mk78

Membres +
  • Compteur de contenus

    2 116
  • Inscription

  • Dernière visite

  • Jours gagnés

    13
  • Notes sur le contenu

    51 / 0 / 0

Tout ce qui a été posté par mk78

  1. Cloudbleed : un bug faisait fuiter les données sensibles de milliers de sites web Une erreur de programmation a éparpillé à travers le web les données des transactions HTTP des clients du prestataire Internet CloudFlare. Vendredi dernier, 18 février, un petit tweet envoyé en fin d’après-midi crée la panique chez CloudFlare, un prestataire qui propose des services d’acheminement web à des milliers de sites Internet. « Quelqu’un de l’équipe sécurité de CloudFlare pourrait-il me contacter de façon urgente », a écrit Tavis Ormandy, chercheur en sécurité au sein de Google Project Zero. Venant la part d’un expert aussi reconnu, ce message a immédiatement mis les ingénieurs de CloudFlare en alerte maximale. Il faut dire que la situation était plutôt grave. Le chercheur avait mis le doigt sur une fuite de données générale au sein de l’infrastructure de CloudFlare. Quand on surfait sur le site web d’un client de ce prestataire, il pouvait arriver que l’on recevait dans la réponse tout un tas de données sensibles sans relation aucune avec la requête originale : des bouts de code HTTP, des cookies, des mots de passe, des tokens d’authentification, des données d’identification, etc. Et comme ce bug arrivait également pour les requêtes des robots d’indexation, ces données sensibles se sont également retrouvées dans les mémoires cache des moteurs de recherche, tels que Google, Bing ou Yahoo. Une prolifération bien embêtante pour un prestataire censé, justement, protéger le réseau de ses clients. Sur Google Project Zero, Tavis Ormandy a posté quelques copies d’écran pour montrer tout ce qu’on pouvait dénicher dans ces requêtes. Ci-dessous, des données sensibles provenant d’un utilisateur du site de rencontre OK Cupid. Dépassement de tampon Heureusement, l’origine du bug est vite trouvée. Il s’agissait d’une petite erreur de programmation dans un « parser » de CloudFlare, c’est-à-dire un programme capable d’analyser et modifier à la volée le code HTML qui transite dans les requêtes HTTP (par exemple pour y insérer des tags Google Analytics, réécrire des liens HTML ou adapter le code au format mobile AMP). Une mauvaise gestion de pointeurs pouvait ainsi créer un dépassement de mémoire tampon et, du coup, provoquer l’insertion arbitraire de données dans les requêtes. Comme l’infrastructure de CloudFlare est mutualisée, ces données pouvaient provenir de n’importe quelle transaction réalisée sur un autre site géré par ce prestataire. Effet mixer garanti. La bonne nouvelle, c’est que cette fuite de données n’était pas systématique et ne concernait pas les clés privées TLS/SSL. Selon CloudFlare, seule une petite fraction des requêtes (0,00003%) était impactée. Par ailleurs, les ingénieurs n’ont remarqué aucune exploitation malveillante de cette faille qui, depuis, a été corrigée. Ouf, on est sauvé. Source: CloudFlare
  2. Historique : Google a cassé l'algorithme cryptographique SHA-1 Un groupe de chercheurs a réussi à créer deux fichiers PDF qui génèrent la même empreinte cryptographique avec l’algorithme de hachage SHA-1. Une première mondiale qui a nécessité une importante puissance de calcul. Dans le monde feutré des cryptographes, tout le monde savait que ce n’était qu’une question de temps. Le moment fatidique est désormais arrivé : la fonction de hachage cryptographique SHA-1 a été définitivement cassée par un groupe de chercheurs issus des instituts Google Research et CWI Amsterdam. Le hachage cryptographique est un élément essentiel dans les systèmes de sécurité informatique. Il permet, à partir d’une quantité arbitraire de données, de créer une empreinte unique de taille fixe à partir de laquelle il est impossible de deviner les données d’origine. C’est extrêmement utile dans tout un tas d’applications comme les communications chiffrées (TLS, SSL), les signatures électroniques, les systèmes de sauvegarde, les transactions bancaires, etc. La plupart des services web, par exemple, utilisent des empreintes de mots de passe pour authentifier leurs utilisateurs. Wikipedia - Le principe du hachage cryptographique Créé en 1995 par la NSA, l’algorithme SHA-1 a longtemps été l’une des principales fonctions de hachage utilisée dans le monde. A partir de 2005, des chercheurs ont commencé à pointer des failles potentielles dans ce dispositif et à élaborer des attaques. Celles-ci restaient théoriques car elles nécessitaient une puissance de calcul inatteignable. Mais la puissance des ordinateurs ne cessant d’augmenter, le NIST - un organisme de standardisation - a officiellement recommandé de ne plus utiliser SHA-1 en 2011. Les chercheurs de Google Research et CWI Amsterdam viennent d’enfoncer le clou dans le cercueil de cet algorithme en réalisant, pour la première fois, une "collision cryptographique". Autrement dit, ils ont réussi à créer deux fichiers PDF différents qui génèrent la même empreinte, prouvant ainsi de manière concrète la vulnérabilité. Cette attaque – baptisée SHAttered - permettrait, par exemple, d’apposer la même signature électronique sur deux documents différents, ouvrant la porte à des arnaques diverses et variées. Les chercheurs publieront le code source de leur attaque dans 90 jours. A partir de là, tout le monde pourra donc créer des paires de fichiers PDF ayant la même empreinte SHA-1. Générer cette collision n’a pas été une mince affaire. Il a fallu réaliser plus de… 9 milliards de milliards d’itérations SHA-1. Ce qui correspond à une puissance de calcul équivalente à un CPU qui tourne pendant 6.500 ans et un GPU pendant 110 ans, car il y a deux phases de calcul différentes dans cette attaque. Les détails mathématiques relatifs à ce calcul sont précisés dans un papier scientifique. Ce travail a été réalisé concrètement sur un réseau de serveurs Google. La première phase s’est appuyée sur des puces Xeon E5-2650v3 cadencées à 2,3 GHz. Pour la deuxième phase, les chercheurs ont utilisé des puces graphiques nVidia Tesla K20/K40/K80. 35 % des sites web s’appuient encore sur SHA-1 En dehors du côté spectaculaire, cette attaque réussie montre également que les systèmes qui utilisent encore SHA-1 ne sont plus en sécurité. Même si la plupart des grands acteurs comme Google, Microsoft, Mozilla ou Facebook ont banni SHA-1 au niveau de leurs produits ou services, l’algorithme reste encore largement diffusé. Selon Threatpost, 35 % des sites web utilisent toujours des certificats basés sur SHA-1. C’est également le cas pour 10 % des systèmes de paiement par carte bancaire. Le logiciel d’aide au développement informatique GIT, largement utilisé par les codeurs, repose également sur SHA-1. Les utilisateurs qui pensent qu’ils ont affaire à un fichier piégé créé spécialement dans le cadre d’une attaque par collision peuvent le vérifier sur le site shattered.io, créé spécialement par les chercheurs. Il suffit d’uploader le fichier pour en avoir le cœur net. Cet outil, en effet, « est basé sur le concept de contre-cryptanalyse et il est capable de détecter des attaques par collision connues ou inconnues, à partir d’un seul fichier d’une paire entrant en collision », explique les chercheurs. Les administrateurs systèmes, quant à eux, sont invités à ne plus implémenter SHA-1, mais de la remplacer par un successeur comme SHA-3 ou SHA-256.
  3. Apple mène l'enquête après l'explosion d'un iPhone 7 Plus Un américaine de 18 ans a vu son smartphone Apple se mettre soudainement à fumer, avant de prendre feu. Apple pourrait-il être victime du même type de problème que Samsung et son Galaxy Note 7 ? La question se pose après la mise en ligne sur Twitter d'une vidéo par une jeune américaine qui montre un iPhone 7 Plus en train de fumer avec sa coque de protection fondue. La vidéo est devenue virale avec 1,26 million de vues, ce qui a forcé Apple à réagir. Un porte-parole a indiqué que la société est au courant : « nous sommes en contact avec le client et en train d'étudier le problème ». L'iPhone 7 Plus a depuis été remis à Apple pour des tests et des informations devraient être communiquées d'ici une semaine. Pour le magasin tout allait bien Pour Brianna Olivas, la victime de 18 ans, les problèmes ont commencé quand son iPhone 7 Plus a refusé de s'allumer. Elle a donc rapporté l'appareil dans un Apple Store et on lui a dit que tout allait bien. Le lendemain matin, le smartphone s'est mis à fumer alors qu'il était en charge, puis a pris feu ! La coque de protection en cause ? Contrairement au Galaxy Note 7, les incidents de ce type avec les iPhone sont très rares. De plus, la coque de protection utilisée par Brianna Olivas pourrait être en cause, car elle contenait un liquide. En revanche, elle assure avoir utilisé le chargeur Apple fourni avec l'appareil, et non un autre système qui aurait pu provoquer une surtension. Il faudra donc attendre les conclusions d'Apple pour savoir si la batterie était défectueuse ou si la cause de la surchauffe est d'une autre nature. Entre-temps, la victime a heureusement reçu un iPhone 7 Plus tout neuf en échange. Source : Mashable
  4. Google lance Android Message pour porter le standard RCS, successeur du SMS Google veut faire d'Android Message l'appli universelle de messagerie et que le RCS finisse par remplacer les SMS. A quelques jours du Mobile World Congress, Google annonce le remplacement de son appli de messagerie Messenger par Android Message. Mais il y a plus derrière ce cette annonce qu’un simple changement de nom. La nouvelle appli supportera par défaut le RCS pour Rich Communication Services. Ce standard, créé en 2007, a pour ambition de remplacer à terme les SMS. Il permet d’envoyer des messages plus longs (limités à 160 caractères pour le SMS) mais aussi plus complexes : avec des images en haute résolution, des fichiers multimédias, des messages de groupe, etc. Autrement dit, des fonctions similaires à celles des applis comme WhatsApp ou iMessage. Et si Google a nommé sa nouvelle appli du nom de son OS mobile, c’est parce qu’elle doit devenir, comme Android, le signe d’une évolution industrielle portée non seulement par la firme de Mountain View mais aussi par l'écosystème -opérateurs et fabricants- a expliqué Amir Sarhangi, responsable du RCS au sein de Google au site The Verge. Grâce à cette appli, plus besoin de passer par les applis des fabricants de smartphones ou d’attendre qu’ils poussent une mise à jour. Tout se fera depuis le Play store. Et pour que ce standard soit rapidement employé, la firme de Mountain View a mis en place un programme pour les entreprises afin qu’elles puissent rapidement et facilement envoyer des messages RCS. Un message de rappel pour un vol pourrait ainsi devenir un véritable outil d’enregistrement avec carte d’embarquement, possibilité de changer de siège, plan du terminal … le tout via la messagerie. On pourrait aussi une boutique parmi une liste en fonction de sa localisation, plan à l’appui. Les applications sont nombreuses. 7 fabricants et opérateurs déjà impliqués La firme de Moutain View profite aussi de cette annonce pour signaler que, justement, 27 opérateurs et fabricants participent au programme. Du côté des premiers, Orange, Deustche Telekom et Globe rejoignent Sprint, Rogers et Telenor. Parmi les seconds, on trouve notamment LG, Motorola, Sony, HTC, ZTE, Nokia, Archos et Wiko en plus évidemment de Google et son Pixel. Apple et Samsung en revanche ne font pas partie des partenaires de cette opération. Ce qui signifie que si vous envoyez un message RCS à une personne ayant un smartphone de ces marques, il se transformera en SMS classique. Idem si le récepteur passe par un autre opérateur que ceux listés ci-dessus. Autrement dit, il va falloir encore un peu de temps et quelques efforts de persuasion pour que le RCS ne se généralise vraiment. Mais Amir Sarhangi espère bien que ce premier pas convaincra d’autres partenaires de les rejoindre. Télécharger Android Message Sources : Google et The Verge
  5. 5G : on connaît enfin les débits du futur standard de téléphonie mobile ! 20 Gbit/s de débit descendant et 10 Gbit/s en débit montant par station de base : c’est l’objectif fixé au successeur de la 4G. Des spécifications qui doivent encore être confirmées mais qui risquent de vous décevoir... car la vitesse de connexion des utilisateurs devrait être bien moindre. Jusqu’à maintenant la 5G, tout en le monde en parlait sans savoir ce que c’était. Car le processus de standardisation, piloté par l’ITU, une institution des Nations Unies, ne sera totalement achevé qu’en 2020. Un coin du voile vient cependant d’être levé et pas des moindres. Celui des spécifications techniques de l’IMT-2020, le nom officiel de la 5G. Correspondent-elles aux promesses que nous faisaient jusqu’à maintenant les opérateurs, à savoir des connexions 10 fois plus rapides qu’avec la 4G et avec un temps de latence inférieur à 1ms ? Pas sûr ! L’ITU vient de mettre en ligne sur son site un simple document Word qui vaut de l’or. On y apprend que la 5G devra atteindre au minimum les 20 Gbit/s en download et 10 Gbit/s en upload par station de base. Jusqu’à maintenant, les opérateurs qui ont procédé à des tests dans leur laboratoire n’ont pas atteint de tels sommets en débit descendant. C’est le cas d’Orange, par exemple, qui s’est livré à une expérimentation avec Ericsson le 26 janvier dernier au cours de laquelle il a dépassé les 15 Gbit/s en descente. Or, ces performances ont été réalisées dans des conditions optimales de réseau avec seulement 4 à 5 mètres de distance entre l’émetteur et le récepteur. Mais les opérateurs ont le temps de peaufiner leurs performances avant le début de la commercialisation de la 5G à partir de 2020. L'utilisateur n'atteindrait "que" 100 Mbit/s en download Le problème, c’est que l’ITU se montre beaucoup plus modeste concernant les débits que pourraient atteindre les utilisateurs finaux dans les cas de figure où plusieurs bandes de fréquence seraient agrégées. En environnement dense et urbain, ils n’accéderaient au minimum « qu’à » 100 Mbit/s en débit descendant et 50 Mbit/s en débit montant. Plutôt décevant, car ce sont des performances déjà atteignables en 4G aujourd’hui, même si elles ne concernent qu’une poignée de villes actuellement en France et sur quelques terminaux seulement. Ce serait tout de même un énorme progrès par rapport à aujourd'hui. Rappelons en effet que le débit moyen dans notre pays en 4G n'atteignait au mois de juillet 2016 que les 6 Mbit/s dans les zones rurales et 30 Mbit/s dans les zones denses, selon l'Arcep. Toutefois, les équipementiers espèrent à l'avenir booster la 5G grâce à une nouvelle technologie de multiplexage : le Multi User Mimo (Mu-MIMO). « Nous allons enfin pouvoir utiliser les mêmes ressources temps et fréquence pour deux, voire plusieurs utilisateurs en même temps, alors qu’ils sont dans des positions différentes. Ce que nous ne pouvons pas faire actuellement avec la 4G », nous avait déclaré Hassan El Nahas Homsi, en charge des solutions radio chez Ericsson lors du test 5G d'Orange. Une promesse qui reste à confirmer. Autre éclaircissement apporté par l’ITU, le temps de latence. Seules les technologies critiques comme la voiture connectée devront bénéficier d’un temps de latence de 1 ms. Les autres services devront se satisfaire de 4 ms, contre 20 ms actuellement avec la 4G. 1 million de connexions par km² La bande passante des opérateurs devra s’élever à au moins 100 MHz et jusqu’à 1Ghz pour les fréquences millimétriques. La 5G devra aussi pouvoir absorber jusqu’à 1 million de connexions par kilomètre carré. Il s’agit là, bien sûr, d'absorber la montée en puissance gigantesque de l’Internet des objets. Enfin, concernant la mobilité, les utilisateurs devront pouvoir recevoir le signal 5G même s’ils se déplacent à 500 km/h. Rappelons que tout cela est provisoire et peut encore être modifié. « Les spécifications techniques de base seront décidées vers fin février. Pour les critères d’évaluation il faudra attendre fin juin pour une décision. Il faut noter que la procédure d’approbation officielle pour les deux documents aura lieu au mois de novembre. On prévoit une publication officielle des conclusions au début de 2018 », nous avait expliqué au mois de décembre dernier Sergio Buonomo, conseiller au bureau des Radiocommunications de l’ITU à Genève.
  6. iOS 10 : le clavier de Google offre la dictée vocale et gère les émojis Apple Google met à jour son clavier alternatif pour les appareils sous iOS en y intégrant plusieurs nouveautés. Gboard, l’astucieux clavier de Google qui permet d’accéder directement au moteur de recherche et de partager les résultats sans quitter l’appli sur laquelle on se trouve, gagne de nouvelles fonctions sous iOS grâce à une mise à jour d’ores et déjà disponible. Pour commencer, le clavier prend désormais en charge 15 nouvelles langues dont le hongrois, le malais ou encore le polonais. Pour taper un message dans l’une de ces langues, il suffit de se rendre dans Langues, puis dans Ajouter une langue. Google a également fait quelques changements que ceux qui préfèrent le langage universel des emojis apprécieront. Le clavier gère désormais les smileys et autres petites images proposés par Apple avec iOS 10. Pour y accéder, il suffit de cliquer sur l’icône emoji, comme d’habitude. via GIPHY Toujours du côté de l’image, cette nouvelle version du Gboard permet d’afficher les Doodles proposés par la firme de Mountain View. Lorsqu’il y en aura un nouveau à découvrir, le G quadricolore sera animé et permettra d’aller découvrir l’animation du jour ainsi que de chercher des informations liées. Enfin, comme on n’a pas toujours les deux mains de libre pour taper un texte, le Gboard donne maintenant accès à la dictée vocale. Pour y accéder, il faut juste faire une pression longue sur le micro placé sur la touche représentant la barre d’espace. via GIPHY Ce clavier pour iOS avait été lancé en mai dernier aux Etats-Unis avant d’arriver trois mois plus tard en France. Il avait fallu attendre le mois de décembre pour qu’il soit disponible pour les smartphones Android. Télécharger Gboard pour iOS Source : Google
  7. Ils espionnent un ordinateur grâce… au voyant du disque dur Des chercheurs ont réussi à exfiltrer des données d’un ordinateur déconnecté en faisant clignoter le voyant LED qui témoigne de l’activité du disque dur. Subtil, mais efficace. Les chercheurs en sécurité de l'université Ben Gourion ont de nouveau frappé. Spécialisés dans le piratage des ordinateurs « air gapped », c’est-à-dire déconnectés du réseau, ils viennent de mettre au point une nouvelle méthode pour exfiltrer des données ni vu ni connu. Il faut au préalable infecter la machine ciblée avec un malware. C’est loin d’être impossible, car même les machines déconnectées ont besoin d’être mises à jour. Une fois que ce malware a récupéré l’information désirée, il va la transmettre en faisant clignoter le voyant LED qui témoigne de l’activité du disque dur et que l’on trouve sur le devant de n’importe quel PC. Dans une vidéo YouTube réalisée par les chercheurs, ces petits flashs sont captés de l’extérieur, à travers la fenêtre du bureau, par une caméra... accrochée à un drone ! Et cela en pleine nuit, évidemment. Cette méthode peut sembler extravagante, mais elle présente beaucoup d’avantages. Tout d’abord, le canal d’exfiltration est particulièrement discret. Personne ne regarde jamais le LED du disque dur, et même si c’est le cas, personne ne s’étonne de la voir clignoter. Les accès au disque dur se font à n’importe quel moment, même quand l’utilisateur n’effectue pas d’actions particulières. Autre avantage : pour le malware, la manipulation du voyant LED est très facile. Il suffit d’effectuer une lecture de données sur le disque dur, ce qui ne nécessite aucune élévation de privilège. Enfin, et c’est le plus important, ce canal permet d’atteindre un débit d’extraction relativement élevé, pouvant aller jusqu’à 4 kbit/s. Ce débit est atteint lorsqu’on effectue des lectures de blocs de 4 kilooctets. Dans ce cas, la durée du flash atteint son minimum, soit 0,18 ms. Ce qui correspond à une fréquence de 5.000 à 6.000 Hz. A l’heure de la fibre optique, cela semble dérisoire, mais dans le domaine du piratage sans connexion c’est énorme. Avec les précédentes recherches, le débit n’atteignait souvent que quelques bits ou dizaines de bits par seconde A noter, toutefois qu’une caméra classique ne permettra pas de capter des messages envoyés à une fréquence de 5.000 Hz, car c’est nettement supérieur à leur vitesse d’affichage. Pour atteindre ce débit, les chercheurs utilisent en réalité un capteur basé sur une photodiode de Siemens. La détection peut se faire à plusieurs dizaines de mètres, en fonction du dispositif optique utilisé. Pour se prémunir contre cette attaque, c’est simple : il suffit d’occulter le voyant LED avec un ruban adhésif ! Source: Wired
  8. C'est officiel, les alléchants processeurs Ryzen 8 coeurs d'AMD arrivent en mars Lors d'une présentation dédiée à la presse, Lisa Su -PDG d'AMD- a présenté la nouvelle famille de processeurs RyZen. Tout ou presque avait déjà fuité mais une chose est certaine : les promesses faites sont très alléchantes. Back in the race ! AMD repart à l'assaut d'Intel et ses Core en lançant trois nouveaux processeurs haut de gamme proposés à des prix défiant toute concurrence. Tous sont des puces à 8 coeurs, dont les fréquences s'échelonnent entre 3 et 3,6 GHz en mode normal et 3,7 et 4 GHz en mode Turbo. "Nous proposons aujourd'hui le processeur 8 coeurs grand public le plus performant du marché" scandait Lisa Su, Présidente Directrice Générale d'AMD, à propos du RyZen R7 1800X, le fer de lance de la gamme. Cette annonce risque de faire grincer les dents d'Intel et mettre ce dernier dans une position délicate. Les puces à 8 coeurs du géant bleu sont vendues en moyenne deux fois plus cher que les nouveaux RyZen d'AMD ! R7 RyZen à partir de 370 euros Comme les rumeurs le prédisaient, ce sont bien les Ryzen R7 1700, 1700X et 1800X qui ouvrent le bal. Ils sont respectivement annoncés aux prix de 330, 450 et 499 dollars. Quant aux tarifs en euros, sur Amazon.fr -sur lequel il est d'ailleurs possible de pré-commander les puces- on les débusque à 370, 450 et 560 euros. Amazon/01net.com - Leur livraison n'interviendra qu'à partir du 2 mars prochain et, pour en profiter, il faudra bien sûr acheter une carte mère compatible (socket AM4). RyZen : quelques chiffres, quelques perf' Les trois processeurs haut de gamme (et les autres RyZen à venir) sont tous basé sur l'architecture Zen d'AMD. Celle-ci est gravée en 14 nm et, comme nous le mentionnions précédemment, regroupe à la fois des technologies inspirées des solutions Intel et d'autres propres à AMD mais remises au goût du jour. Selon Lisa Su, lorsque AMD a commencé à travailler sur Zen, les ambitions étaient claires : arriver à offrir 40% d'IPC (Instructions Par Cycle d'horloge) supplémentaires par rapport à son ancienne architecture Excavator). Après des centaines de milliers d'heures cumulées de conception, réparties sur 4 ans de développement acharné et un die de 4,8 milliards de transistors plus tard, le résultat est au delà des espérances. Avec ses nouveaux processeurs RyZen, AMD annonce avoir atteint son objectif et mieux, l'avoir dépassé, en offrant plus de 52% d'IPC ! Pour enfoncer un peu plus le clou, AMD annonce officiellement que le TDP (l'enveloppe thermique) de ses 8 coeurs est aussi bien plus intéressant que celui des solutions de la concurrence : 95 watts contre 140 chez Intel. Impressionnant. YouTube/AMD - Durant la présentation, AMD a annoncé quelques résultats de tests menés sur le logiciel de bench Cinebench 15 (calcul et génération d'une scène 3D complexe) en traitement multicoeurs. Le RyZen 7 1700X viendrait ainsi s'imposer clairement face à deux processeurs très haut de gamme d'Intel, eux aussi équipés de 8 coeurs et 16 Threads. YouTube/AMD - Le RyZen R7 1800X, pour sa part, en traitement monocoeur sur CineBench parviendrait à faire jeu égal avec le Core i7-6900K d'Intel. Enfin, durant la présentation, Lisa Su a également démontré une partie du potentiel du RyZen 7 1800X dans les jeux. Ce dernier, épaulé par un CrossFire de RX480, arrivait à faire tourner l'excellent Sniper Elite 4, en 4K, avec un nombre d'images par seconde générées légèrement supérieur à la même plateforme, équipé du 6900K. AMD accusait un retard considérable sur le traitement des jeux vidéo par ses processeurs, il semble que le fossé soit donc plus que partiellement comblé. Nous attendrons toutefois de recevoir notre plateforme de test pour nous prononcer définitivement car le gaming sera surement notre principal axe de travail. Après les processeurs, les puces graphiques Radeon C'est le sourire aux lèvres que Lisa Su a dévoilé la roadmap de la marque pour 2017. Et le programme va être chargé. Les RyZen ouvrent le bal et seront suivis de près, a priori, par des annonces concernant les nouvelles cartes graphiques Radeon carburant aux puces Vega. La disponibilité de celles-ci serait prévue courant printemps. Puis viendront les solutions -nom de code "Naples"- pour les data centers. Enfin, ce sont les versions RyZen pour PC portables qui pointeront le bout de leur puce dans le courant de la seconde partie de l'année. Bref, AMD est bien décidé à revenir en force sur un grand nombre de marchés. Espérons simplement que le géant prenne son temps pour parvenir à bien se positionner... sans donner l'impression de brader ses solutions. Leur livraison n'interviendra qu'à partir du 2 mars prochain et, pour en profiter, il faudra bien sûr acheter une carte mère compatible (socket AM4). RyZen : quelques chiffres, quelques perf' Les trois processeurs haut de gamme (et les autres RyZen à venir) sont tous basé sur l'architecture Zen d'AMD. Celle-ci est gravée en 14 nm et, comme nous le mentionnions précédemment, regroupe à la fois des technologies inspirées des solutions Intel et d'autres propres à AMD mais remises au goût du jour. Selon Lisa Su, lorsque AMD a commencé à travailler sur Zen, les ambitions étaient claires : arriver à offrir 40% d'IPC (Instructions Par Cycle d'horloge) supplémentaires par rapport à son ancienne architecture Excavator). Après des centaines de milliers d'heures cumulées de conception, réparties sur 4 ans de développement acharné et un die de 4,8 milliards de transistors plus tard, le résultat est au delà des espérances. Avec ses nouveaux processeurs RyZen, AMD annonce avoir atteint son objectif et mieux, l'avoir dépassé, en offrant plus de 52% d'IPC ! Pour enfoncer un peu plus le clou, AMD annonce officiellement que le TDP (l'enveloppe thermique) de ses 8 coeurs est aussi bien plus intéressant que celui des solutions de la concurrence : 95 watts contre 140 chez Intel. Impressionnant. Durant la présentation, AMD a annoncé quelques résultats de tests menés sur le logiciel de bench Cinebench 15 (calcul et génération d'une scène 3D complexe) en traitement multicoeurs. Le RyZen 7 1700X viendrait ainsi s'imposer clairement face à deux processeurs très haut de gamme d'Intel, eux aussi équipés de 8 coeurs et 16 Threads. Le RyZen R7 1800X, pour sa part, en traitement monocoeur sur CineBench parviendrait à faire jeu égal avec le Core i7-6900K d'Intel. Enfin, durant la présentation, Lisa Su a également démontré une partie du potentiel du RyZen 7 1800X dans les jeux. Ce dernier, épaulé par un CrossFire de RX480, arrivait à faire tourner l'excellent Sniper Elite 4, en 4K, avec un nombre d'images par seconde générées légèrement supérieur à la même plateforme, équipé du 6900K. AMD accusait un retard considérable sur le traitement des jeux vidéo par ses processeurs, il semble que le fossé soit donc plus que partiellement comblé. Nous attendrons toutefois de recevoir notre plateforme de test pour nous prononcer définitivement car le gaming sera surement notre principal axe de travail. Après les processeurs, les puces graphiques Radeon C'est le sourire aux lèvres que Lisa Su a dévoilé la roadmap de la marque pour 2017. Et le programme va être chargé. Les RyZen ouvrent le bal et seront suivis de près, a priori, par des annonces concernant les nouvelles cartes graphiques Radeon carburant aux puces Vega. La disponibilité de celles-ci serait prévue courant printemps. Puis viendront les solutions -nom de code "Naples"- pour les data centers. Enfin, ce sont les versions RyZen pour PC portables qui pointeront le bout de leur puce dans le courant de la seconde partie de l'année. Bref, AMD est bien décidé à revenir en force sur un grand nombre de marchés. Espérons simplement que le géant prenne son temps pour parvenir à bien se positionner... sans donner l'impression de brader ses solutions.
  9. Firefox : une nouvelle fonction pratique pour les surfeurs invétérés Vous croulez sous les onglets ou êtes trop occupé pour lire un article sur le Net ? Firefox vous propose une nouvelle fonction qui pourrait bien vous intéresser. Un ami vous a envoyé un onglet avec un article passionnant mais vous n’avez pas le temps de le lire ? Vous voulez indiquer rapidement qu’un site ne fonctionne pas bien mais ne savez pas comment faire ? Le programme Test Pilot de Firefox a développé deux nouvelles fonctions qui devraient vous séduire. La première devrait beaucoup séduire les internautes qui ont tendance à multiplier les onglets ouverts. Elle s’appelle SnoozeTabs et est matérialisée par une icône en forme de cloche. Elle permet d’escamoter un onglet pour y revenir plus tard, quand vous êtes plus disponible pour sa lecture. Cette fonction vous donne même le choix du moment où cet onglet vous sera soumis à nouveau. Cela peut être dans la journée, le lendemain, durant le week-end, voire la semaine suivante. Si aucun de ces choix ne vous convient parfaitement, aucun souci : vous pouvez fixer le jour et l’heure auxquels l’onglet réapparaîtra. Pratique pour éviter de se disperser. L’autre nouveauté proposée par le programme Test Pilot se nomme Pulse. Elle permet d’envoyer directement un feedback sur les sites qui fonctionnent ou ne fonctionnent pas aux ingénieurs de Firefox en répondant à quelques questions. Evidemment, les équipes de Mozilla n’interviendront pas sur un site que vous aurez mal noté mais cela les aidera à mieux savoir sur quoi concentrer leurs efforts pour améliorer les performances du navigateur. Pour les tester, il suffit de se rendre sur les pages dédiées du programme Test Pilot. Attention, ces outils ne fonctionnent pas en français. Il faudra donc télécharger le navigateur en langue anglaise. Le programme Test Pilot a été lancé il y a un an environ et a déjà proposé plusieurs fonctions dont une permettant de protéger ses sessions de surf sans ouvrir une page de navigation privée. Source : Mozilla Blog
  10. Windows 10 : Microsoft confirme une seconde mise à jour majeure pour 2017 La version du système d'exploitation qui succédera à la Creators Update sera publiée avant la fin de l'année 2017. Alors que la Creators Update de Windows 10 est prévue pour le mois d'avril, Microsoft a confirmé lors de la conférence Ignite Australia qu'il y aura bien une autre mise à jour majeure en 2017. Connue sous le nom de code Redstone 3, elle sera disponible avant la fin de l'année selon la feuille de route qu'a publiée sur Twitter un participant à la conférence. Il n'y a pas beaucoup de détails sur cette future version, mais elle devrait marquer l'arrivée du nouveau langage graphique de Windows 10 qui porte en interne le nom de projet NEON. Le graphique montre également comment se font les mises à jour avec une phase de test pour les Windows Insiders qui dure 4 à 8 mois, puis le lancement d'une phase pilote sur 4 mois avant de passer à la phase de production qui dure au moins 12 mois. On constate que dès qu'une version est publiée officiellement, la version suivante passe en phase de test pour les Windows Insiders. Microsoft table aussi sur la coexistence de deux versions sur le marché. Actuellement, il y a donc la mise à jour anniversaire, lancée en aout 2016, mais aussi la mise à jour de Windows 10 datant de novembre 2015. Chaque mise à jour a selon la feuille de route une durée de vie d'au moins 1 an et demi. Des mises à jour régulières L'arrivée de Windows 10 a marqué une rupture dans la stratégie d'édition de Microsoft. Ainsi, il s'est écoulé 3 ans entre Windows 7 (octobre 2009) et Windows 8 (octobre 2012), puis un peu moins de 3 ans entre Windows 8 et Windows 10 (juillet 2015). Microsoft rejoint donc le macOS 10 d'Apple sur le concept d'une version unique avec des mises à jour régulières et surtout gratuites. Source : BetaNews
  11. Google et Bing déclarent la guerre aux sites pirates en Grande-Bretagne Les deux moteurs de recherche ont signé un accord avec le gouvernement britannique pour que les internautes n’accèdent plus aussi facilement à des liens vers des contenus contrevenant aux droits d’auteur. En France, c’est une vieille revendication de la Société des Auteurs : faire cesser la mise en avant de liens, sur les annuaires et les moteurs de recherche, renvoyant vers des œuvres mises à disposition de manière illicite. Jamais vraiment sérieusement étudiée dans notre pays, elle vient d’être adoptée en Grande-Bretagne à la surprise des tous les observateurs internationaux. Les moteurs de recherche Google et Bing viennent en effet de signer un accord avec la British Phonographic Industry, la Motion Picture Association et l’IPO (Intellectual Property Office), l'agence gouvernementale britannique chargée de faire respecter les droits d’auteur. L’IPO représentait également 13 organisations d’ayants-droit dans cette affaire. Des effets attendus à partir du 1er juin Les deux géants américains vont s'engager à ce que les consommateurs ne soient plus dirigés aussi facilement vers des sites Web portant atteinte au droit d’auteur. Le texte a été paraphé le 9 février et est entré immédiatement en application mais l’IPO a attendu quelques jours avant de l’annoncer. Les nouveaux dispositifs mis en place par Google et Bing ne devraient cependant pas avoir d’effet avant le 1er juin prochain. Il s’agira, à la demande des plaignants, de jouer sur le référencement d’un site tout entier et non d’une seule page, afin que les liens n’apparaissent plus en premier lors d'une recherche. Une opportunité à saisir pour les ayants-droit en France ?
  12. Windows: Google publie une faille zero-day que Microsoft n'a pas encore corrigée Une fois de plus, l’éditeur de Redmond se retrouve épinglé par les experts en sécurité de Google. Ce qui n’est pas réjouissant pour les utilisateurs. L'ambiance doit être tendue au sein des équipes Windows de Microsoft. Les experts en sécurité de Google Project Zero viennent de publier tous les détails techniques d'une faille zero-day dans Windows qui permet à un attaquant d'accéder à la mémoire d'une machine – en local ou à distance –par l'intermédiaire d'un fichier EMF (Enhanced MetaFile) piégé. Celui-ci pourrait d'ailleurs se trouver camouflé au sein d'un fichier Office, rendant la détection de l'attaque d'autant plus difficile. Google a même publié un exemple de code d’exploitation. Cette faille concerne toutes les versions Windows supérieures à Vista Service Pack 2. Pas de patch pendant un mois Le hic, c'est qu'il n'existe pas à ce jour de patch, ni même de solution de contournement pour ce problème. Les ingénieurs de Google ont agi conformément à leur charte de publication. Ainsi, les éditeurs sont systématiquement alertés sur les failles zero-day trouvées dans leurs produits. Si au bout de trois mois, aucun correctif n'est mis à disposition, les vulnérabilités sont rendues publiques. C'est une question de principe. Dans le cas présent, Microsoft avait même presque un an pour trouver une solution, car ce bug a déjà été notifié en… mars 2016. L'éditeur de Redmond avait fourni un patch en juin 2016, mais celui-ci c'est révélé incomplet. Google a donc relancé une procédure de notification en novembre 2016 dont le deadline a désormais été atteinte. Il est possible que Microsoft ait intégré son correctif dans le Patch Tuesday de février, ce qui lui aurait permis de rester dans les clous. Malheureusement, il a dû annuler cette fournée de patchs en raison d’un « problème de dernière minute ». Quoi qu'il en soit, les utilisateurs se retrouvent désormais à la merci d’éventuels pirates pendant au moins un mois. Ce qui n’est pas réjouissant. Deux approches différentes de la sécurité Ce n’est pas la première fois que Microsoft se retrouve ainsi épinglé par Google. En novembre dernier, le géant du web avait déjà publié une faille zero-day dans le kernel de Windows. Il n’avait alors donné que sept jours à l’éditeur pour trouver un correctif, car cette vulnérabilité était déjà exploitée de manière active par les pirates du groupe APT28. Là encore, Google ne fait qu’appliquer les principes de sa charte de publication. Inutile de dire que Microsoft n’a pas du tout apprécié d’être mis comme cela devant le fait accompli. Dans une note de blog, Terry Myerson, vice-président en charge de Windows, a estimé que cette façon de faire était « décevante » et soumettait les utilisateurs à un « risque accru ». L’éditeur aurait préféré une action « coordonnée » pour la révélation de cette faille. De son côté, Google estime que la révélation de failles zero-day contribuait aussi à la sécurité des utilisateurs, et qu’il n’y a pas de temps à perdre si elles sont déjà exploitées par des pirates. C’est un débat sans fin.
  13. Megaupload : Kim Dotcom peut être extradé vers les Etats-Unis La justice néo-zélandaise vient de donner son feu vert à l'extradition de Kim Dotcom. L'affaire n'est toutefois pas terminée : ses avocats vont faire appel. Revers judiciaire pour le fondateur du site de téléchargement Megauplaod, Kim Dotcom. La Haute cour de Nouvelle-Zélande a donné ce 20 février 2017 son feu vert à son extradition vers les Etats-Unis. Il est accusé par Washington d'avoir été l'architecte de pillages en ligne massifs. Mais les avocats du ressortissant allemand, dont le vrai nom est Kim Schmitz, ont d'emblée annoncé leur intention de former un recours contre l'arrêt de la Haute cour, qui venait confirmer un jugement de première instance rendu en décembre 2015. « Nous ne sommes certainement pas battus », a déclaré dans un communiqué l'avocat Ron Mansfield en qualifiant cette décision d' « extrêmement décevante ». Quant à Kim Dotcom, il a exprimé sa déception sur son compte Twitter, dénonçant « une décision politique et partiale ». Le juge de la Haute cour Murray Gilbert a de son côté jugé que suffisamment d'éléments étaient réunis pour justifier l'extradition de Kim Dotcom et de trois autres fondateurs de Megaupload pour fraude, et non pour infraction sur le copyright puisque ce délit n’existe pas dans la loi néo-zélandaise. Vingt ans de prison L'affaire avait éclaté en janvier 2012 lorsque la police néo-zélandaise avait mené un spectaculaire raid matinal au domicile luxueux de Kim Dotcom. Le département américain de la Justice et le FBI l'accusent d'avoir orchestré un pillage en ligne à grande échelle grâce à Megaupload, son emblématique plate-forme de téléchargement direct, qui a été fermée par la justice américaine. Kim Dotcom et trois anciens de Megaupload - Finn Batato, Mathias Ortmann et Bram van der Kolk - sont accusés d'avoir tiré de leur activité 175 millions de dollars de profit et causé plus d'un demi-milliard de dollars de pertes aux ayants-droit des oeuvres musicales, films et autres produits piratés. Recherché pour fraude, racket et blanchiment, Kim Dotcom se défend de toute infraction, en se présentant comme un entrepreneur du Net et accuse la justice américaine de mener une vendetta demandée par les puissants studios de Hollywood. En cas d'extradition aux Etats-Unis, il encourt 20 ans de prison.
  14. USB Killer, la clé qui grille vos PC et smartphones, devient encore plus dangereuse Capable de stocker plus d’énergie, de créer des décharges plus puissantes et plus rapides, la clé USB qui anéantit PC et smartphones revient dans une troisième itération, dont il faudra se méfier. A quoi reconnaît-on un produit qui rencontre le succès ? Il évolue et connaît plusieurs itérations. Apparemment, l’USB Killer, la clé USB capable de détruire 95% des PC, a trouvé son public ! Des PC grillés encore plus vite Si vous êtes passé à côté de ce gadget un peu spécial, il s’agit en apparence d’une clé USB plutôt classique qui intègre en fait des condensateurs électriques qui se chargent en une fraction de seconde quand la clé est connectée à une machine. Une fois que les « réserves » sont pleines, l’USB Killer libère le courant d’un seul coup, grillant le PC. Et si cela ne réussit pas du premier coût, la clé se recharge et recommence… En vente libre, à moins de cinquante euros, l’USB Killer vient de franchir une nouvelle étape. Une troisième génération vient en effet d’être introduite, et elle serait 1,5 fois plus puissante que la génération précédente. Elle serait en effet capable de produire entre huit et douze décharges par seconde. Cela signifie qu’elle est encore plus dangereuse pour les produits auxquels elle est connectée, d’autant qu’elle est désormais conçue pour ne pas s’autodétruire, en cas de court-circuit de la machine visée. Les PC et aussi les smartphones Non content de s’en prendre aux PC, l’USB Killer s’attaque aussi à nos smartphones et à d’autres types de périphériques. En effet, pour 15 euros, il est possible d’acheter un ensemble de trois adaptateurs : micro-USB, USB-Type C et également Lightning (qui équipe les périphériques mobiles d’Apple). Pour cette dernière connectique, il semblerait que la vérification d’authenticité qui bloque le canal des données tant qu’un appareil n’est pas identifié et validé soit contournée, exposant donc les iPhone et iPad. La liste des iDevices menacés n’est pas connue, mais il semblerait à voir certaines vidéos que l’iPhone 7 soit sensible à l’USB Killer, alors que l’iPad Pro tiendrait le choc. Il retrouverait un fonctionnement normal une fois la clé déconnectée. Un modèle pro et un modèle anonyme L’USB Killer v3 se décline en un modèle « pro », blanc, estampillé d’un logo, et d’une version classique, noire et totalement anodine, qui ressemble à n’importe quelle clé USB. Cette clé dangereuse ne l’est a priori que pour les machines. Elle est désormais estampillée CE et FCC, ce qui signifie qu’elle a passé les tests de sécurité européens et américains. Vous ne devriez donc pas vous électrocuter en l’utilisant. Dangereuse pour la plupart des machines auxquelles vous la branchez, l’USB Killer doit n’être utilisée qu’à des fins de tests. Attention si des personnes vous offrent une clé qui ressemble à l’USB Killer. Ne l’utilisez sous aucun prétexte. Source : USB Killer
  15. Windows 10 : découvrez les nouvelles fonctions de la Creators Update La prochaine mise à jour de Windows 10 fait la part belle à la création 3D et aux jeux. Elle rend aussi le navigateur Internet Edge plus agréable d'emploi. Tour du propriétaire. Microsoft poursuit sa politique de proposer une mise à jour importante de Windows 10 régulièrement et gratuitement. Après la mise à jour Anniversaire (Redstone) publiée en Août 2016, l'éditeur lancera an Avril la mise à jour Creators Update (Redstone 2). Nous avons installé la dernière build pour les Insiders pour vous faire découvrir les nouvelles fonctions de cette version. Paint 3D Si le programme Paint existe toujours, Microsoft propose un nouveau programme baptisé Paint 3D qui, comme son nom l'indique permet de concevoir facilement des scènes 3D. La simplicité est de mise avec des formes prédéfinies géométriques (cube, sphère...), mais aussi plus originales (homme, femme, poisson, chat). Une fois la forme placée sur le dessin, il est possible de la déplacer, de changer sa taille et de la faire pivoter. Microsoft a également prévu un contrôle pour déterminer si l'objet et plus ou moins éloigné de l'observateur. Paint 3D dispose également d'une fonction de création de texte en relief, ainsi que de textures pour habiller les objets (apparence du bois dans cet exemple). Il est également possible de plaquer facilement un dessin 2D sur un objet 3D (les yeux et les lunettes sur la sphère). Le programme donne accès au site communautaire Remix3D.com pour partager ses créations et télécharger des modèles 3D prêts à l'emploi. Le site n'est pour l'instant pas accessible aux utilisateurs français mais le sera certainement lors de la disponibilité officielle de la mise à jour Creators Update. Edge Les onglets des sites sont toujours affichés par leurs noms en haut de la fenêtre, mais le navigateur dispose désormais d'un mode d'affichage sous la forme de vignettes qui défilent. Il suffit pour cela de cliquer sur l'icône située dans la barre d'onglets. Le navigateur de Microsoft permet de mettre rapidement tous les onglets de côté en cliquant sur une icône située en haut à gauche de la fenêtre. Cela permet de repartir temporairement avec une fenêtre vierge, sans avoir besoin d'en ouvrir une seconde. Les onglets mis en réserve sont conservés quand on ferme le navigateur. Il suffit de cliquer sur l'icône placée à côté de celle de la mise en réserve pour restaurer les onglets. Edge peut désormais lire directement les livres électroniques au format EPUB, à condition qu'ils ne soient pas protégés par DRM. Le défilement des pages s'effectue alors de gauche à droite. Nous avons testé cette fonction avec le site gutenberg.org qui propose des e-books gratuits. Applications Microsoft a prévu un nouveau mode d'affichage pour les applications UWA (Universal Windows Platform), sous la forme d'une petite fenêtre qui reste au premier plan du bureau. Le mode « Compact Overlay Window » s'apparente à la fonction « Picture In Picture » (PiP) présente sur certains téléviseurs. Il sera utilisé par les futures versions des programmes Skype et Films & TV. Jeux Une nouvelle icône dédiée aux jeux, qui reprend le logo Xbox, fait son apparition dans les paramètres de Windows 10. Dans les nouveaux paramètres disponibles, la Game Bar est une barre d'outils que l'on active dans le jeu par la séquence de touches Windows-G (personnalisable) et qui donne accès à des fonctions telles que la diffusion de parties, l'enregistrement de séquences vidéo et la capture d'images. Windows 10 dispose aussi d'un mode Jeu qui, une fois activé, rend l'affichage plus fluide en octroyant aux jeux le maximum des ressources du processeur et de la carte graphique. Signalons que les paramètres de Windows 10 sont disponibles directement dans le jeu en activant la Game Bar. Il est alors possible de déclencher le mode Jeu si ce dernier n'avait pas été activé. Sécurité et vie privée Après avoir appairé un smartphone en Bluetooth, le mode de verrouillage dynamique de Windows 10 détecte si l'appareil est près de l'ordinateur. Dans le cas contraire, le système attend 30 secondes, puis suppose que la personne s'est absentée. Il empêche alors l'accès à l'ordinateur. Critiqué pour la collecte des données réalisée par Windows 10, Microsoft change les paramètres du système en ne proposant plus que deux niveaux de transmission d'informations : Basic et Full. En mode Basic, l'éditeur assure que seules les données vitales au fonctionnement du système seront recueillies. Personnalisation La fonction Night Light arrive dans les paramètres d'affichage pour réduire la quantité de lumière bleue émise le soir par les périphériques d'affichage. Une fois le mode activé, il est possible de planifier son déclenchement et de régler la température des couleurs qui sera appliquée. Ainsi, la quantité de lumière bleue, néfaste à l'endormissement, sera réduite pendant la durée programmée. Windows 10 dispose d'une couleur d'accentuation qui est utilisée par exemple dans le menu Démarrer. Cette couleur est désormais totalement personnalisable avec un aperçu de son application. Le système indique même si la couleur choisie est lisible ou non. Bien entendu, d'autres fonctions sont susceptibles d'apparaître dans les prochaines versions préliminaires .
  16. Le service de streaming Beam a maintenant son appli sur Xbox One Beam est l'une des nouveautés de l'univers gaming de la future mise à jour Windows 10, la Creators Update. Une appli/client dédiée vient tout juste d'être lancée en test sur la console de Microsoft A quelques semaines du déploiement de la mise à jour Windows 10 Creators Update, Microsoft dégaine une appli Beam pour sa console de jeux vidéo. Celle-ci n'est pour le moment disponible que dans le store des Xbox Insiders, les utilisateurs/testeurs de Microsoft. Une appli qui, en outre, vient s'ajouter à la longue liste des nouveautés dédiés au gaming présentes dans la prochaine mise à jour de l'OS. Grâce à l'appli Beam pour Xbox One, les Insiders peuvent dorénavant tester les fonctionnalités de visionnage, discussion et interaction avec les streamers présents sur le service et ce, manette à la main, comme s'ils passaient par l'interface web depuis un PC. D'après le communiqué de Microsoft, l'appli intègre un moteur de recherche pour trouver, par exemple, tous les flux vidéos en direct d'un jeu en particulier. Pour rappel, Beam est une société acquise par Microsoft en août dernier. Sa spécialité, c'est le streaming en direct de parties de jeux vidéo, et est donc l'une des concurrentes d'Amazon, propriétaire du très connu Twitch. A la différence de ce dernier, les spectateurs Beam peuvent interagir directement avec le joueur/diffuseur en lui envoyant sur son écran des notifications d'action à entreprendre (saut, à droite, à gauche, etc.) à condition toutefois que le streamer le permette. Pour donner des « ordres » ou conseils au joueur, le spectateur devra dépenser des Sparks, la monnaie locale qu'il aura préalablement acquise en streamant lui-même (1 minute = 2 Sparks) ou en passant du temps sur la plateforme. En outre, plus le spectateur utilise le service plus il gagne des points d'expériences. Points qui ne servent pas à grand chose si ce n'est montrer aux autres utilisateurs de Beam à quel point vous consommez du streaming. Enfin, il est également possible de soutenir les streamers financièrement en leur faisant des dons, directement au travers de Beam, comme sur Twitch. Source : News Xbox
  17. Les hackers russes d’APT28 ciblent les Mac et exfiltrent les sauvegardes iPhone Der chercheurs ont mis la main sur une variante inconnue de XAgent, la porte dérobée que ces hackers ont déjà utilisé de nombreuses fois, notamment pour pirater le Parti démocrate américain. On aurait pu s’en douter, c’est désormais établi. Les agents d’APT28, ce groupe de hackers que les experts en sécurité associent au renseignement militaire russe, disposent également d’outils pour espionner les utilisateurs de Mac. Les chercheurs en sécurité de Bitdefender viennent en effet de mettre la main sur une variante macOS de XAgent, une porte dérobée qu’APT28 a utilisé pour pirater le Parti démocrate américain et que l’on n'avait observé, jusqu’à présent, que sur Windows, Linux, iOS et Android. Un logiciel modulaire Une fois installée, la version Mac de XAgent attend la disponibilité d’une connexion Internet pour contacter les serveurs de commande et contrôle. Pour passer inaperçus, ces derniers utilisent des URL qui imitent des domaines Apple. Comme les autres variantes, la version Mac est construite de façon modulaire. Ces modules permettent d’analyser la configuration matérielle et logicielle, récupérer la liste des processus, exécuter du code, prendre des copies d’écran, voler des mots de passe dans le navigateur, etc. L’un des modules, en particulier, permet d’exfiltrer des sauvegardes d’iPhone qui seraient stockées sur l’ordinateur. Ce qui est évidemment très intéressant pour des espions, étant donné la quantité d’informations personnelles que nous stockons sur nos smartphones. A ce propos, petit rappel : iTunes permet de chiffrer les sauvegardes d’iPhone sans que cela ajoute une contrainte particulière. Ainsi, même si le Mac est compromis par un pirate, il ne pourra quand même pas accéder aux données de l’iPhone. Source : Bitdefender
  18. Ce malware pourrait empoisonner l’eau potable d’une ville entière Des chercheurs en sécurité ont créé LogicLocker, un logiciel malveillant capable de bloquer une station d’épuration d’eau dans le but d’extorquer des rançons. Ce type d’attaque serait la prochaine étape dans le domaine des ransomwares. Les ransomwares cryptographiques, qui chiffrent les données des utilisateurs pour extorquer une rançon, vous font peur ? Alors attendez de voir les « ransomwares industriels », qui s’attaquent aux systèmes de contrôle des usines. Ils vous feront basculer en mode panique, car ils pourraient avoir des conséquences directes et néfastes sur notre environnement physique. Pour l’instant, ce type de malware ne fait pas encore partie de l’arsenal des pirates, mais des chercheurs du Georgia Institute of Technology pensent que ce n’est qu’une question de temps, étant donné la faible sécurité des systèmes industriels. Pour montrer l'étendue de la menace, ils ont développé un prototype d’un tel ransomware et l’ont testé sur une maquette industrielle qui représente une station d’épuration d’eau d’une ville. Ils ont présenté leur travail cette semaine à l’occasion de la conférence RSA 2017, qui s’est tenue à San Francisco. Baptisé LogicLocker, ce malware est capable d’infecter l’automate programmable industriel (programmable logic controller, PLC) qui régule la désinfection et le stockage de l’eau potable. L’attaque consiste à extraire le code exécutable de l’appareil et de le remplacer par un code malveillant, puis de changer le mot de passe d’accès. Ainsi, l’attaquant peut non seulement stopper le processus d’épuration, mais aussi empêcher les ingénieurs de réinstaller le code d’origine sur l’appareil. Le pirate peut alors envoyer aux responsables de la station d’épuration une demande de rançon doublée d’un ultimatum : s’ils ne payent pas au bout d’un certain temps, le code malveillant va surdoser le produit désinfectant et, du coup, rendre toute l’eau potable impropre à la consommation. Une fois la rançon payée, l’attaquant restitue le code volé. Un tel scénario est faisable dans n’importe quel domaine, à partir du moment où il y a des automates programmables connectées sur un réseau interne ou, carrément, sur Internet. Il suffit de se rendre sur le site Shodan.io pour constater qu’il existe d’ores et déjà des milliers de PLC accessibles par la Toile. Les chercheurs ont en trouvé d’emblée plus de 1400 de marque MicroLogix et 250 de marque Schneider Modicon. Une question de profitabilité Si les pirates n’ont pas encore exploité ce type d’attaque, ce n’est pas parce que ces automates sont bien sécurisés. Au contraire, leur manque de protection est notoire et connu depuis des années. « La seule explication est que les cybercriminels n’ont pas encore trouvé le business model qui leur permet d’opérer de manière profitable dans ce type d’environnement », estiment les chercheurs dans leur étude. En effet, le ransomware industriel nécessite plus de recherche et de connaissance. Par ailleurs, son mode opératoire est très pointu et ne peut donc faire qu’un faible nombre de victimes. C’est donc exactement l’inverse des cryptoransomwares, qui sont diffusés en masse auprès d’un large parc d’utilisateurs. Georgia Institute of Technology - Les chercheurs en sécurité Raheem Beyah et David Formby Par conséquent, pour être profitable, le ransomware industriel nécessite le paiement d’une forte rançon. D’après les chercheurs, ceci n’est le cas que si l’attaque interrompt un processus particulièrement critique. Chaque heure d’inactivité dans une chaîne de production d’un constructeur automobile se compte, par exemple, en millions de dollars. Le risque de sabotage matériel et d’atteinte à l’intégrité physique de personnes permettrait également de faire monter le montant de la rançon. Pour se protéger contre cette future menace, les chercheurs préconisent des stratégies de défense classiques, mais efficaces : protéger l’appareil avec un bon mot de passe et ne pas le connecter sur Internet, désactiver les protocoles inutiles, surveiller les flux réseaux, etc. Le problème, c'est que le secteur industriel est encore assez peu sensible aux problématiques de la sécurité informatique. Les pirates risquent donc, là encore, d'avoir un coup d'avance. Source: Hacker News
  19. Des utilisateurs de Yahoo victimes d’attaques par faux cookies Le portail est en train d’alerter une partie de ses utilisateurs sur des éventuelles intrusions en 2015 et 2016. Les pirates se sont appuyés sur des faux cookies d’authentification qui, depuis, ont été invalidés. Le triste feuilleton Yahoo ne semble jamais se terminer. Une série d’utilisateurs a reçu récemment une notification plutôt angoissante, alertant sur des éventuelles intrusions sur leurs comptes. Ce fut le cas, notamment, de Joshua B. Plotkin, un professeur de biologie américain. « Sur la base de l’enquête en cours, nous pensons qu’un faux cookie a pu être utilisé entre 2015 ou 2016 pour accéder à votre compte », peut-on lire dans le message qu’il a reçu. Cette histoire de faux cookies n’est pas nouvelle. En décembre dernier, lorsque Yahoo avait révélé le vol d’un milliard de comptes utilisateur en 2013, l’entreprise avait déjà indiqué que des pirates avaient volé sur l’un de leurs serveurs un code source propriétaire utilisé pour créer les cookies d’authentification. Dès lors, il leur était possible de créer de faux cookies permettant de s’introduire dans des comptes d’utilisateurs sans même avoir besoin d’un mot de passe. Ce qui est nouveau, en revanche, ce sont les dates. Yahoo n’a pas précisé quand ce code source a été volé. Il a juste indiqué qu’il a probablement été subtilisé par le même acteur gouvernemental qui lui a siphonné 500 millions d’identifiants fin 2014. Ce qui, visiblement, semble cohérent au regard des années mentionnées dans le message. En d’autres termes, ce mystérieux groupe de pirates a été capable d’accéder potentiellement à n’importe quel compte utilisateur Yahoo, sans avoir à connaître de mot de passe, et cela pendant deux ans. Les utilisateurs ayant activé la procédure d’authentification forte n’étaient pas forcément mieux protégés, car le cookie d’authentification n’intervient qu’après avoir donné un login, un mot de passe et, éventuellement, un second facteur d’authentification. Le cookie est justement là pour maintenir la connexion pendant la durée d’une session, sans que l’utilisateur ne soit contraint de s’authentifier sans arrêt. Le nombre de victimes n’est pas précisé Combien d’utilisateurs sont concernés par cette attaque ? Yahoo ne le dit pas. Interrogé par Associated Press, M. Plotkin explique : « Parmi les six membres de notre laboratoire, au moins un autre a reçu ce message. Evidemment, c’est anecdotique, mais pour que deux personnes au sein d’un groupe de six l’aient reçu, je suppose qu’il y en a beaucoup ». Contacté par Ars Technica, Yahoo explique de son côté avoir pu « identifier pendant l’enquête les comptes utilisateurs pour lesquels des faux cookies ont pu être volés ou utilisés ». Le portail est en train de tous leur envoyer un email. Il a, par ailleurs, « invalidé les faux cookies afin qu’ils ne puissent plus être utilisés ». Il faut également espérer que les pirates ne soient plus en capacité de créer des cookies capables d’usurper l’identité d’un utilisateur. Et pour cela, il est probable que Yahoo soit non seulement contraint d’invalider les cookies en circulation, mais aussi de modifier sa manière de créer des cookies. Il est dommage que Yahoo ne donne pas plus de précisions sur cette affaire...
  20. Red by SFR passe son offre Internet Fibre/ADSL à 15 euros/mois à vie SFR lance une nouvelle promotion pour sa marque Internet sans engagement. Elle concerne l'Internet fixe. Bonne surprise chez Red. L’opérateur « low cost » de SFR* propose un abonnement Internet fixe via la fibre ou l’ADSL à seulement 15 euros par mois au lieu de 19,99 euros. Ce tarif est obtenu par le biais d’une réduction de 4,99 euros appliquée sur la facture mensuelle. C’est un peu plus cher que la promotion faite un peu avant Noël, mais l'avantage de cette nouvelle offre est d'être sans limitation dans le temps. Concrètement, pour cette somme les clients disposeront d’un accès à Internet avec un débit descendant jusqu’à 100 Mb/s et de 50 Mb/s en FTTH ou 5 Mb/s en THD ou FFTLA. La box est incluse sans surcoût, précise l'opérateur. Ils pourront également appeler de manière illimitée les fixes en France et vers plus de 100 destinations. Et disposeront enfin d’une sélection de magazines et quotidiens de SFR Presse. Red by SFR - Les appels vers les mobiles sont en option tout comme la télévision. Il en coûtera deux euros supplémentaires, on peut accéder à 26 chaînes de la TNT en HD. Enfin, les clients éligibles pourront choisir l'option Débit Plus à cinq euros pour obtenir un débit descendant de 400 Mb/s. Cette offre peut être souscrite jusqu’au 6 mars 2017. Source : Red by SFR *01net.com est édité par une filiale de NextRadioTV, elle-même propriété à 49% de SFR Médias.
  21. Changer de navigateur ne suffit pas pour échapper aux mouchards publicitaires Des chercheurs ont créé un code Javascript capable de générer une empreinte unique à partir des caractéristiques graphiques et sonores de l’ordinateur. L’internaute reste identifiable même s’il lance un autre navigateur. Si vous êtes un internaute publiphobe, peut-être avez-vous déjà adopté toute une série d’outils et de réflexes dans le but d’éviter les trackers de publicité, ces programmes qui cherchent à savoir qui vous êtes et ce que vous faites sur Internet. Ainsi, vous n’utilisez que le mode de navigation privée, vous avez coché la case qui permet de rejeter automatiquement les cookies de tiers, vous avez installé une extension qui bloque les mouchards les plus fréquents, vous utilisez différents navigateurs pour différentes tâches, etc. Tout ça c’est très bien, malheureusement ce n’est pas suffisant. Des chercheurs américains viennent de montrer dans une étude qu’il est possible d’identifier de manière unique un internaute en s’appuyant sur les caractéristiques du système d’exploitation et du matériel sous-jacent. Ils ont créé un code Javascript qui, embarqué dans une page web, va lancer toute une série de fonctions de rendu graphique et sonore : fonte de caractère, transparence alpha, courbures, codage et compression, textures, anticrénelage, fréquence d’échantillonnage, taille et ratio de l’écran, etc. DR - Principe du "cross-browser fingerprinting" Le code génèrera alors une empreinte qui aura l’avantage de ne pas dépendre du navigateur, mais seulement des caractéristiques de la machine. Résultat : même si l’internaute ouvre un autre navigateur, il sera quand même identifié comme étant le même utilisateur. C'est pourquoi les chercheur appellent cela le cross-browser fingerprinting. Et cela marche quasiment à tous les coups. L'étude montre que le taux de réussite de cette identification est de 99,24%. Vous pouvez tester vous-même ce code diabolique en vous rendant sur le site uniquemachine.org. Il existe des solutions Peut-on se protéger contre ce type de mouchards ? Oui, mais c’est contraignant. Une première méthode est d’utiliser la navigateur Tor qui bloque par défaut une bonne partie des fonctions de rendu graphique. La création d’empreinte ne pourra, dès lors, que s’appuyer sur quelques caractéristiques comme le contexte audio ou le ratio de l’écran. Ce qui ne sera pas forcément suffisant pour créer une empreinte unique. Autre solution : faire tourner son navigateur dans une machine virtuelle, telle que VirtualBox, et dans une configuration standard et normalisée. Dans ce cas, le code Javascript ne pourra pas non plus créer d’empreinte fiable. Ce n’est pas la première fois que ce type de tracking est analysé. En mai 2016, des chercheurs américains avaient déjà pointé sur le tracking par rendu graphique Javascript. Ils avaient d’ailleurs montré que ce genre de méthode était déjà utilisée sur de nombreux sites web. Plus récemment, des chercheurs en sécurité ont épinglé les publicitaires pour utiliser un tracking par ultrasons.
  22. Piratage : un million de sites web ont été signalés auprès de Google Le nombre de demandes de suppression d’URL dans les résultats de recherche atteint des niveaux de plus en plus élevées. Google vient de franchir un nouveau cap dans la lutte contre le piratage d’œuvres protégées. Depuis la mise en place de son rapport de transparence en 2011, le moteur de recherche a dû se pencher sur des demandes de suppression d’URL pour plus d’un million de sites web, comme l’a relevé TorrentFreak. Ces demandes ont visé au total plus de 2,3 milliards d’URL à supprimer des résultats de recherche, dont la très grande majorité (90,8 %) a finalement été éjectée des bases de données du géant américain. Les sites les plus visés sont 4shared.com (48 millions d’URL supprimées), mp3toys.xyz (48 millions), rapidgator.net (22 millions) et uploaded.net (17 millions). Le site français zone-telechargement.com, pour sa part, a vu 65 millions d’URL disparaître du moteur de recherche. Mais il n’y a pas que des sites de partage ou de piratage. La base de données référence également des sites médias (New York Times, Le Monde, 01net…), tout comme des sites institutionnels (The White House, defense.gouv.fr) ou des guides en ligne (iMDB, Allocine). Dans ces derniers cas, il s’agit souvent d’erreurs. Pour Allocine, par exemple, sur les 69 URL à supprimer, seules 4 l’ont réellement été. Pour iMDB, c’est encore pire. Le site a fait l’objet de plus d’un millier de demandes d’URL à supprimer. Toutes ont été rejetées par Google. Tous ces chiffres montrent l’ampleur du piratage et les efforts consacrés par les ayant droits pour limiter ce phénomène. Est-ce que c’est efficace au final? On peut en douter. Même si un lien a été supprimé sur Google, il reste disponible sur la Toile au travers d’autres moteurs de recherches.
  23. NES Classic Mini : encore hackée, la mini console de Nintendo émule désormais la Megadrive ! En modifiant le méta-émulateur RetroArch, des bidouilleurs ont donné à la NES Classic Mini le pouvoir d'émuler les consoles 8 & 16 bits d'antan. Dont la célèbre Megadrive de Sega, l'ennemi historique de Nintendo. Hacker vaillant, rien d'impossible : après moult modifications, la NES Classic Mini passe encore une fois sous le bistouri des hackers. Mais plutôt que d'ajouter quelques jeux NES de plus, les bidouilleurs ont passé le turbo et ont offert à la mini console de Nintendo le pouvoir d'émuler les vieilles consoles du passé, comme le met en lumière le site américain Mashable. Sega sur NES, tout un symbole A l'époque des consoles 8 bit et 16 bit, deux entreprises s'affrontaient, Nintendo et Sega. C'est le patrimoine vidéoludique de ce dernier auquel les pirates rendent hommage en permettant à la NES mini d'exécuter les jeux de la Megadrive (Genesis aux USA). Et pas seulement : le programme RetroArch que les bidouilleurs ont réussi à faire fonctionner sur la NES Classic Mini est un méta-émulateur, c'est à dire un logiciel capable de simuler le comportement de plusieurs consoles. Ainsi, outre la Megadrive, les hackers ont exécuté les cores (les sous-programmes d'émulation) de l'Atari 2600, mais aussi des Super Nintendo, Gameboy et Gameboy Color, comme en témoigne la vidéo ci-dessus. La prouesse technique est louable, mais il n'en reste pas moins que la NES Classic Mini est plus limitée technique qu'un bon gros Raspberry Pi 3. Quant aux manettes de la NES, il lui manque pas moins de 4 boutons par rapport à la SNES. De quoi s'arracher les cheveux à Street Fighter II.
  24. Windows 10 Creators Update se dote d'une fonction « Picture In Picture » Le mode Compact Overlay Window permet à certaines applications de fonctionner dans une petite fenêtre toujours située au premier plan du bureau. Microsoft continue de proposer des versions préliminaires de la mise à jour Creators Update de Windows 10 et la nouvelle build 15031 est désormais disponible pour les Insiders. Elle corrige de nombreux bugs et ajoute deux fonctions. La première permet de lancer un programme dans une petite fenêtre qui reste affichée automatiquement au-dessus des autres applications. Ce mode « Compact Overlay Window » s'apparente à la fonction « Picture In Picture » (PiP) présente sur certains téléviseurs et sur le navigateur Opera, pour l'affichage entre autres des vidéos YouTube. Elle est également proposée dans le système macOS Sierra d'Apple. Ce mode d'affichage se révèle pratique pour regarder une vidéo ou passer un appel Skype pendant que l'on fait autre chose. En revanche, il n'est disponible que pour les applications UWA (Universal Windows Platform), à condition que le développeur l'ait prévu. Les applications traditionnelles Windows ne pourront donc pas en profiter. De plus, nous n'avons pas trouvé pour l'instant de programme qui en tire parti. Néanmoins Microsoft a annoncé qu'elle sera utilisée par les futures versions de ses applications Skype et Films & TV. Un verrouillage automatique par Bluetooth La nouvelle build dispose également de la fonction Dynamic Lock qui permet de verrouiller son ordinateur automatiquement quand on s'absente. Elle fonctionne en Bluetooth avec l'appairage d'un smartphone. Dès que l'appareil mobile n'est plus détecté pendant 30 secondes, Windows empêche l'accès à l'ordinateur. Outre ces deux fonctions, Microsoft ajoute 52 jeux supplémentaires pour l'utilisation de sa barre de jeu (Game Bar) en plein écran. Citons Civilization VI, Dishonored 2, Path of Exile, The Witcher 2: Assassins of Kings et GTA V. La barre de jeu est une barre d'icônes qui donne accès facilement à certaines fonctions, dont la capture d'écran et le streaming de parties. La mise à jour Creators Update de Windows 10 est prévue pour le mois d'avril. Source : Microsoft
  25. Free Mobile : des coupures internet inexpliquées depuis janvier Des clients Free Mobile se plaignent d’être déconnectés lorsqu’ils tentent d’utiliser leur data. L’opérateur n’est pas parvenu pour le moment à résoudre le problème. Qu’arrive-t-il au réseau de Free Mobile depuis ce 1er janvier ? Le site Univers Freebox fait état de gros dysfonctionnements concernant l'internet mobile. Certains abonnés sont en effet brusquement déconnectés alors qu’ils utilisent de la data. Ils n’ont d’autre recours alors que de redémarrer leur téléphone. Mais ne rencontrent aucun problème de voix ou de SMS. « Je suis obligé de redémarrer le tel plusieurs fois par jour. Je commence à saturer », s’exaspère un internaute sur les forums d’Univers Freebox. Les clients décrivent tous la même chose : leur appareil fonctionnait très bien jusqu'au début 2017. Et les bugs ne surviennent que lorsqu’ils se trouvent en itinérance sur le réseau d’Orange. Est-ce due à la limitation du débit en itinérance avec Orange ? Or, depuis le 1er janvier 2017, le débit 3G de Free Mobile en itinérance avec Orange est plus fortement limité, conformément à ce que souhaitait l’Arcep dans le cadre de la fin programmée de cet accord. La vitesse ne peut ainsi excéder 1 Mbit/s en download et 448 Kbit/s en upload. On peut donc se demander si ces déconnexions à répétition ne sont pas liées à ce nouveau cadre. Reste un mystère. Toujours d’après Univers Freebox, les bugs ne surviendraient que sur certains appareils : Motorola Moto X seconde génération, One Plus X ou encore Nokia Lumia 640. Free Mobile n’a pas souhaité réagir pour le moment à nos sollicitations sur le sujet. Quant à sa hotline, elle semble désemparée face à la situation. Elle conseille le plus souvent aux clients de changer de carte SIM ou de régler l’APN (Access Point Name), le point d’accès qu’utilise le téléphone pour accéder au réseau internet mobile de l’opérateur. Sans effet sur le problème.