#Le brief du 11 janvier 2021

Des chercheurs ont réussi à cloner des clés Titan de Google, grâce à une attaque par canal auxiliaire

Des chercheurs ont réussi à cloner des clés Titan de Google, grâce à une attaque par canal auxiliaire

Le 11 janvier 2021 à 09h02

Les chercheurs utilisent de l’air chaud et un scalpel pour accéder à la puce A700X de NXP. Elle est notamment responsable du stockage des clés cryptographiques. Elle est ensuite connectée à un matériel spécifique et son comportement est analysé pendant qu’elle essaye de se connecter à un compte.

L’attaque exploite une vulnérabilité de type canal auxiliaire dans la puce de NXP. Elle permet d’obtenir la clé privée ECDSA (Elliptic Curve Digital Signature Algorithm), qui permettra alors de créer sa propre clé. Une fois les manipulations effectuées, les chercheurs doivent replacer les composants dans un nouveau boitier afin que la clé paraisse intacte.

L’évènement est important. Les recherches, menées par Victor Lomné et Thomas Roche – cofondateurs de NinjaLab à Montpellier – ne remettent cependant en cause ni le principe 2FA, ni même les clés de sécurité matérielles. C’est d’ailleurs l’essence des attaques par canal auxiliaire : le principe mathématique reste valable.

La faille réside dans l’implémentation d’une ou plusieurs fonctions dans la puce A700X. L’attaque est en outre loin d’être simple : il faut non seulement pouvoir garder la clé pendant au moins dix heures (dont six heures d’analyses minimum), mais le mot de passe du compte protégé est requis lui aussi. 

Deux conditions complexes qui nécessitent, au bas mot, une proximité physique avec la victime. En outre, il faut au moins 12 000 dollars de matériel.

La clé Titan utilisée était un ancien modèle, avec des composants depuis remplacés par des versions plus récentes. Constat valable aussi pour certains autres modèles testés et vulnérables comme l’ancienne Yubikey Neo. 

Dans un tweet, NinjaLab note que toutes les clés vendues aujourd’hui par Yubico utilisent des composants plus récents d’Infineon. De même, NXP fournit depuis deux nouvelles générations de puces.

Reste que l’attaque, décrite régulièrement comme impressionnante, sonne comme une mise en garde : aucune sécurité n’est inviolable. Ces travaux, s’ils ne remettent pas en cause les clés de sécurité, sont également un rappel. Les canaux auxiliaires sont un risque permanent. 

Le 11 janvier 2021 à 09h02

Des chercheurs ont réussi à cloner des clés Titan de Google, grâce à une attaque par canal auxiliaire

La banque centrale néo-zélandaise victime d’une cyberattaque

La banque centrale néo-zélandaise victime d’une cyberattaque

Le 11 janvier 2021 à 09h02

Un service de partage de fichiers fourni par la société californienne Accellion serait le point d’entrée de l’intrusion qui a eu lieu ce dimanche.

Le gouverneur de la Banque centrale de Nouvelle-Zélande, Adrian Orr, a déclaré que le service en question a été mis hors ligne et a précisé qu’il faudrait plus de temps pour pouvoir déterminer l’impact de cette violation de données. 

Adrian Orr a insisté sur le fait que « ce n’était pas une attaque qui visait spécifiquement la Banque centrale » et que « d’autres utilisateurs de l’application d’Accellion ont été touchés ». L’ampleur de l’attaque reste pour le moment inconnue, mais M. Orr a précisé que « nos fonctions essentielles et le système financier néo-zélandais restent solides ». 

Cette violation de données apparaît seulement quelques mois après une attaque visant le NZX (marché boursier néo-zélandais).

Le 11 janvier 2021 à 09h02

La banque centrale néo-zélandaise victime d’une cyberattaque

LG annonce webOS 6.0 et une nouvelle télécommande « Magic Remote »

LG annonce webOS 6.0 et une nouvelle télécommande « Magic Remote »

Le 11 janvier 2021 à 09h02

Cette nouvelle version de l’interface maison sera disponible sur les téléviseurs OLED, QNED Mini LED, NanoCell et UHD de 2021. Elle comprend notamment un nouvel écran d'accueil misant davantage sur la personnalisation… peut-être via le rapprochement avec Alphonso.

Selon Park Hyoung-sei, président de LG Home Entertainment, il s’agit de « la mise à jour la plus importante depuis le lancement de webOS en 2014 ».

De son côté, l'assistant LG ThinQ AI prend en charge Google Assistant et Amazon Alexa. La télécommande Magic Remote dispose du NFC, des « fonctionnalités plus conviviales » et des touches de raccourci pour accéder à Netflix, Amazon Prime Video et Disney +.

 

Le 11 janvier 2021 à 09h02

LG annonce webOS 6.0 et une nouvelle télécommande « Magic Remote »

Linux Mint 20.1 disponible, les applications web deviennent installables

Linux Mint 20.1 disponible, les applications web deviennent installables

Le 11 janvier 2021 à 09h02

Première grosse version d’entretien pour Linux Mint 20, avec une mouture surnommée « Ulyssa ». Comme toujours avec cette distribution, il ne s’agit pas seulement de corriger des bugs : des nouveautés sont présentes.

À commencer par la possibilité d’installer des applications web. On lance Web Apps, on pointe une adresse, on donne un nom et l’application est générée. 

Le fonctionnement est ensuite le même que dans les navigateurs Chromium : l’application web réagit comme un logiciel classique, avec sa propre fenêtre, sa propre icône, sa présence dans le sélecteur Alt-Tab, etc. On peut l’épingler dans la barre principale et elle apparaît dans le menu des applications.

Parmi les autres améliorations, signalons Hypnotix, un lecteur IPTV supportant les listes M3U, la possibilité d’ajouter des documents et dossiers favoris dans le gestionnaire de fichiers, un retour à l’ancien système d’impression (ippusbxd créait plus de problèmes qu’en n’en résolvait), diverses améliorations pour les XApps (Xed ferme par exemple automatiquement les crochets en mode édition), ou encore l’accélération vidéo par défaut dans Celluloid.

À noter également le retour de Chromium dans les dépôts. Mais l’équipe n’a pas changé d’avis : pas question de laisser faire Canonical et sa stratégie du tout snap. Chromium est donc compilé sur un serveur spécifique, les mises à jour devant être rapidement répercutées.

Les nouvelles images ISO sont disponibles depuis le site officiel. L’équipe a également publié une méthode de migration. S’agissant d’une version d’entretien, la méthode est simple et demande simplement quelques précautions.

Le 11 janvier 2021 à 09h02

Linux Mint 20.1 disponible, les applications web deviennent installables

Harry et Meghan abandonnent les réseaux sociaux

Harry et Meghan abandonnent les réseaux sociaux

Le 11 janvier 2021 à 09h02

Le couple, qui a renoncé il y a un an à ses titres royaux, a annoncé ce weekend cesser de communiquer via les réseaux sociaux. En cause selon The Guardian, « la haine rencontrée » et « l’expérience presque insurmontable des trolls sur Internet ».

Ce choix intervient en même temps que la décision controversée de Twitter de supprimer le compte personnel du président américain @realdonaldtrump face au « risque de nouvelles incitations à la violence ». 

Le couple princier dispose d’un compte Instagram comptant plus de 10 millions d’abonnés. Archewell, leur fondation fondée en octobre dernier, devra donc trouver d’autres canaux de communication.

Le 11 janvier 2021 à 09h02

Harry et Meghan abandonnent les réseaux sociaux

La Wi-Fi Alliance lance le programme de certification Wi-Fi 6E

La Wi-Fi Alliance lance le programme de certification Wi-Fi 6E

Le 11 janvier 2021 à 09h02

Le coup d'envoi de cette nouvelle version de la norme a été donné en janvier 2020. Elle ouvre pour rappel la bande des 6 GHz aux réseaux Wi-Fi, de quoi donner une bouffée d’air aux réseaux qui peuvent avoir tendance à être surchargés dans certains cas.

Désormais, la Wi-Fi Alliance propose un programme de certification permettant aux fabricants d’assurer que les produits Wi-Fi 6E sont interopérables. Aux États-Unis, la FCC a déjà validé la mise à disposition de 1 200 MHz. En Europe et en France cependant, rien de tel pour le moment. En juillet, l’ANFR assurait être « en train de réfléchir », sans plus de précision.

Elle s’attend à un déploiement important : « Le Wi-Fi 6E connaîtra une adoption rapide en 2021 avec plus de 338 millions d'appareils sur le marché et près de 20 % de toutes les expéditions de produits Wi-Fi 6 prenant en charge le 6 GHz d'ici 2022 ».

En attendant, le Wi-Fi 7 se prépare en coulisse, avec des débits jusqu’à 46 Gb/s.

Le 11 janvier 2021 à 09h02

La Wi-Fi Alliance lance le programme de certification Wi-Fi 6E

ANFR : 18 039 sites 5G autorisés, dont 71 % pour Free Mobile

ANFR : 18 039 sites 5G autorisés, dont 71 % pour Free Mobile

Le 11 janvier 2021 à 09h02

En plus de la 4G, l’observatoire de déploiement des réseaux mobiles de l’Agence nationale des fréquences se penche sur la 5G. Il ne s’agit pour le moment que des autorisations délivrées, pas des antennes activées. 

Voici le détail par opérateur : 

Bouygues Telecom : 

  • 700 MHz : 0 autorisation
  • 2 100 MHz : 3 553 autorisations
  • 3 500 MHz : 821 autorisations

Free Mobile : 

  • 700 MHz : 12 894 autorisations
  • 2 100 MHz : 0 autorisation
  • 3 500 MHz : 941 autorisations

Orange : 

  • 700 MHz : 0 autorisation
  • 2 100 MHz : 728 autorisations
  • 3 500 MHz : 1 309 autorisations

SFR : 

  • 700 MHz : 0 autorisation
  • 2 100 MHz : 1 700 autorisations
  • 3 500 MHz : 775 autorisations

Comme nous l’avions déjà détaillé dans une précédente actualité, Free Mobile est le seul opérateur sur les 700 MHz, une bande de fréquences permettant d’apporter une large couverture. Ses trois concurrents misent sur les 2 100 MHz ; en complément des 3,5 GHz dans tous les cas.

Sur les bandes « cœurs » de la 5G, Orange est en tête des autorisations (1 309) suivie par Free Mobile (941), Bouygues Telecom (821) et SFR (775). 

Le 11 janvier 2021 à 09h02

ANFR : 18 039 sites 5G autorisés, dont 71 % pour Free Mobile

L’Arcep met (enfin) à jour sa carte des déploiements de la fibre

L’Arcep met (enfin) à jour sa carte des déploiements de la fibre

Le 11 janvier 2021 à 09h02

Comme repéré par Michel L. sur Twitter, le régulateur des télécoms propose des données datant du 30 septembre 2020 (soit celles du troisième trimestre). 

Un retard qui avait été annoncé lors de la publication de l’observatoire, mais qui est un peu plus long que prévu (la mise à jour était attendue pour décembre). La prochaine devrait avoir lieu le 4 mars 2021, avec les données de fin 2020.

Le 11 janvier 2021 à 09h02

L’Arcep met (enfin) à jour sa carte des déploiements de la fibre

Deux nouveaux smartphones Xiaomi : Redmi 9T et Note 9T, la 5G à partir de 230 euros

Deux nouveaux smartphones Xiaomi : Redmi 9T et Note 9T, la 5G à partir de 230 euros

Le 11 janvier 2021 à 09h02

Ce week-end, le fabricant tenait une conférence de presse pour le lancement de ces deux nouveaux téléphones. Le Redmi 9T est un modèle d’entrée de gamme, vendu à partir de 169,90 euros avec 4 Go de mémoire et 64 Go de stockage. 

Il dispose d’un écran de 6,53" (2 340 x 1 080 pixels) avec un SoC Snapdragon 662 et une batterie de 6 000 mAh. Trois caméras sont présentes à l’arrière (48, 8 et 2 Mpixels) avec un capteur de profondeur en prime. À l’avant, le capteur est de 8 Mpixels. NFC, 4G et lecteur de cartes sont de la partie.

De son côté, le Redmi Note 9T prend en charge la 5G. Il dispose d’un SoC Dimensity 800U de MediaTek, avec le même écran de 6,53". On retrouve deux caméras à l’arrière (48 et 2 Mpixels) avec un capteur de profondeur. Une autre caméra de 13 Mpixels est présente à l’avant. La batterie affiche 5 000 mAh

Le Redmin Note 9T est vendu à partir de 229,90 euros avec 4 Go de mémoire et 64 Go de stockage. Les deux Redmin (Note) 9T sont livrés avec l’interface MIUI 12 basée sur Android 10 (Android 11 est déjà disponible depuis cinq mois).

Le 11 janvier 2021 à 09h02

Deux nouveaux smartphones Xiaomi : Redmi 9T et Note 9T, la 5G à partir de 230 euros

Des Tesla accélérant toutes seules ? Non selon le NHTSA, qui pointe des erreurs humaines

Des Tesla accélérant toutes seules ? Non selon le NHTSA, qui pointe des erreurs humaines

Le 11 janvier 2021 à 09h02

Il y a un an, la National Highway Traffic Safety Administration (NHTSA) ouvrait une enquête à la suite d'une pétition affirmant que des voitures auraient accéléré toutes seules.

Le régulateur américain s’arrête là, précisant qu’il n’y a pas suffisamment d’éléments pour ouvrir une enquête approfondie. En effet, sur les 246 plaintes examinées, l'agence affirme qu'une « mauvaise utilisation de la pédale » était la cause de l’accélération du véhicule.

« Il n'y a aucune preuve d'un défaut au niveau de la pédale d'accélérateur, des systèmes de commande du moteur ou de freinage », précise le NHTSA, comme le rapporte The Verge.

Le 11 janvier 2021 à 09h02

Des Tesla accélérant toutes seules ? Non selon le NHTSA, qui pointe des erreurs humaines

Roku rachète les contenus de Quibi

Roku rachète les contenus de Quibi

Le 11 janvier 2021 à 09h02

Six mois seulement après son lancement, la plateforme de streaming annonçait sa fermeture et cherchait d’éventuels repreneurs. En ce début d’année, Roku récupère les « plus de 75 émissions et documentaires » créés par Quibi. 

« Roku rachète les droits exclusifs de distribution mondiale des émissions primées de Quibi et rendra le contenu disponible gratuitement avec de la publicité à tous ses utilisateurs en 2021 » via la Roku Channel, ajoute le fabricant. 

Le montant de la transaction n’est pas précisé.

Le 11 janvier 2021 à 09h02

Roku rachète les contenus de Quibi

Panasonic présente sa TV OLED JZ2000 avec HCX Pro AI et « Game Mode Extreme »

Panasonic présente sa TV OLED JZ2000 avec HCX Pro AI et « Game Mode Extreme »

Le 11 janvier 2021 à 09h02

Le fabricant explique qu’il s’agit de son « nouveau fer de lance de sa gamme 2021 », qui sera disponible en 55 et 65". La télévision exploite un nouveau SoC HCX Pro AI avec « auto-optimisation de la qualité de l'image et du son selon le type de contenu regardé ». Voici deux exemples mis en avant par le constructeur : 

« S'il détecte par exemple un match de football, il ajuste la qualité de l'image pour rendre la pelouse plus réelle, les joueurs plus réalistes, tout en ajustant automatiquement le son pour donner l'impression d’être à l'intérieur du stade. S’il s’agit d’un film, le processeur va afficher les couleurs les plus précises et, grâce au savoir-faire acquis par Panasonic dans le cadre de ses collaborations avec Hollywood, la qualité de l'image sera ajustée afin d’offrir une expérience encore plus cinématographique ».

Pour les joueurs, elle prend en « charge du taux de rafraîchissement variable (VRR) et la fréquence d'images élevée (HFR) » en HDMI 2.1. Des haut-parleurs diffusent du son vers le haut et sur les côtés, pour des « expériences sonores Dolby Atmos immersives ». La partie audio est «  Tuned by Technics », la dalle est « Master HDR OLED Professional Edition » 

La télévision fonctionne avec le système My Home Screen 6.0 maison et peut gérer une double connexion Bluetooth pour envoyer du son à deux appareils distincts. Pour la disponibilité et le tarif, on repassera.

Le 11 janvier 2021 à 09h02

Panasonic présente sa TV OLED JZ2000 avec HCX Pro AI et « Game Mode Extreme »

Archos présente son X67, « le premier smartphone durci 5G »

Archos présente son X67, « le premier smartphone durci 5G »

Le 11 janvier 2021 à 09h02

Ce terminal mobile dispose d’un écran de 6,67" (2 400 x 1 800 pixels, format 20:9) avec une couche de protection Corning Gorilla Glass. Il est animé par un SoC MediaTek Dimensity 800 (4x Cortex-A76 à 2 GHz et 4x Cortex-A55 à 2 GHz) avec 8 Go de LPDDR4X et 128 Go de stockage (UFS 2.1).

Il intègre un lecteur d’empreintes digitales, du Bluetooth 5.1, du Wi-Fi 5, un port USB Type-C, deux emplacements SIM pouvant chacun être en 5G, une batterie avec une capacité élevée de 8 000 mAh, quatre caméras à l’arrière, etc. Tous les détails techniques se trouvent par là.

Côté robustesse, le fabricant affirme que son smartphone peut être « immergé dans l’eau pendant 30 min à 1.5 m de profondeur », qu’il résiste « à la poussière et au sable (certifications IP 68 et IP69K) et à des chutes allant jusqu’à 1,5 mètre (Corning Gorilla Glass et certification MIL STD 810G) ».

Il est livré avec Android 10 « version stock », alors que la version 11 est disponible depuis début septembre. Le X67 5G sera disponible début février, pour 599 euros.

Le 11 janvier 2021 à 09h02

Archos présente son X67, « le premier smartphone durci 5G »

Reconnaissance faciale : jusqu’à 96 % d’identification malgré le port du masque

Reconnaissance faciale : jusqu'à 96 % d'identification malgré le port du masque

Le 11 janvier 2021 à 09h02

Des tests menés par la Direction des sciences et de la technologie (S&T) du Département américain de la Sécurité intérieure (DHS) montrent des résultats « prometteurs » pour les technologies de reconnaissance faciale permettant d'identifier avec précision les personnes portant des masques de protection. Elles pourraient dès lors réduire la nécessité pour les gens de retirer les masques dans les aéroports.

L'expérimentation a testé 60 configurations de reconnaissance faciale (utilisant six systèmes d'acquisition de visage et/ou d'iris et 10 algorithmes de correspondance) et 582 volontaires représentant 60 pays. Les systèmes d'acquisition ont été évalués en fonction de leur capacité à prendre des images fiables de chaque volontaire avec et sans masque, le temps de traitement des volontaires et leur satisfaction globale.

Sans masque, les performances médianes du système ont démontré un taux d'identification d'environ 93 %, le système le plus performant identifiant correctement les individus ~ 100 % du temps. Avec les masques, les performances médianes ont démontré un taux d'identification de ~ 77 %, le système le plus performant identifiant correctement les individus ~ 96 % du temps.

Le 11 janvier 2021 à 09h02

Reconnaissance faciale : jusqu’à 96 % d’identification malgré le port du masque

Le gouvernement veut prétransposer des briques du Digital Services Act

Le gouvernement veut prétransposer des briques du Digital Services Act

Le 11 janvier 2021 à 09h02

Lors d’une audition devant la commission spéciale chargée d'examiner le projet de loi confortant le respect des principes de la République, Cédric O a indiqué que la France va « prétransposer » une partie du Digital Services Act. 

Celle relative aux obligations de moyen pesant sur les très grandes plateformes.

« Un certain nombre d’éléments vont évoluer dans la discussion européenne, mais compte tenu de l’urgence nous traitons le plus gros du problème, la modération des contenus haineux sur les grands réseaux sociaux », avance le secrétaire d’État au numérique. 

En marge d’une audition non publique avec les plateformes jeudi dernier (Dailymotion, Facebook, Google, Qwant, Snap, Twitter, Wikimedia France), nous avons appris que ces briques du DSA seraient introduites par amendement en séance.

La France s’apprête donc à prendre le risque d’adopter des règles, calquées sur l’actuelle proposition de règlement sur les services numériques, laquelle pourra évoluer au fil des travaux européens. 

Le risque est d’autant plus grand que la directive dite « notification » oblige les États membres à repousser de plusieurs mois l’adoption des règles nationales, ici marchant sur les plates-bandes d’une disposition proposée par la Commission. 

Le 11 janvier 2021 à 09h02

Le gouvernement veut prétransposer des briques du Digital Services Act

Trump banni définitivement de Twitter, Parler sous la pression des plateformes

Trump banni définitivement de Twitter, Parler sous la pression des plateformes

Le 11 janvier 2021 à 09h02

Après l'invasion du Capitole et les violences de la semaine dernière, la pression s'accentue sur Donald Trump, qui ne sera plus Président des États-Unis le 20 janvier. 

Après un bannissement temporaire puis un retour, son compte Twitter a définitivement été coupé. Le service s'en explique dans un billet de blog où il retrace le passif de Trump et les mesures prises, qui n'ont jamais été suivies d'un changement de son comportement.

Un bannissement suivi par bien d'autres. Nombre de comptes ont ainsi été fermés ce week-end, Twitter ayant parfois eu la main un peu trop lourde, comme à son habitude. 

Dans la foulée, de nombreuses voix se sont exprimées pour féliciter l'action de Twitter, le cas de Donald Trump et de ses soutiens étant symptomatiques de ce qui pose problème dans l'expression publique en ligne. D'autres pour critiquer l'action du géant américain.

Ils jugent que le service intervient bien trop tard, après des années de laissez-faire, que ses outils de signalement sont encore insuffisants et qu'ils voient là l'expression d'une censure privée qui ne fait pas suite à une décision de justice, avec les risques que cela comporte pour la liberté d'expression. 

Sur YouTube, l'ancien gouverneur (républicain) Arnold Schwarzenegger a de son côté pris la parole pour exprimer son indignation face aux actions de ces dernières semaines, et livre son avis sur l'actuel locataire de la Maison-Blanche, critiquant les mensonges dont il abreuve ses soutiens : « Il restera dans l'histoire comme le pire Président. La bonne nouvelle c'est qu'il sera bientôt aussi hors de propos qu'un vieux tweet ».

Nombre de « Trumpistes » et membres de l'extrême droite espéraient trouver refuge sur Parler, un réseau social financé par de riches conservateurs, promettant une liberté d'expression totale, notamment pour permettre à de telles idées d'y trouver leur place. 

Mais il a lui aussi été critiqué, que ce soit pour la désinformation qui y circule, les propos qui s'y échangent avec une faible modération, ou le rôle joué dans l'organisation des évènements de la semaine dernière. 

Apple et Google l'ont ainsi retiré de leurs boutiques applicatives, demandant des comptes à ses organisateurs sur la modération. BuzzFeed a diffusé la lettre envoyée par Amazon Web Services (AWS) à l'équipe de Parler pour lui annoncer la suspension de son compte pour des raisons similaires. Ils gardent néanmoins un accès à leurs données, permettant la migration chez un autre hébergeur. 

Le 11 janvier 2021 à 09h02

Trump banni définitivement de Twitter, Parler sous la pression des plateformes

Fermer