du 09 décembre 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

Linux, Unix : importante faille dans les VPN, avec injection de données et vol de session

Elle porte la référence CVE-2019-14899 et pourrait causer de gros dégâts. Ubuntu 19.10, Fedora, Debian 10.2, Manjaro 18.1.1, Arch 2019.05, FreeBSD, OpenBSD… la liste des distributions touchées est longue.

De manière générale, elle concerne tous les systèmes utilisant la configuration par défaut de systemd sorti après le 28 novembre 2018. En cause, le changement d’un paramètre rp_filter de « strict » à « loose »… avec des conséquences en cascades.

« Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d'exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l'adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s'il y a ou non une connexion active à un site Web donné », explique le portail de cybersécurité des systèmes de santé qui reprend la publication sur Seclists de William J. Tolley, Beau Kujath et Jedidiah R. Crandall.

Le portail ajoute : « De plus, l’attaquant pourrait déterminer les numéros des séquences et d'acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d'injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d'autres technologies VPN ».

Les chercheurs donnent plusieurs pistes permettant de limiter les dégâts, notamment activer le reverse path filtering et mettre en place le filtrage Bogon.

Voici le pitch : « Après la Première guerre mondiale, direction les années 80 ! Cette fois, Wonder Woman doit affronter deux nouveaux ennemis, particulièrement redoutables : Max Lord et Cheetah ».

La vidéo est évidemment bourrée d’action et rythmée par une musique emblématique de l'époque. Chris Pine est de retour dans le rôle de de Steve Trevor, Kristen Wiig dans celui de Cheetah, Pedro Pascal dans celui de Max Lord, Robin Wright incarne Antiope et enfin Connie Nielsen Hippolyta.. 

Le producteur Charles Roven s‘était exprimé sur ce nouvel opus auprès de Vulture : « La réalisatrice Patty Jenkins était déterminée à faire de ce film une autre version de Wonder Woman, mais pas une suite. Et elle tient vraiment la route. L'époque est complètement différente et vous aurez une idée de ce que Diana/Wonder Woman a fait dans les années qui ont suivi le premier film. Mais c'est une histoire complètement différente que nous racontons ».

La sortie dans les salles de cinéma est attendue pour le 3 juin 2020. 

Wonder Woman 1984 : Gal Gadot revient dans les années 80, de nouveau pour sauver le monde

Après des années d’attente et de mise en ligne progressive, les développeurs expliquent que « l'ensemble de Black Mesa, du début à la fin, est disponible » en bêta publique sur Steam.

La boucle est bouclée avec l’ajout d’Interloper C, C1, D, Nihilath et Endgame. Les premiers niveaux étaient disponibles en accès anticipés depuis 2015 sur Steam. Il s‘agit pour rappel d’un remake de Half-Life exploitant le moteur Source Engine. 

Half-Life : la bêta publique de Black Mesa est (enfin) finalisée
Le Conseil d’État explique le droit à l’oubli dans les moteurs de recherche

Épilogue dans les multiples dossiers du droit à l’oubli devant le Conseil d’État. Après l’affaire Costeja, qui a reconnu le droit à l’effacement dans les moteurs de recherche, les épineuses difficultés du sujet n’ont pas tardé à arriver devant les juridictions françaises.

Deux dossiers, regroupant plusieurs affaires, ont été soumis à la juridiction administrative, laquelle a posé une série de questions préjudicielles à la Cour de justice de l’Union européenne concernant le sort des données sensibles et la portée géographique du droit à l’oubli :

Les arrêts de la CJUE ont été rendus le 24 septembre 2019, sans évacuer l’entrée en application du RGPD intervenue depuis lors. Avec ces réponses sous le bras, le Conseil d’État a rendu 13 décisions vendredi dernier, accompagnées – fait assez rare pour être souligné –  d’une notice d’explications.

« Sur ces 13 recours, le Conseil d’État a été amené à statuer sur 18 cas de figure différents : il a constaté 8 non-lieux à statuer, rejeté 5 demandes et prononcé 5 annulations ». Les non-lieux s’expliquent : soit Google avait finalement rectifié les résultats litigieux, soit le contenu référencé avait été modifié.

On retrouve la philosophie dégagée à la CJUE : les données sensibles (opinions politiques, santé, vie sexuelle) et les données pénales bénéficient d’une protection renforcée.

« Il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public ».

Pour les autres données, la juridiction se contente de vérifier l’existence d’un intérêt « prépondérant du public à accéder à l’information en cause » pour refuser l’effacement.

Ce smartphone d‘entrée de gamme exploite un SoC MediaTek Helio A22 (quatre cœurs) avec 2 Go de mémoire et 32 Go de stockage. Il fonctionne avec Android One (version 9 Pie) et est paré pour Android 10, affirme le constructeur.

L’écran de 6.2" (HD+) dispose d’une encoche pour la caméra de 5 Mpixels, complétée par deux autres de 13 et 2 Mpixels à l’arrière (pour la profondeur de champ dans le second cas). La batterie affiche une capacité de 4 000 mAh.

On regrette finalement l'absence de NFC, de lecteur d’empreintes digitales et d’USB Type-C, mais il s’agit généralement de fonctionnalités à oublier dans cette gamme de prix.

Le Nokia 2.3 sera disponible mi-décembre, pour 109 euros.

Nokia 2.3 : Android One et un écran de 6,2" avec encoche pour 109 euros

L’annonce a été faite par le département de la Justice américaine vendredi dernier. Ericsson paiera à ce dernier 540 millions de dollars et 520 millions de plus au gendarme de la bourse (SEC).

« Le groupe a reconnu avoir enfreint le Foreign Corrupt Practices Act (FCPA), une loi anti-corruption américaine, de 2000 jusqu’à 2016, en mettant en place un système de pots-de-vin dans des pays comme la Chine, le Vietnam et Djibouti », explique Reuters.

Borje Ekholm, directeur général d’Ericsson, s’est exprimé sur le sujet : « L’accord à l’amiable conclu avec la SEC et le DoJ montre que nous n’avons pas toujours été à la hauteur de nos exigences ».

Nos confrères rappellent que l’équipementier avait annoncé une provision de 12 milliards de couronnes suédoises au troisième trimestre justement en raison d’enquêtes anti-corruption.

Enquêtes anti-corruption : Ericsson reconnaît ses torts et va payer un milliard de dollars
Contre la surveillance génomique

Il suffit d'avoir accès aux profils génétiques de 2 à 5 % d'un groupe de population pour espérer pouvoir déployer une forme de surveillance génétique de ce groupe, rappelle Yves Moreau, professeur de bio-informatique et spécialiste de la génétique à l'université catholique de Louvain, dans Nature.

Or, les bases de données génétiques privées américaines contiennent d'ores et déjà les identifiants de 5 % de la population américaine. 

Et le Fichier national automatisé des empreintes génétiques (FNAEG), mis en œuvre par le ministère de l'Intérieur français, comptait en 2018 près de 3,5 millions de profils génétiques de personnes dûment identifiées, soit plus de 5 % de la population française.

C'est d'ailleurs grâce à une recherche en parentèle que la gendarmerie française avait réussi à identifier, en 2012, le père du meurtrier d'Élodie Kulick, une première en France. Aux USA, la police effectue elle aussi de plus en plus de recherches en parentèle dans les bases de données privées afin de résoudre des « cold cases » et identifier les parents de meurtriers.

Alors que le New York Times vient de révéler que la police chinoise utilisait des technologies occidentales pour recréer les images des visages des Ouighours, à partir de leurs ADN collectés en masse, Yves Moreau s'élève contre les risques associés à cette surveillance génomique.

Il déplore, à l'instar du NYT, la complaisance des éditeurs scientifiques occidentaux, prompts à valider et publier les résultats des chercheurs policiers chinois. Mais également la complicité des industriels occidentaux, principaux fournisseurs de technologies génétiques et biométriques.

Il fustige également les contrôles à l'exportation qui, soit ne prêtent pas l'attention voulue à ces technologies sensibles, soit présentent des lacunes qui les rendent souvent inutiles. 

Les lois américaines interdisent par exemple l'exportation de la technologie de reconnaissance d'empreintes digitales vers certaines destinations ou certains utilisateurs jugés problématiques, comme la police chinoise. 

Mais elles ne limitent pas l'exportation de technologies de profilage génétique et de reconnaissance faciale plus invasives... En outre, l'Union européenne ne réglemente pas l'exportation de la biométrie des empreintes digitales, alors que les principaux fournisseurs mondiaux sont européens.

« Nous devons tous nous méfier d'un monde dans lequel nos données comportementales, financières et biométriques, y compris nos profils génétiques, ou même des séquences entières du génome, sont à la disposition des entreprises – et donc potentiellement des forces de l'ordre et des partis politiques », écrit Moreau. 

« Sans les changements décrits plus avant, l'utilisation de l'ADN pour la surveillance au niveau des États pourrait devenir la norme dans de nombreux pays ».

Proposé gratuitement jusqu'à présent, ce service (utilisant les données mobiles) sera payant à partir du 1er janvier 2020. Le pack standard connectivity avec la navigation seulement restera gratuit.

Il faudra par contre débourser 9,99 dollars par mois pour profiter de l’état du trafic en direct, du streaming vidéo, de la vue satellite, du karaoké, de la navigation sur Internet, etc. Les mises à jour se font en Wi-Fi, mais certains correctifs importants pourront passer via les données mobiles. Tous les détails sont expliqués sur cette page.

Les voitures Model 3, X et S commandées à partir du 1er juillet peuvent y souscrire, mais le premium connectivity reste gratuit pour celles dont la commande est plus ancienne. 

Tesla va facturer l’option premium connectivity à 9,99 dollars par mois

Oslo veut introduire dans sa législation un « devoir d’avertissement sur les publicités avec photos retouchées ».  L’actuelle loi sur le marketing va être modifiée en ce sens. « L’annonceur doit veiller à ce que la publicité ne montre pas un idéal de beauté irréaliste ou malsain », explique le pays dans la notification adressée à la Commission européenne. 

Cette obligation existera dès lors « que le corps de la personne diffère de la réalité ». Le libellé « Cette photo a été retouchée » devra être affiché, d’une manière clairement visible, faisant contraste avec le reste de la photo.

La date de mise en œuvre n’est pas encore donnée. Pas avant mars 2020, au regard des délais imposés par la procédure devant l’instance européenne. 

En France, la loi sur la santé du 26 janvier 2016 oblige à mentionner qu'une représentation de mannequin a été « photoshopée ». Un décret a été publié en mai 2017. La mesure est obligatoire depuis le 1er janvier 2017 (voir quelques exemples signalés par Libération).

Marketing : la Norvège veut imposer la mention « photo retouchée »

La plateforme de streaming vient de mettre en ligne un teaser pour la quatrième saison. On y voit les personnages passer les uns après les autres avec des masques de Salvador Dalí.

Le message est clair : « Que le chaos commence ».

Casa de papel : la saison 4 arrivera le 3 avril 2020, « que le chaos commence »
Lancements réussis pour SpaceX et Rocket Lab, qui a franchi « une étape clé pour la récupération »

Ce week-end a été chargé en activité spatiale. Un lanceur Falcon 9 de SpaceX a décollé avec une capsule Dragon dont c’était le troisième vol. Elle est depuis arrivée à destination, sur la Station spatiale internationale. De son côté, le premier étage est venu se reposer sur une barge en plein océan.

Rocket Lab aussi a procédé à un lancement ce week-end, le 10e pour la fusée Electron (17 mètres de hauteur). Sept charges utiles étaient à bord et ont été déployées sans encombre, selon le patron de la société.

Peter Beck ajoute que la première étape du projet visant à récupérer et réutiliser le premier étage s’était mieux déroulée que prévu. Le test portait sur le retour guidé dans l’atmosphère. Le patron de la société affirme que la « télémétrie était bonne jusqu'au niveau de la mer avec un premier étage sain. Une étape clé pour la récupération ». 

Contrairement à SpaceX, Rocket Lab ne compte pas poser son premier étage sur la terre ferme (ou sur une plateforme en pleine mer), mais elle veut déployer des parachutes et venir l’attraper en vol avec un hélicoptère. Une idée également dans les tuyaux chez d’autres fabricants, notamment ULA

Le vice-président exécutif de Sony Interactive Entertainment s’est exprimé sur le sujet chez GameInformer.

« Dans le passé, le cycle d'une nouvelle plateforme était de 7 à 10 ans, mais compte tenu du développement et de l'évolution très rapides de la technologie, il s'agit en réalité d'un cycle de 6 à 7 ans ». Il ajoute que c’est la durée visée pour la prochaine PlayStation 5.

« Mais nous devrions pouvoir changer le matériel et essayer d'incorporer des progrès technologiques », pendant la durée de vie de la console. Il cite l’exemple de la PlayStation 4 Pro lancée au milieu du cycle de la PlayStation 4. 

Un bon moyen pour le fabricant de doper les ventes de ses consoles, malgré une durée de vie bien longue.

PlayStation 5 : Masayasu Ito (VP SIE) parle du cycle de vie et d’une version « Pro »

En l’espace de deux ans, le langage Kotlin est devenue la « superstar » du développement des applications pour Android.

En 2017, il devenait le deuxième langage officiellement pris en charge par Google pour sa plateforme mobile. En mai dernier, il est devenu la voie royale et est officiellement recommandé aux développeurs.

Aujourd’hui, presque 60 % des applications du Top 1000 embarquent du code écrit en Kotlin. Mais ce n’est pas parce que Kotlin est poussé sur le devant de la scène que tout est parfait.

Google annonce donc une série d’améliorations à venir pour 2020, notamment pour rendre un nombre croissant d’API accessibles depuis Kotlin, des extensions Kotlin pour davantage de bibliothèques Google ou encore une adaptation spécifique de Jetpack Compose comme kit UI.

Parallèlement, Google mettra à disposition un plus grand nombre de ressources dédiées aux interactions Kotlin-Android. La firme travaillera aussi directement avec JetBrains (éditeur de Kotlin) pour des améliorations sur le compilateur.

Android : Google renouvelle son engagement envers Kotlin
Mozilla DeepSpeech 0.6 : de vastes gains de performances

DeepSpeech est un ensemble de moteurs de type speech-to-text et text-to-speech, permettant donc la reconnaissance ou la synthèse vocale. La nouvelle mouture, sortie en fin de semaine dernière, apporte des gains très significatifs de performances.

L’un des plus gros changements est le passage à TensorFlow Lite, pour rappel une version réduite de TensorFlow dédiée aux appareils embarqués et mobiles. Cette transition et les optimisations apportées offrent des gains majeurs :

  • Le paquet DeepSpeech est passe de 98 à 3,7 Mo
  • Le modèle de traitement de l’anglais passe de 188 à 47 Mo
  • La consommation mémoire est divisée par 22
  • Le temps de démarrage est divisé par 500

Les performances du modèle sont telles que Mozilla n’hésite plus à dire qu’il fonctionne « plus vite qu’en temps réel », en ne se servant que d’un seul cœur sur un Raspberry Pi 4. Le taux d’erreur en reconnaissance vocale est actuellement de 7,5 %.

Les deux principaux sous-systèmes sont maintenant capables de streaming, annulant le besoin d’introduire des algorithmes de détection des silences.  Les transcriptions sont fournies en moyenne 260 ms après la fin de l’audio, 73 % plus rapidement qu’avant l’introduction du streaming.

Le passage à TensorFlow 1.14 fournit également son lot d’améliorations, par exemple une division par 2 (au maximum) du temps d’entrainement des modèles. Ces derniers peuvent être pleinement entrainés et déployés à des taux d’échantillonnage différents (8 kHz pour les données téléphoniques par exemple), le décodeur exposant des métadonnées pour chaque caractère dans la transcription.

DeepSpeech possède en outre ses propres paquets pour Windows, via .NET, Python, JavaScript ou C. Pour le premier, le paquet est disponible depuis la galerie NuGet, directement depuis Visual Studio. DeepSpeech reste compatible avec les plateformes précédentes, Android, Linux et macOS.

Les utilisateurs d’Ubuntu 18.04 dans les Amazon Web Services doivent se préparer pour un changement important sur le noyau du système.

La version actuellement proposée pour le système est la 4.15. L’éditeur va toutefois le basculer en rolling kernel, s’appuyer sur la version 5.0 et ses améliorations, proposées dans l’actuelle branche 19.10 d’Ubuntu.

La version 5.0 est pour l’instant proposée en préversion, sous forme de noyau linux-aws-edge. Canonical en encourage le déploiement sur tout environnement n’étant pas directement utilisé en production.

L’éditeur assure que les standards de qualité seront les mêmes pour les noyaux de la branche 5.0 que ceux fournis avec Ubuntu 18.04. Si les administrateurs préfèrent rester sur la mouture 4.15, ils pourront le faire via quelques commandes dans le Terminal.

Plus d’informations dans le billet de Canonical.

Canonical bascule son noyau Linux pour AWS en « rolling kernel »

Avec le roulement actuel, un utilisateur peut repousser une mise à jour semestrielle pendant un an. Chacun étant supportée pour 18 mois, Windows détecte quand la version en cours n’a plus que six mois ou moins de support technique.

À ce moment, la dernière version semestrielle est automatiquement téléchargée et proposée à l’installation, pour que le support ne soit pas interrompue.

Maintenant que la 1909 (November 2019 Update) est disponible depuis plusieurs semaines, le tapis roulant se met en marche pour les machines encore équipées de la mouture 1809.

C’est la première phase du déploiement automatique. Votre machine ne vous signalera pas forcément le changement aujourd’hui ou demain, la transition prenant quelques semaines.

Si vous faites partie des concernés, votre Windows absorbera donc deux mises à jour majeures d’un coup. La dernière ne comportait que peu de nouveautés, mais la May 2019 Update en contenait une très grande liste.

Windows 10 : les utilisateurs de la version 1809 commencent leur migration vers la 1909

Aucune entrée pour les catégories selectionnées.