du 11 décembre 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

iOS 13.3, macOS 10.15.2, tvOS 13.3 et watchOS 6.1.1 sont disponibles

Nouvelle fournée de mises à jour pour les plateformes d’Apple, avec essentiellement des correctifs. Dans le système mobile toutefois, on trouve plusieurs améliorations, dont certaines significatives.

La plus importante est la prise en charge par Safari des clés d’authentification 2FA via NFC, USB et Lightning, permettant aux utilisateurs de se servir de leurs clés Yubikey et autres pour se connecter aux sites web. Un ajout attendu donc.

Parmi les autres améliorations, on trouve la possibilité de masquer les autocollants Memoji dans la section « Plus utilisés » à gauche du clavier virtuel, la limite du temps de communication dans Téléphone, FaceTime et Messages dans Temps d’écran, la possibilité pour les parents de limiter les contacts autorisés sur les appareils des enfants ainsi qu’une meilleure détection des SMS indésirables.

iOS 13.3 corrige également plusieurs problèmes affectant la récupération des nouveaux messages dans Mail (encore), la suppression des messages pour les comptes Gmail, l’affichage de caractères incorrects et la duplication des messages pour les comptes Exchange, le placement du curseur après appui long sur la barre d’espace, la sauvegarde des captures d'écran dans Photos lorsque celles-ci ont été recadrées ou annotées ou encore une vitesse anormalement lente de recharge avec les chargeurs sans fil.

macOS 10.15.2 ajoute de son côté quelques nouveautés, comme le rétablissement de la présentation par colonnes du navigateur pour gérer la bibliothèque dans Musique, le support des iPhone et iPad pour contrôler Musique et TV via Remote, ou encore des liens vers des articles connexes dans Bourse.

Des problèmes sont bien entendu corrigés, dont une réinitialisation intempestive de l’égaliseur dans Musique, certains fichiers AVI et MP4 qui apparaissaient comme non supportés dans Photos, une fenêtre de réglages qui apparaît parfois vide dans Mail, un affichage dans le désordre des rappels ainsi qu’une vitesse de frappe parfois anormalement lente dans Notes.

Comme toujours avec les mises à jour Apple, chacune se récupère depuis les Réglages de l’appareil utilisé. Elles finiront par être automatiquement proposées dans les jours à venir.

Christophe-André Frassa, sénateur LR, rapporteur de la « PPL » Avia, a déposé un amendement pour que le CSA « encourage » les opérateurs de plateforme à l’interopérabilité.

Adopté, ils seraient incités « à mettre en oeuvre des standards techniques communs d’interopérabilité entre services de communication au public en ligne, conformes à l’état de l’art, documentés et stables, afin de favoriser le libre choix des utilisateurs entre différentes plateformes. »

Le parlementaire, qui s’appuie sur une recommandation de la commission d’enquête du Sénat sur la souveraineté numérique, estime que « l’interopérabilité permettrait aux victimes de haine de se “réfugier” sur d’autres plateformes avec des politiques de modération différentes, tout en pouvant continuer à échanger avec les contacts qu’elles avaient noués jusqu’ici ».

La députée Laetitia Avia (LREM) s’était opposée en séance à un tel projet. « Cela revient à dire à une femme que, si elle est victime de sexisme en passant dans tel quartier, elle devrait passer par une autre rue. (…) On ne dit pas à une victime de changer de lieu : c’est le lieu qui doit changer ».

L’interopérabilité s’invite à nouveau dans la proposition de loi contre la Cyberhaine

Six chercheurs des universités de Birmingham (Royaume-Uni), de Graz (Autriche) et de Louvain (Belgique) ont publié un long papier sur cette faille –  CVE-2019-11157 – qu’ils présentent sous le petit nom de Plundervolt. Il s’agit d’un mélange entre « plunder » et « undervolt » pour piller/voler et sous-volter un processeur.

La technique consiste en effet à baisser progressivement la tension du processeur pour arriver à une erreur. Les conséquences peuvent être graves puisqu’il est question, selon Intel, d’une possible escalade des privilèges et/ou de la divulgation d'informations provenant de l’enclave sécurisée SGX.

Intel confirme que les processeurs Core de 6e à la 10e génération sont concernés, ainsi que les Xeon E3 v5, v6, E-2100 et E-2200. Un correctif désactivant la possibilité de sous-volter le processeur a été proposé aux fabricants de cartes mères, qui doivent encore le proposer aux clients afin qu’ils puissent l’installer. 

Une série de vidéos a été mise en ligne sur le site officiel de cette faille, accompagné d’une foire aux questions. Une preuve de concept est disponible dans ce dépôt GitHub.

Les chercheurs précisent enfin qu’Intel a été informé de manière responsable le 7 juin dernier. Le fondeur a par la suite précisé qu’un autre groupe de chercheurs était arrivé à un résultat similaire.

Plundervolt : nouvelle faille dans des CPU Intel, avec escalade des privilèges et/ou fuite de données
Vidéosurveillance excessive des salariés : mise en demeure de la CNIL

Dernier avertissement avant sanction. La CNIL a rendu publique hier une mise en demeure adressée à la société Boutique.Aero, basée en Haute-Garonne, pour surveillance excessive de ses sept salariés, « à des fins de localisation ».

C’est la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi (DIRECCTE) qui a tiré la sonnette d’alarme, fin 2018, en avertissant la CNIL que des caméras scrutaient les postes de travail de certains salariés en permanence.

Suite à un contrôle sur place, organisé en mars dernier, la gardienne des données personnelles a effectivement constaté que quatorze caméras étaient installées, dont deux « filmaient en continu un poste de travail correspondant à la caisse du magasin et à un emplacement pour la préparation de commandes, non ouvert au public ».

Le gérant de la société avait accès en temps réel aux images, « par le biais de la connexion au logiciel de gestion, y compris depuis l’extérieur du réseau informatique interne de la société ». Le tout à partir d’un simple protocole http.

« Sauf circonstances particulières, les systèmes de vidéosurveillance qui placent les salariés sous surveillance constante sont excessifs, et portent atteinte à leurs libertés individuelles » rappelle la CNIL.

Boutique.Aero s’est vu accorder un délai de deux mois pour « redimensionner son dispositif de vidéosurveillance » et procéder à diverses mises en conformité (par exemple en matière d’information des salariés). Faute de quoi, la CNIL ouvrira une procédure de sanction.

Initialement prévu pour hier, le décollage a finalement été reculé d’une journée « en raison des conditions météo » non favorables. La nouvelle fenêtre de tir s’ouvrira à 16h, sauf nouveau report.

Comme son nom l’indique, NS-12 sera la 12e mission de New Shepard, mais pas la 12e avec la même fusée. Elle sera l'occasion d’emmener sa 100e charge utile commerciale dans l’espace.

Le précédent lancement datait de mai de cette année.

Blue Origin : suivez en direct le 12e lancement de New Shepard

Comme chaque fin d’année, les rétrospectives se multiplient. C’est aujourd’hui au tour de Twitter de se plier à cet exercice, avec une nouveauté cette année : une liste des messages devenus « certains des moments les plus mémorables de l’année ».

Dans le désordre, on retrouve la photo d’un œuf retweeté près d’un million de fois, une horde de jeunes poursuivie par un poussin, un portefeuille plein de billets, un drôle de message de Lady Gaga, etc.

Le réseau social propose aussi une liste plus traditionnelle des tops de 2019. Game of Thrones, Stranger Things et les Simpsons occupent les premières places sur les séries TV, tandis qu'Avengers Endgame, Toy Story 4 et Joker sont en tête sur les films. D’autres classements sont disponibles sur la musique, la politique, le sport, etc.

Twitter dévoile sa liste des 19 tweets mémorables de 2019
Le Patch Tuesday de décembre est en ligne, les utilisateurs de Windows 7 pressés de passer à 10

Deuxième mardi du mois oblige, Microsoft a mis en ligne hier soir ses nouveaux correctifs pour les Windows en cours de support.

Pour Windows 10, plusieurs branches reçoivent comme d’habitude des correctifs. Les composants concernés sont semblables aux mois précédents : virtualisation, noyau, Scripting Engine, Server et autres. On note également des améliorations sur la sécurité de certaines « opérations basiques » et lors de l’utilisation de périphériques, comme les manettes de jeu et webcams.

Les correctifs sont peu ou prou les mêmes pour Windows 7 SP1 et Windows 8.1, ainsi que les variantes Server qui les accompagnent :

Notez dans le cas de Windows 7 que le support est maintenant presque terminé. Il s’achèvera définitivement le mois prochain. Microsoft prévient depuis plusieurs années, et il faut espérer que la situation de Windows XP ne se répètera pas.

Les entreprises peuvent toujours payer les Extended Security Updates, mais le grand public est nettement plus en danger. Les utilisateurs des éditions Starter, Familiale Basique, Familiale Premium, Professionnelle et Ultimate vont ainsi commencer à voir un panneau plein écran les avertissant qu’il est temps de passer à Windows 10.

Le panneau peut bien sûr être fermé, mais Microsoft veut s’assurer que les utilisateurs comprennent les risques qu’ils encourent à continuer sur un système sans support. Après le Patch Tuesday de janvier, les failles ne seront plus colmatées, créant un danger qui croitra rapidement en quelques mois.

Bien qu’il soit possible de migrer de Windows 7 vers 10, Microsoft encourage l’achat d’un nouvel ordinateur, car les technologies utilisées à l’époque de l’ancien système ont maintenant une décennie.

C’est une réponse du berger à la bergère. Alors que le gouvernement de Donald Trump a placé Huawei sur liste noire, Pékin répond en interdisant les ordinateurs et logiciels non chinois dans ses administrations, c’est du moins ce qu’annonce le Financial Times en s’appuyant sur une directive officielle qui n’a pas été rendue publique.

Selon des experts cités par nos confrères, entre 20 et 30 millions de machines devront ainsi être remplacées. La mise en place est progressive : 30 % en 2020, 80 % en 2021 et 100 % en 2022.

La Chine ferme ses frontières aux matériels et logiciels étrangers pour ses administrations

Le passage à cette mouture 10 ne devrait pas révolutionner l’expérience utilisateur puisque le géant du Net ne met en avant « que » des améliorations sur la sécurité. 

Mais ce n’est pas tout : « Pour nous assurer que les développeurs ont la possibilité de créer et tester leurs applications Android TV sur Android 10 avant le déploiement, nous proposons aux développeurs une nouvelle box multimédia ADT-3 ».

Elle fait suite à l’ADT-2 qui fonctionnait sous Android 9. Cette nouvelle version dispose d’un SoC avec quatre cœurs, 2 Go de DDR3 et une sortie vidéo HDMI 2.1 (4K à 60 Hz). Ne comptez par contre pas l’acheter dans le commerce : « ADT-3 sera mis à la disposition des développeurs dans les prochains mois, via un partenaire OEM ».

Android 10 arrive sur Android TV, Google proposera sa propre box ADT-3 aux développeurs
Apple sera présent au CES de Las Vegas, pour parler respect de la vie privée

Cela fait des années que la société boude le salon qui agite la tech mondiale début janvier, préférant se concentrer sur ses propres évènements.

L'année dernière, Apple avait néanmoins fait parler d'elle avec une publicité géante vantant son approche en matière de vie privée. Une manière de s'opposer en douceur à Google et ses pratiques.

La société était également présente à travers des annonces diffuses chez ses partenaires, pour le support d'AirPlay 2 et iTunes.

Et en 2020 ? On ne sait pas si l'opération sera répétée, mais une présence a déjà été notée : celle de Jane Horvath en charge de tout ce qui touche à la vie privée chez Apple... à l'occasion d'une table ronde.

En effet, il ne faut pas s'attendre à voir des iPhone et iPad sur un stand, mais plutôt une défense de la position maison sur un sujet aussi large que « Que veulent les consommateurs ? ».

Les différents interlocuteurs pourront y échanger sur l'importance croissante pour les clients du respect de la vie privée, faisant l'objet de toutes les attentions de la part des grandes sociétés.

Aux côtés d'Apple, on trouvera des représentants de Facebook, Procter & Gamble, Wing Venture Capital ou encore la FTC… mais pas Google.

Cette fonctionnalité était déjà disponible via une extension Password Checkup (ensuite intégrée au compte Google), avant d’arriver dans la version de développement Canary du navigateur. Elle est désormais disponible pour tous les utilisateurs du navigateur, avec un déploiement progressif.

Si Google remarque que vous utilisez un identifiant et un mot de passe ayant fuité, il vous affichera un message d’alerte et vous proposera d’en changer. Comme prévu, cette fonctionnalité est aussi disponible sur Chrome pour Android, qui vient d’être mis à jour.

D’autres changements ont été apportés pour renforcer la sécurité, notamment sur la protection anti-phishing. Auparavant, le navigateur utilisait une liste mise à jour toutes les 30 minutes, une fenêtre suffisante pour que certains sites malveillants en profitent. Désormais, Chrome sur les ordinateurs dispose d’une liste mise à jour en temps réel.

On trouve également une nouvelle présentation pour l‘image de profil du compte utilisé, avec le nom à côté de la photo. Tous les détails sont disponibles par ici.

Chrome : sécurité renforcée et vérificateur intégré de mots de passe ayant fuité

La société est en ce moment au cœur d’une tempête. La première vague remonte au début du mois lorsque plusieurs extensions ont été supprimées par Mozilla et Opera, sur fond de manque de respect de la vie privée. L’éditeur indiquait travailler à une solution afin de corriger le tir, sans plus de détail.

Cette semaine, Forbes revient à la charge avec des déclarations d’Ondrej Vlcek, nouveau directeur général d’Avast, pour qui il n’y aurait pas de « scandale ». Le dirigeant affirme que l’activité des utilisateurs est d’abord anonymisée avant d’être récupérée et analysée par Jumpshot, une société détenue à 65 % par Avast.

Les informations agrégées sont ensuite revendues. Selon Vleck, elles permettent d’avoir « un aperçu de la manière dont des cohortes d'utilisateurs naviguent sur Internet », sans risque pour la vie privée promet-il. Un exercice difficile puisque la société vend ou propose des solutions censées justement protéger la vie privée des utilisateurs... un double discours qui a du mal a passer pour certains.

« Les clients [de ces données] pourraient par exemple être des investisseurs intéressés par la manière dont des sociétés en ligne s'en sortent avec leurs nouvelles campagnes ». Vlcek n’y voit pas un problème pour le respect de la vie privée et compare ces informations à celles sur des données de santé sur la propagation des maladies et les personnes susceptibles de les contracter.

Avast tente de rassurer tout en campant sur ses positions : « Nous ne permettons à aucun annonceur ni aucun tiers d'obtenir via Avast un accès ou des données qui permettraient de cibler une personne en particulier ». 

Le dirigeant ajoute enfin que cette vente de données rapporte 5 % du chiffre d'affaires global de la société.

Avast explique pourquoi et comment il vend des habitudes de navigation de ses utilisateurs
Microsoft officialise sa préversion de Teams pour Linux

L’éditeur avait confirmé qu’il proposerait son application de messagerie d’entreprise sur les distributions Linux, et on s’attendait effectivement à une première préversion avant la fin de l’année. Elle est maintenant disponible.

Toutes les fonctions centrales sont présentes. Microsoft annonce avoir travaillé ces derniers mois avec des clients sous Linux pour mieux cerner leurs besoins.

On retrouve donc la messagerie elle-même, le partage de documents, l’accès au calendrier avec toutes les fonctions de gestion des évènements, la possibilité de lancer ou rejoindre des appels ainsi que l’intégration des versions web de Word, Excel et PowerPoint, autorisant l’ouverture et la modification des documents.

Teams nécessite un abonnement Microsoft 365 pour fonctionner, et l’éditeur en parle comme la toute première application de la formule à fonctionner sur Linux. La Linux Foundation elle-même se réjouit de cette disponibilité et y voit le signe d’une reconnaissance plus large de la plateforme.

La préversion se récupère pour l’instant via un paquet DEB ou RPM (64 bits uniquement). On peut espérer à terme que Microsoft fournira des paquets plus « modernes », notamment Snap et Flatpak, comme l’entreprise le fait déjà avec Visual Studio Code par exemple.  

Début octobre, le procureur général des États-Unis William Barr publiait une lettre ouverte exprimant sa volonté de ne pas laisser le chiffrement de bout en bout se répandre dans Facebook. Il mettait en avant le ralentissement des missions des forces de l’ordre. Il demandait par exemple la mise en place d’une porte dérobée. 

Facebook vient de lui répondre, de nouveau via une lettre ouverte avec des arguments connus depuis longtemps, mais toujours aussi valables : « Les experts en cybersécurité ont prouvé à plusieurs reprises que lorsque vous affaiblissez une partie d'un système de chiffrement, vous l’affaiblissez pour tout le monde, partout ».

« La "porte dérobée" que vous demandez [...] serait un cadeau pour les criminels, les pirates et les régimes répressifs, leur permettant de pénétrer dans nos systèmes et de rendre chaque personne sur nos plateformes plus vulnérable. Il est tout simplement impossible de créer une telle porte dérobée sans s’attendre à ce que d'autres essaient de l'ouvrir ».

« Cela ne signifie pas que nous ne pouvons pas aider les forces de l'ordre. Nous pouvons et nous le faisons, tant que cela est conforme à la loi et ne porte pas atteinte à la sécurité de nos utilisateurs », ajoute le réseau social, qui détaille les procédures mises en place dans sa lettre.

Le réseau social met par exemple en avant la force de son groupe, en profitant de l’occasion pour militer contre un démantèlement des géants du Net voulu par certains : « si nous savons que quelqu'un fait quelque chose de mal sur Facebook ou Instagram, nous pouvons souvent agir sur son compte Messenger et WhatsApp, et vice versa ».

Facebook ne veut pas d’une porte dérobée dans ses systèmes de chiffrement

Devant la Cour européenne des droits de l’homme, une Turque conteste son licenciement, alors qu’elle était employée au ministre de l’Éducation nationale. Selma Mélike avait eu le tort de cliquer sur le bouton « J’aime » sous des textes peu glorieux pour le parti au pouvoir. 

Le communiqué de la Cour dévoile plusieurs de ces messages dont : 

  • « À l’époque du CHP (Parti républicain du peuple, principal parti politique d’opposition) les enfants boiraient de la bière, à l’époque d’AKP (Parti de la justice et du développement, parti politique au pouvoir) les professeurs, les imams violent leurs élèves »
  • « Les journalistes sont placés en détention, le peuple kurde est massacré, ceux qui veulent marcher pour la justice sont arrêtés, mais ça ne suffit pas au fascisme, les assassins attaquent dans les rues comme s’ils s’étaient déchainés »

La justice turque a estimé que ces « Likes » n’étaient pas couverts par le droit à la liberté d’expression alors que « ces publications étaient de nature à perturber l’ordre et la paix dans le lieu de travail », selon le résumé de la Cour.

L’intéressée, qui conteste cette analyse, a attaqué la Turquie devant la CEDH. Il faudra attendre de longs mois, si ce n’est plus, avant d’espérer une décision. 

Virée pour un « like », une ex-fonctionnaire turque saisit la Cour européenne des droits de l’Homme
Chiffrement : Apple et Facebook sous le feu du Sénat américain

Il est rare qu’Apple et Facebook soient mis dans le même panier dans le domaine de la sécurité, mais le Sénat ne fait pas de différence quand il s’agit de chiffrement de bout en bout.

Chez Apple, il est appliqué à la plupart des services, notamment Messages. Chez Facebook, on ne le trouve que dans WhatsApp, qui utilise pour rappel le protocole Signal. Mais le réseau social compte rapprocher ses messageries et activer le chiffrement de bout en bout sur l’ensemble.

Depuis cette année, plusieurs gouvernements se sont érigés contre ce qu’ils considèrent comme de sérieux bâtons dans les roues des enquêteurs. Facebook a répondu à plusieurs reprises que la connaissance des données n’était pas nécessaire pour identifier les habitudes criminelles, particulièrement dans les cas de la pédopornographie et du terrorisme.

En outre, Facebook avait insisté : « La porte dérobée que vous demandez pour les forces de l’ordre est un cadeau aux criminels, pirates et régimes répressifs. Ce n’est pas quelque chose que nous sommes prêts à faire ».

La pression s’accentue cependant depuis le Sénat américain met le nez dans le sujet, affichant d’ailleurs un front unis entre démocrates et républicains (le Sénat est actuellement sous majorité républicaine).

Selon Reuters, le sénateur Lindsey Graham s’est montré particulièrement virulent : « Vous allez trouver un moyen de le faire ou nous allons le faire pour vous. Nous ne vivrons pas dans un monde où quelques agresseurs d’enfants peuvent trouver refuge pour leurs pratiques. Point. Fin de la discussion ».

La situation et la teneur des propos rappellent largement l’affrontement entre Apple et le FBI en 2016 après la tuerie de San Bernardino. Un iPhone 5C avait été trouvé sur les lieux du massacre, pour lequel Apple avait aidé le FBI. Mais cette aide s’était heurtée au chiffrement, que la firme ne voulait pas percer.

La sécurité est devenue un argument de vente et l’affrontement avait vu émerger un combat se résumant trompeusement à la bonne marche des enquêtes contre les intérêts commerciaux des entreprises.

Il est clair aujourd’hui que si Apple (ou n’importe quelle entreprise) était forcée d’introduire une backdoor dans ses plateformes, l’impact auprès du public serait très mauvais. C’était d’ailleurs sa ligne de défense principale : les forces de l’ordre n’ont pas le droit d’exiger des entreprises des actions qui entraineraient une chute du chiffre d’affaires.

Hier était la dernière journée de support pour Windows 10 Mobile, dans sa mouture majeure la plus récente, la 1709. Avec le support technique s’en va la plateforme.

Il ne restait que très peu de téléphones concernés, car beaucoup étaient restés bloqués à la mouture 1703, comme les Lumia 640 et 640 XL. Les modèles sous Windows Phone 8.1 ayant transité vers 10 Mobile ne pouvaient, quant à eux, dépasser la version 1607.

Si vous avez encore un téléphone Windows 10 mobile, vous êtes désormais encouragés à changer de modèle dès que vous le pourrez. L’arrêt du support technique signifie qu’aucune mise à jour de sécurité ne sera plus déployée, augmentant rapidement le danger avec le temps.

Windows 10 Mobile n'est officiellement plus supporté

Aucune entrée pour les catégories selectionnées.