#Le brief du 09 septembre 2021

Microsoft confirme une importante faille 0-day exploitant les fichiers Office

Microsoft confirme une importante faille 0-day exploitant les fichiers Office

Le 09 septembre 2021 à 07h57

Estampillée CVE-2021-40444, la faille est à la fois connue publiquement et déjà exploitée. La prudence est donc de rigueur, car d’inévitables documents Office malveillants vont circuler pour en tirer parti.

La vulnérabilité réside dans le moteur MSHTML utilisé par les applications Office pour le rendu web. Une personne malintentionnée peut exploiter la faille à travers un contrôle ActiveX qui sera alors en mesure d’exécuter un code arbitraire à distance, soit le pire des scénarios.

Cependant, les utilisateurs n’ayant pas modifié les paramètres de sécurité par défaut seront moins touchés. Tout du moins, ils auront la capacité de se défendre.

Tout document provenant d’une source extérieure est en effet ouvert en Vue protégée (lecture seule) dans Office, Application Guard ayant également son mot à dire. En outre, Defender Antivirus et Defender for Endpoint détectent l’activité suspecte. Une alerte sera alors affichée, avec possibilité de couper l’exécution du code.

Il s’agit cependant d’une mesure a posteriori, le point d’entrée est toujours là. Le correctif n’est pas encore disponible, Microsoft enquêtant sur les contours spécifiques du problème.

Dans le cas de machines avec des configurations spécifiques, par exemple en entreprise, Microsoft fournit une autre solution : désactiver l’installation des contrôles ActiveX. Ceux en place continueront à fonctionner.

Selon BleepingComputer, la brèche est activement exploitée, des fichiers DOCX circulent déjà. L’exploitation est considérée comme « 100 % efficace ». Attention donc aux documents récupérés dans les prochaines semaines. Si vous les ouvrez dans Word, restez en Vue protégée et assurez-vous d’avoir un système et des logiciels à jour.

Le 09 septembre 2021 à 07h57

Microsoft confirme une importante faille 0-day exploitant les fichiers Office

Les messages WhatsApp peuvent être lus par ses modérateurs, sans casser le chiffrement E2E

Les messages WhatsApp peuvent être lus par ses modérateurs, sans casser le chiffrement E2E

Le 09 septembre 2021 à 07h57

« Les modérateurs de WhatsApp peuvent lire vos messages », titre Gizmodo, qui résume une (longue) enquête de ProPublica.

« Au moins 1 000 modérateurs employés par Accenture, la société sous contrat de modération de Facebook, examinent le contenu signalé par les utilisateurs et par son système d'apprentissage automatique », a en effet découvert ProPublica.

Les messages WhatsApp étant chiffrés, ses systèmes d'intelligence artificielle « ne peuvent pas analyser automatiquement tous les chats, images et vidéos, comme ils le font sur Facebook et Instagram », précise ProPublica.

Au lieu de cela, les modérateurs de WhatsApp ont accès au contenu privé lorsque les utilisateurs cliquent sur le bouton « signaler » sur l'application, identifiant un message comme prétendument en violation des conditions d'utilisation.

En cas de signalement, WhatsApp transmet cinq messages – celui incriminé et les quatre précédents, y compris des images ou des vidéos – à ses modérateurs, selon d'anciens ingénieurs et modérateurs de WhatsApp.

Ils surveillent, entre autres, le spam, la désinformation, les discours de haine, les menaces terroristes potentielles, les contenus pédopornographiques (CSAM), le chantage et les « entreprises à caractère sexuel ».

En fonction du contenu, les modérateurs peuvent interdire le compte, mettre l'utilisateur sous surveillance ou le laisser tranquille.

Les modérateurs de WhatsApp ont cela dit expliqué à ProPublica que son programme d'intelligence artificielle leur fait suivre « un nombre démesuré de messages inoffensifs, comme des enfants dans des baignoires » et que « la plupart du temps, l'intelligence artificielle n'est pas si intelligente ».

Dans une mise à jour de « clarification », ProPublica précise qu'« une version précédente de cette histoire a provoqué une confusion involontaire quant à la façon qu'a WhatsApp d'examiner les messages de ses utilisateurs ». Certains passages ont été modifiés « pour indiquer clairement que la société n'examine que les messages des fils de discussion signalés par les utilisateurs comme potentiellement abusifs. Il ne casse pas le chiffrement de bout en bout ».

Le 09 septembre 2021 à 07h57

Les messages WhatsApp peuvent être lus par ses modérateurs, sans casser le chiffrement E2E

Microsoft prépare une nouvelle application Photos pour Windows 11

Microsoft prépare une nouvelle application Photos pour Windows 11

Le 09 septembre 2021 à 07h57

C’est Panos Panay en personne, à la tête de la division Windows, qui l’a annoncé sur Twitter, avec une petite vidéo à l’appui. On peut y avoir une nouvelle interface, des effets de transition fluides, de nouveaux outils et autres y sont montrés.

Il était temps, car l’application actuelle pour Windows 10 est l’une des pires de la plateforme. Souvent instable, elle est peu pratique à l’usage, n’embarque pas assez d’outils et n’est globalement pas à la hauteur de ses prétentions.

Windows 11, même s’il est loin d’être une révolution, a au moins l’avantage d’entraîner dans son sillage les applications intégrées, toutes en cours de renouvellement. Avec une sortie officielle prévue pour le 5 octobre, il reste moins d’un mois à Microsoft pour finir tout ça.

Le 09 septembre 2021 à 07h57

Microsoft prépare une nouvelle application Photos pour Windows 11

Compte Nickel permet l’encaissement (payant) de chèques

Compte Nickel permet l'encaissement (payant) de chèques

Le 09 septembre 2021 à 07h57

C'est une fonctionnalité basique, mais souvent absente chez les nouveaux acteurs « bancaires » qui préfèrent en général s'éviter les tracasseries liées à ce mode de paiement.

Mais elle est néanmoins demandée par certains publics et on la voit parfois dans telle ou telle offre. C'est au tour de Compte Nickel (BNP Parisbas) de sauter le pas. Une vidéo détaille la procédure à suivre.

Trois euros sont prélevés sur chaque chèque encaissé. Sur sa page de support, Compte Nickel évoque des « frais pour assurer le traitement des chèques et leurs contrôles de conformité ».

Le 09 septembre 2021 à 07h57

Compte Nickel permet l’encaissement (payant) de chèques

Vivaldi est désormais le navigateur par défaut dans Manjaro Cinnamon

Vivaldi est désormais le navigateur par défaut dans Manjaro Cinnamon

Le 09 septembre 2021 à 07h57

La distribution Linux s’est choisi un nouveau butineur par défaut, remplaçant Firefox par Vivaldi. C’est la première fois que le navigateur norvégien se retrouve à une telle place dans un système d’exploitation.

Plus précisément, c’est pour l’instant la version Cinnamon de Manjaro, entretenue par la communauté, qui en bénéficie.

« Dans nos dépôts, Manjaro fournit toujours la dernière version de Vivaldi, et grâce au contact direct avec les développeurs, nous pouvons inclure des thèmes par défaut correspondants pour nos éditions. […] Avec sa vitesse de navigation remarquable, sa personnalisation exceptionnelle et tout particulièrement son respect de la vie privée, Vivaldi et Manjaro sont pour moi faits l’un pour l’autre », a indiqué Bernhard Landauer, coprésident de Manjaro. N’en jetez plus.

L’apparence du navigateur a été adaptée et un thème spécialement créé pour Manjaro, pour refléter le mélange de gris anthracite et de vert. Pour le reste, il s’agit surtout de lister les qualités du navigateur.

Vivaldi n’apparaîtra par défaut que sur les installations neuves. Le paramètre ne change pas sur les systèmes déjà en place. Son installation classique ne change pas, Vivaldi reste disponible dans le même dépôt officiel configuré par défaut.

Le 09 septembre 2021 à 07h57

Vivaldi est désormais le navigateur par défaut dans Manjaro Cinnamon

IA : Amazon et Microsoft auraient profité du retrait de Google du projet Maven

IA : Amazon et Microsoft auraient profité du retrait de Google du projet Maven

Le 09 septembre 2021 à 07h57

Suite aux pressions de ses employés, Amazon et Microsoft ont profité du retrait de Google du projet Maven – reconnaissance par le machine learning d'objets et individus dans les vidéos de drones – pour signer « discrètement » des contrats d'un montant cumulé de 50 millions de dollars avec le Pentagone, relève Forbes.

Même si les contrats ne spécifiaient pas Maven, les géants de la technologie ont été invités à fournir des technologies similaires à celles que Google était sur le point de créer avant la révolte du personnel, explique Jack Poulson, fondateur de Tech Inquiry et ancien chercheur de Google AI, qui a partagé son analyse avec Forbes.

Les derniers contrats découverts par Poulson montrent que Microsoft, dans le cadre d'accords de plusieurs millions de dollars, a été invité à fournir des outils capables d'analyser les données de la « vidéo en mouvement complet » (Full Motion Video, ou FMV), ainsi que « des logiciels et des algorithmes pour automatiser et augmenter l'analyse de l'imagerie de mouvement à grande surface (WAMI) ».

WAMI et FMV sont des termes utilisés dans l'industrie de la surveillance faisant référence à des images prises d'en haut – généralement à partir d'un drone, d'un avion ou d'un satellite – à des fins de renseignement.

IBM a de son côté été engagée pour fournir des « modèles de raisonnement statistique, combinés à l'intelligence artificielle », dans le cadre d'un accord de 1,7 million de dollars.

Forbes rappelle également qu'en 2018, les employés d'Amazon avaient demandé au fondateur et PDG Jeff Bezos d'arrêter de créer des outils de reconnaissance faciale pour les agences gouvernementales et les services de police. Et qu'en 2019, des dizaines de salariés de Microsoft avaient demandé à l'entreprise d'abandonner un contrat de 480 millions de dollars pour fournir à l'armée américaine des casques de réalité augmentée.

Les contrats liés à Maven pour Amazon et Microsoft ont duré jusqu'en octobre 2020. On ne sait pas si les entreprises continuent d'y travailler. Aucune des deux sociétés n'avait fourni de commentaire au moment de la publication. IBM a déclaré qu'il n'avait rien à partager car « IBM ne prend plus en charge ce projet ».

Le 09 septembre 2021 à 07h57

IA : Amazon et Microsoft auraient profité du retrait de Google du projet Maven

La police de Los Angeles surveille aussi les réseaux sociaux

La police de Los Angeles surveille aussi les réseaux sociaux

Le 09 septembre 2021 à 07h57

La police de Los Angeles (LAPD) demande à ses agents, depuis 2015, de collecter les adresses e-mail et identifiants sur les réseaux sociaux de chaque personne qu'ils interrogent, y compris celles qui ne sont ni arrêtées ni accusées de quoi que ce soit, d'après des documents obtenus par le Brennan Center for Justice et partagés avec le Guardian.

Les données sont ensuite versées dans Media Sonar, un logiciel d'analyse et de surveillance des réseaux sociaux « qui peut créer des profils détaillés sur les individus et identifier les liens entre eux », ou le désormais célèbre Palantir.

Les documents obtenus par le Brennan Center expliquent que « lorsqu'un officier identifie une "personne d'intérêt" dans une enquête criminelle, Palantir peut être utilisé pour obtenir une carte de ses déplacements et de ses relations personnelles, en vérifiant les données des lecteurs de plaque d'immatriculation, celles sur l'emploi, les dossiers d'arrestation, les entretiens sur le terrain », etc.

La police a également utilisé le logiciel Geofeedia pour « rechercher sur les réseaux sociaux des informations sur les militants de Black Lives Matter et les manifestations contre la violence policière, en utilisant de nombreux hashtags pour identifier leurs publications ». Twitter et Facebook ont depuis bloqué Geofeedia après avoir découvert l'utilisation que la police en faisait.

Les policiers sont également invités à se doter de faux profils pour « découvrir ce qui se dit en ligne ».

Le 09 septembre 2021 à 07h57

La police de Los Angeles surveille aussi les réseaux sociaux

Le code source de France Connect sera ouvert en novembre

Le code source de France Connect sera ouvert en novembre

Le 09 septembre 2021 à 07h57

Vantant la première place de la France dans un classement sur l'open source, Amélie de Montchalin a indiqué qu'elle annoncera « prochainement un plan de renforcement de l'open source dans les administrations ».

Le document de 390 pages, auquel la secrétaire d'État fait référence, ne place pas la France en championne du logiciel libre, mais elle salue l'action publique depuis 2012 et le travail du tissu associatif.

En juin dernier, le CNLL dressait néanmoins un portrait moins flatteur, évoquant la bonne santé des acteurs de l'open source français tout en doutant de la stratégie de l'État en matière de souveraineté numérique. Des propos tenus en pleine crise du « cloud de confiance ».

Bonne nouvelle enfin : le code source de France Connect sera ouvert d'ici deux mois, sans que l'on sache pour le moment quelle partie du dispositif sera concernée ou la licence utilisée.

Le 09 septembre 2021 à 07h57

Le code source de France Connect sera ouvert en novembre

HBO Max en Europe à partir du 26 octobre, la France laissée de côté

HBO Max en Europe à partir du 26 octobre, la France laissée de côté

Le 09 septembre 2021 à 07h57

WarnerMedia indique que six pays seront disponibles pour commencer : Andorre, Danemark, Espagne, Finlande, Norvège et Suède.

14 autres pays européens suivront en 2022 : « Bosnie-Herzégovine, Bulgarie, Croatie, République tchèque, Hongrie, Moldavie, Monténégro, Macédoine du Nord, Pologne, Portugal, Roumanie, Serbie, Slovaquie et Slovénie ».

D’autres pays sont prévus, sans plus de détail pour le moment. On remarque que certains brillent par leur absence, à commencer par le duo France et Allemagne. Dans l’Hexagone, c’est en effet OCS qui propose « tous les contenus HBO en exclusivité », avec du US+24 dans certains cas.

Le 09 septembre 2021 à 07h57

HBO Max en Europe à partir du 26 octobre, la France laissée de côté

Faites un don à e-Enfance/3018, Cédric O portera votre t-shirt

Faites un don à e-Enfance/3018, Cédric O portera votre t-shirt

Le 09 septembre 2021 à 07h57

Hier, la CyberTaskForce organisait un match caritatif au Parc des princes, au profit de l'association e-Enfance et du 3018, un numéro court pour les jeunes victimes de violences numériques. Un évènement sponsorisé par différentes entreprises, dont Google. 40 000 euros ont été récoltés.

Pour l'occasion, des joueurs professionnels étaient présents, ainsi que des membres de la CNIL et de l'Arcep, le député Eric Bothorel et le secrétaire d'État au numérique Cédric O. Dans les photos publiées par ce dernier, le t-shirt de son équipe étaient pris de dos uniquement. Et pour cause, de face, un large logo Google était affiché.

C'est ce que l'on voit dans des clichés publiés par e-Enfance ou encore l'Arcep, notamment une photo où l'on voit sa présidente, Laure de La Raudière, poser dans un t-shirt aux couleurs de l'autorité aux côtés du secrétaire d'État arborant le logo de Google.

Une publication qui a fait réagir, notamment Thomas Fauré, fondateur de la plateforme Whaller. Il a proposé à Cédric O d'arborer un t-shirt aux couleurs de son entreprise et a invité d'autres acteurs français à faire de même. Réponse de l'intéressé : « Avec grand plaisir @faure_t mais j’aurai plus de plaisir encore à le porter si vous en profitez pour faire un don à @eenfance ! ».

Le 09 septembre 2021 à 07h57

Faites un don à e-Enfance/3018, Cédric O portera votre t-shirt

Android 12 : une cinquième bêta avant la version finale

Android 12 : une cinquième bêta avant la version finale

Le 09 septembre 2021 à 07h57

« Aujourd'hui, nous vous proposons une dernière bêta pour vous aider dans les tests et le développement. Pour les développeurs, il est maintenant temps de vous assurer que vos applications sont prêtes », explique Google.

Il ne faut pas attendre de changement en profondeur puisque la « Platform Stability » avait été atteinte à la quatrième bêta, une étape signifiant que les SDK et autres API étaient finalisés. Cela n’empêche pas quelques ajustements, notamment graphiques.

Comme toujours, la liste des smartphones compatibles se trouve par ici, avec un lien pour s’inscrire à la bêta.

Le 09 septembre 2021 à 07h57

Android 12 : une cinquième bêta avant la version finale

Free Pro lance « avantage Flotte Mobile » : 9,99 euros HT le forfait mobile dès la 10e ligne activée

Free Pro lance « avantage Flotte Mobile » : 9,99 euros HT le forfait mobile dès la 10e ligne activée

Le 09 septembre 2021 à 07h57

Depuis le lancement de son offre Pro, Free intègre un forfait mobile avec son abonnement Freebox Pro et les clients peuvent en souscrire d’autres à 9,99 euros HT par mois.

L’opérateur propose désormais des remises pour ceux qui ne voudraient que des lignes mobiles, sans Freebox. Ainsi, avec l’avantage Flotte Mobile, « le forfait mobile passe à 9,99 € [HT] par mois dès la 10e ligne activée ».

Le 09 septembre 2021 à 07h57

Free Pro lance « avantage Flotte Mobile » : 9,99 euros HT le forfait mobile dès la 10e ligne activée

Xavier Niel a déjà la main sur 84,13% du capital d’Iliad

Xavier Niel a déjà la main sur 84,13% du capital d’Iliad

Le 09 septembre 2021 à 07h57

Le fondateur du groupe officialisait le 30 juillet dernier son offre publique d'achat simplifiée (OPAS) à 182 euros par action (61 % de prime) dans le but de sortir de bourse via la procédure de retrait automatique, une fois le seuil de 90 % atteint.

Comme prévu, l'OPAS est désormais lancée, elle se terminera le 24 septembre. Dans un communiqué, on apprend que l'AMF « a émis le 7 septembre 2021 son visa sur la note d'information et la note en réponse relatives à l’offre [...] le total des actions détenues ou ayant vocation à être détenues par HoldCo II atteint 84,13 % du capital ».

Il lui reste donc deux semaines pour récupérer les derniers 6 %.

Le 09 septembre 2021 à 07h57

Xavier Niel a déjà la main sur 84,13% du capital d’Iliad

James Webb : le lancement programmé pour le 18 décembre, à bord d‘une fusée Ariane 5

James Webb : le lancement programmé pour le 18 décembre, à bord d‘une fusée Ariane 5

Le 09 septembre 2021 à 07h57

L’ESA, la NASA et Arianespace ont défini conjointement cette date. Le télescope sera lancé à bord d’une fusée Ariane 5 (mission VA256).

Il s’agit d’une collaboration internationale, dans laquelle l’ESA « est responsable du développement et de la qualification des adaptations d’Ariane 5 pour la mission Webb et de l’approvisionnement des services de lancement ». L’Agence spatiale européenne « fournit l’instrument NIRSpec et une part de 50 % de l’instrument MIRI, ainsi que du personnel pour soutenir les opérations de la mission ».

Durant le lancement, « Ariane 5 placera le télescope directement sur une orbite de transfert de précision vers sa destination, le deuxième point de Lagrange (L2). Après sa séparation avec Ariane 5, Webb poursuivra seul son long voyage de quatre semaines jusqu’au L2. L2 est quatre fois plus éloigné que nous de la Lune, à 1,5 million de km de la Terre dans la direction opposée au Soleil ».

Pour rappel, « Webb observera l’Univers à des longueurs d’onde supérieures à la lumière visible, à savoir dans l'infrarouge proche et moyen. À cet effet, il dispose d’un ensemble de caméras, de spectrographes et de coronographes à la pointe de la technologie ».

Le 09 septembre 2021 à 07h57

James Webb : le lancement programmé pour le 18 décembre, à bord d‘une fusée Ariane 5

Fermer