Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Les abonnés Office 365, particuliers comme entreprises, disposent de plusieurs fonctions supplémentaires de sécurité, réunies sous la bannière ATP (Advanced Threat Protection). Parmi elles, les Safe Links.

Plutôt que d’afficher les vrais liens dans les emails, les serveurs de Microsoft les remplacent par des adresses maison. Cliquer sur l’un d’eux ouvrira le lien dans une zone protégée, l’entreprise s’assurant que rien de douteux n’est chargé. Si tout va bien, l’utilisateur voit le contenu s’afficher. Sinon, il reçoit un message d’avertissement.

Problème, il est possible – et même simple – de contourner ce mécanisme. Des pirates ont exploité une brèche dans le processus leur permettant d’ajouter des espaces sans chasse (zero-width spaces, ZWSP). Le moteur d’analyse d’Office 365 ne reconnaissait alors plus les adresses comme telles et manquait donc sa cible.

Découverte par la société de sécurité Avanan, la faille a été remontée à Microsoft le 10 novembre et a fait l’objet d’un travail commun. Le souci est réglé depuis le 9 janvier, mais a eu le temps d’être exploité pendant une durée inconnue.


Chargement des commentaires
À découvrir dans #LeBrief

Cinq mois après avoir atteint 2,3 millions de clients, la néobanque en ajoute 1,2 million de plus en l'espace de cinq mois. Il lui avait fallu six mois pour passer de 1 à 2,3 millions.

La société affirme que « plus de 10 000 clients ouvrent un compte N26 chaque jour et le volume mensuel de transactions s’élève à plus de 2 milliards d’euros ». Elle ajoute que son «  lancement aux États-Unis est imminent ».

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

En partenariat avec le National Geographic, une équipe de chercheurs a parcouru les plus hauts sommets du monde pour y installer des stations météo autonomes.

L'une se trouve à 8 430 mètres, une autre à 7 945 mètres et trois sur le mont Everest. Ils ont également récupéré une carotte de glace à 8 020 mètres et procédé à diverses analyses qui donneront certainement lieu à des publications.

Le but est non seulement de surveiller la montagne, mais aussi de mesurer le changement climatique.

Sur les réseaux sociaux et Reddit, les messages d'utilisateurs aussi surpris que mécontents se répandent comme une traînée de poudre.

De nombreux smartphones sont concernés, allant du Honor 10 au Huawei P30 Pro. Les clients touchés semblent tous utiliser l'application de fonds d'écran de paysages préinstallée. Il suffit donc de ne plus s'en servir pour faire disparaître les publicités.

Interrogé par Engadget, Huawei n'avait aucune explication à donner, si ce n'est qu'il enquêtait sur la question et qu'il donnerait de plus amples informations ultérieurement. Une réponse pour le moins étrange.

Une mauvaise nouvelle de plus pour les clients du fabricant chinois, après le placement sur liste noire aux États-Unis.

Dans un billet, Microsoft détaille le fonctionnement d’un ajout promis depuis l’année dernière et qui devrait clairement changer la donne pour les aficionados du tableur.

Depuis qu’elles existent, les formules ont toujours été confrontées à une limitation inhérente à Excel : quel que soit leur degré de complexité, le résultat est unique et ne peut être exporté que vers une cellule particulière.

L’année dernière, Microsoft avait donc promis l’arrivée d’une fonction baptisée « Dynamic Arrays » qui, au lieu de renvoyer une valeur unique, donne une grille de valeurs. Ces dernières peuvent alors être renvoyées dans la feuille de calcul dans plusieurs cellules, le plus souvent de liste.

Cette fonction importante n’était réservée jusqu’à présent qu’à quelques privilégiés. Elle est désormais disponible pour tous les testeurs du canal Office Insider sur macOS et Windows, ce qui signifie une arrivée générale chez tous les abonnés Office 365 dans les deux à quatre semaines qui viennent (la plupart du temps).

Pour « fêter » l’arrivée des Dynamic Arrays, Excel introduit de nouvelles fonctions, dont SORT, SORTBY, UNIQUE, FILTER, SEQUENCE et RANDARRAY. UNIQUE peut par exemple cibler un lot de cellules, détecter les doublons, les éliminer et renvoyer dans d’autres cellules une liste nettoyée. SEQUENCE permet de son côté de générer une liste séquentielle de nombres sous forme de tableau.

Pour rappel, tout abonné Office 365 peut s’inscrire au programme Insider. Comme pour Windows, on y trouve les canaux rapide et lent, selon que l’on préfère recevoir rapidement les nouveautés ou attendre que des tests supplémentaires de stabilité aient été réalisés.