#Le brief du 17 mars 2021

Le gouvernement veut (encore) réformer par ordonnance le régime de la « vidéoprotection »

Le gouvernement veut (encore) réformer par ordonnance le régime de la « vidéoprotection »

Le 17 mars 2021 à 08h26

Dans le cadre de la proposition de loi sur la Sécurité globale actuellement examinée au Sénat, le gouvernement espère à nouveau se faire habiliter par ordonnance pour remettre à jour le régime juridique de la « videoprotection ». Vidéoprotection ? Dans la novlangue LOPPSI, la surveillance par caméra dans les espaces publics. 

L’amendement avait déjà été déposé à l’Assemblée nationale, avant que l’exécutif ne décide finalement de le retirer. En commission des lois, au Palais du Luxembourg, il revient donc à la charge pour procéder à « une mise en conformité de ce régime », le « simplifier », le « moderniser », sous l’égide des nouveaux textes. 

Il cite « plusieurs articles techniques du Code de la sécurité intérieure [qui] sont à ce titre obsolètes et ne permettent pas de réglementer certains outils d’usage courant (caméras couvrant un angle de 360°, fonctions de zoom, etc.) ». Le « etc. » lui permet ainsi d’éviter d’évoquer le sujet épineux de la reconnaissance faciale. 

Si l’habilitation est adoptée, il n’y aura aucun échange sur d’éventuels amendements, alors que la CNIL avait réclamé un « débat démocratique sur les nouveaux usages des caméras vidéo », souhaitant que le législateur se saisisse de ces questions.

La commission des lois a toutefois déjà émis un avis défavorable à cette demande d’habilitation.

Le 17 mars 2021 à 08h26

Le gouvernement veut (encore) réformer par ordonnance le régime de la « vidéoprotection »

L’implémentation de WireGuard dans le noyau FreeBSD est presque terminée

L’implémentation de WireGuard dans le noyau FreeBSD est presque terminée

Le 17 mars 2021 à 08h26

Le module et protocole VPN connaît un grand succès depuis sa première version, avec notamment des performances supérieures à la concurrence, une surface de code très réduite et des protocoles modernes pour la cryptographie.

Déjà intégré au noyau Linux, il était prévu depuis longtemps qu’il soit présent dans celui de FreeBSD. C’était même l’objet de la demande de Netgate (qui édite pfSense) au développeur Matt Maxy il y a plus d’un an. Un premier commit avait été poussé en février 2020 et le travail avait continué depuis.

Alors que l’on pensait la mission accomplie pour FreeBSD 13 – qui sera là dans deux semaines – une révision du code par Jason Donenfeld (auteur de WireGuard) et plusieurs développeurs FreeBSD et OpenBSD a montré une situation problématique.

L’avis de Donenfeld est particulièrement tranché sur la qualité du code, évoquant « des fonctions de validation renvoyant de vraies vulnérabilités cryptographiques catastrophiques, des pans entiers du protocole non implémentés, des kernel panics, des contournements de sécurité, […] les plus spectaculaires dépassements de mémoire tampon et la litanie complète des choses horribles qui peuvent aller mal quand les gens ne font pas attention à ce qu’ils écrivent en C ».

Le travail a donc été repris et Donenfeld pense désormais avoir une bonne base, en tout cas fonctionnant comme WireGuard est censé le faire. Mais il y a de très fortes chances que ce ne soit pas fini à temps pour FreeBSD 13. Les développeurs recommandent d’attendre la 13.1 pour que la qualité de l’implémentation augmente encore.

Le 17 mars 2021 à 08h26

L’implémentation de WireGuard dans le noyau FreeBSD est presque terminée

Les États membres adoptent le règlement relatif à la lutte contre les contenus terroristes en ligne

Les États membres adoptent le règlement relatif à la lutte contre les contenus terroristes en ligne

Le 17 mars 2021 à 08h26

Le Conseil de l’UE, qui regroupe l’ensemble des États membres, a adopté le règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne. « L'objectif de ce texte législatif est la suppression rapide de contenus à caractère terroriste en ligne et la mise en place d'un instrument commun à cet effet pour l'ensemble des États membres », résume l’institution. 

Les règles s'appliqueront à l’ensemble des hébergeurs qui proposent ces services en Europe, depuis l’un des États membres ou un pays tiers.

« Les autorités compétentes des États membres seront habilitées à émettre des injonctions de suppression à l'intention des fournisseurs de services, à supprimer les contenus à caractère terroriste ou à bloquer l'accès à ceux-ci dans tous les États membres. Ces fournisseurs devront alors supprimer les contenus ou bloquer l'accès à ceux-ci dans un délai d'une heure ».

Le texte doit maintenant être adopté par le Parlement européen avant d'être publié au Journal officiel de l'UE. Il entrera en vigueur le vingtième jour suivant celui de sa publication, et s’appliquera dans le délai d’un an.

Le 17 mars 2021 à 08h26

Les États membres adoptent le règlement relatif à la lutte contre les contenus terroristes en ligne

Microsoft publie un outil tout en un d’atténuation des risques pour les failles Exchange

Microsoft publie un outil tout en un d’atténuation des risques pour les failles Exchange

Le 17 mars 2021 à 08h26

Les quatre failles Exchange ont fait des milliers victimes, et les pirates s’en sont donnés à cœur joie en les exploitant copieusement. Souvent appelées collectivement ProxyLogon, ces failles ont permis à de nombreux web shells, cryptominers et ransomwares de faire des ravages.

Microsoft publie donc un Exchange On-premises Mitigation Tool (EOMT), qui se présente comme un script PowerShell qu’il suffit de lancer pour exécuter plusieurs opérations. L’éditeur explique qu’il s’agit du résultat de discussions avec les entreprises, qui ont exprimé le besoin d’une solution tout en un quand les ressources ne permettent pas d’avoir un département informatique.

L’EOMT est à exécuter sur le serveur Exchange aussi rapidement que possible si aucune action de sécurisation n’a été faite au-delà de la seule installation des correctifs. Dans le cas où ces dernières n’auraient pas été faites, l’outil est même à exécuter avant.

Le script effectue les actions suivantes :

  • Vérifie si le serveur est vulnérable aux failles ProxyLogon
  • Atténue la faille CVE-2021-26855 Server-Side Request Forgery (SSRF) en installant le module IIS URL Rewrite et une règle basée sur une expression régulière pour annuler toute connexion contenant les en-têtes de cookies X-AnonResource-Backend et X-BEResource
  • Télécharge et exécute le Microsoft Safety Scanner pour supprimer les scripts malveillants qui exploitent ces failles, puis supprime les malwares connus
  • Tente d’annuler toute modification faite par les menaces connues

Il s’agit donc de la solution recommandée par Microsoft. Elle remplace les précédentes en se basant sur les derniers renseignements de sécurité.

Le 17 mars 2021 à 08h26

Microsoft publie un outil tout en un d’atténuation des risques pour les failles Exchange

Dropbox « ouvrira » son gestionnaire de mots de passe aux comptes gratuits en avril

Dropbox « ouvrira » son gestionnaire de mots de passe aux comptes gratuits en avril

Le 17 mars 2021 à 08h26

Hier, LastPass a basculé dans son nouveau modèle commercial, où la synchronisation entre ordinateurs et appareils mobiles se retrouve dans l’offre Premium. Une décision qui a provoqué le départ de nombreux utilisateurs chez BitWarden.

Dropbox en profite donc un peu. La société, spécialisée dans le stockage distant et la synchronisation des données, a annoncé que son gestionnaire de mots de passe – réservé aux comptes payants – s’ouvrirait aux utilisateurs gratuits… à condition qu’ils n’en aient pas plus de 50.

Il n’est pas dit que cette gracieuse disponibilité en intéresse beaucoup, car les personnes se servant de Dropbox sont généralement celles plus à l’aise avec l’outil informatique et plus susceptibles d’avoir de nombreux comptes. 

À l’avantage de Dropbox tout de même, il n’y a aucune limite de synchronisation entre ordinateurs et appareils mobiles. Mais puisque l’entreprise a durci les conditions de ses comptes gratuits, les utilisateurs ne peuvent plus déclarer que trois appareils de toute façon.

Le 17 mars 2021 à 08h26

Dropbox « ouvrira » son gestionnaire de mots de passe aux comptes gratuits en avril

Ventes de contrefaçons Apple sur Instagram : Facebook accusé d’être trop laxiste

Ventes de contrefaçons Apple sur Instagram : Facebook accusé d’être trop laxiste

Le 17 mars 2021 à 08h26

C’est en tout cas ce qu’il ressort d’une enquête de Bloomberg sur les mésaventures d’Andrea Stroppa, un chercheur en cybersécurité. Il emprunte un chargeur Apple à un ami, mais celui-ci explose. Il était estampillé « produit Apple original » et vendu 25 % moins cher que sur la boutique officielle. 

Il s’agissait d’une contrefaçon vendue via un compte non officiel sur Instagram. Bien évidemment, il a tenté de contacter le vendeur, mais celui-ci avait disparu sans laisser de trace. Après des recherches, Andrea Stroppa et son équipe découvrent qu’ils sont loin d’être les seuls dans cette situation. 

Des vendeurs en gros utilisent l'application de Facebook « pour vendre de faux accessoires Apple tels que des AirPods, des câbles Lightning, des batteries iPhone et des adaptateurs USB », expliquent nos confrères. 

« Notre étude vise à exposer les difficultés ou la réticence d'Instagram à s'occuper correctement de son vieux marché de la contrefaçon, mais aussi à mettre en évidence les nombreux dangers de ces activités illicites, aussi bien pour Apple que les consommateurs », expliquent les chercheurs.

Un porte-parole de Facebook affirme consacrer « plus de ressources » à cette lutte pour agir plus rapidement : « nous répondons désormais régulièrement aux signalements de contenus contrefaits en un jour, et souvent en quelques heures ».

De son côté, Apple dispose d’une « équipe d'experts dédiée qui travaille en permanence avec les forces de l'ordre, les commerçants, les réseaux sociaux et les sites d’ecommerce du monde entier pour éliminer les produits contrefaits du marché ». En 2020, cette équipe a demandé « la suppression de plus d'un million d'annonces de produits Apple contrefaits », notamment sur Facebook et Instagram.

Le 17 mars 2021 à 08h26

Ventes de contrefaçons Apple sur Instagram : Facebook accusé d’être trop laxiste

Qualcomm finalise le rachat de Nuvia pour booster ses processeurs

Qualcomm finalise le rachat de Nuvia pour booster ses processeurs

Le 17 mars 2021 à 08h26

C'est peu dire que la société s'est prise quelques claques ces derniers mois, entre ses ratés sous Windows 10 on ARM – malgré l'exclusivité accordée par Microsoft – ou le lancement réussi des SoC M1 d'Apple.

Pour rebondir, Qualcomm semble avoir compris qu'il ne lui suffirait pas de diaboliser les puces x86 et qu'il lui faudrait tout d'abord produire des processeurs réellement convaincants. Pour cela, elle compte sur la startup chèrement acquise : 1,4 milliards de dollars.

Elle compte exploiter les solutions de Nuvia au sein de ses puces tant pour les smartphones que les PC portables et autres solutions embarquées, explique le constructeur. Maintenant que l'opération financière est bouclée, il faut néanmoins passer à la partie la plus complexe : l'intégration aux produits. 

De premières puces sont annoncées pour la seconde moitié de l'année 2022. On saura alors si les promesses étaient réelles ou si tout cela n'était qu'un coup de bluff.

Le 17 mars 2021 à 08h26

Qualcomm finalise le rachat de Nuvia pour booster ses processeurs

Google Play : la commission sur les ventes va passer à 15 % pour le premier million de dollars

Google Play : la commission sur les ventes va passer à 15 % pour le premier million de dollars

Le 17 mars 2021 à 08h26

Le père d’Android rejoint ainsi Apple qui avait annoncé un changement similaire l’année dernière, mais avec des modalités bien différentes.

Contrairement à la firme à la Pomme, la réduction de 30 % à 15 % s’applique à l’ensemble des développeurs pour le premier million de dollars de revenus (qu’ils en génèrent 2, 5, 10 ou même plus par an). Le taux repasse ensuite automatiquement à 30 % pour les ventes au-delà du premier million. Le calcul se fait sur une année.

Cette nouvelle politique tarifaire entrera en vigueur le 1er juillet 2021. « Avec ce changement, 99 % des développeurs dans le monde qui vendent des biens et services numériques avec Play verront leurs frais réduits de 50 % », affirme Google.

Le 17 mars 2021 à 08h26

Google Play : la commission sur les ventes va passer à 15 % pour le premier million de dollars

Octave Klaba évoque le redémarrage du site d’OVHcloud à Strasbourg

Octave Klaba évoque le redémarrage du site d'OVHcloud à Strasbourg

Le 17 mars 2021 à 08h26

Un peu plus d'une semaine après l'incendie, l'équipe commence à remettre en service de premiers éléments qui n'ont pas été détruits, au niveau de l'installation électrique et du réseau. 

Le système de watercooling est entièrement fonctionnel, les équipements proches des serveurs sont vérifiés un à un. Il faudra néanmoins attendre l'accord de l'assureur pour que tout puisse repartir une fois que les premiers travaux seront terminés. Le détail est ici.

Les conséquences de cet incident commencent d'ailleurs à se faire sentir même jusque chez les concurrents, qui communiquent parfois directement auprès de leurs clients pour tenter de les rassurer, ou font face à des demandes d'audits plus poussés sur les risques d'incendie. 

Mais chaque entreprise qui dépend d'un hébergement en ligne se demande sans doute aujourd'hui ce qui lui arriverait si elle était concernée par une destruction pure et simple des serveurs de son hébergeur principal et si elle est réellement protégée face à un tel risque.

Le 17 mars 2021 à 08h26

Octave Klaba évoque le redémarrage du site d’OVHcloud à Strasbourg

Thomas Pesquet sera le premier français commandant de la Station spatiale internationale

Thomas Pesquet sera le premier français commandant de la Station spatiale internationale

Le 17 mars 2021 à 08h26

L’annonce a été faite par l’Agence spatiale européenne : le Français, qui doit décoller le 22 avril à bord de Crew-2 de SpaceX, sera le « commandant de la Station spatiale internationale vers la fin de sa deuxième mission », baptisée Alpha, qui durera six mois.

Il sera le quatrième Européen à endosser ce rôle, après Frank De Winne, Alexander Gerst et Luca Parmitano. Sur Facebook, l’astronaute se dit « fier de recevoir cet honneur », et donne quelques détails :

« Le commandant de la Station est en quelque sorte le capitaine du vaisseau. Bien sûr, la majorité des décisions sont prises par le Centre de contrôle en collaboration avec l’équipage, mais le commandant est la voix des astronautes en orbite. Et s’il faut faire des choix rapidement (en cas d’urgence par exemple), c’est aussi le rôle du commandant ».

Il dispose d’une page dédiée sur le site de l’ESA pour suivre ses « aventures ».

Le 17 mars 2021 à 08h26

Thomas Pesquet sera le premier français commandant de la Station spatiale internationale

Galaxy Awesome Unpacked : suivez en direct les annonces Samsung à partir de 15 h

Galaxy Awesome Unpacked : suivez en direct les annonces Samsung à partir de 15h

Le 17 mars 2021 à 08h26

Le fabricant organise aujourd’hui un second événement Unpacked, après celui du 14 janvier où la série des Galaxy S21 avait été dévoilée.

La teneur des annonces n’a pas été dévoilée, mais il pourrait s’agir du lancement des Galaxy A52 et A72. Pour rappel, l’adjectif « awesome » avait été utilisé par Samsung lors de l’annonce du Galaxy A51.

Affaire à suivre dès 15 h, sur la chaîne YouTube du fabricant ou sur son site.

Le 17 mars 2021 à 08h26

Galaxy Awesome Unpacked : suivez en direct les annonces Samsung à partir de 15 h

ESA Impact du mois de mars est en ligne, avec des photos et vidéos marquantes

ESA Impact du mois de mars est en ligne, avec des photos et vidéos marquantes

Le 17 mars 2021 à 08h26

Chaque trimestre, l’Agence spatiale européenne publie un livre numérique interactif des faits marquants des derniers mois. 

L’édition de ce mois de mars est en ligne, avec des photos « glacées » des missions d’observation de la Terre, des débris spatiaux, des images de Mars, etc. 

Le 17 mars 2021 à 08h26

ESA Impact du mois de mars est en ligne, avec des photos et vidéos marquantes

Fermer