chance d’être identifiés. Tous ceux qui ne sont pas dans un logiciel n’ont aucune raison d’être identifiés ».

On devine sans mal la France sécurisée voulue par Estrosi : des portiques, des caméras, une comparaison à la volée entre visage et base de données des fichiers sécuritaires. 

Fin octobre, avec Renaud Muselier et Éric Ciotti, Christian Estrosi s’en était violemment pris à la CNIL. L’autorité avait adressé une fin de non-recevoir à l’installation d’une reconnaissance faciale à l’entrée de deux lycées de PACA, l’un à Marseille, l’autre à Nice. 

Une position « Triste et incompréhensible de la part de la CNIL qui semble bloquée au 20e siècle » égratignait le maire niçois

La semaine dernière, le Centre européen de lutte contre la cybercriminalité (EC3) a publié un rapport d'une trentaine de pages sur le « spear phishing » ou harponnage (que l'on peut qualifier d'hameçonnage ciblé).

Plutôt qu'envoyer des millions de lignes à la mer, le pirate personnalise son message pour un utilisateur ou un groupe restreint.

Comme l'explique Éric Freyssinet sur son blog, « un chiffre clé à retenir de ce rapport est que 65 % des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé ».

Le rapport donne des conseils pour se prémunir de ce genre d'attaque. Le nouveau chef du pôle national de lutte contre les cybermenaces en profite pour rappeler que dans le cadre d'une demande de rançon pour récupérer ses données, il ne faut jamais payer. 

Selon Europol, 65 % des attaques ciblées en Europe auraient utilisé le harponnage

Deuxième mardi du mois oblige, Microsoft a publié hier soir ses correctifs de sécurité pour le mois de novembre.

Comme toujours, toutes les éditions supportées de Windows (7 SP1, 8.1, 10, Server 2008 R2 et 2012 R2) peuvent récupérer dans Windows Update le dernier paquet disponible. Il est cumulatif et contiendra les précédentes mises à jour éventuellement ratées (comme en cas de machine déconnectée).

On retrouve des correctifs pour Internet Explorer, Edge, le noyau du système, et les composants habituels comme Jet Database Engine, la virtualisation, le réseau, Graphics, la cryptographie et ainsi de suite. Une liste que l’on retrouve presque tous les mois. 

Mais plus important, ces correctifs s’occupent également de plusieurs failles Intel. Comme pour Ubuntu, la brèche dans TSX (Transactional Synchronization Extensions) est ainsi colmatée (CVE-2019-11135). La solution s’accompagne de réglages de la base de registre actifs par défaut sur les clients, mais pas sur les serveurs. Les administrateurs sont donc invités à se pencher sur la question.

On trouve aussi un correctif pour la vulnérabilité Machine Check Error, estampillée CVE-2018-12207.

Notez également que ce Patch Tuesday marque l’arrivée de la November 2019 Update, mais uniquement pour ceux qui iront volontairement la chercher. Nous reviendrons dans la journée sur ce processus.

Patch Tuesday : correctifs pour failles Intel et début de la November 2019 Update

Aucune entrée pour les catégories selectionnées.