#Le brief du 28 février 2019

Les failles Thunderclap dans Thunderbolt 3 ne sont toujours pas corrigées

Les failles Thunderclap dans Thunderbolt 3 ne sont toujours pas corrigées

Le 28 février 2019 à 10h14

En 2016, des chercheurs avaient alerté Apple, Intel, Microsoft et certains constructeurs d’un lot de failles dans l’implémentation faite de Thunderbolt 3 dans des périphériques et des cartes PCI Express. Tous ont plus ou moins réagi, mais de manière incomplète.

Le problème réside dans l’accès direct à la mémoire (canal DMA) des périphériques Thunderbolt 3, pour des questions de performances. Si un pirate parvenait à contrôler le périphérique, il pourrait utiliser cet accès pour lire d’autres informations en mémoire, mais aussi exécuter discrètement du code.

Les chercheurs notent qu’il existe bien une solution contre ce problème, l’IOMMU (Input-Output Memory Management Unit). Elle impose aux périphériques de n’accéder qu’aux seules zones mémoire qu’ils nécessitent.

Problème, elle grève une partie des performances. En outre, elle n’est supportée par défaut que dans macOS. Elle est absente de Windows 7, 8, 10 Familiale et 10 Pro. Dans l’édition Entreprise, elle n’est présente qu’en option et sous forme limitée. Dans les systèmes Linux et BSD, elle est souvent désactivée.

Même quand l’IOMMU est active, son implémentation laisse à désirer. Même sur macOS où elle est présente, les chercheurs ont réussi à faire exécuter des applications, même chose sur un FreeBSD. Sous Linux, des éléments du noyau devenaient même accessibles. En outre, sous macOS, les périphériques n’étaient pas protégés les uns des autres.

Pour les chercheurs, le problème est donc toujours présent, même si des protections en ont légèrement réduit le périmètre. Mais la méthode d’attaque n’a pas changé : il suffit dans la plupart des cas de brancher un périphérique malveillant pour déclencher des actions sans faire de bruit.

Ils citent par ailleurs un « fabricant très populaire » d’ordinateurs portables qui aurait décidé de repousser l’intégration du Thunderbolt 3 dans ses machines le temps que ces failles de sécurité soient bien cernées. Aucun nom n’est cependant cité.

En attendant, un site dédié aux failles Thunderclap a été mis en ligne pour résumer le problème sous forme de FAQ (en anglais).

Le 28 février 2019 à 10h14

Les failles Thunderclap dans Thunderbolt 3 ne sont toujours pas corrigées

FTC : une « task force » pour surveiller les géants de la tech

FTC : une « task force » pour surveiller les géants de la tech

Le 28 février 2019 à 09h19

La Federal Trade Commission explique que le but est de « surveiller la concurrence sur les marchés américains, d'enquêter sur tout soupçon de comportement anticoncurrentiel et de prendre des mesures le cas échéant ». Elle est composée de 17 juristes.

Pour Joe Simons, président de la FTC, « il est logique que nous étudiions attentivement les marchés des hautes technologies pour veiller à ce que les consommateurs bénéficient d’une concurrence libre et loyale ».

Selon Bruce Hoffman, directeur du Bureau de la Concurrence, cette task force aura la possibilité d'annuler un accord si besoin, même si ce genre de procédure est très rare. Il n'a par contre pas souhaité donner d'exemple concret.

Le 28 février 2019 à 09h19

FTC : une « task force » pour surveiller les géants de la tech

La FTC épingle une entreprise pour avoir acheté de faux avis sur Amazon

La FTC épingle une entreprise pour avoir acheté de faux avis sur Amazon

Le 28 février 2019 à 09h19

La FTC s'est penchée sur le cas d'une entreprise, Cure Encapsulations Inc, vendant des compléments alimentaires via la marketplace d'Amazon. Une activité parfaitement autorisée, à condition de ne ne pas chercher à tromper ses futurs clients, et c'est bien là que le bât blesse.

Cure Encapsulations s'est rendue coupable d'avoir acheté de faux avis pour ses produits auprès du site, amazonverifiedreviews.com. Dans le dossier de l'autorité, on retrouve ainsi par exemple des messages envoyés au prestataire tels que « S'il vous plait, faites en sorte que mon produit garde ses cinq étoiles », ou « nous avons besoin d'une note d'au moins 4,3 sur 5 pour maintenir les ventes ».

L'autorité épingle également les fausses qualités du produit mises en avant dans sa fiche descriptive. La marque indiquait par exemple que ses compléments alimentaires « bloquent littéralement la formation des graisses », ou qu'ils « provoquent une perte de poids rapide et substantielle ».

Pour l'ensemble de ces manquements, l'entreprise a été condamnée à une amende de 12,845 millions de dollars. De plus, elle doit contacter l'ensemble de ses clients afin de les informer du résultat de l'enquête de la FTC, et leur joindre un prospectus des autorités sanitaires américaines.

Ce dernier précise les effets véritables (ou l'absence d'effets) de différents produits « naturels » sur la perte de poids. L'entreprise ayant fourni les faux avis, elle, ne semble pas avoir été inquiétée.

Le 28 février 2019 à 09h19

La FTC épingle une entreprise pour avoir acheté de faux avis sur Amazon

Visual Studio 2019 : la Release Candidate disponible

Visual Studio 2019 : la Release Candidate disponible

Le 28 février 2019 à 09h19

Plus précisément, l’environnement de développement intégré reçoit à la fois une Release Candidate et une Preview 4. La différence ? Aucune.

Ce sont exactement les mêmes versions, mais diffusées dans deux canaux différentes. La RC est dans le canal Release qui se concentre sur des versions stables ou en passe de l’être. La Preview 4 est diffusée dans le canal Preview, pour des tests en continu des nouveautés en approche.

Les deux canaux peuvent être installés côte à côte, à la manière des différentes éditions d’un navigateur. Les deux ne se chevauchent pas, permettant aux développeurs de tester les Preview sans polluer son installation stable (ou RC).

La liste des nouveautés (nombreuses) n’a guère changé depuis la Preview 3, dont elle corrige une liste de bugs. Les notes de version affichées reprennent simplement toutes les améliorations réalisées sur Visual Studio 2019 et devraient d’ailleurs constituer les notes finales.

Les utilisateurs dans le canal Preview n’ont donc qu’à mettre à jour vers la nouvelle venue. Les intéressés par la Release Candidate pourront la récupérer depuis le lien-ci-dessous.

Le 28 février 2019 à 09h19

Visual Studio 2019 : la Release Candidate disponible

Applications dupliquées sur l’App Store : Apple commence à faire le ménage

Applications dupliquées sur l'App Store : Apple commence à faire le ménage

Le 28 février 2019 à 09h19

Les règles de l'App Store interdisent normalement de créer de multiples versions d'une même application. La sanction peut aller jusqu'à la suppression du compte développeur associé, comme indiqué au paragraphe 4.3.

Problème, nos confrères de TechCrunch ont justement trouvé de nombreux doublons dans la catégorie VoIP en cherchant une application de gestion de numéros virtuels. Les éditeurs s'en cachent à peine : le nom change, les mots clés aussi (pour le référencement), mais les images de présentation sont bien souvent les mêmes (à la couleur de fond près).

Suite à cette actualité, Apple a commencé le ménage dans ses applications. Mais il ne s'agit peut-être que de la face visible de l'iceberg, car d'autres catégories de produits sont touchées par ce problème.

La société de Cupertino n'a pas fait de commentaire pour l'instant. Elle devra certainement durcir ses règles et ses sanctions, faute de quoi les applications supprimées pourraient revenir aussi vite qu'elles ont disparu.

Le 28 février 2019 à 09h19

Applications dupliquées sur l’App Store : Apple commence à faire le ménage

Facebook promet que son outil d’effacement d’historique arrivera plus tard dans l’année

Facebook promet que son outil d'effacement d'historique arrivera plus tard dans l'année

Le 28 février 2019 à 09h19

Le 1er mai 2018, Mark Zuckerberg se fendait d’un message sur Facebook pour annoncer la préparation d’un outil permettant de supprimer son historique Facebook.

On était alors dans le sillage du scandale Cambridge/Analytica et la conférence F8 allait commencer, l'occasion de calmer le jeu.

Cet outil, très attendu, afficherait l’ensemble des interactions entre le compte Facebook et toutes les applications tierces et pages web. En purgeant cet historique, l’utilisateur perdrait toute personnalisation des publicités. L’outil permettrait même de bloquer les enregistrements futurs.

Zuckerberg avertissait cependant déjà que la fonction pourrait rendre « pires certaines parties de votre expérience ». Sans les précieux cookies concernés, des connexions seront à refaire et Facebook pourrait ne pas fonctionner « comme d’habitude ».

Mardi soir, le directeur administratif et financier (CFO) de Facebook, David Wehner, a confirmé durant la Media & Telecom Conference 2019 que l’outil était bien en préparation. Il arrivera « plus tard dans l’année ».

Il admet que cette fonction va donner quelques maux de tête aux ingénieurs pour parvenir à cibler correctement les utilisateurs pendant les campagnes publicitaires.

Des propos qui résument à eux seuls la position très inconfortable de Facebook actuellement, pris entre les scandales liés à la vie privée et le besoin de ciblage, une immense partie de ses revenus provenant de la publicité ciblée.

Le réseau social sait que cet outil sera examiné sous toutes les coutures pour en mesurer l’efficacité.

Le 28 février 2019 à 09h19

Facebook promet que son outil d’effacement d’historique arrivera plus tard dans l’année

TikTok : 5,7 millions de dollars d’amende pour défaut de consentement à la collecte de données

TikTok : 5,7 millions de dollars d'amende pour défaut de consentement à la collecte de données

Le 28 février 2019 à 09h19

La FTC vient d'épingler TikTok (anciennement Musical.ly) pour avoir échoué à informer clairement les parents de ses utilisateurs de moins de 13 ans à propos des données collectées par l'application.

La loi américaine COPPA prévoit que les sites et services en ligne doivent obtenir une autorisation parentale avant de pouvoir collecter la moindre information personnelle sur ses utilisateurs âgés de moins de 13 ans.

De plus, TikTok était largement au courant de la situation mais n'a rien fait jusqu'ici pour l'arranger puisque, selon la FTC, des milliers de parents américains auraient demandé à l'entreprise d'effacer les données collectées sur leurs enfants, en vain.

Pour ces manquements graves, l'entreprise a pu négocier une amende de 5,7 millions de dollars, en plus d'une obligation de se mettre en conformité. Il s'agit de la plus grosse amende collectée par la FTC dans une affaire en lien avec la loi COPPA.

Le 28 février 2019 à 09h19

TikTok : 5,7 millions de dollars d’amende pour défaut de consentement à la collecte de données

Disney voudrait racheter les 10 % de Hulu à AT&T (WarnerMedia), pour grimper à 70 %

Disney voudrait racheter les 10 % de Hulu à AT&T (WarnerMedia), pour grimper à 70 %

Le 28 février 2019 à 09h19

Le père de Mickey dispose déjà de 30 % des parts de la plateforme de streaming et récupèrera 30 % supplémentaire lorsque le rachat des actifs de la 21st Century Fox sera validé.

Disney voudrait donc mettre la main sur les 10 % de WarnerMedia (Time Warner), qui a été racheté par AT&T (vous suivez ?), comme le rapporte Variety. Une simple addition donne le résultat : Disney aurait alors 70 % des parts de Hulu.

Les 30 % restants appartiennent à NBCUniversal et donc à Comcast… qui s'était livré à une guerre d'enchères autour du rachat de la 21st Century Fox avec Disney. Comcast ne semble pas vendeur selon le directeur général de NBCUniversal (Steve Burke), toujours chez Variety : « Disney aimerait racheter nos parts. Je ne pense pas que cela arrive à court terme ».

Disney prépare pour rappel son propre service de streaming, simplement baptisé Disney+ pour l'instant. La société pourrait répartir ses services en deux : d'un côté les films et séries pour adultes sur Hulu, de l'autre les contenus pour enfants sur Disney+ pour ne pas écorner son image de marque.

Le 28 février 2019 à 09h19

Disney voudrait racheter les 10 % de Hulu à AT&T (WarnerMedia), pour grimper à 70 %

Windows 10 19H1 : enfin une préversion dans le canal lent

Windows 10 19H1 : enfin une préversion dans le canal lent

Le 28 février 2019 à 09h19

Après des mois de tests en canal rapide, Microsoft a finalement diffusé une préversion dans le canal lent. Estampillée 18342.8, elle reprend la 18342 déjà sortie en rapide et lui ajoute quelques correctifs spécifiques.

Selon Dona Sarkar, qui dirige le programme Windows Insider, c’est un problème de GSOD (Green Screen of Death) qui avait empêché le canal lent d’être activé plus tôt.

Des testeurs ont en effet rencontré des plantages dans certains jeux (mais on ne sait pas lesquels) n’appréciant pas les mécanismes antitriche apparus durant le développement. Or, selon Microsoft, une bonne partie des testeurs du canal lent sont des joueurs intensifs.

Conséquence, les machines avec les jeux concernés ne pourront pas être mises à jour vers le canal lent tant que les éditeurs n’auront pas fourni des correctifs adaptés. Idem pour les Windows configurés en chinois simplifié.

Pour les autres, l’installation sera un tsunami de nouveautés : nouveau thème clair, panneau emojis contenant symboles et kaomojis, nombreuses retouches d’interfaces, séparation de la recherche et Cortana,  désinstallation possible de presque toutes les applications intégrées, Windows Sandbox, applications Win32 en réalité mixte, etc.

Cette première build en canal lent aura été longtemps attendue. C’est la première fois que Microsoft tarde autant, ce qui faisait craindre à certains que le canal soit mis de côté.

De quoi réactiver de mauvais souvenirs, l’October 2018 Update ayant fait l’impasse sur le dernier canal (Realease Preview) pour une publication anticipée, avec les soucis de fiabilité que l’on sait.

L’éditeur sait nécessairement qu’il est attendu au tournant, et cette première build du canal lent arrive bien tard, quelques semaines avant la finalisation. La branche 19H1 va en effet accoucher de la version 1903 (mars 2019), qui devrait ensuite être diffusée lors du Patch Tuesday d’avril.

Il reste en outre certains problèmes connus dans cette préversion. La Windows Sandbox peut planter, les cartes son X-Fi de Creative ne fonctionnent pas correctement, l’éclairage nocturne a toujours des soucis et des lecteurs de cartes Realtek SD sont mal reconnus.

Le 28 février 2019 à 09h19

Windows 10 19H1 : enfin une préversion dans le canal lent

Nintendo présente Pokémon Épée et Bouclier, rendez-vous fin 2019 sur Switch

Nintendo présente Pokémon Épée et Bouclier, rendez-vous fin 2019 sur Switch

Le 28 février 2019 à 09h19

Nintendo a diffusé hier une courte présentation « Pokémon Direct » afin de dévoiler la prochaine génération de jeux Pokémon. La série sera donc complétée fin 2019 par deux nouveaux épisodes sur Switch : Pokémon Épée et Pokémon Bouclier.

Les dresseurs en herbe pourront explorer une toute nouvelle région, Galar où les bestioles et les humains coopèrent pour faire travailler l'industrie locale. Comme toujours, le joueur devra remporter divers défis pour obtenir les badges qui le mèneront jusqu'à la fameuse ligue pokémon.   

Les trois compagnons de départ ont également été dévoilés. Le joueur aura donc le choix entre Ouistempo, un singe de type plante, Flambino, un lapin de feu et Larméléon, une sorte de lézard d'eau. On ne change pas une recette qui marche.  

Le 28 février 2019 à 09h19

Nintendo présente Pokémon Épée et Bouclier, rendez-vous fin 2019 sur Switch

L’Europe soutient quatre projets de cybersécurité : CONCORDIA, ECHO, SPARTA et CyberSec4Europe

L'Europe soutient quatre projets de cybersécurité : CONCORDIA, ECHO, SPARTA et CyberSec4Europe

Le 28 février 2019 à 09h19

Ils s'inscrivent tous dans le cadre du programme européen de financement de la recherche et de l’innovation Horizon 2020. Ce dernier a pour rappel été lancé le 1er janvier 2014 pour une durée de 7 ans (jusque fin 2020 donc). Son but est de « développer et de mettre en œuvre des actions collaboratives de recherche et d’innovation de haut niveau ».

Voici les quatre sélectionnés sur la douzaine de participants : CONCORDIA (CyberSecurity Competencefor Research and Innovation), ECHO (European network of Cybersecurity centres and competence Hub for innovation and Operations), CyberSec4Europe et SPARTA.

Ce dernier est piloté par le CEA, avec la participation de l'ANSSI et d'Inria pour ne citer qu'eux. Son but : « Ré-imaginer la manière dont la recherche, l’innovation, et la formation en cybersécurité se pratiquent dans l’Union européenne ».

Entre 30 et 46 partenaires et de 14 à 20 pays membres de l'Union européenne sont impliqués dans chaque projet. Une infographie des principaux axes de développement et l'implication de chaque pays est disponible ici.

Au total, l'investissement financier de l'union européenne est de 63,5 millions d'euros.

Le 28 février 2019 à 09h19

L’Europe soutient quatre projets de cybersécurité : CONCORDIA, ECHO, SPARTA et CyberSec4Europe

CUDA Toolkit 10.1 est disponible

CUDA Toolkit 10.1 est disponible

Le 28 février 2019 à 09h19

Cette nouvelle version permet d'obtenir des performances supplémentaires pour la génération aléatoire (cuRAND), cuFFT, ou cuSolver (eigensolvers) et pour la gestion des kernels dans les API Graph.

nvJPEG gagne en fonctionnalités, notamment par batchs, alors que l'API cuBLASLt (GEMM) fait son entrée. Tous les détails sont disponibles par ici.

Le 28 février 2019 à 09h19

CUDA Toolkit 10.1 est disponible

Les six premiers satellites de OneWeb sont en orbite

Les six premiers satellites de OneWeb sont en orbite

Le 28 février 2019 à 09h19

Cette nuit, une fusée Soyouz décollait de Kourou en Guyane, direction l'espace. C'est le second lancement de l'année pour Arianespace, avec un sans faute jusqu'à présent.

Les six premiers satellites pèsent près de 150 kg chacun et sont désormais à 1 000 km d'altitude. Ils ont été construits par OneWeb Satellites, une coentreprise fondée par OneWeb et Airbus Defence and Space.

Il ne s'agit que de la première étape puisque 20 autres lancements sont prévus d'ici fin 2020 pour arriver à une constellation de 650 satellites (jusqu'à 900 en fonction de la demande).

Le but est pour rappel de proposer une connexion Internet globale sur la Terre. OneWeb n'est pas la seule société à tenter l'aventure, SpaceX est aussi de la partie avec Starlink.

Le 28 février 2019 à 09h19

Les six premiers satellites de OneWeb sont en orbite

La Poste prévient qu’IDN est devenu L’Identité Numérique

La Poste prévient qu'IDN est devenu L’Identité Numérique

Le 28 février 2019 à 09h19

Dans un email envoyé à ses clients, le groupe évoque le « changement du nom » de ce service notamment exploité par France Connect. Il était précédemment connu comme IDentité Numérique.

Il s'agit en réalité d'une refonte graphique, qui n'est pas totalement nouvelle puisque tous les éléments sont en place depuis quelques mois. Une vidéo de présentation est d'ailleurs disponible par ici.

La société précise qu'aucun changement n'est attendu sur le fond, mais que L'Identité Numérique est « plus sécurisé » et que la mise à jour du compte se fait après une simple connexion, sans plus de détails.

Le 28 février 2019 à 09h19

La Poste prévient qu’IDN est devenu L’Identité Numérique

Star Trek: Discovery aura une troisième saison

Star Trek: Discovery aura une troisième saison

Le 28 février 2019 à 09h19

Alors que les épisodes de la seconde saison sont égrenés par Netflix (à raison d'un par semaine), CBS vient de confirmer que la série aura droit à une troisième. La chaîne affirme que l'actuelle seconde saison « a dépassé ses attentes ».

CBS en profite pour annoncer l'arrivée de Michelle Paradise en tant que coauteur-producteur aux côtés d'Alex Kurtzman. Elle avait déjà rejoint l'équipe au milieu de la deuxième saison.

Aucune date de sortie (même vague) pour le moment.

Le 28 février 2019 à 09h19

Star Trek: Discovery aura une troisième saison

5 000 qubits et topologie Pegasus pour le prochain ordinateur quantique de D-Wave

5 000 qubits et topologie Pegasus pour le prochain ordinateur quantique de D-Wave

Le 28 février 2019 à 09h19

L'actuelle machine dispose de 2 000 qubits et exploite la topologie Chimera avec laquelle chaque qubit est relié à six autres qubits. La prochaine plateforme revoit l'ensemble des chiffres à la hausse.

Le nombre de qubits sera plus que doublé pour passer à 5 000. En outre, chaque qubit sera relié à quinze autres qubits grâce à Pegasus, permettant ainsi « l’intégration de problèmes plus importants avec moins de qubits » par rapport à Chimera. Le « bruit » est revu à la baisse permettant d'améliorer la cohérence quantique.

Il faudra être patient puisque la machine quantique n'arrivera pas avant mi-2020 selon D-Wave. Pour rappel, les calculateurs quantiques du fabricant utilisent le « recuit simulé quantique » capable de donner de très bons résultats sur un domaine précis : l'optimisation de fonction.

Le 28 février 2019 à 09h19

5 000 qubits et topologie Pegasus pour le prochain ordinateur quantique de D-Wave

Hyperloop TT a (enfin) terminé sa première piste d’essai à Toulouse

Hyperloop TT a (enfin) terminé sa première piste d'essai à Toulouse

Le 28 février 2019 à 09h19

Hyperloop Transportation Technologies avait annoncé en grande pompe son arrivée à Toulouse (l’ancienne base militaire de Francazal) en janvier 2017. Les travaux ont débuté en février 2018 et les premiers essais devaient arriver six mois plus tard.

L'assemblage de la première piste de test de 320 m de long et 4 m de diamètre ne s'est finalement terminée que fin février 2019, comme le rapporte France 3. Les premiers essais sont prévus pour avril lorsqu'une pompe à vide aura été mise en place.

Sur une si petite distance (320 m) il ne sera pas question de s'approcher de la vitesse du son (le but d'Hyperloop TT), mais de se concentrer sur « la dépressurisation de la piste, le dispositif électromagnétique, les conditions dans la capsule », etc.

Pour la vitesse, une autre piste est en préparation : « Elle mesurera un kilomètre de long, et sera supportée par des pylônes, comme ce sera le cas de nos futures lignes commerciales », explique la société.

Le 28 février 2019 à 09h19

Hyperloop TT a (enfin) terminé sa première piste d’essai à Toulouse

FedEx présente son robot livreur SameDay Bot

FedEx présente son robot livreur SameDay Bot

Le 28 février 2019 à 09h19

La compagnie américaine spécialisée dans la livraison de colis a mis en ligne une page dédiée à son petit robot. Il est équipé de quatre roues principales et de deux autres plus petites devant. Il est prévu pour rouler sur différents types de surfaces et pouvoir gravir de petites marches (un trottoir par exemple).

Selon Reuters, sa vitesse maximale serait de 16 km/h et les premiers essais en conditions réelles devraient débuter cet été.

Le 28 février 2019 à 09h19

FedEx présente son robot livreur SameDay Bot

Fermer