Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

VUSec, un groupe de sécurité des réseaux de l'université libre d'Amsterdam, a publié les détails d'une attaque portant la référence CVE-2019-11184 et le surnom de NetCAT. 

Elle touche les familles de processeurs Intel Xeon E5, E7 et SP depuis 2012 disposant de la fonction DDIO (Data-Direct I/O) activée par défaut. Les conséquences peuvent être graves puisque la brèche permet de récupérer « des données sensibles telles que des frappes au clavier dans une session SSH sur des serveurs distants, sans accès local ».

Contrairement aux attaques « side channel » (Meltdown, Spectre et leurs multiples variantes par exemple), il n'est pas nécessaire d'être connecté sur la même machine ; il suffit d'être sur le même réseau local. Tous les détails sont donnés par ici, avec une vidéo explicative. 

Intel a reconnu le problème et publié un bulletin de sécurité. La société commence par expliquer que cette faille à « un faible score CVSS de 2,6 » car il faut que DDIO et RDMA soient activés et que le pirate accède au réseau local. 

« Dans les scénarios complexes dans lesquels les technologies DDIO et RDMA sont généralement utilisées, tels que des clusters de calcul massivement parallèles, les pirates n'ont généralement pas d'accès direct à partir de réseaux non fiables », ajoute Intel.

Sa recommandation est simple : « Quand DDIO et RDMA sont activés, limitez l’accès direct depuis des réseaux non fiables ». De son côté, VUSec explique comment désactiver DDIO pour bloquer les tentatives, ou à défaut désactiver RDMA pour limiter la portée de la faille.  


Chargement des commentaires
À découvrir dans #LeBrief

Le CNRS a mis en ligne les 20 photos lauréates du concours La preuve par l’image (sur plus de 200 clichés), réalisé en partenariat avec l'Association francophone pour le savoir (Acfas).

Le Centre national pour la recherche scientifique explique que ce concours a été initié en 2010 et qu'il est « dédié aux images issues de la recherche et ce dans tous les domaines. Toutes les techniques de production visuelle sont acceptées : photographie, radiographie, modélisation, microscopie, etc. ».

Deux prix du jury seront décernés, ainsi qu'un coup de cœur du public. Les images seront visibles du 25 au 27 octobre au Forum du CNRS, à la Cité des sciences et de l’industrie. Les résultats seront connus le 27 octobre après-midi.

La date était déjà connue, mais le responsable produit de Microsoft, Panos Panay, a indiqué hier sur Twitter qu'elle serait retransmise en direct. Une page dédiée à cet événement est disponible.

Selon The Next Web, Panos Panay et Satya Nadella sont attendus pendant la conférence, deux têtes d'affiche qui laissent penser que les annonces pourraient être nombreuses et/ou importantes. Réponse dans un peu plus de deux semaines. 

Il y a quelques jours, Deutsche Telekom a lancé officiellement son enceinte connectée Magenta, qu'il présente comme « une première en Europe ».

Il prend en charge les produits de l'opérateur, notamment MagentaTV et Magenta SmartHome. Il est vendu 99 euros jusqu'au 31 octobre, puis 149,99 euros ensuite (son tarif de référence). Il est également possible de louer Magenta pour 4,95 euros par mois. 

En plus de l'assistant vocal maison, Alexa d'Amazon est aussi présent. L'opérateur allemand rappelle que « Deutsche Telekom et Orange ont uni leurs forces pour produire la première enceinte connectée européenne ». En France, il prend le nom de Djingo… et il se fait toujours attendre. 

Il devait pour rappel arriver au printemps « dès 49 euros », mais alors qu'on s'approche de l'automne, il n'a toujours pas pointé le bout de son nez. En juin, Orange nous affirmait qu'il n'y avait « aucun projet d’abandon, bien au contraire ». « Le speaker est toujours en période de test. La période d’apprentissage longue et complexe de l’IA nécessite qu’Orange prenne le temps nécessaire pour assurer un service de haute qualité », ajoutait l'opérateur. 

« Comme Deutsche Telekom a davantage travaillé sur la partie logicielle de l'enceinte, il y a toujours un décalage entre nos versions car nous devons l'adapter en langue française », explique un porte-parole d'Orange à nos confrères des Echos

Aucune date de sortie n'est avancée pour l'instant.  

La règle traditionnelle de « l’épuisement des droits » permet à l’acquéreur d’une œuvre protégée par le droit d’auteur de la revendre librement. La principale condition est que l’œuvre ait été acquise licitement. 

Par exemple, vous achetez un livre auprès de votre libraire, vous le revendez dans un vide-grenier sans vous soucier du feu vert de l’éditeur, de l’auteur. 

Aucune difficulté, pourrait-on dire, sauf lorsque l’œuvre n’est plus tangible, mais inscrite dans un fichier. Non seulement il est techniquement possible de réaliser des copies parfaites, à l’octet prêt, mais de plus le titulaire de droits dispose de moyens de contrôle très poussés. 

Une évolution rappelée avant-hier par l’avocat général de la Cour de justice de l’Union européenne. 

Sur la sellette, l’affaire « Tom Kabinet » : le site éponyme propose des livres électroniques d’occasion, avec un modèle d’affaires au taquet.  Il « revend aux particuliers enregistrés (...) des livres électroniques [que la plateforme] a achetés soit auprès des distributeurs officiels, soit auprès d’autres particuliers » résume l’avis de l’avocat général. 

Bien entendu, les prix sont inférieurs à ceux des distributeurs officiels. 

Pour respecter la règle de l’épuisement des droits, lorsque le site rachète un livre électronique à un particulier, il exige l’effacement de la source puis pose un watermak sur la copie qu’il revend à titre définitif. 

En 2014, deux sociétés ont néanmoins attaqué Tom Kabinet, accusé en substance de contrefaçons. 

Peut-on reconnaître ici la règle de l’épuisement des droits ? Confronté à cette problématique, l‘avocat général considère que la lettre du droit de l’Union plaide pour l’affirmative. En théorie, l’éditeur ne devrait pas pouvoir s’opposer à ces marchés secondaires.

Sauf qu’une telle consécration bouleversait les équilibres, en facilitant notamment le piratage tout en rendant difficile la lutte contre les contrefaçons. Il recommande donc à la Cour de rattacher ce secteur non pas au droit de distribution, mais au droit de communication, lequel n’intègre pas la règle de l’épuisement. 

Coup dur pour la cryptomonnaie de Facebook, qui annonçait hier qu'elle allait « solliciter une autorisation en tant que système de paiement en Suisse ». 

Lors d'une conférence de l’OCDE sur les défis des cryptomonnaies, Bruno Le Maire n'y a pas été avec le dos de la cuillère : « Libra soulève aussi un risque systémique à partir du moment ou il y a deux milliards de consommateurs. Toute défaillance dans le fonctionnement de cette monnaie, dans la gestion de ses réserves pourrait créer des désordres financiers considérables », comme le rapporte Reuters.

Les griefs sont nombreux : « risques d’abus de position », « risques de souveraineté » et des risques pour les consommateurs ainsi que les entreprises. « Toutes ces préoccupations sur Libra sont sérieuses, je veux dire donc avec beaucoup de clarté [que] dans ces conditions nous ne pouvons pas autoriser le développement de Libra sur le sol européen », ajoute le ministre de l’Économie et des Finances.