Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

L'histoire de l'adware de Lenovo remonte à début 2015. Il injectait des publicités et installait au passage un certificat racine sur la machine… avec la même clé privée à chaque fois.

Microsoft tire aujourd'hui la sonnette d'alarme à propos des logiciels HeadSetup et HeadSetup Pro de Sennheiser, citant un rapport de Secorvo. Cette brèche de sécurité est identifiée sous la référence CVE-2018-17612.

Les mécanismes sont les mêmes : l'application installe un certificat racine sur la machine, puis « publie la clé privée dans le fichier SennComCCKey.pem ». Un pirate pourrait ainsi s'en servir pour usurper l'identité de n'importe quel site, même si l'application HeadSetup est désinstallée.

Une mise à jour est disponible sur le site de Sennheiser depuis le 9 novembre. Il est évidemment recommandé de l'installer. Le fabricant propose aussi un guide (pour PC et Mac) pour désinstaller le certificat fautif.


Chargement des commentaires
À découvrir dans #LeBrief

Dans un billet, Microsoft détaille le fonctionnement d’un ajout promis depuis l’année dernière et qui devrait clairement changer la donne pour les aficionados du tableur.

Depuis qu’elles existent, les formules ont toujours été confrontées à une limitation inhérente à Excel : quel que soit leur degré de complexité, le résultat est unique et ne peut être exporté que vers une cellule particulière.

L’année dernière, Microsoft avait donc promis l’arrivée d’une fonction baptisée « Dynamic Arrays » qui, au lieu de renvoyer une valeur unique, donne une grille de valeurs. Ces dernières peuvent alors être renvoyées dans la feuille de calcul dans plusieurs cellules, le plus souvent de liste.

Cette fonction importante n’était réservée jusqu’à présent qu’à quelques privilégiés. Elle est désormais disponible pour tous les testeurs du canal Office Insider sur macOS et Windows, ce qui signifie une arrivée générale chez tous les abonnés Office 365 dans les deux à quatre semaines qui viennent (la plupart du temps).

Pour « fêter » l’arrivée des Dynamic Arrays, Excel introduit de nouvelles fonctions, dont SORT, SORTBY, UNIQUE, FILTER, SEQUENCE et RANDARRAY. UNIQUE peut par exemple cibler un lot de cellules, détecter les doublons, les éliminer et renvoyer dans d’autres cellules une liste nettoyée. SEQUENCE permet de son côté de générer une liste séquentielle de nombres sous forme de tableau.

Pour rappel, tout abonné Office 365 peut s’inscrire au programme Insider. Comme pour Windows, on y trouve les canaux rapide et lent, selon que l’on préfère recevoir rapidement les nouveautés ou attendre que des tests supplémentaires de stabilité aient été réalisés.

En fin d'année dernière, Volkswagen annonçait son intention d'investir 44 milliards de dollars d'ici 2023 dans les voitures électriques et autonomes. Il était également en quête de partenariat, notamment auprès de l'américain Ford.

Après l'annonce d'un pickup commun en mars, les deux constructeurs n'avaient pas caché leurs intentions d'aller plus loin. Selon Herbert Diess, président du directoire de Volkswagen, « les discussions progressent bien et sont presque terminées », comme le rapporte Reuters. Plus ou moins le même son de cloche chez Ford : « Les discussions sont constructives dans un certain nombre de domaines ».

Il s'agit d'un partenariat stratégique pour Volkswagen : « Aujourd’hui, nous sommes de fait une entreprise très tournée vers la Chine. Pour cela, nous avons besoin d’un contrepoids aux États-Unis ».

Enfin, Volkswagen a indiqué arrêter son partenariat avec l'éditeur de logiciels pour voitures autonomes Aurora. Une annonce qui intervient juste après le rapprochement entre Aurora et Fiat Chrysler Automobiles (FCA).

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

Ce n'est pas une surprise : la plateforme de streaming avait rejoint l'Alliance for Open Media qui s'occupe justement de développer AV1 (AOMedia Video Codec).

Il est pour rappel annoncé comme étant plus performant que H.265 en permettant d'avoir un débit inférieur pour une qualité identique. Il a de plus l'avantage d'être libre et gratuit.

La plateforme indique qu'elle prend désormais en charge AV1 et que certaines vidéos ajoutées récemment sont proposées dans ce format sur toutes les plateformes (via Chrome et Firefox).

La nouvelle bêta du navigateur contient plusieurs changements assez marquants, après plusieurs versions sages qui ne proposaient surtout que du neuf pour les développeurs.

Le premier apport est une nouvelle mesure contre Flash. Le lecteur est toujours intégré dans Chrome, mais la fonction liée est maintenant coupée par défaut.

Si vous utilisez le canal bêta et que vous avez besoin de Flash, il faudra vous rendre sur le réglage chrome://settings/content/flash. Le réglage « Demander d’abord » est devenu « Empêcher les sites d’exécuter Flash », accompagné d’une parenthèse « recommandé ». Il suffira alors de réactiver la fonction.

Autre changement, celui-là poussé en avant par l’un des développeurs de Chrome (Paul Irish), l’impossibilité pour les sites de détecter le mode Incognito du navigateur. Il s’agit pour rappel de la fonction navigation privée, qui n’enregistre aucune trace locale de la session de surf.

Le développeur s’excuse dans la foulée pour les scripts de détection du mode navigation privée qui, du coup, ne fonctionneront plus. Pourquoi de tels scripts ? Parce que de nombreux sites utilisant un paywall permettent une lecture d’un à trois articles gratuits par jour. Ils ne devraient donc plus être en mesure d’exploiter cette solution.

D’autres changements sont à noter. Quand un site visité est détecté comme PWA (Progressive Web App), un bouton « + » apparaît à droite de la barre d’adresse. La mention « Installer » s’affiche brièvement, montrant à l’utilisateur où cliquer pour installer cette application web. La suite est connue puisqu’il s’agit simplement d’un raccourci vers la fonction se trouvant dans le menu général.

Chrome 76 permet également aux sites de détecter le mode d’affichage en cours pour l’interface : clair ou sombre. Puisque le mode sombre est maintenant disponible sur macOS et Windows, les sites pourront interroger Chrome avec une ligne de code et s’adapter en conséquence s’ils le souhaitent.

Enfin, de nombreux ajouts et changements ont été faits pour les développeurs. C’est notamment le cas pour l’API Payments, qui introduit des capacités supplémentaires, comme la possibilité pour un site de déclencher une action quand un changement de méthode de paiement est détecté.

La version finale de Chrome 76 est attendue pour le 26 juillet, après les six semaines environ de test classiques.