Accueil Le blog Page 3

SFR : 1 million de box vulnérables aux hackers !

sfr

Mauvaise nouvelle pour les abonnés de SFR : du mois de mars au mois de mai 2017, des hackers auraient aisément pu pirater vos box, mais aussi s’emparer de toutes les données confidentielles contenues par celles-ci pour vous piéger. L’opérateur a préféré ne pas informer ses clients de l’existence de ses failles de sécurité, corrigées depuis. 

Selon un article du journal Le Point, aucun pirate n’a heureusement profité de ses failles de sécurité pendant le laps de temps où elles sont restées grandes ouvertes. L’opérateur a récemment confirmé l’existence de ces 2 défaillances, et a affirmé que tout a été résolu dans les deux jours ayant suivi leur découverte, en mai dernier. Toujours selon Le Point, ces failles de sécurité résultent de la fusion de Numericable et de SFR en 2014. C’est en tentant de relier dans l’urgence les deux réseaux, auparavant incompatibles, que les ingénieurs informatiques ont inconsciemment créé ses failles.

SFR : 2 failles de sécurité repérées dans les serveurs de l’opérateur !

La première faille évoquée par Le Point permettait à un hacker d’accéder à la page d’administration de votre box en se munissant simplement de votre adresse IP. Armé des données administrateurs, des mots de passe admin et de vos identifiants, il aurait par exemple pu changer le mot de passe de votre wi-fi et visiter les sites web que vous consultez. A partir de là, un cybercriminel astucieux n’aurait eu aucun mal à récupérer vos coordonnées bancaires en vous déviant vers un site factice. Ainsi malgré toutes vos précautions contre les tentatives de phishing, vous n’auriez rien pu faire !

La seconde faille repérée est encore plus inquiétante. En exploitant cette faille de sécurité, un hacker aurait facilement pu trouver un accès jusqu’aux serveurs centraux de l’opérateurs, qui contiennent toutes les informations les plus confidentielles. Avec un accès illimité à la gestion des mises à jour des box de tous les abonnés clients SFR, un pirate aurait pu mettre toutes ces box à profit pour déployer une cyberattaque de très grand ampleur !

Chez les entreprises de la technologie en général, cacher des failles de sécurité est désormais monnaie courante. On se souvient par exemple de la cyberattaque qui a touché Microsoft en 2013. Afin de ne pas perdre la face en public et de ne pas donner d’infos aux hackers, l’entreprise avait préféré étouffer l’affaire.

phonandroid

Vulnérabilité critique chez VMware : installez le patch dès que possible !

 

 

vulnérabilité

 

Le 15 septembre dernier, VMware a publié un avertissement selon lequel certaines versions d’ESXi, Workstation et Fusion étaient affectées par une vulnérabilité en écriture hors limites.

VMware développe des logiciels de virtualisation qui permettent à un ordinateur (hôte) de prétendre être un ou plusieurs pseudo-ordinateurs (invités).

Chaque invité est une « machine virtuelle » ou VM, qui pense être un véritable ordinateur. Les machines virtuelles sont isolées les unes des autres vis-à-vis de l’hôte via le logiciel de virtualisation.

Cet isolement est particulièrement important dans un environnement d’hébergement, où un serveur physique peut fournir des instances de serveurs virtuels à plusieurs clients différents en même temps.

Cette vulnérabilité en écriture hors limites, dans les produits VMware, permet aux invités de sortir de leur espace confiné : un cybercriminel peut, en effet, échapper aux limites d’une machine virtuelle et exécuter un code malveillant sur la machine sur laquelle la VM fonctionne.

L’impact de cette vulnérabilité est potentiellement assez élevé, ce qui explique pourquoi VMware a classé cette dernière comme critique. Cependant, Zero Day Initiative, qui a travaillé avec les deux chercheurs qui ont découvert ce problème avant de la divulguer auprès de VMware, ne donne à cette vulnérabilité qu’un score moyen de 6.2.

L’approche de ZDI est que, bien que l’impact soit potentiellement élevé, il ne s’agit pas d’une vulnérabilité facile à exploiter. En effet, elle nécessite un accès local (via un accès physique ou shell local) et la complexité de l’accès est élevée. Dans ce cas, le cybercriminel doit déjà pouvoir exécuter un code à faible privilège, sur la machine virtuelle, pour activer cette vulnérabilité.

Heureusement, VMware a publié un correctif pour cette vulnérabilité (CVE-2017-4924), de sorte que les conseils standards, à savoir « patchez dès que  possible !, s’appliquent.

Les versions 6.5 d’ESXi, Workstation 12.x et Fusion 8.x sur OSX sont toutes vulnérables vis-à-vis de ce bug. Ainsi, mettez à jour dès que possible si vous ne l’avez pas encore fait !

Billet inspiré de Critical VMware vulnerability, patch and update now, sur Sophos nakedsecurity.

Bad Rabbit : attention, une nouvelle cyberattaque !

Des entreprises en Russie et en Ukraine ont été attaquées, hier mardi 24 octobre 2017, par Bad Rabbit, un type de ransomwares très proche de NotPetya.

En soirée, l’épidémie s’était répandue en Europe, incluant la Turquie et l’Allemagne. Les victimes de ce ransomware, signalées jusqu’à présent, comprenaient des aéroports, des gares et des agences de presse.

L’agence de presse russe Interfax a rapporté sur Twitter que l’épidémie avait touché certains de ses serveurs, forçant Interfax à se rabattre sur son compte Facebook pour diffuser les informations.

L’ingénierie sociale comme point de départ

La cyberattaque Bad Rabbit semble avoir démarré via des fichiers sur des sites web de médias russes piratés, utilisant le prétexte très populaire d’être un simple installateur Adobe Flash.

Si Bad Rabbit infecte votre ordinateur, il tente ensuite de se propager sur le réseau à l’aide d’une liste de noms d’utilisateur et de mots de passe cachée au sein du malware. Ces identifiants font apparaitre des mots de passe provenant directement de la liste des pires mots de passe utilisés. Ainsi, nous vous le rappelons une nouvelle fois, si nécessaire, les mots de passe doivent être forts, même ceux que vous utilisez avec la protection du pare-feu de votre entreprise.

bad rabbit

Ensuite, ce dernier chiffre non seulement vos fichiers, en ajoutant encrypted à la fin de chaque nom de fichier, mais aussi le MBR (Master Boot Record) de votre ordinateur. Vous tombez enfin sur le message suivant, qui vous invite à procéder au paiement via un service Tor caché (un site web anonyme sur le Darknet) :

Oops! Your files have been encrypted.

If you see this text, your files are no longer accessible. 
You Might have been looking for a way to recover your files. 
Don't waste your time. No one will be able to recover them 
without our decryption service.

We guarantee that you can recover all your files safely. 
All you need to do is submit the payment and get the 
decryption password.

Visit our web service at [redacted]

La propagation géographique de Bad Rabbit ressemble à ce jour à celle de NotPetya, qui a fait le tour du monde en juin, après être apparu au début en Ukraine.

Les mesures défensives

Sophos bloque actuellement le malware Bad Rabbit sous le nom : Troj/Ransom-ERK.

De plus, Sophos Intercept X empêche de manière proactive ce malware d’attaquer vos données : le composant CryptoGuard empêche le ransomware de chiffrer vos fichiers et WipeGuard empêche, quant à lui, les écritures de bas-niveau sur le disque qui modifient le secteur de démarrage.

NB : Pour plus d’informations sur la protection Sophos, consultez notre article Support Knowledge Base intitulé Bad Rabbit ransomware: What to do ?).

Voici quelques conseils généraux pour renforcer vos défenses contre ce type de cyberattaque :

  • Débarrassez-vous de Flash définitivement. Les faux installateurs et fausses mises à jour de Flash sont des tactiques d’ingénierie sociale redoutables uniquement si vous utilisez ou désirez conserver Flash sur votre ordinateur. Ainsi, en supprimant définitivement Flash, vous vous protégez vis à vis des failles zero-day de Flash, mais vous évitez aussi les risques encourus en téléchargeant de fausses mises à jour.
  • Installez les correctifs/pacths le plus rapidement possible. Des épidémies telles que NotPetya et WannaCry exploitaient une vulnérabilité pour laquelle des correctifs étaient déjà disponibles. Ne tardez pas à installer les patchs lorsqu’ils sont disponibles concernant des failles de sécurité connues, les cybercriminels ne se gêneront pas pour en profiter !
  • N’oubliez pas de faire des sauvegardes. Faites-les régulièrement, et gardez une sauvegarde récente à la fois hors ligne et hors site, de sorte que vous puissiez y accéder même si votre lieu de travail n’est plus accessible en raison d’un incendie, d’une inondation ou d’un autre incident qui ne serait pas lié directement à un malware.
  • Ne transformez pas les utilisateurs en administrateurs. Lorsque vous souhaitez effectuer des tâches administratives, faites en sorte de basculer sur un compte de type administrateur, et abandonnez ces privilèges dès que possible. Les malwares utilisant les réseaux, tels que Bad Rabbit, peuvent se propager sans même avoir à deviner les mots de passe, si vous disposez déjà d’un accès administrateur aux autres ordinateurs du réseau.

Pour plus d’informations sur les ransomwares, n’hésitez pas à lire notre article : Ransomware, comment s’en protéger, et à écouter notre podcast Techknow :

Si vous êtes un utilisateur à domicile, pourquoi ne pas vous inscrire pour recevoir et pouvoir utiliser la version bêta gratuite de Sophos Home Premium ? Cette dernière comprend les fonctionnalités CryptoGuard et WipeGuard, mentionnées ci-dessus, qui bloquent le chiffrement non autorisé des fichiers et des secteurs du disque dur.

Billet inspiré de Bad Rabbit ransomware outbreak, sur Sophos nakedsecurity.

Microsoft Outlook sous la menace d’assauts liés à une vulnérabilité 0-Day

microsoft-outlook-vulnerabilite-zero-day

Une vulnérabilité affectant un protocole d’échange de données permet d’installer des chevaux de Troie sans exploiter les macros dans Office.

La suite Microsoft Office, et particulièrement Outlook, serait sous la menace d’une vulnérabilité 0-Day. Autrement dit, une faille de sécurité non colmatée dans le logiciel de l’éditeur susceptible de servir de point d’entrée pour une cyberattaque.

Sophos pointe en effet un défaut du protocole Dynamic Data Exchange (DDE) de Microsoft.

DDE permet d’envoyer des messages et partager les données entre les applications. Selon le chercheur Mark Loman, un attaquant pourrait exploiter cette vulnérabilité pour exécuter un malware sans utiliser de macro.

Si le protocole existe depuis 1993, la faille qui l’accompagne n’a été mise en évidence qu’à l’occasion du bulletin de sécurité du mois d’octobre.

Depuis, « de nombreux attaquants utilisent l’astuce pour déployer des chevaux de Troie d’accès à distance », déclare le chercheur de Sophos.

Attaque depuis une invitation Outlook

Le mode de propagation reste le même qu’habituellement. Les attaquants envoient un e-mail avec une pièce jointe sous forme d’un fichier Word ou Excel qui contient une macro infectieuse.

Tant que l’utilisateur n’exécute pas cette macro, il reste protégé.

Mais avec la faille DDE, même si l’exécution de macro est désactivée par défaut, l’attaquant peut mener sa tentative d’infection à bien.

Il est également possible de déclencher des attaques DDE dans Outlook via des courriels ou, directement, des invitations formatées avec Microsoft Outlook Rich Text Format.

« En plaçant le code dans le corps même du message, l’attaque est de plus en plus possible alors que faire tomber une personne ciblée dans le piège devient plus facile », considère Sophos dans son alerte.

Sauvé par les boîtes de dialogue

Par chance, l’exploitation de la faille DDE n’affranchit pas l’affichage des boîtes de dialogue invitant à valider, ou pas, l’action requise. L’utilisateur y trouvera là son salut s’il reste attentif au message alors affiché.

Celui-ci prévient notamment que certaines données ne sont pas accessibles et propose de lancer l’invite de commande pour les exécuter.

Une formulation suffisamment inhabituelle pour mettre la puce à l’oreille de l’utilisateur ciblé. Il en aura besoin.

Sauf à disposer d’une solution de sécurité stoppant ce type d’attaque, Microsoft n’a, pour l’heure, pas indiqué s’il comptait corriger la faille de son protocole.

silicon

Un salarié commet une faute grave en cas de téléchargements illicites et d’avertissement Hadopi

 

Le 4 octobre dernier, la Cour d’appel de Poitiers a jugé que des faits de téléchargements illicites sur le lieu de travail, suivis d’un avertissement Hadopi adressé à l’employeur, pouvaient justifier le licenciement pour faute grave d’un salarié.

Un homme avait été embauché en contrat à durée déterminée le 11 septembre 2013 comme vendeur dans une entreprise de produits de vapotage. Le 10 janvier 2014, il a fait l’objet d’une mise à pied pour fautes graves. Après l’entretien de vigueur, il fut licencié pour ce motif le 25 janvier 2014.

Par jugement du 12 mai 2015, le conseil de prud’hommes de Poitiers a néanmoins considéré abusive cette procédure de licenciement. Elle a condamné l’employeur à verser un peu plus de 1 900 euros au salarié. Saisie, la Cour d’appel de Poitiers n’a pas été de son avis. Elle vient de juger finalement la procédure conforme aux prescriptions du Code du travail.

Un avertissement Hadopi et un coup de gomme

Dans son jugement mis en ligne par la base Doctrine.fr, on découvre surtout que parmi les fautes graves reprochées à ce salarié, figurait, outre la vente de produit de tabacs à des mineurs, le téléchargement illégal en P2P sur l’ordinateur du magasin.

L’employeur, titulaire de l’abonnement, avait en effet reçu un avertissement de la Hadopi en date du 6 novembre 2013 constatant des téléchargements en P2P effectués le matin du 19 octobre 2013. Par la suite, aidé d’un logiciel de récupération de données, il avait retrouvé les fichiers effacés visiblement par l’employé : des films et des vidéos pornos, rangés dans un dossier « Steph000 » sur l’ordinateur professionnel.

Mise en péril de l’entreprise

Devant la Cour d’appel, le salarié a contesté la fiabilité de ce logiciel d’extraction, d’autant que quiconque a pu créer ce fameux dossier. Mais les juges n’ont pas été convaincus puisque la personne remerciée « avait seul l’usage du PC de la boutique et que son nom apparaît sur les téléchargements illégaux effectués ».

Pour la Cour, les griefs sont au final graves puisqu’ils relatent « des téléchargements illégaux pouvant donner lieu à des poursuites pénales à l’encontre de [l’employeur], titulaire de l’accès Internet, et à la privation de ce dernier de nature à mettre en péril l’existence de l’entreprise ».

Elle a donc jugé fondée la rupture anticipée de son contrat de travail à durée déterminée. On relèvera cependant que la suspension d’accès a été supprimée de la contravention pour négligence caractérisée, alors qu’elle reste possible en tant que peine accessoire à une condamnation pour contrefaçon.

Antivirus : le classement AV-Comparatives en septembre

AV-Comparatives-sept-2017

Le laboratoire AV-Comparatives publie les derniers résultats de son test de protection dit dans le monde réel. Il porte sur le mois de septembre. Une vingtaine de solutions de sécurité ont été testées dans un environnement Windows 10 RS2 64 bits, et avec des logiciels tiers à jour (Adobe Flash, Adobe Acrobat Reader, Java…).

Ce sont 355 tests en direct qui ont consisté en une exposition à des URLs malveillantes avec des exploits de type drive-by download (infection par un malware lors d’une simple consultation) ou des URLs pointant directement vers un malware.

Six solutions ont bloqué tous les échantillons malveillants : Bitdefender Internet Security, Kaspersky Internet Security, Panda Free Antivirus, Tencent PC Manager, Trend Micro Internet Security et F-Secure Safe.

AV-Comparatives-sept-2017
En prenant en considération le nombre de faux positifs, les trois solutions classées en tête sont celles de Bitdefender, Kaspersky Lab et Panda Security. On notera que Windows Defender de Microsoft s’est fait avoir en déléguant la décision d’un blocage à un utilisateur, et rivalise avec des solutions de renom.

AV-Comparatives souligne que si des produits parviennent à atteindre un taux de protection de 100 % dans un test, cela ne signifie pas qu’il en sera toujours pareil. C’est la vérité du moment face aux échantillons malveillants actuellement propagés.

Le logiciel espion FinFisher serait désormais déployé par les FAI de sept pays

Mort, FinFisher ? Le logiciels espion qui compte parmi les plus utilisés par les gouvernements a en réalité la peau dure. Selon la firme de sécurité informatique ESET, le programme de l’industriel anglais Gamma International est loin d’être affaibli : la société note même un renforcement de sa menace dans sept pays.

«  Ennemie d’Internet » selon Reporters Sans Frontières, la firme Gamma est depuis 2011 sous le feu des projecteurs pour sa gamme de produits de cyberespionnage FinFisher.

Disposant toujours d’un site commercial, la firme — malgré les critiques et l’exposition provoquée par la divulgation de codes sources en 2014 — continue d’opérer pour les régimes autoritaires en vendant des cyberarmes.

Menace étendue

Très loin d’être éteints, les logiciels espions de Gamma ont ainsi été de nouveau découverts en service dans pas moins de sept pays par la firme de sécurité Eset. Cette dernière précise avoir découvert que les programmes de l’industriel ont été mis à jour et améliorés récemment : ils étendraient leur portée grâce à la collaboration de certains fournisseurs d’accès internet.

Capture d’écran du site commercial de FinFisher

Pour rappel, FinFisher, dans sa version malware pour PC, dispose d’accès aux webcams, aux microphones, et également un keylogger — il enregistre les touches frappées par sa victime — et peut extraire des fichiers sur les ordinateurs touchés selon Eset. Il sert principalement aux services secrets, aux forces de l’ordre et aux gouvernements dans une multitude de régimes allant du Golfe arabique à l’Europe de l’Est, en passant par l’Allemagne et le Royaume Uni selon les suppositions de Citizen Lab.

Aujourd’hui, la firme Eset pense avoir découvert une nouvelle méthode d’infection utilisée par FinFisher pour s’introduire dans les ordinateurs de ses victimes. Dans un billet de blog, Philip Kafka explique avoir décelé la collaboration de certains fournisseurs d’accès avec le logiciel. Ces derniers apporteraient leur aide pour fournir des versions vérolées de certains logiciels particulièrement populaires comme Skype, WhatsApp, Avast, WinRAR, ou encore le lecteur VLC. Au-delà de ces exemples, Filip Kafka de la firme nous explique qu’en tout 13 applications sont concernées par les découvertes.

L’expert ajoute toutefois : «  Cela ne veut pas forcément dire qu’elles ont toutes été exploitées ou qu’elles ont toutes coopéré dans cette campagne. Il s’agit d’une astuce utilisée par les chevaux de Troie, de contenir des applications légitimes. Toute application pourrait être abusée de cette façon.  »

Infection des premiers maillons d’Internet

Par le passé, pour répandre ses malwares, les utilisateurs de FinFisher s’employaient à utiliser des failles de sécurité, mais également du hameçonnage, de la production d’attaques point d’eau ciblées et, plus rarement des infections réalisées grâce à une présence physique : dans tous les cas, l’attaque exigeait de compromettre au moins un maillon entourant l’utilisateur. Désormais, le malware a simplifié et dramatiquement aggravé sa portée en étant diffusé grâce à l’aide des FAI.

Des sept pays concernés par les découvertes d’Eset, deux emploient une méthode impliquant des fournisseurs d’accès. Cette technique est particulièrement infaillible pour les services utilisant FinFisher : l’utilisateur va se rendre sur le site d’une application populaire pour la télécharger et lorsqu’il se dirigera vers le téléchargement du fichier binaire, sa demande sera transférée par le fournisseur vers une version corrompue fournie par les services. Selon Filip Kafka, les campagnes menées concerneraient les utilisateurs de Windows.

Sur un site légitime, l’utilisateur peut être confronté à un détournement de sa demande vers une version du logiciel contenant un malware / Eset

Les fournisseurs d’accès des pays concernés utiliseraient à cette fin un produit de Gamma appelé FinFly ISP réservé aux FAI et découvert par WikiLeaks auparavant (PDF). Ce programme s’appliquerait aux fournisseurs et permettrait de gérer la contamination des utilisateurs dès l’origine de leur accès Internet. Les chercheurs d’Eset sont arrivés à cette conclusion en notant que dans les deux pays où la technique a été retrouvée, la méthode était similaire et fonctionnait au plus haut maillon de la chaîne de l’accès au web. Il ne peut donc s’agir d’une simple attaque d’un hotspot par exemple.

Selon nos observations, des sites comme celui de WhatsApp fonctionnent néanmoins avec un protocole sécurisé (HTTPS), ce qui permet de réguler légèrement l’emprise des FAI sur les données échangées. Le cybersecurity leader de l’antenne francophone d’Eset nous détaille à ce propos que les sites utilisant SSL ne seraient pas victimes des redirections selon les observations de la firme. Mais, il ajoute également, « il existe de nombreux sites « locaux », qui vous offrent des applications pour téléchargement et qui ne respectent pas ces normes de sécurité. Ceux-ci peuvent ou non utiliser HTTPS (SSL). La version de type trojan de WhatsApp a été signifiée à l’utilisateur lorsqu’il voulait télécharger WhatsApp depuis un site Web non officiel.  »

Nouvelles menaces, nouvelles protections ?

Les chercheurs détaillent en outre que FinFisher a complexifié sa propre protection et se mue progressivement en programme toujours plus discret et aux tentacules encore élargis.

Le logiciel utiliserait, pour se dissimuler, un code de virtualisation de son invention afin de dissimuler des pilotes systèmes corrompus. En outre, une pléiade de techniques contre les plus aventureux hackeurs a été ajoutée : des programmes de lutte contre le sandboxing, contre la virtualisation, l’émulation et l’accès par debugging.

Eset note enfin un détail qui a son intérêt pour aborder la relation complexe qu’ont les gouvernements avec le chiffrement : FinFisher utiliserait différents outils de chiffrement connus afin de les infecter et par extension, les utilisateurs adoptant ces derniers.

Ainsi, Threema, un programme chiffrant les messageries instantanées, est diffusé dans une version frauduleuse par Gamma. Cette dernière espionne son utilisateur tout en chiffrant ses messages. Il en va de même pour le populaire logiciel TrueCrypt, non maintenu depuis 2014 et à éviter, distribué avec un Cheval de Troie par l’éditeur de FinFisher.

FinFisher utiliserait différents outils de chiffrement connus afin de les infecter

Pour des raisons de protection de ses travaux et sources, la firme de sécurité n’a pas pu nous dévoiler les deux pays pratiquant une contamination par leurs fournisseurs d’accès. Il est toutefois préférable de se figurer qu’un Internaute voyageant dans un pays concerné serait vulnérable.

Il va devenir progressivement important de réunir, avant tout voyage dans des zones touchées par ce type de politique, les logiciels nécessaires aux besoins de l’internaute pour éviter les techniques de diffusion à l’échelle des FAI locaux.

M. Kafka, d’Eset, précise en outre à propos des téléchargements de logiciels en ligne : « Vous devez vérifier si la demande [de téléchargement sur le site] est signée par un certificat numérique correct » afin de se prémunir de tels tours de passe-passe.

Néanmoins, si cette première protection s’avère insuffisante ou douteuse, il faut vérifier l’intégrité du fichier reçu selon l’expert : « Si ce n’est pas le cas ou si le fournisseur d’une application n’a pas de certificat numérique, vous devez vérifier le fichier hash du fichier sur le site Web des fournisseurs. Mais cela peut être faussé aussi, surtout quand on parle de protocole HTTP non codé. Donc, s’il n’y a pas de certificat et que vous l’avez téléchargé via HTTP [par opposition au protocole HTTPS, chiffré], vous devriez être très méfiant.  »

numerama

L’enceinte connectée Google Home Mini espionnait ses utilisateurs

 

L'enceinte connectée Google Home Mini espionnait ses utilisateurs

 

Petite mais indiscrète. La Google Home Mini est accusée d’avoir espionné ses utilisateurs pendant plusieurs jours. Présenté le 4 octobre dernier lors de la conférence de rentrée de Google, cet assistant domestique miniature permet de répondre à des questions, dérouler l’agenda ou donner la météo du jour. À quelques jours de sa sortie officielle, le 19 octobre prochain, elle a été prêtée à plusieurs journalistes pour une phase de test. L’un d’entre eux, Arthem Russakovskii, s’est rendu compte que le Google Mini était en fait à son écoute 24 heures sur 24 en raison d’un bug activant d’office l’assistant. Normalement, il faut initier un ordre par «OK Google» pour que se déclenche l’assistant et qu’il enregistre les bruits et voix environnants. Le journaliste s’est toutefois aperçu que les diodes situées sur le dessus de l’appareil clignotaient de façon intempestive, signalant que l’appareil était en fait «sur écoute». Pour confirmer son intuition, le journaliste s’est connecté à l’interface qui recense l’ensemble des activités enregistrées sur les appareils connectés à Google. Il a alors compris que la quasi-totalité de ses conversations avaient été transmises à Google.

Google a réagi en quelques heures à ce dysfonctionnement, préférant «retirer de façon permanente» l’option responsable de cette faille de ses Google Home Mini. Le constructeur a en effet placé un bouton tactile au sommet de l’enceinte qui s’active à la moindre vibration. La mise à jour des Home Mini devrait être effective à compter du 15 octobre 2017.

Lancement stratégique

Google ne veut absolument pas rater le lancement de la Google Home mini, sur laquelle il compte beaucoup pour s’imposer sur le marché des enceintes connectées. Cette déclinaison de l’enceinte intelligente Google Home, est vendue beaucoup moins cher que sa grande soeur à 149 dollars: elle coûte 49 dollars (59 euros) et se décline en trois coloris. Mais comme le reste de la gamme, elle est activée via l’assistant vocal Google Assistant et se montre compatible avec 1000 objets connectés. Elle peut aussi tout simplement diffuser de la musique ou la radio sur simple commande vocale. Avec son tarif attractif, Google Home mini doit introduire les services de Google dans un maximum de foyers et encore mieux rivaliser avec Apple et Amazon, absents pour le moment du marché français mais déjà très présents sur le marché des assistants intelligents.

Depuis 2016, Amazon propose l’Echo Dot, une version minuscule de son enceinte intelligente Amazon Echo commercialisée 49,99 dollars. Grâce à ce produit accessible, Amazon a réussi à intégrer son intelligence artificielle Alexa dans de nombreux foyers américains. Les enceintes Echo d’Amazon sont conçues pour inciter les utilisateurs à commander des produits sur Amazon directement avec leur voix.

L’assistant personnel est en fait une porte d’entrée de la grande consommation: on ne va plus faire ses courses sur un site en ligne, mais commander directement un produit à un assistant vocal. Les entreprises qui développent ces logiciels y voient une aubaine commerciale: elles peuvent construire des espaces clos, avec quelques applications partenaires savamment choisies, qui favorisent leurs propres affaires. Leur argument est avant tout celui de la simplicité: quand on utilise un appareil sans écran ni clavier, il est plus pratique de prononcer le nom d’un produit plutôt que de parcourir le catalogue d’un magasin en ligne.

Cela pose toutefois de graves problèmes de concurrence. Google a déjà été condamné par Bruxelles pour abus de position dominante, car il mettait davantage en avant ses produits sur son moteur de recherche et Android.

France Télévisions oblige Canal+ à stopper certaines fonctionnalités sur ses chaînes

Une bisbille contractuelle oppose Canal+ à France Télévisions. Plusieurs fonctionnalités ont du coup sauté de myCanal à la demande du groupe public, notamment s’agissant des fonctions d’enregistrement sur les flux à la demande.

La gestion des droits est une question épineuse dont les premières victimes sont trop souvent les utilisateurs. En témoigne ce message posté sur l’espace client de Canal+ qui relate qu’à la demande de France Télévisions, « nous sommes dans l’obligation de restreindre l’accès à certaines fonctionnalités liées aux chaînes et contenus A LA DEMANDE de France 2, France 3, France 4, France 5, France Ô et Franceinfo ».

Comme nous l’évoquions ce matin, depuis le 12 octobre, il n’est ainsi plus possible d’utiliser la fonction téléchargement Download To Go sur PC et Mac. Une fonctionnalité qui permettrait de regarder hors connexion les programmes de FTV disponibles à la demande. De même, « la fonction REVOIR (Start-Over) n’est plus accessible sur myCANAL et pour les abonnés disposant d’un décodeur CUBE S (G6) ».

Selon nos informations auprès d’une personne proche du dossier, l’accord rémunérateur noué entre Canal+ et France Télévisions visait bien le replay mais non les autres fonctionnalités techniques. La chaîne payante avait malgré tout offert ces outils accessoires à ses abonnés.

Sans doute en raison des restrictions budgétaires ambiantes, FTV a décidé de mettre fin à cette tolérance par avocats interposés. Voilà pourquoi Canal+ évoque, en les contestant, des restrictions d’accès faisant « suite à une demande de rémunération de la part des chaînes du service public  ».

nextinpact

KRACK : failles critiques pour WPA2 et la sécurisation des réseaux Wi-Fi

alertePour la sécurisation des réseaux sans fil Wi-Fi, le protocole Wi-Fi Protected Access (WPA) a pris la succession de Wired Equivalent Privacy (WEP) afin de pallier les différentes failles l’affectant. Des chercheurs en sécurité vont dévoiler des failles critiques touchant WPA2.

Mathy Vanhoef et Frank Piessens de KU Leuven et imec-DistriNet sont inscrits à la conférence ACM sur la sécurité informatique et des communications à Dallas aux États-Unis pour y présenter le 1er novembre des attaques KRACK (Key Reinstallation AttaCK) permettant de contourner la sécurité WPA2.

Le nom de Mathy Vanhoed figure également au programme de la conférence Black Hat Europe 2017 à Londres en décembre pour présenter des vulnérabilités touchant la gestion des clés de chiffrement dans WPA2. Il est évoqué une exploitation avec des attaques de réinstallation de clé, et un problème au niveau du protocole lui-même.

Toutefois, une divulgation devrait intervenir dès aujourd’hui via le site Krackattacks.com. Sur GitHub, une page appartenant à Mathy Vanhoed en prélude à cette publication a par ailleurs été repérée.

Selon Ars Technica, une dizaine de numéros CVE ont été réservés afin d’identifier les vulnérabilités en rapport avec KRACK : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 et CVE-2017-13088.

Le site indique également qu’une alerte de l’US-CERT a déjà été diffusée auprès d’une centaine d’organisations. Elle évoque des vulnérabilités au niveau de la procédure d’authentification 4-Way Handshake dans le protocole WPA2.

Grâce à l’exploitation des vulnérabilités (par un attaquant à proximité), l’US-CERT fait allusion à du déchiffrement des flux, de l’usurpation d’identité, le détournement de connexions TCP, l’injection de contenu HTTP et autres. Et ce n’est donc pas un problème de mauvaise implémentation du protocole…

generation nt