#Le brief du 22 septembre 2021

Chrome 94 peut indiquer aux applications web quand un utilisateur est absent

Chrome 94 peut indiquer aux applications web quand un utilisateur est absent

Le 22 septembre 2021 à 08h03

Nouvelle version pour le navigateur de Google, avec à la clé plusieurs nouveautés, surtout à destination des développeurs. Dans la foulée, elle colmate 17 vulnérabilités, dont 5 critiques.

Cette mouture 94 amène avec elle une petite controverse, car elle introduit une nouvelle API baptisée Idle detection. Elle exploite plusieurs signaux destinés à préciser à une application web quand un utilisateur n’utilise plus son appareil. Ce type d’information est couramment utilisé par des applications pour basculer par exemple en statut « absent ».

Les critiques ne viennent pas tant des développeurs web que des concurrents. Mozilla y voit une « opportunité pour le capitalisme de surveillance » et une autre pour les acteurs malveillants. Par exemple, une application web pourrait se servir de l’API pour détecter les absences d’une personne et maximiser la consommation des ressources pendant ces périodes.

L’équipe de développement de WebKit (moteur de Safari) est du même avis et tire encore plus la sonnette d’alarme. Elle n’y voit aucune opportunité sérieuse pour les développeurs. En revanche, elle estime que cette API pave la voie à de nombreux scénarios d’attaques et qu’aucun garde-fou digne de ce nom ne peut les empêcher. Comme Mozilla, elle s’oppose à l’inclusion de cette API.

Parmi les autres nouveautés, signalons l’API VirtualKeyboard, qui permet aux développeurs de mieux contrôler le clavier virtuel : son emplacement, sa forme, sa disposition, etc. Une autre API, WebCodecs, autorise l’accès aux codeurs/décodeurs logiciels et matériels, ce qui devrait permettre une hausse des performances dans certains cas. AppCache est en revanche supprimée, comme elle le sera dans Firefox et Safari.

Citons également l’API postTask qui permet de définir trois niveaux de priorités pour les tâches JavaScript (user-blocking, user-visible ou background), un profileur d’échantillons pour mesurer les temps d’exécution JavaScript, ou encore plusieurs API pour manipuler directement les données brutes émanant de certains appareils, comme les caméras et appareils photo.

Le 22 septembre 2021 à 08h03

Chrome 94 peut indiquer aux applications web quand un utilisateur est absent

L’encadrement des drones ne convainc pas la Défenseure des droits et le Syndicat de la magistrature

L’encadrement des drones ne convainc pas la Défenseure des droits et le Syndicat de la magistrature

Le 22 septembre 2021 à 08h03

Jusqu’à jeudi, les députés examinent en première lecture le projet de loi relatif à la responsabilité pénale et à la sécurité intérieure.

De nombreux chapitres concernent les nouvelles technologies, dont l’utilisation des caméras sur les drones, ou les véhicules et la vidéosurveillance dans les locaux de garde à vue ou encore la simplification des procédures à la CNIL.

Dans ses observations sur les drones, la Défenseure des Droits considère que le texte en l’état ne permet pas une « conciliation équilibrée entre les objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions et le droit au respect de la vie privée ».

Par exemple, « la consultation d’une autorité indépendante n’est pas prévue pour examiner a priori les motifs et les garanties prévues, ni pour contrôler a posteriori les conditions de renouvellement d’une telle mesure contrairement à d’autres dispositifs visant à recueillir des renseignements ou à constater des infractions ».

Du côté du Syndicat de la Magistrature, même constat.

Sur les drones toujours, il considère qu’ « au nom de l’optimisation de la gestion de la sécurité publique, le développement de la "technopolice" s’industrialise de sorte que nous assistons à un quadrillage policier omniscient et ce faisant à une militarisation de l’espace public ».

Prévention des atteintes à la sécurité des personnes et des biens, sécurité des rassemblements de personnes sur la voie publique, prévention d’actes de terrorisme, régulation des flux de transport, surveillance des frontières, secours aux personnes…

Le syndicat relève que cette « liste à la Prévert » des finalités justifiant la surveillance « couvre la quasi-totalité des missions de police administrative ». Toutes… sauf la protection de l’environnement.

Le 22 septembre 2021 à 08h03

L’encadrement des drones ne convainc pas la Défenseure des droits et le Syndicat de la magistrature

VMware corrige 19 failles dans vCenter Server et Cloud Foundation, dont une critique

VMware corrige 19 failles dans vCenter Server et Cloud Foundation, dont une critique

Le 22 septembre 2021 à 08h03

L’éditeur prévient qu’une très sérieuse vulnérabilité affecte les versions 6.7 et 7.0 de son vCenter Server, parmi un lot de 19 brèches désormais corrigées.

Si un malandrin dispose d’un accès sur le port 443, il peut exploiter la faille CVE-2021-22005 en téléversant un fichier spécialement conçu. Il pourrait alors déclencher une exécution de code arbitraire à distance. « Cette vulnérabilité peut être utilisée par quiconque peut accéder à vCenter Server par le réseau, indépendamment des paramètres de configuration ».

VMware recommande que les installations soient mises à jour dès que possible. Dans une FAQ, l’éditeur explique qu’il est hautement probable que des exploitations se manifestent dans les minutes suivant la confirmation des détails.

Pour les entreprises ne pouvant pas déclencher de mise à jour dans l’immédiat, des solutions temporaires sont mises à disposition. Comme on s’en doute, elles n’auront toutefois pas l’efficacité d’un véritable correctif.

Le 22 septembre 2021 à 08h03

VMware corrige 19 failles dans vCenter Server et Cloud Foundation, dont une critique

Canonical étend le support d’Ubuntu 14.04 et 16.04 à dix ans

Canonical étend le support d’Ubuntu 14.04 et 16.04 à dix ans

Le 22 septembre 2021 à 08h03

Comme les moutures LTS 18.04 et 20.04, Ubuntu 14.04 et 16.04 ont désormais un support maximal de 10 ans, modifiant les dates de fin. Pour le premier, on passe d’avril 2022 à avril 2024. Pour le second, d’avril 2024 à avril 2026.

« Avec le cycle de vie prolongé d’Ubuntu 14.04 et 16.04 LTS, nous entrons dans un nouveau chapitre de notre engagement [envers les entreprises]. Chaque secteur industriel a son propre cycle de déploiement et adopte les technologies à un rythme différent. Nous offrons un cycle de système d’exploitation qui permettra aux entreprises de gérer leur infrastructure comme elles l’entendent », a indiqué Nikos Mavrogiannopoulos, responsable produit chez Canonical.

Notez que le support classique d’une mouture LTS est toujours de cinq ans. Les entreprises peuvent acheter cinq années supplémentaires, auparavant limitées à trois. Les structures qui avaient acheté cette extension pour Ubuntu 14.04 et 16.04 reçoivent donc deux années supplémentaires.

Le 22 septembre 2021 à 08h03

Canonical étend le support d’Ubuntu 14.04 et 16.04 à dix ans

Mirakl et Sorare : deux levées de fonds en France, pour plus de 1,2 milliard de dollars

Mirakl et Sorare : deux levées de fonds en France, pour plus de 1,2 milliard de dollars

Le 22 septembre 2021 à 08h03

Sorare est, selon Wikipédia, « un jeu de fantasy football mondial, dans lequel les joueurs achètent, vendent, échangent et gèrent une équipe virtuelle avec des cartes de joueur numériques ». 

La jeune pousse lancée en 2018 annonce « une levée de fonds record de 680 millions de dollars, la plus importante de l'histoire de la French Tech et la plus importante d'Europe pour une Série B ».

Mirakl, entreprise spécialisée dans l’édition de logiciel fondée en 2012, a également réalisé une levée de fonds, avec 555 millions de dollars. Elle avait déjà effectué un tour de table de 300 millions en septembre dernier. La société est désormais valorisée à plus de 3,5 milliards de dollars. 

De quoi satisfaire Cédric O, qui en a profité pour vanter la « French Tech » sur le plateau de BFM Business. Il explique que ces levées de fonds correspondent à « l'équivalent d'une licorne en une journée, c'est plus que ce qu'on faisait sur l'année en 2015 ou en 2016 ».

Le 22 septembre 2021 à 08h03

Mirakl et Sorare : deux levées de fonds en France, pour plus de 1,2 milliard de dollars

AP-HP : à la CNIL, les suites de la fuite

AP-HP : à la CNIL, les suites de la fuite

Le 22 septembre 2021 à 08h03

« Fuite de données de santé de l’AP-HP : que pouvez-vous faire si vous êtes concerné ? », questionne la CNIL, avant d’apporter plusieurs éléments de réponses suite à cet incident de sécurité.

Déjà, l’autorité déconseille aux personnes de chercher à consulter un tel fichier, d’autant que « lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne ».

Voilà pourquoi de nombreuses personnes ont reçu des courriers de l’AP-HP pour les alerter. La CNIL, pour sa part, « n’est pas en mesure de vous informer de la présence de vos données dans ce fichier ».

En attendant, les risques pour les personnes concernées sont nombreux avec en tête phishing et usurpation d’identité. Pour ce dernier cas, la Commission recommande de se rendre sur cybermalveillance.gouv.fr (voir la fiche sur cette fuite) voire de porter plainte.

« Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc. »

Le 22 septembre 2021 à 08h03

AP-HP : à la CNIL, les suites de la fuite

Sur iOS 14.8 et 15, une manipulation permet d’accéder aux notes sans déverrouiller le téléphone

Sur iOS 14.8 et 15, une manipulation permet d’accéder aux notes sans déverrouiller le téléphone

Le 22 septembre 2021 à 08h03

Le chercheur Jose Rodriguez a trouvé le moyen d’accéder à l’application Notes et à son contenu sans avoir à déverrouiller d’abord l’iPhone. La manipulation fonctionne sur les deux dernières révisions stables d’iOS, mais requiert une longue série de manipulations.

Il faut en effet jouer pendant un bon moment avec le centre de contrôle, Siri, VoiceOver, Messages ou encore le Minuteur pour arriver à ses fins.

Certaines conditions doivent également être réunies : avoir un accès physique au téléphone, connaître le numéro de téléphone de la victime, Siri et le centre de contrôle doivent pouvoir être appelés depuis l’écran verrouillé (c’est le cas par défaut), Notes et Horloge doivent être épinglés dans le centre de contrôle (ce n’est pas le cas de Notes par défaut).

Si toutes les conditions sont réunies, un deuxième appareil peut être utilisé pour récupérer le contenu des notes. Cependant, toutes celles protégées par un code ou par la biométrie resteront inaccessibles.

Le chercheur a choisi de révéler publiquement la faille. Comme il s’en explique notamment à Mashable et AppleInsider, c’est une manière pour lui de mettre en lumière l’inadéquation des sommes versées par Apple pour les failles signalées.

Dans le cas présent, la faille devient inexploitable dès lors que le centre de contrôle ou Siri n’est plus appelable depuis l’écran verrouillé.

Le 22 septembre 2021 à 08h03

Sur iOS 14.8 et 15, une manipulation permet d’accéder aux notes sans déverrouiller le téléphone

OVHcloud obtient la certification Cloud and Infrastructure Operations de SAP

OVHcloud obtient la certification Cloud and Infrastructure Operations de SAP

Le 22 septembre 2021 à 08h03

Elle concerne « les activités Cloud et Infrastructure » de l'hébergeur qui « exposera son ambition commune avec SAP lors de la prochaine convention USF (Association des Utilisateurs SAP Francophones) les 6 et 7 octobre 2021 à Lille ».

« SAP propose un programme de certification pour les partenaires qui managent les environnements de leurs clients dans le cloud ou sur site [...] il s’agit de bénéficier d’un levier de croissance supplémentaire et d’une nouvelle visibilité auprès de l’écosystème » précise le communiqué. 

OVHcloud est bien intégré à la liste des 311 partenaires certifiés sur le site de SAP. Le Français, qui prépare actuellement son entrée en bourse, dit vouloir « proposer des services adaptés aux besoins des organisations sur notre cloud de confiance à l’échelle internationale. Mais aussi leur permettre de continuer à utiliser leurs applications les plus critiques tout en bénéficiant de la promesse unique d’OVHcloud ».

Le 22 septembre 2021 à 08h03

OVHcloud obtient la certification Cloud and Infrastructure Operations de SAP

Chronologie des médias et exclusivité : Disney menace de sauter la case « salle »

Chronologie des médias et exclusivité : Disney menace de sauter la case « salle »

Le 22 septembre 2021 à 08h03

Selon Variety, Disney envisage de court-circuiter les salles pour faire sortir directement ses films sur Disney Plus, sa plateforme de streaming.

La bisbille est née alors que les chaînes gratuites plaident pour une fenêtre d’exclusivité d’un mois, contraignant les plateformes à retirer dans le même temps, les œuvres de leurs services en ligne.

Sur la marelle de la chronologie des médias, sauter la première case permettrait ainsi de contourner cette fenêtre. Pour la filière, ce serait un coup dur, puisque les blockbusters drainent dans leur sillage de multiples contributions.

En juin dernier, a été publié le décret obligeant les plateformes à contribuer au cinéma et à l’audiovisuel français et européen. « Mais en contrepartie, le gouvernement s'était engagé à leur permettre de ne pas diffuser trop longtemps après la sortie en salle des films qu'elles auraient financés », rappellait alors le site Les Échos.

Cette année encore, le ministère a menacé de prendre un décret pour régler cette horlogerie, sauf accord de la filière. Accord qui n’a toujours pas vu le jour.

Le 22 septembre 2021 à 08h03

Chronologie des médias et exclusivité : Disney menace de sauter la case « salle »

Premières bêtas pour iOS et HomePod OS 15.1, le lossless et le Dolby Atmos de retour

Premières bêtas pour iOS et HomePod OS 15.1, le lossless et le Dolby Atmos de retour

Le 22 septembre 2021 à 08h03

Les réglages liés à la lecture sans perte et au Dolby Atmos (en plus du simple audio spatial) ont fait quelques apparitions pendant les bêtas, mais ne sont pas dans les versions finales d’iOS 15 et HomePod OS 15.

Depuis hier soir, la première bêta d’iOS 15.1 et son équivalent pour les HomePod sont disponibles auprès des développeurs et réactivent ces deux fonctions.

Il était temps, car à la sortie d’iOS 14.6 qui inaugurait le format Lossless Audio et le Dolby Atmos dans Music, Apple avait promis que ses enceintes (l’ancienne et la mini) seraient compatibles « plus tard ». Il n’est pas certain qu'elles soient vraiment taillées pour exploiter ces technologies, le lossless et le Dolby Atmos nécessitant des appareils spécifiques pour sentir la différence.

Si vous avez la bêta, vous trouverez les nouveaux réglages dans l’application Maison. Cliquez sur l’icône maison en haut à gauche, rendez-vous dans les réglages puis, dans Media, choisissez Apple Music. Vous devriez trouver des interrupteurs Lossless Audio et Dolby Atmos.

Enfin, la bêta d’iOS/iPadOS 15.1 restaure la fonction SharePlay. Elle permet pour rappel de synchroniser des contenus lors d’un appel FaceTime pour que les participants puissent en profiter ensemble, en discuter, réagir, etc. SharePlay sera disponible aussi sur macOS 12 et l’Apple TV.

Le 22 septembre 2021 à 08h03

Premières bêtas pour iOS et HomePod OS 15.1, le lossless et le Dolby Atmos de retour

Iliad veut racheter le câblo-opérateur UPC Poland pour 1,53 milliard d’euros, et en faire une filiale de Play

Iliad veut racheter le câblo-opérateur UPC Poland pour 1,53 milliard d’euros, et en faire une filiale de Play

Le 22 septembre 2021 à 08h03

Alors que la concentration est en marche en France avec SFR et Bouygues Telecom qui rachètent à tour de bras des opérateurs virtuels, Iliad continue son offensive en Europe.

Maintenant que l’intégration de l’opérateur polonais Play est terminée, la société de Xavier Niel lance le rachat du câblo-opérateur UPC Poland. Ce dernier est présenté comme « l’un des principaux fournisseurs d'accès à Internet de Pologne avec 3,7 millions de foyers couverts en Fibre et 1,5 million d'abonnés ». Mais attention, c’est de la « fibre* » dans la lignée de la définition de SFR, avec du « FTTx ».

« Ensemble, les 2 opérateurs deviendront le 2e opérateur télécom de Pologne avec, pour 2020, un chiffre d'affaires combiné de 1,96 milliard d'euros et un EBITDAaL de 697 millions d'euros ».

Le montant de la transaction est de 7,0 milliards de zlotys, soit environ 1,53 milliard d'euros. « La transaction sera financée en dette et trésorerie disponible au niveau de Play ». La finalisation est attendue pour le 1er semestre 2022, après approbation des autorités compétentes. UPC Poland sera alors une filiale de Play.

Le 22 septembre 2021 à 08h03

Iliad veut racheter le câblo-opérateur UPC Poland pour 1,53 milliard d’euros, et en faire une filiale de Play

De nouveaux Kindle Paperwhite et Signature Edition (charge sans fil), dès 139,99 euros

De nouveaux Kindle Paperwhite et Signature Edition (charge sans fil), dès 139,99 euros

Le 22 septembre 2021 à 08h03

Amazon renouvelle encore sa gamme de liseuses. Le Paperwhite de base dispose désormais « d'un écran sans reflets de 6.8’ […] avec des bords plus petits de 10,2 mm et une façade plane ».

Il propose aussi « un éclairage chaud réglable, un chargeur USB-C et une capacité de stockage de 8 Go ». Le fabricant annonce que l’autonomie peut aller jusqu’à 10 semaines.

De son côté, « le tout premier Kindle Paperwhite Signature Edition ajoute un capteur pour l'ajustement automatique de l'éclairage, 32 Go de stockage et, pour la première fois, le chargement sans fil ».

Le Kindle Paperwhite est annoncé à partir de 139,99 euros « avec publicités ». Cette fonctionnalité affiche pour rappel « du contenu sponsorisé sur l'écran de verrouillage de votre appareil ainsi qu'en mode veille ». Pour vous en passer, il faut payer 10 euros de plus.

De son côté, le Paperwhite Signature Edition est vendu 189,99 euros « sans publicités »… ni station de charge sans fil, vendue séparemment.

Le 22 septembre 2021 à 08h03

De nouveaux Kindle Paperwhite et Signature Edition (charge sans fil), dès 139,99 euros

Freebox OS passe en version 4.5, le répéteur Wi-Fi mis à jour

Freebox OS passe en version 4.5, le répéteur Wi-Fi mis à jour

Le 22 septembre 2021 à 08h03

Outre l'ajout du protocole VPN Wireguard, l'équipe a amélioré les performances des IPsec IKEv2 sur les Freebox Delta et Pop. Quelques bugs sont corrigés au passage, comme la compatibilité avec de vieux navigateurs ou l'annonce des adresses IPv6 dans le client BitTorrent.

Les répéteurs Wi-Fi ont également droit à une nouvelle version, la 1.7.1. Là aussi il est principalement question de correctifs et d'amélioration de la stabilité. Normalement, il ne devrait plus y avoir de problèmes lorsque le SSID de la connexion est changé.

Le 22 septembre 2021 à 08h03

Freebox OS passe en version 4.5, le répéteur Wi-Fi mis à jour

Facebook lance son Portal Go (avec batterie) et Portal+ de 14″, à partir de 229 euros

Facebook lance son Portal Go (avec batterie) et Portal+ de 14

Le 22 septembre 2021 à 08h03

Le réseau social met à jour ses écrans connectés vous permettant de joindre vos contacts via Messenger, WhatsApp, Zoom….

Comme son nom le laisse supposer, le Portal Go dispose d’une batterie lui permettant de bouger facilement. Il dispose d’un écran de 10" comme le Portal classique, avec une caméra de 12 Mpixels.

Le Portal+ est plus grand, avec un écran orientable de 14". Le Portable Go est vendu à 229 euros, contre 369 euros pour la version +. Les précommandes sont ouvertes, la disponibilité est prévue pour le 19 octobre.

Le 22 septembre 2021 à 08h03

Facebook lance son Portal Go (avec batterie) et Portal+ de 14″, à partir de 229 euros

La nouvelle application Erasmus+ intègre une carte d’étudiant européenne

La nouvelle application Erasmus+ intègre une carte d'étudiant européenne

Le 22 septembre 2021 à 08h03

Pour la Commission européenne, il s’agit d’une étape supplémentaire dans la numérisation de ce programme. Cette application « permettra à chaque étudiant de disposer d'une carte d'étudiant européenne numérique, valable dans toute l'Union européenne ».

Les étudiants pourront ainsi « rechercher et sélectionner leur destination parmi les partenaires de leur université », « signer leur contrat pédagogique en ligne », obtenir des conseils, se mettre en contact avec d'autres étudiants, etc.

La Commission affirme que « plus de 4 000 universités participent actuellement au réseau Erasmus Without Paper ». Cette année scolaire, 600 000 étudiants devraient partir à l’étranger via Erasmus+.

Le 22 septembre 2021 à 08h03

La nouvelle application Erasmus+ intègre une carte d’étudiant européenne

Fermer