Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Une équipe de quatre chercheurs de l'Institut supérieur coréen de la science et de la technologie (KAIST) a publié le résultat de ses travaux sur la sécurité des connexions LTE. Bilan ? 51 failles, dont une trentaine de nouvelles, beaucoup pouvant faciliter les attaques DDoS.

Ces vulnérabilités ont été découvertes avec la technique du fuzzing, qui consiste à envoyer dans une application ou un service une grande quantité de données aléatoires afin d’examiner le comportement en sortie.

L’équipe du KAIST a d’ailleurs bâti pour l’occasion son propre « fuzzer », baptisée LTEFuzz. Objectif, bombarder un réseau mobile de connexions malveillantes. Les brèches détectées résident autant dans la conception même du protocole LTE que dans son implémentation par les constructeurs.

Les chercheurs indiquent avoir averti toutes les entreprises concernées au sein du 3GPP et de la GSMA, ainsi que les constructeurs. Au vu de l’éventail des failles trouvées, ils estiment qu’au moins plusieurs d’entre elles sont toujours exploitables à l’heure actuelle.

Les conséquences concrètes peuvent aller de l’envoi de SMS frauduleux au blocage des appels entrants sur un appareil, en passant par l’écoute du trafic, la déconnexion des utilisateurs d’un réseau mobile et la perturbation de stations de base.

Les chercheurs considèrent en outre que leur outil reste parfaitement opérationnel sur la 5G NSA (Non-Standalone) tant que certaines implémentations du LTE sont actives. La question reste entière pour la « vraie » 5G.

Notez que les découvertes régulières de failles dans les réseaux 3G et 4G ont été un moteur prépondérant dans l’élaboration de la 5G. Cette dernière n’est pas pour autant sans défaut, comme l’a montré l’actualité récente.


Chargement des commentaires
À découvrir dans #LeBrief

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

Depuis fin 2017, les deux géants se livrent une guerre. Comme Amazon ne vend pas certains produits Google (Chromecast, Home, Nest) et ne permet pas aux utilisateurs Prime Video d'utiliser Google Cast, le moteur de recherche avait décidé de retirer YouTube de l'Echo Show et des Fire TV Stick. Bref, les utilisateurs trinquent encore.

Mais la situation va changer. Dans un communiqué, Amazon explique que les applications officielles YouTube et YouTube Kids arrivent sur les Fire TV et les télévisions Fire TV Edition, tandis que son service de vidéo en streaming Prime Video va prendre en charge Chromecast et Android TV.

Les changements devraient être opérationnels au cours des prochains mois.

C’est un petit miracle : la dernière préversion de Chrome dans le canal Canary propose un mode lecture, repéré par ZDnet.

Cette fonction permet pour rappel d’afficher une vue simplifiée de la page web, avec uniquement le texte de l’article et les éventuelles images. Le mode lecture est notamment apprécié pour sa légèreté et la suppression de tout élément de distraction.

La fonction est pourtant loin d’être nouvelle. Apple avait été le premier à l’intégrer dans Safari en 2010, ajoutant même une option en 2017 pour utiliser cette vue par défaut sur tous les sites. Mozilla l’avait ajoutée dans Firefox en 2015.

Le fonctionnement dans Chrome est donc le même que partout ailleurs. Techniquement, ce n’est pas une nouveauté dans Chrome puisque la version Android propose une « Vue simplifiée » depuis longtemps. C’est donc le portage de cette variante vers la mouture pour ordinateurs de bureau.

Pour tester la fonction, il faut activer le flag chrome://flags/#enable-reader-mode dans la dernière préversion Canary de Chrome. Elle finira donc par remonter dans les prochaines semaines dans le canal bêta puis en stable. Tout vient à point…

Pour l'instant, ce mode lecture est accessible depuis le menu général sous l'étrange nom « Distill page ».

Bouygues Telecom vient de renouveler ses promotions sur sa marque mobile « low cost », avec de nouvelles « Séries spéciales » valables jusqu'au 29 avril. Deux forfaits sont ainsi proposés au même tarif de 16,99 euros par mois , mais avec des options différentes.

Le premier propose 50 Go de 4G en France avec « Internet illimité le week-end », 10 Go de roaming en Europe, dans les DOM, aux États-Unis et au Canada.

Le second grimpe à 80 Go de 4G en France métropolitaine, mais le roaming est moins important : 8 Go seulement et uniquement en Europe et dans les DOM.

Si le second est une nouveauté, ce n'est pas le cas du premier (50 Go) qui était déjà proposé avec les mêmes options (FIS de l'ancien et du nouveau)… pour 14,99 euros par mois. Le terme « série spéciale » semble bien choisi.

Notez au passage que le forfait B&You en promotion à 9,99 euros par mois est reconduit, mais avec deux fois moins de data : 20 Go au lieu de 40 Go auparavant, toujours avec 4 Go en roaming.

Pour rappel, vous pouvez retrouver l'ensemble des forfaits des opérateurs sur notre site dédié : Tous les Forfaits.

Première mise à jour majeure pour le nouvel Edge rebâti sur Chromium dans le canal Dev. La version passe à la 75.0.131.0, très proche finalement de la 75.0.133.0 de la branche Canary.

L’ajout principal est la disponibilité du Media Cast, qui permet tout simplement de « streamer » le contenu d’un onglet, du bureau ou d’un fichier vers un appareil compatible.

D’après nos premiers essais, lancer le cast d’une vidéo YouTube vers un téléviseur connecté sous Android TV n’a pas posé de problème particulier, pas plus que vers une barre de son (HT-ZF9) après le choix d’un MP3.

Les travaux avancent donc, mais il manque encore de très nombreux éléments dans Edge, comme nous aurons l’occasion de le voir plus tard dans la journée.

Notez que le navigateur peut maintenant être installé sur les moutures 32 bits de Windows 10. Les versions pour Windows 7, 8.1 et macOS sont toujours attendues.