#Le brief du 01 mars 2023

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

Le 01 mars 2023 à 07h43

On pouvait s’en douter au vu des éléments passés, c’est maintenant confirmé par un nouveau billet de LastPass sur sa fuite de données : l’ordinateur personnel d’un développeur avait été piraté.

Plus précisément, c’est lors d’une deuxième phase d’attaque, en octobre dernier, que les pirates sont partis en reconnaissance de l’infrastructure de LastPass. Ils ont ensuite ciblé l’ordinateur personnel d’un ingénieur DevOps senior et profité d’une faille non colmatée dans un logiciel tiers.

La faille était suffisamment béante pour permettre l’exécution d’un code arbitraire à distance, soit le pire des scénarios. Les pirates en ont profité pour installer un keylogger, permettant d’enregistrer la frappe au clavier, et donc de récupérer les précieux identifiants pour la suite.

Avec ces derniers, les malandrins ont pu accéder à un stockage cloud partagé réservé à seulement quatre employés, une véritable aubaine. Selon LastPass, cet accès a été d’autant plus difficile à détecter qu’il utilisait des identifiants légitimes. Jusqu’à ce que les pirates tentent une action non autorisée, déclenchant des alertes d’AWS, utilisé pour le cloud de l’entreprise. Mais il était trop tard, comme on le sait déjà.

On remarquera que ce type d’exploitation était au cœur d’un document fourni par Microsoft en décembre sur les limites de la double authentification. L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.

Le 01 mars 2023 à 07h43

LastPass : les pirates sont entrés par l’ordinateur d’un développeur

Gmail : le chiffrement de bout en bout est là, mais pas pour le grand public

Gmail : le chiffrement de bout en bout est là, mais pas pour le grand public

Le 01 mars 2023 à 07h43

 En décembre, Google annonçait que le chiffrement de bout en bout allait arriver dans Gmail. Une bêta était même disponible pour les entreprises.

Cette fois, il ne s’agit plus de bêta : le chiffrement de bout en bout est disponible officiellement, mais uniquement pour les comptes Workspace Entreprise Plus, Education Plus et Education Standard. En d’autres termes, une minorité des utilisateurs.

Comme presque toujours quand il s’agit d’email, seul le contenu est chiffré : le corps du texte dans l’email et les pièces jointes. Les métadonnées – destinataires, objet, etc. – restent en clair.

Au sein d’un parc informatique, la fonction doit être activée par l’administrateur et n’est pas disponible par défaut. Elle réclamera également une clé de chiffrement propre à l’entreprise.

Le 01 mars 2023 à 07h43

Gmail : le chiffrement de bout en bout est là, mais pas pour le grand public

Le démarchage téléphonique désormais limité en semaine, de 10 h à 13 h et de 14 h à 20 h

Le démarchage téléphonique désormais limité en semaine, de 10h à 13h et de 14h à 20h

Le 01 mars 2023 à 07h43

Depuis ce 1er mars, le décret 2022 - 1313 du 13 octobre dernier est entré en vigueur avec une restriction des heures pour le démarchage téléphonique des consommateurs. 

Il est désormais « autorisé uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il [est] interdit le samedi, le dimanche et les jours fériés ».

Le gouvernement rappelle que cet encadrement s'applique « aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu'à celles inscrites, mais sollicitées dans le cadre d'un contrat en cours ».

Il existe une exception : « si le consommateur a donné son consentement préalable pour être appelé, le décret ne s’applique pas et il pourra être sollicité en dehors de ces jours et de ces plages horaires ». 

D’autres restrictions sont en place depuis ce premier mars : 

« Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois (30 jours calendaires) par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Enfin, si le consommateur refuse ce démarchage lors de la conversation, il ne pourra pas être recontacté avant l'expiration d'une période de soixante jours calendaires révolus à compter de ce refus ».

Le 01 mars 2023 à 07h43

Le démarchage téléphonique désormais limité en semaine, de 10 h à 13 h et de 14 h à 20 h

Antonov An-225 Mriya débarque dans Flight Simulator

Antonov An-225 Mriya débarque dans Flight Simulator

Le 01 mars 2023 à 07h43

Cet avion mythique « est le plus long et le plus lourd avion du monde » avec pas moins de six moteurs, rappelle Wikipédia. Cet avion ukrainien a été détruit quelques jours après le début de l’invasion par la Russie. Microsoft vient d’annoncer qu’il était désormais disponible dans Flight Simulator, avec une vidéo de présentation à la clé

En novembre, le PDG D’Antonov a pour rappel annoncé la construction d’un second AN-225 en réutilisant en partie des pièces de celui qui a été détruit pendant la guerre en Ukraine. 

Le 01 mars 2023 à 07h43

Antonov An-225 Mriya débarque dans Flight Simulator

Rachat d’Activision Blizzard par Microsoft : Margrethe Vestager rappelle que ce n’est pas « une course »

Rachat d’Activision Blizzard par Microsoft : Margrethe Vestager rappelle que ce n’est pas « une course »

Le 01 mars 2023 à 07h43

Annoncée il y a un an, cette transaction à près de 69 milliards de dollars inquiète plusieurs acteurs du secteur (NVIDIA est rassuré depuis peu) ainsi que les autorités concernées.

La Federal Trade Commission américaine, la Competition and Markets Authority anglaise ainsi que la Commission européenne ont ouvert des enquêtes. 

Margrethe Vestager explique à Bloomberg que les autorités peuvent arriver à des conclusions différentes : « même lorsque nous examinons une transaction avec différents marchés et dispositions légales, nous obtenons parfois différents résultats ». Cette annonce intervient après que la CMA britannique a laissé entendre qu’elle pourrait demander plusieurs changements structurels comme la cession de la franchise Call of Duty ou carrément le blocage du rachat.

Une annonce faite alors que la FTC et la CE sont encore dans leur longue procédure. Margrethe Vestager ajoute que les analyses en cours sont importantes et que les autorités ne peuvent « pas être dans une course ». Vestager explique que l’Europe a les « obligations juridiques les plus lourdes » et que chaque décision doit pouvoir « résister à un examen devant les tribunaux ». 

Phil Spencer était de son côté interviewé par le Times et a rassuré les investisseurs sur le futur de l’activité Xbox. Alors que certaines rumeurs laissaient penser que Microsoft pourrait se séparer de sa division en cas d’échec du rachat, il affirme au contraire que « Xbox existera si cet accord n’est pas conclu ». Il faut dire que cette division est rentable et génère beaucoup de revenus pour Microsoft.

Le 01 mars 2023 à 07h43

Rachat d’Activision Blizzard par Microsoft : Margrethe Vestager rappelle que ce n’est pas « une course »

Camerci, pour récupérer les vidéos de caméras de surveillance

Camerci, pour récupérer les vidéos de caméras de surveillance

Le 01 mars 2023 à 07h43

Le journaliste indépendant David Libeau a créé Camerci, un site qui aide les internautes à récupérer les vidéos des caméras de surveillance qui les filment. Il se base sur l'article L253-5 du Code de la sécurité intérieure pour justifier cette possibilité : « Toute personne intéressée peut s'adresser au responsable d'un système de vidéoprotection afin d'obtenir un accès aux enregistrements qui la concernent […]. Cet accès est de droit ».

Concrètement, Camerci permet de pointer un lieu sur une carte et de créer un mail type pour faire la demande au responsable des enregistrements qui ont été faits aux moments où nous sommes passés. Le mail inclut automatiquement les numéros des caméras concernées.

Pour l'instant, le site ne recense que les caméras de la préfecture de police de Paris, mais l'idée est d'étendre à d'autres caméras. David Libeau a publié les sources du projet et incite à y contribuer « notamment récolter les données sur d'autres caméras + les coordonnées du responsable ».

Mise à jour : L'avocat Alexandre Archambault invite sur Twitter à la prudence dans l'utilisation de cet outil et donne l'exemple d'une condamnation récente à 10 000 € pour recours abusif. Dans les conditions d'utilisation du site, David Libeau prévient qu' « en utilisant ce site, l'usager s'engage à respecter les lois en vigueur, à ne pas usurper l'identité d'autrui et à ne pas abuser de l'outil par exemple en faisant de demandes intempestives ».

Le 01 mars 2023 à 07h43

Camerci, pour récupérer les vidéos de caméras de surveillance

Un bug lié au NFC d’iOS rend l’application France Identité erratique

Un bug lié au NFC d'iOS rend l'application France Identité erratique

Le 01 mars 2023 à 07h43

« L’application France Identité sur pause à cause d’un bug lié à Apple », explique France Info. Si l'équipe de développement a été « submergée de candidatures » dès l'ouverture de la phase de test au public, « seule une partie des volontaires y ont eu accès » : 2 500 utilisent un Android, les 2 500 restant une version d'iOS.

Or, « en récupérant les retours de ces utilisateurs équipés de tous les modèles d’iPhone », les développeurs de France Identité ont découvert un bug avec le composant NFC des iPhone 12, 13 et 14 sortis depuis septembre 2020, « ainsi que toutes leurs déclinaisons mini, Plus, Pro et Pro Max », précise Frandroid.

« Les trois générations d’iPhone les plus récentes présentent un comportement erratique au moment où l’on rapproche la carte plastifiée et sa puce, du téléphone. En clair, un jour, ça fonctionne, mais la fois suivante, sans aucune raison, il faut s’y reprendre à plusieurs reprises. »

Le problème serait « en cours d’investigation avec Apple », précise l'application.

Le 01 mars 2023 à 07h43

Un bug lié au NFC d’iOS rend l’application France Identité erratique

RGPD : noyb veut consacrer le droit d’accès à partir des cookies de suivi

RGPD : noyb veut consacrer le droit d'accès à partir des cookies de suivi

Le 01 mars 2023 à 07h43

noyb vient de porter plainte contre un site web et un courtier de données (« data broker ») qui ont failli à répondre à ses demandes de droits d'accès basés sur les données de leurs cookies de suivi.

« L'idée derrière ces plaintes est simple : si une entreprise peut utiliser un cookie pour suivre, profiler et m'envoyer de la publicité ciblée, pourquoi ne pourrais-je pas utiliser ce même cookie pour exercer mes droits RGPD ? », explique Stefano Rossetti, avocat spécialisé dans la protection des données chez noyb.

Or, plutôt que de répondre à ses demandes de droit d'accès, les organismes lui ont « demandé d'autres formes d'identification (telles que des détails personnels supplémentaires) ou ont complètement ignoré la demande ».

Le 01 mars 2023 à 07h43

RGPD : noyb veut consacrer le droit d’accès à partir des cookies de suivi

Un rapport pointe le lobbying des Big Tech contre la régulation des IA généralistes

Un rapport pointe le lobbying des Big Tech contre la régulation des IA généralistes

Le 01 mars 2023 à 07h43

Dans son rapport The lobbying ghost in the machine publié le 23 février, le Corporate Europe Observatory (CEO, principale entité œuvrant pour la transparence des entreprises en Europe) décortique les actions mises en place par les Big Tech pour éviter une régulation des intelligences artificielles générales (IAG ou general purpose AIs en anglais, GPAI).

Le document détaille notamment comment Google et Microsoft argumentent contre l’application du règlement européen sur l’intelligence artificielle aux fournisseurs de grands modèles de langage (LLMs, le type de technologie qui permet à ChatGPT et Dall-E de fonctionner) et d’autres IA généralistes.

À la place, ces géants numériques poussent pour que les régulations soient appliquées plus loin sur la chaîne de valeur, notamment sur les entreprises qui utiliseraient ces technologies à des fins jugées dangereuses.

Dans TechCrunch, notre consœur Natasha Lomas alerte sur le fait qu’une telle approche risquerait de déplacer la responsabilité de la sécurité et de la confiance dans les outils déployés vers les utilisateurs finaux, sans leur donner le même type de moyens ni d’échelle pour corriger les machines que ceux dont les constructeurs d’IAG disposent.

Comme l’ont noté nos confrères d’Euractiv puis de Reuters, les discussions sur le règlement sur l’intelligence artificielle ont pris du retard à cause de débats toujours très intenses sur la définition même de ce qu’ils cherchent à encadrer. Les législateurs peinent à s’accorder, en particulier, sur le type de modèles algorithmiques qui se verraient qualifié de « à haut risque », et donc soumis aux règles les plus dures.
Or, comme on l’a vu dans une précédente brève, la sortie de modèles génératifs très performants participe à compliquer la discussion.

Le 01 mars 2023 à 07h43

Un rapport pointe le lobbying des Big Tech contre la régulation des IA généralistes

Windows 11 : la grosse mise à jour February 2023 est disponible

Windows 11 : la grosse mise à jour February 2023 est disponible

Le 01 mars 2023 à 07h43

Avec un modèle qui rappelle décidément celui de Windows 10, Microsoft vient de commencer la diffusion de la mise à jour February 2023 pour Windows 11, avec à son bord de nombreuses nouvelles fonctions.

On y retrouve ainsi une nouvelle barre des tâches pour les appareils tactiles, des recommandations plus nombreuses et précises sur la consommation d’énergie, de nouveaux outils d’accessibilité, l’enregistrement vidéo dans l’outil de capture d’écran, un panneau de widgets remanié et plein écran, un Bloc-notes avec onglets, ou encore la possibilité d’appliquer des effets vidéo sur la webcam avant d’envoyer le flux dans une application. Nous allons revenir en détails sur ces apports.

Cette mise à jour est normalement disponible à toute personne disposant de la version 22H2 du système d’exploitation. Elle n’apparait cependant pas encore automatiquement dans Windows Update. Pour l’instant, il faut s’y rendre et cliquer sur le bouton pour déclencher manuellement la recherche. Le déploiement automatique commencera avec le prochain Patch Tuesday, le 14 mars.

Le 01 mars 2023 à 07h43

Windows 11 : la grosse mise à jour February 2023 est disponible

Fermer