Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

La version finale de cette dernière version du protocole de sécurisation des échanges (TLS 1.3) a été mise en ligne par l'Internet Engineering Task Force l'été dernier.

Dans une publication (qui a déjà quelques semaines) repérée par ZDNet.com et intitulée « Les 9 vies du chat de Bleichenbacher », six chercheurs (Eyal Ronen, Robert Gillham, Daniel Genkin, Adi Shamir, David Wong et Yuval Yarom) affirment avoir identifié une faille permettant d'intercepter des données, y compris chiffrées avec TLS 1.3.

Comme le titre de la publication le laisse entendre, il ne s'agit pas d'une nouvelle brèche, mais d'une énième variante de l'attaque de Bleichenbacher. Pour rappel, nous l'avions détaillée dans cette actualité sur la faille DROWN (elle aussi en est une variante).

Les chercheurs expliquent avoir testé leur attaque sur neuf implémentations de TLS (toutes à jour) : OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL et BoringSSL. Résultat : « seules les deux dernières (BearSSL et BoringSSL) n'ont pas pu être attaquées avec succès ».

Toutes les parties impliquées ont été informées en août 2018. Les chercheurs ajoutent avoir participé à l'étude et la réalisation de contre-mesures. Des correctifs ont été publiés en même temps qu'une préversion de cette publication, en novembre dernier.


Chargement des commentaires
À découvrir dans #LeBrief

Le Network Time Protocol n'est pas tout jeune (il date du milieu des années 80) et permet de synchroniser des horloges sur le principe de serveur de références de clients. L'Observatoire de Paris en propose plusieurs par exemple.

Désormais, Cloudflare aussi a son propre serveur NTP, également compatible NTS (Network Time Security), une version sécurisée du protocole NTP. Le NTS est pour le moment un brouillon de l'IETF.

Si vous avez un client prenant en charge NTS, vous pouvez lui donner l'adresse suivante :  time.cloudflare.com:1234. De la documentation pour les développeurs est disponible par ici.

Alors que la cryptomonnaie n'était qu'aux alentours des 4 000 dollars au début de l'année, son cours progresse rapidement depuis avril. Les 8 500 dollars étaient franchis fin mai, et c'est donc la barrière symbolique des 10 000 dollars qui est tombée ces jours-ci.

Sa valeur joue régulièrement au yo-yo : elle était pour rappel descendue sous les 3 000 dollars fin 2018, et s'approchait des 20 000 dollars fin 2017. Dans tous les cas, il est impossible de prévoir ce qui nous attend dans les prochains mois.

VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».

Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu. 

Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».

Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles

Surprise, Microsoft a placé son nouveau Terminal dans le Store de Windows 10. Une surprise parce que l’application n’en est qu’au début de son développement, mais l’éditeur prévient d’entrée de jeu.

La vignette de l’application affiche une mention « Preview » et la description explique en anglais toute la jeunesse de ce Terminal. En clair, il peut se révéler instable et n'est pas complet.

Pour rappel, ce Terminal a vocation à présenter une console unifiée dans laquelle on peut ouvrir des invites de commande classiques (cmd), PowerShell et WSL (Windows Subsystem for Linux, dont la version 2 intègre un noyau Linux) via des onglets.

UTF-8 est pris en charge, l’ensemble est accéléré graphiquement (le fond est légèrement transparent) et l’utilisateur peut créer ses propres thèmes.

Pour l’instant, la quasi-totalité des réglages et personnalisations se fait via un fichier JSON qu’il faudra donc modifier soi-même. Tout ou presque peut être changé : police, taille et couleur de la police, transparence, image de fond, couleur du curseur, icône de session, combinaisons de touches, etc.

Le Windows Terminal est un projet open source sous licence MIT. Les utilisateurs qui le souhaitent peuvent toujours en récupérer les sources sur GitHub pour les compiler eux-mêmes, mais la disponibilité sur le Store permet à ceux sans Visual Studio de tâter le terrain.

Un mot enfin sur la compatibilité de l’application. La fiche précise qu’il faut au moins la version 18062 de Windows, autrement dit la dernière mise à jour 1903.

Visa rappelle que ses cartes prépayées ne sont pas liées à un compte bancaire, mais bénéficient « de tous les avantages d'une carte de paiement Visa (praticité, facilité d'utilisation, sécurité) ».

Le fabricant de périphériques explique « l'intégration de la solution prépayée Visa dans le portefeuille électronique Razer Pay permet aux utilisateurs d’effectuer des paiements dans les 54 millions de boutiques du réseau Visa ».

Razer et Visa « envisagent de déployer une solution de paiement prépayée identifiée Razer et intégrée à Razer Pay via une mini-application ». Dans un entretien téléphonique avec TechCrunch, Li Meng Lee (responsable de la stratégie chez Razer) ajoute que le lancement d'une carte physique n'est pas n'exclut par la suite.

Le service a vocation à se développer en Asie, avec un premier lancement en Malaisie. Il arrivera ensuite à Singapour.