#Le brief du 19 novembre 2021

SAD DNS : après le « Reloaded » de l’empoisonnement DNS, la « Resurrection »

SAD DNS : après le « Reloaded » de l'empoisonnement DNS, la « Resurrection »

Le 19 novembre 2021 à 09h13

En novembre 2020, une nouvelle façon de réaliser un empoisonnement de cache DNS faisait surface ; cette vulnérabilité est baptisée SAD DNS et dispose de son site dédié.

À la manière de Matrix, le premier papier est intitulé « DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels », tandis que celui du jour s’appelle « DNS Cache Poisoning Attack: Resurrections with Side Channels ». Cette nouvelle forme d’attaque est donc une variante de SAD DNS, qui était elle-même basée sur l'empoisonnement des caches DNS (corrigée en 2008). On retrouve une partie des mêmes chercheurs dans les deux publications, comme le rapporte The Hacker News.

Selon eux, cette vulnérabilité « affecte non seulement Linux, mais également une large gamme de logiciels DNS exécutés dessus, notamment BIND, Unbound et DNS masq ». Toujours selon les chercheurs, « environ 38 % des résolveurs ouverts » seraient vulnérables, « y compris les services DNS populaires tels que OpenDNS et Quad9 ».

L’équipe affirme avoir évidemment prévenu en amont et que des correctifs ont déjà été déployés sous  Linux, à la fois pour IPv4 et v6.

Le 19 novembre 2021 à 09h13

SAD DNS : après le « Reloaded » de l’empoisonnement DNS, la « Resurrection »

Nettoyage des données stockées par les sites : Chrome revoit sa façon de faire

Nettoyage des données stockées par les sites : Chrome revoit sa façon de faire

Le 19 novembre 2021 à 09h13

À partir de la version 97 actuellement en bêta, la page de gestion regroupera les données par (sous-)domaines et permettra de faire le ménage dans les grandes largeurs uniquement.

Ceux qui veulent une gestion plus fine devront se rendre dans les outils réservés aux développeurs. Google dit avoir fait ce choix car selon ses constatations, c'est ce public qui utilise principalement cette fonctionnalité, alors que le grand public veut surtout pouvoir faire le ménage.

Dans les deux captures publiées (avant, après), on note qu'il n'était pas possible d'effectuer une suppression pour un domaine entier, ce qui sera le cas désormais. Ceux qui ont des remarques à faire sur le sujet peuvent le faire par ici.

Le 19 novembre 2021 à 09h13

Nettoyage des données stockées par les sites : Chrome revoit sa façon de faire

Lancement réussi pour Rocket Lab, la récupération avec un hélicoptère avance doucement

Lancement réussi pour Rocket Lab, la récupération avec un hélicoptère avance doucement

Le 19 novembre 2021 à 09h13

Baptisée Love at first insight, cette mission a mis en orbite deux satellites pour le compte de BlackSky. C’est le second succès consécutif après l’échec de Running out of toes.

Pour la première fois, Rocket Lab a utilisé un hélicoptère « pour observer le premier étage de la fusée Electron alors qu’il descendait sur Terre avec son parachute ». Pas de tentative de récupération en vol cette fois-ci.

Le 19 novembre 2021 à 09h13

Lancement réussi pour Rocket Lab, la récupération avec un hélicoptère avance doucement

​​​​Dématérialisation : les oubliés de la « start-up Nation »

​​​​Dématérialisation : les oubliés de la « start-up Nation »

Le 19 novembre 2021 à 09h13

Dans toute la France, les délégués locaux du Défenseur des droits constatent combien les relations avec les services publics dématérialisés peuvent fragiliser les plus vulnérables, déplore une longue enquête du Monde.

« Si la dématérialisation a facilité les démarches d’un certain nombre d’usagers, elle est devenue un obstacle à l’accès aux droits pour d’autres, provoquant une réelle déshumanisation du service public, une perte de lien social », constate la Défenseure des droits, Claire Hédon.

« Fermeture de guichets, serveurs téléphoniques complexes, recours massifs à Internet pour les demandes et les contestations laissent bon nombre de citoyens sur le carreau, à commencer par les plus vulnérables : les anciens, les précaires dépourvus d’ordinateurs ou de smartphones, les personnes n’ayant pas l’habitude d’utiliser les plates-formes, les habitants des "zones blanches" »… 

Dans les quelque 870 points d’accueil du Défenseur répartis sur l’ensemble du territoire, 550 personnes, toutes bénévoles, se chargent d’accueillir ainsi tous ceux qui peinent à faire valoir leurs droits.

Alain Mignot, l'un d'entre-eux, enrage : « Tout passe par l’informatique désormais. Est-ce qu’il n’y a pas un être humain derrière cette machinerie ? Les gens sont prisonniers de l’informatique, ils ne trouvent pas d’interlocuteurs, se retrouvent dépassés par les délais. En 2018, il y avait encore des agents pour les recevoir, maintenant il n’y a plus personne. »

Le Covid-19 n’a rien arrangé, avec des guichets fermés durant des mois, dont certains n’ont même jamais rouvert. Henri, un étudiant gabonais, vient de recevoir son titre de séjour daté du… 20 novembre 2020. « Il n’est valable que pour un mois, et il n’y a aucun rendez-vous disponible à la préfecture de la Vienne ! », s’affole-t-il.

« On paye des années de réduction des dépenses publiques, avec de moins en moins de postes, des démarches de plus en plus complexes et des demandes en augmentation », estime-t-il. « Nos agents sentent poindre beaucoup de colère, confirme Claire Hédon. Ils voient des gens en larmes, épuisés. Nous jouons le rôle de service public des services publics, mais nous ne pouvons pas être la seule porte d’entrée physique. Il faut remettre de l’humain dans notre grande maison qu’est la France. »

Le 19 novembre 2021 à 09h13

​​​​Dématérialisation : les oubliés de la « start-up Nation »

RGPD : trois CNIL coopèrent pour déshabiller Vinted

RGPD : trois CNIL coopèrent pour déshabiller Vinted

Le 19 novembre 2021 à 09h13

Selon la CNIL, « à la suite de la réception d’un nombre significatif de plaintes concernant le site de vente en ligne de vêtements vinted.com, géré par l’entreprise lituanienne Vinted UAB, les autorités de protection des données en France, en Lituanie et en Pologne ont décidé de coopérer pour contrôler la conformité du site au RGPD ».

Plusieurs points sont étudiés dont le fonctionnement du site web « qui exige l’envoi d’une copie numérisée de la carte d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur ». 

Au menu également, les bases légales, les critères pour bloquer un compte et les durées de conservation des données. La CNIL lituanienne est désignée autorité-chef de file.

Le 19 novembre 2021 à 09h13

RGPD : trois CNIL coopèrent pour déshabiller Vinted

Starship : Elon Musk espère que le premier vol orbital se déroulera en janvier 2022… ou « peut-être en février »

Starship : Elon Musk espère que le premier vol orbital se déroulera en janvier 2022… ou « peut-être en février »

Le 19 novembre 2021 à 09h13

La société est habituée des retards sur ses prévisions, bien qu’elle finisse généralement par atteindre ses objectifs. La fusée entièrement réutilisable Starship qui doit remplacer Falcon 9 ne déroge pas à la règle.

Un premier vol orbital était prévu pour juillet, mais il n’a pas eu lieu. « Nous espérons le faire en janvier », indique Elon Musk lors d'une intervention devant des scientifiques de l'Académie nationale des sciences, comme le rapporte l’AFP.

« Peut-être en février » ajoute-t-il prudent. « Il y a beaucoup de risques associés à ce premier lancement, donc je ne dirais pas qu'il est probable qu'il soit réussi, mais je pense que nous ferons beaucoup de progrès ».

« Nous espérons tenter une dizaine de lancements l'année prochaine […] Peut-être plus », ajoute-t-il.

Le 19 novembre 2021 à 09h13

Starship : Elon Musk espère que le premier vol orbital se déroulera en janvier 2022… ou « peut-être en février »

Bouygues Telecom : 21,6 millions de clients mobiles et 4,4 millions sur le fixe

Bouygues Telecom : 21,6 millions de clients mobiles et 4,4 millions sur le fixe

Le 19 novembre 2021 à 09h13

Le groupe revendique, fin septembre, 21,6 millions de clients sur le mobile (hors machine-to-machine). Ils sont 14,6 millions avec un forfait « grâce à l’intégration des 2,1 millions de clients de BTBD [suite au rachat d’Euro-Information Telecom, ndlr] au 1er janvier 2021 et à la conquête de 436 000 nouveaux clients sur les neuf premiers mois de l’année ».

Sur le fixe, 4,4 millions de clients disposent d’une Bbox, tandis que « le parc de clients FTTH atteint 2,1 millions d’abonnés fin septembre 2021, grâce au gain de 517 000 nouveaux clients depuis le début de l’année. Près de la moitié des clients Fixe possèdent désormais une offre FTTH, contre 34 % un an auparavant ».

Bouygues Telecom revendique des revenus de 5,3 milliards d’euros, « en hausse de 13 % par rapport à fin septembre 2020 (+ 5 % à périmètre constant) ». De son côté, le résultat opérationnel sur les neuf premiers mois de l’année « ressort à 541 millions d’euros, en hausse de 81 millions d’euros sur un an ».

« Cette amélioration intègre un résultat non courant de 107 millions d’euros (contre 16 millions d’euros fin septembre 2020), essentiellement lié à la plus-value de cession de data centers », précise Bouygues.

Le 19 novembre 2021 à 09h13

Bouygues Telecom : 21,6 millions de clients mobiles et 4,4 millions sur le fixe

Spotify ajoute les paroles des chansons à tous ses utilisateurs

Spotify ajoute les paroles des chansons à tous ses utilisateurs

Le 19 novembre 2021 à 09h13

C’est via un partenariat avec Musixmatch que cette fonctionnalité est proposée, aussi bien à ceux qui ont un compte gratuit que Premium.

Elle est disponible sur les applications mobiles et les ordinateurs, ainsi que sur divers appareils connectés. Elle arrivera notamment sur les PlayStation 4 et 5, la XBox One, Android TV, FireTV, ainsi que les TV Samsung, Roku, LG, Sky et Comcast.

Les détails du fonctionnement sont expliqués ici.

Le 19 novembre 2021 à 09h13

Spotify ajoute les paroles des chansons à tous ses utilisateurs

Brouilleur de téléphone à Clermont-Ferrand : 24 sites mobiles perturbés et… intervention de la BRI

Brouilleur de téléphone à Clermont-Ferrand : 24 sites mobiles perturbés et… intervention de la BRI

Le 19 novembre 2021 à 09h13

L’Agence nationale des fréquences explique avoir été saisie l’été dernier par deux opérateurs pour des brouillages sur les réseaux de téléphonie mobile. « Coïncidence rare, ces signalements présentaient la même date de début des interférences et les mêmes zones perturbées : Clermont-Ferrand et plusieurs communes voisines ».

Les premières analyses ont permis d’identifier « 24 sites mobiles perturbés et ce, dans plusieurs bandes de fréquences et pour plusieurs technologies, parmi lesquelles l’UMTS 900 (3G) et le LTE 800 (4G) se trouvaient particulièrement impactés ». Deux agents se rendent donc sur place et identifient la provenance : Clermont-Ferrand. « Il restait donc à localiser précisément la source du brouillage – ce qui s’apparentait, dans cette ville de plus de 140 000 habitants, à chercher une aiguille dans une botte de foin ! ».

Après avoir suivi la piste fournie par leur radiogoniomètre, ils se retrouvent dans un quartier « formé de nombreux immeubles d’habitation » avec plusieurs dizaines de logements… 

Sur place, la nature du fauteur de trouble ne faisait plus de doute : « il s’agissait d’un brouilleur de téléphonie mobile ». Après des relevés supplémentaires, un immeuble était identifié. « La Police, après sollicitation du Procureur, décida de monter sur le champ une opération avec des effectifs permettant une intervention sécurisée, le quartier étant réputé sensible ».

« Avant de frapper à la porte, les policiers appellent la Brigade de Recherche et d’Intervention (BRI). 6 policiers de la BRI, cagoulés, casqués et armés de fusils d’assaut nous rejoignent ». « Un policier frappe à la porte, une dame ouvre… La BRI investit l’appartement, tout va très vite. Après un contrôle des occupants, nous pénétrons les lieux et cherchons le brouilleur. Il s’agit d’un brouilleur multi-bandes, installé dans un tiroir de meuble TV. Nous le débranchons immédiatement et un OPJ le met sous scellés ».

L’ANFR rappelle que « la possession et l’utilisation d’un brouilleur d’ondes constituent des infractions pénales. Elles sont soumises à une sanction pouvant aller jusqu’à 6 mois de prison et 30 000 euros d’amende. Par ailleurs, une taxe de 450 € s’applique au propriétaire du brouilleur, pour frais d’intervention de l’ANFR (loi de finances) ».

La justification du propriétaire laisse les enquêteurs pensifs : « il assura qu’il ne l’avait mis en œuvre que pour empêcher les voisins de se connecter en WiFi sur la box de son appartement ! Avait-il pensé à connecter ses propres appareils par câble ? Car il avait potentiellement transformé tout son quartier en zone blanche, qu’il s’agisse de WiFi, de GPS ou de mobile… ».

Sur Twitter, Alexandre Archambault rappelle que c’est un « vrai sujet » et explique pourquoi la BRI était appelée en renfort : « On voit fleurir de plus en plus ce type d’équipements dans des zones réputées pour servir de lieu de répartition d’une grosse livraison, afin de faire tomber les réseaux (et donc rendre inexploitables les données de localisation) le temps de l’opération ».

Le 19 novembre 2021 à 09h13

Brouilleur de téléphone à Clermont-Ferrand : 24 sites mobiles perturbés et… intervention de la BRI

Fermer