Le support de la version classique de Firefox pour les deux anciens systèmes s’est terminé il y a un an environ avec la sortie de Firefox 115. C’était également le cas pour les versions 10.12, 10.13 et 10.14 de macOS.
Mozilla avait alors prévenu que pour ces plateformes, Firefox 115 ESR (Extended Support Release) restait disponible. Le support devait se poursuivre sur toute la durée de vie de cette version, à savoir au moins jusqu’au troisième trimestre 2024.
Cependant, Mozilla a révisé ses plans. Lors d’une session AMA (ask me anything) le 13 juin, les responsables de l’équipe Firefox ont glissé qu’ils souhaitaient étendre la durée du support pour Windows 7, 8 et 8.1. Depuis, Mozilla ne s’est pas exprimée sur le sujet.
Nous avons interrogé l’éditeur, qui a confirmé cette intention : oui, le support sera bien étendu pour les trois anciens Windows. En revanche, pas d’informations plus concrètes, notamment pendant combien de temps. On ignore si les trois anciens macOS seront concernés.
Mozilla a ajouté qu’une communication officielle sera faite quand les décisions auront été prises.
Si l’on en croit StatCounter, les parts de Windows 7 et 8 sont aujourd’hui minimales, avec moins de 3 % pour Windows 7 et à peine 0,36 % pour Windows 8. Windows 10 est toujours sur la première marche du podium avec 66,04 % des installations Windows. La version 11 atteint 29,75 %. Rappelons que ces systèmes ne sont plus supportés par Microsoft et que leur utilisation est dangereuse.
Mise à jour du 18 juillet à 11h15 : Interrogée, Snowflake nous a indiqué que le vol de données sur ses serveurs n’était pas le résultat d’une compromission.
« L’acteur de la menace a utilisé les identifiants de compte de démonstration d’un ancien employé de Snowflake, obtenus via un malware de type infostealer. Cet accès a été possible parce que ces comptes de démonstration n’étaient pas protégés par la connexion unique (SSO) ou l’authentification multifacteur (MFA), contrairement aux environnements de production et d’entreprise Snowflake », nous a répondu l’entreprise.
Article original du 12 juillet :L’opérateur américain prévient actuellement ses clients d’une gigantesque fuite de données. Contrairement à celle d’avril, les données n’ont pas été volées sur ses propres serveurs, mais ceux de la société Snowflake, qui analysait les informations fournies par AT&T.
Dans un message fraichement publié par AT&T, on apprend que de nombreuses données de clients ont été « illégalement téléchargées » depuis un espace de travail sur « une plateforme cloud tierce ». L’opérateur envoie depuis hier des emails aux clients pour les prévenir de la fuite. La SEC (Securities and Exchange Commission) a également été informée.
Une avalanche de métadonnées
Les informations dérobées sont essentiellement des métadonnées datant de mai à octobre 2022, bien que certaines datent du 2 janvier 2023. Rien de plus récent ne semble avoir fuité. Le contenu des appels et SMS n’est pas concerné. Cependant, les métadonnées sont précises :
« Ces enregistrements identifient d’autres numéros de téléphone avec lesquels un numéro de téléphone sans fil AT&T a interagi pendant cette période, y compris des clients de lignes terrestres AT&T (téléphone à domicile). Pour un sous-ensemble d’enregistrements, un ou plusieurs numéros d’identification de site cellulaire associés aux interactions sont également inclus. »
En d’autres termes, les informations permettent de savoir quel client AT&T a téléphoné à qui et combien de temps, et parfois dans quelle zone. Même chose pour les SMS. En revanche, les métadonnées ne contiennent pas les horodatages, que ce soit pour les appels ou les SMS.
La fuite est donc moins « grave » que celle révélée début avril. Pour rappel, des informations personnelles, dont des numéros de sécurité sociale, avaient été dérobés pour 70 millions de clients.
AT&T avait réinitialisé les codes d’accès de toutes les personnes concernées. Cette fois, même s’il n’y a pas à proprement parler de données sensibles, c’est la quasi-totalité des clients de l’opérateur qui sont concernés, soit 110 millions de personnes.
« Bien que les données ne contiennent pas les noms des clients, il est souvent possible de trouver un nom associé à un numéro de téléphone à l’aide d’outils en ligne accessibles au public », avertit tout de même l’opérateur.
Des données volées chez un prestataire
AT&T ne le précise pas dans son annonce, mais l’a confirmé à TechCrunch : la plateforme appartient à Snowflake. Il y a un mois environ, Mandiant avait prévenu qu’un « volume significatif de données » avait été dérobé à l’entreprise au début du printemps. Là encore, un responsable d’AT&T a confirmé à nos confrères que les informations des clients de l’opérateur en faisaient partie. En tout, 165 entreprises clientes avaient été concernées, dont TicketMaster.
Snowflake s’est fait une spécialité de l’analyse d’énormes quantités de données dans son cloud. AT&T n’a cependant pas indiqué pourquoi les données des clients y étaient et n’a pas souhaité s’exprimer sur le sujet.
L’opérateur dit avoir été informé de la fuite le 19 avril. Depuis cette date, il collabore avec les forces de l’ordre pour en retrouver les auteurs. « Au moins une personne » aurait été appréhendée, sans plus de détails. Tout juste sait-on qu’elle n’est pas employée chez AT&T. Le FBI, vers qui l’opérateur renvoyait pour les questions à ce sujet, n’a pas fait de commentaire.
L’entreprise vante les mérites du DMA. Opera n’est cependant pas d’accord avec la décision de la Commission européenne de ne pas faire d’Edge un « gatekeeper ». La société déclare avoir fait appel devant le Tribunal de l’Union.
Le monde des navigateurs doit beaucoup à Opera, comme les onglets. La situation a cependant bien changé depuis l’époque où le trublion était une référence de la navigation, avec un nombre gigantesque de fonctions pour les « power users ». Ce créneau est aujourd’hui rempli par Vivaldi, fondé d’ailleurs par d’anciens d’Opera qui regrettaient cette époque. Lors du passage à Chromium en 2013, Opera avait certes gagné en légèreté et performances, mais en sacrifiant de très nombreuses fonctions.
Depuis, la part de marché du navigateur, que ce soit sur mobile ou desktop, est minime. L’éditeur a beau soigner l’interface de son produit et avoir été le premier à intégrer un bloqueur de publicités au sein de son moteur (et pas sous forme d’une extension), de nombreux internautes ignorent jusqu’à son existence.
L’éditeur souhaite que cette situation change. Et puisqu’elle a évolué favorablement sur les plateformes mobiles, pourquoi ne pas la reproduire sur les ordinateurs.
Le DMA fonctionne sur les smartphones, pourquoi pas ailleurs ?
Opera semble particulièrement apprécier le Digital Markets Act en Europe. Et pour cause : « Nous avons constaté l’impact substantiel du DMA sur les smartphones, les utilisateurs exprimant leur choix de navigateur et choisissant de plus en plus des navigateurs alternatifs comme Opera, ce qui démontre l’efficacité de cette approche ».
Qualifié de « grand pas en avant pour la concurrence loyale », le règlement européen fait de certaines entreprises et/ou de leurs produits des contrôleurs d’accès. Ce statut particulier impose des obligations spécifiques face à la concurrence.
Le cas le plus emblématique est probablement celui d’Apple. Le statut lui a été imposé, ainsi qu’à l’App Store et à Safari. On connait la suite, surtout pour l’App Store : de nombreuses adaptations fournies par Apple dans iOS 17.4, la possibilité de publier des boutiques tierces, du « sideloading »… Mais de nombreuses raisons de froncer les sourcils à la Commission européenne, tant Apple se plaint du DMA et affiche une mauvaise volonté dans ses adaptations. Seuls les engagements pris sur l’accès à la puce NFC des iPhone a convaincu la Commission.
Et si Apple est l’exemple le plus visible, il n’est pas le seul, comme nous l’avons vu plus tôt. Le DSA et le DMA fonctionnent et l’Europe a désormais une réputation à tenir. Les entreprises n’hésitent pas à y faire appel. Spotify et Epic ne s’en sont pas privés par exemple.
« Comme Edge n’a pas été désigné comme contrôleur d’accès dans le cadre du DMA, le très populaire système d’exploitation Windows est toujours en mesure d’empêcher les utilisateurs de choisir et de continuer à utiliser un autre navigateur comme navigateur par défaut du système et il continue à traiter son propre navigateur, Edge, de manière préférentielle », fustige Opera.
La décision d’écarter Edge – ainsi que d’autres services comme Gmail, Outlook.com ou encore iMessage – était une erreur, selon Opera. Microsoft occupe une position forte et a une incidence importante sur le marché européen, tout en étant présente dans la totalité des pays membres. Windows est présent sur l’immense majorité des PC et Edge y est inclus. Il est le premier navigateur que les internautes vont utiliser. À moins bien sûr qu’ils ouvrent le Store de Windows pour y récupérer un autre navigateur, mais cette manipulation est sans doute rare. Opera compare d’ailleurs cet état de fait à la grande époque d’Internet Explorer.
Pour Opera, l’Europe a mal évalué la situation. La société estime qu’Edge répond « à tous les seuils quantitatifs du DMA », ce qu’il est difficile de juger sans chiffres précis donnés par Microsoft et vérifiés. Si l’on jette un coup d’œil à StatCounter, la part de marché d’Edge sur ordinateur est d’environ 14 %. Un score qui grimpe lentement, mais toujours très loin derrière Chrome et ses 65 % de parts de marché, qui ne faiblissent pas.
Opera fait appel devant le Tribunal de l’Union européenne
Pour Opera, les « navigateurs tiers ne sont toujours pas traités sur un pied d’égalité ». En conséquence, Opera dit faire « appel de la décision de la Commission européenne parce que nous pensons que vous devriez avoir le même choix de navigateur sur Windows que sur Android ou iOS ». Le choix de la Commission européenne avait été annoncé le 12 février, à la suite d’une enquête. Cet appel va se faire devant le Tribunal de l’Union européenne, mais ne donne aucun autre détail sur la procédure. Nous avons demandé des précisions à l’entreprise et mettrons à jour cette actualité en cas de réponse.
Les ambitions d’Opera sont claires bien sûr. Car au-delà de promouvoir le choix pour les utilisateurs, il s’agit de pousser son navigateur et de gagner des utilisateurs. L’entreprise ne s’en cache d’ailleurs pas, avec une référence directe à l’impact positif du DMA sur les environnements mobiles. En clair, Opera aimerait forcer Microsoft à intégrer un « ballot screen », un écran de sélection mettant en avant d’autres navigateurs. Comme, une fois encore, à la grande époque d’Internet Explorer.
La situation des émulateurs s’est brusquement détendue ces derniers mois. Non seulement Apple les autorise pour l’App Store (iOS et iPadOS), mais elle accepte presque tous les projets. Fin mai, nous faisions le tour de la question, notant que les applications étaient de plus en plus nombreuses, même RetroArch. En outre, Apple autorise le chargement de ROM depuis n’importe quelle source.
Nouvelle surprise : UTM SE est à son tour disponible. Cet émulateur PC, basé sur QEMU, permet de faire fonctionner Windows, Linux et l’ensemble des systèmes d’exploitation prévus pour une architecture x86 ou x64. Comme les autres émulateurs jusqu’à présent, il est gratuit. UEM SE est même compatible avec VisionOS, pour les rares personnes qui ont un casque Vision Pro.
Cependant, comme l’explique OMGUbuntu qui a testé l’application, il ne faut pas s’attendre à une émulation rapide. Comme nous l’avions signalé, l’impossibilité de recourir à la compilation JIt (« Just in-time », à la volée) grève largement les performances. En outre, s’agissant d’une émulation et non d’une virtualisation, l’opération est déjà complexe.
Selon nos confrères, ce n’est pas trop un problème pour les vieux systèmes. Mais si vous voulez tester la dernière Ubuntu, il en ira tout autrement. Même avec un très récent iPad Pro muni d’une puce M4, tout est lent. Et c’est sans parler de la mémoire vive, forcément limitée.
Reste que l’arrivée d’UTM SE est une double surprise. D’abord, parce qu’Apple avait refusé de laisser passer l’émulateur sur son App Store. La raison donnée était simple : l’exception donnée dans les règles de l’App Store n’est valable que pour les jeux, donc les consoles. Un émulateur PC n’appartient pas à cette catégorie. Les développeurs pointaient, eux, que leur application était orientée vers les vieux jeux pour DOS et Windows.
Ensuite, parce que les mêmes développeurs avaient ajouté qu’il ne s’agissait pas d’un projet si important. Plus précisément, l’expérience était jugée « insuffisante » et l’application ne valait « pas la peine que l’on se batte pour elle ». Un aveu étonnant, qui rend encore plus surprenante l’arrivée sur l’App Store. Les développeurs ont indiqué samedi que l’équipe d’AltStore avait joué un rôle dans le changement d’avis d’Apple.
Nouvelle mouture majeure pour Thunderbird, qui est également ESR (Extended Support Release). Cette version 128, nommée Nebula, apporte bon nombre d’améliorations, dont plusieurs sous le capot. Par exemple, les premiers pans de code écrits en Rust. La qualité et les performances du code s’en retrouvent améliorées, affirme l’équipe. Ce code prépare également l’arrivée des versions mobiles.
Parmi les nouveautés visibles, on trouve des améliorations de l’interface. La présentation des cartes se veut plus attrayante et plus lisible, devant faciliter le repérage des informations importantes. La hauteur des cartes « s’ajuste automatiquement en fonction de vos paramètres ».
Plusieurs apports aussi pour les dossiers. La recherche dans les dossiers unifiés est ainsi plus rapide, l’état des messages est mieux mémorisé, comme la sélection de dossiers multiples. On note aussi que l’ordre d’affichage des emails par défaut est désormais « plus récent en premier ».
Toujours pour l’interface, Thunderbird 128 prend mieux en charge la couleur d’accentuation du système, notamment sous Ubuntu et Mint. Puisque l’on parle de couleur, il est à présent possible de personnaliser celle des icônes du compte. Les menus ont été revisités en « améliorant les repères visuels et en réduisant la charge cognitive ». Dans le menu contextuel, les actions principales sont maintenant accompagnées d’icônes.
Sous Windows, Thunderbird 128 prend enfin en charge les notifications natives. « En cliquant sur une notification, vous la supprimez, Thunderbird passe au premier plan et vous sélectionnez le message correspondant », précise l’équipe de développement.
Signalons plusieurs améliorations pour la gestion des clés OpenPGP. Le gestionnaire permet par exemple de créer des déclarations de révocation pour n’importe quelle clé secrète. Les signatures des messages sont désormais visibles. En outre, un avertissement sera affiché si vous tentez d’importer une clé annonçant des fonctions non prises en charge. Citons aussi la désactivation par défaut de l’importation des clés OpenPGP jugées problématiques.
Apple a mis en ligne hier soir les bêtas publiques de ses nouvelles plateformes, dont les versions finales sont attendues cet automne. L’occasion de revenir sur les très nombreuses nouveautés annoncées. Bien que ces bêtas soient relativement stables, elles restent des préversions, et peuvent à ce titre provoquer bugs et incompatibilités.
La conférence d’ouverture de la WWDC a été particulièrement riche en annonces. Une bonne partie d’entre elles concernaient toutefois Apple Intelligence, le bouquet de fonctions alimentées par l’IA.
Or, l’entreprise l’a confirmé, ces fonctions ne seront pas disponibles tout de suite en Europe. Non seulement Apple semble avoir un retard significatif dans ses plans, mais la firme a également annoncé que le DMA était un problème. Il ne faut donc pas attendre Apple Intelligence en Europe avant l’année prochaine, sans précision. Même aux États-Unis, il ne s’agira dans un premier temps que d’une préversion. En outre, la compatibilité avec les iPhone se limite aux seuls 15 Pro (Max).
Puisque l’on parle de préversions, les bêtas publiques d’iOS/iPadOS 18 et macOS Sequoia sont disponibles depuis hier soir. Contrairement aux versions majeures précédentes d’iOS, l’installation est largement facilitée, puisqu’il n’est plus nécessaire d’installer un profil après s’être inscrit sur un site dédié. Il suffit de se rendre dans Réglages > Général > Mise à jour logicielle et choisir « iOS 18 Public Beta », ou le nom correspondant sur la plateforme utilisée.
Les bêtas publiques sont raisonnablement stables. Apple a même publié hier soir de petites mises à jour correctives. Les préversions proposées sont équivalentes aux troisièmes bêtas pour développeurs. La société attend toujours que quelques-unes soient sorties avant de les proposer au grand public, même si rien n’empêchait de choisir Developer Beta depuis la WWDC.
Attention cependant. Comme toujours dans ce genre de cas, l’attrait de la nouveauté peut donner envie de se lancer à l’aventure. Mais si vous n’avez qu’un seul appareil et que vous effectuez des opérations importantes dessus, nous vous recommandons d’attendre les versions finales, qui devraient arriver dans deux mois environ.
Principales nouveautés d’iOS 18
iOS est depuis des années la plateforme sur laquelle se concentre le gros des efforts chez Apple. 2024 ne fait pas exception. Les nouveautés annoncées sont nombreuses, particulièrement pour la personnalisation de l’interface. Nous mettons volontairement de côté les apports d’Apple Intelligence, car nous n’avons aucune visibilité sur leur disponibilité en Europe.
On commence avec la personnalisation de l’écran d’accueil. Les icônes sont l’objet de plusieurs attentions. On peut notamment les afficher en plus grandes, supprimant du même coup leurs noms. Les icônes peuvent également être déplacées librement sur la grille. Elles gardent leur alignement, mais iOS n’impose plus de les afficher les unes après les autres. Avec le placement des widgets, on peut donc disposer les éléments comme on le souhaite, par exemple, en fonction du fond d’écran.
Il est aussi possible de leur imposer un « thème sombre ». Les éditeurs tiers peuvent prévoir des icônes personnalisées. Mais si les applications n’en ont pas, iOS effectue automatiquement une conversion dans une teinte sombre, avec un résultat plus ou moins heureux selon les cas.
Autre grosse nouveauté, un centre de contrôle revu et personnalisable. Les fonctions sont réparties en plusieurs panneaux, que l’on fait coulisser. Des rubriques sont affichées à droite et on peut passer plus rapidement de l’une à l’autre avec un glissement vertical dans cette partie. L’ajout de fonction est beaucoup plus simple et se déclenche via un appui prolongé. On peut aussi choisir la taille des contrôles.
Un gestionnaire de mots de passe dédié fait son apparition. C’est un apport majeur, car l’application est également disponible dans toutes les nouvelles plateformes (et même pour Windows). L’arrivée d’un gestionnaire permet de mettre en avant les données autrement présentes dans le Trousseau, mais avec une interface beaucoup plus adaptée. Mots et phrases de passe, clés d’accès, codes Wi-Fi et autres peuvent y être stockés. Apple doit prévenir en outre si des identifiants se retrouvent dans une fuite. Nous reviendrons prochainement sur ce gestionnaire dans une actualité dédiée.
Photo entame de son côté une vaste mutation, avec une fusion des différentes vues en une seule. La photothèque occupe ainsi les deux tiers supérieurs de l’écran. On peut basculer sur d’autres catégories par des glissements à droite ou à gauche, pour voir les vidéos, les contenus favoris, etc. En bas, on trouve des accès aux albums automatiques (voyages, évènements, animaux…) et créés manuellement.
Messages aussi a droit à ses améliorations. La plus évidente est la compatibilité avec RCS. Comme nous l’avions expliqué lors de cette annonce, il s’agit de la version classique du standard, pas de l’implémentation faite par Google. Il n’y a, par exemple, pas de chiffrement de bout en bout, mais les autres fonctions de base sont présentes, comme les statuts de lecture, les témoins d’écriture ou une meilleure qualité pour les photos et vidéos envoyées par SMS. Pour le reste, Messages ajoute l’envoi programmé, la possibilité de réagir aux messages avec n’importe quel émoji ou autocollant, ou encore l’ajout d’effets sur certains mots pour leur donner une emphase visuelle.
S’il s’agit des nouveautés les plus importantes, elles sont loin d’être les seules. On peut citer pêle-mêle un nouveau mode Lecteur pour Safari, un mode Jeu (similaire à celui proposé sur Mac), l’arrivée de l’accès invité dans Maison, de nouvelles fonctions pour Journal, de nouvelles transitions entre les titres dans Music ou encore l’arrivée des rappels dans Calendrier.
Principales nouveautés d’iPadOS 18
La liste sera moins longue pour iPadOS 18, car une bonne partie des apports sont en fait ceux d’iOS 18, sur lequel le système pour tablettes est basé. On retrouve notamment tout ce qui touche à la personnalisation du centre de contrôle et des icônes sur l’écran d’accueil. Plusieurs améliorations significatives sont néanmoins de la partie.
L’écriture manuscrite fait notamment un bond. iPadOS 18 lisse en effet automatiquement l’écriture au fur et à mesure que l’on se sert du stylet. Le lissage doit respecter l’écriture originale et permet une plus grande cohérence dans l’enchainement des mots et lignes de texte. La manipulation du texte manuscrit gagne également en fonction, avec une sélection plus simple, cinq nouvelles couleurs de surlignage ou encore la possibilité de replier du texte sous un sous-titre.
Dans les applications, la zone latérale gauche, qui servait jusqu’ici à présenter des rubriques, est remplacée par une nouvelle barre d’onglets. On la trouve notamment dans TV, Fichiers ou encore Forme. La nouvelle barre se veut mieux pensée. Elle prend nettement moins de place et est surtout personnalisable. On peut donc ajouter ou supprimer des rubriques selon ce qui nous intéresse dans l’application concernée.
L’application de tableau blanc Forme gagne de son côté une nouveauté intéressante : les scènes. L’application permettant d’écrire et dessiner où l’on souhaite, on pouvait se retrouver un peu « perdu » sur l’emplacement de certaines informations. Désormais, on peut enregistrer la zone sur laquelle on travaille et lui donner un nom, créant une scène. Depuis un menu en bas à gauche, on peut accéder à la liste des scènes, renvoyant rapidement vers les zones concernées. Chaque scène peut être renommée, mais aussi imprimée ou même exportée en PDF. En outre, un mode Connecteurs permet de relier des éléments entre eux, afin qu’ils soient toujours déplacés ensemble.
Signalons enfin l’impressionnante application Math Notes, qui permet d’écrire et manipuler des formules et autres équations. En fonction des autres informations présentes dans la note, iPadOS peut proposer des solutions, y compris en modifiant le dessin source, s’il y en a un.
Contrairement à iOS 18, iPadOS 18 laisse quelques modèles sur le carreau : iPad de 6e génération, iPad Pro 10,5 et 12,9 pouces de 2e génération. Les autres, s’ils sont actuellement sous iOS 17, sont compatibles.
Là encore, nous n’abordons pas les nouveautés liées à Apple Intelligence. La situation pour les iPad sera légèrement plus détendue que pour les iPhone, puisque tous les modèles dotés d’une puce M1 au moins pourront en profiter.
Une partie des nouveautés vues dans iOS et iPadOS 18 se retrouvent dans le nouveau macOS. Citons par exemple les apports dans Messages (dont la compatibilité RCS) et l’application Mots de passe dédiée. Sequoia a toutefois ses nouveautés propres.
La plus intéressante est sans conteste Recopie de l’iPhone. Il s’agit d’une application permettant d’afficher l’iPhone sur le bureau de macOS, avec tout ce qui s’y trouve. Les notifications sont interceptées et affichées également. On peut les manipuler comme on le ferait sur le téléphone. Cliquer sur une notification ouvre ainsi l’application correspondante dans Recopie, à la différence que l’on se servira de la souris (ou du touchpad) et du clavier pour l’interface. Mieux, le copier/coller fonctionne entre l’iPhone et le Mac par ce biais. L’iPhone reste verrouillé pendant l’utilisation de Recopie.
Malheureusement, on ne peut officiellement pas encore s’en servir. Avec Apple Intelligence, Recopie de l’iPhone fait partie des fonctions qui arriveront plus tard en Europe. Apple blâme le cadre réglementaire complexe (en clair, le DMA) et les nécessaires adaptations. Sans plus de détails, on comprend mal ce qui peut justifier un tel retard sur cette fonction.
Autre nouveauté importante, une simplification très bienvenue dans la gestion des fenêtres. Apple n’a pas réinventé la roue : elle a puisé dans Windows 7. En sélectionnant la barre de titre d’une fenêtre et en l’emmenant sur le bord gauche ou droit, la fenêtre remplit la moitié correspondante de l’écran. Sur le bord du haut, la taille est maximisée. Dans un coin, la fenêtre remplit un quart d’écran. Toutes ces manipulations sont aussi réalisables avec le clavier.
La visioconférence a également droit à quelques ajouts. Le plus important est la possibilité de choisir quelle fenêtre on veut partager quand on clique sur le bouton de partage d’écran. Cette fonction est disponible dans FaceTime et pour les applications tierces qui s’appuieront sur la nouvelle API liée. Webex est déjà citée comme compatible. Même chose pour la sélection d’un fond d’écran ou d’un flou avant de partager son image. On peut choisir ses propres photos pour créer un fond.
Enfin, s’agissant des fonds, plusieurs nouveaux fonds d’écran sont disponibles. Celui par défaut évolue dans ses teintes au fur et à mesure de la journée. Un aspect que l’on retrouve d’ailleurs dans ceux pour iOS et iPadOS 18.
Les Mac possédant l’actuel macOS Sonoma sont compatibles avec Sequoia, à deux exceptions près : les MacBook Air de 2018 et 2019. Concernant la compatibilité avec Apple Intelligence, il faudra – comme les iPad – un modèle doté d’une puce M1 au minimum. Aucun Mac Intel ne sera pris en charge.
En début d’année, Microsoft mettait sur pied sa division IA, sobrement nommée Microsoft AI. En mars, la firme embauchait deux recrues de choix : Mustafa Suleyman et Karén Simonyan.
Les deux hommes étaient restés quelques années chez Google, où Mustafa Suleyman avait cofondé notamment DeepMind. Puis ils avaient quitté l’entreprise pour fonder la leur : Inflection AI. Microsoft les en a débauché, Mustafa Suleyman devenant au passage CEO de Microsoft AI et l’un des vice-présidents de la firme. Quelques employés les avaient suivis.
Le déroulement des opérations n’a cependant pas plu à tout le monde. Au début du mois dernier, le Wall Street Journal rapportait ainsi que la FTC (Federal Trade Commission) américaine se penchait sur l’affaire. Elle soupçonnait une manœuvre visant à acquérir les forces vives d’Inflection AI sans avoir à payer le prix fort d’un rachat de l’entreprise.
« La CMA examine si l’embauche par Microsoft de certains anciens employés d’Inflection et la conclusion d’accords avec Inflection ont entraîné la création d’une situation de fusion pertinente en vertu des dispositions relatives aux fusions de la loi sur les entreprises de 2002 et, le cas échéant, si la création de cette situation a entraîné, ou pourrait entraîner, une diminution substantielle de la concurrence sur un ou plusieurs marchés au Royaume-Uni pour des biens ou des services »
La CMA demande aux parties intéressées de se signaler et de livrer leurs commentaires.
Les enquêtes de la FTC et de la CMA vont dans la même direction : une inquiétude grandissante face à la concentration dans le domaine de l’intelligence artificielle. Un danger contre lequel l’Autorité de la concurrence a averti récemment.
Microsoft a présenté il y a deux jours une amélioration importante à venir pour son processus de mise à jour sous Windows 11. À partir de la fin de l’année, le différentiel appliqué à certains correctifs mensuels sera plus fin. Avec à la clé, une réduction du temps d’installation et du poids des mises à jour.
Pour comprendre l’intérêt du changement annoncé le 15 juillet, revenons sur le fonctionnement des mises à jour mensuelles sur Windows 10 et 11.
Actuellement, Microsoft en déploie deux types. Les plus importantes, les correctifs de sécurité, sont publiées le deuxième mardi de chaque mois. Cette fréquence est la même depuis de nombreuses années. Elle a été mise en place pour donner aux entreprises un rythme clair et prévisible. Ces correctifs sont téléchargés et installés automatiquement, la machine devant après coup redémarrer. En entreprise, ils sont souvent gérés par un processus spécifique, permettant de planifier l’installation.
Viennent ensuite les mises à jour de « qualité ». Celles-ci ne sont plus liées directement à la sécurité, mais viennent corriger des bugs plus généraux. Ces mises à jour peuvent également contenir de nouvelles fonctionnalités. Bien qu’il y en ait pratiquement tous les mois, leur installation ne devient obligatoire qu’au bout de quelque temps.
Il faut ajouter un troisième type de mise à jour, nettement plus rare : les évolutions majeures. Elles sont annuelles ou semestrielles selon le système et les années. Pour Windows 11, la prochaine est la 24H2, dont le nom signifie « deuxième semestre 2024 ». Ces mises à jour modifient de larges pans du système et proposent de nombreuses nouveautés. Leur installation est optionnelle pendant un an, après quoi elles deviennent obligatoires. Elles se téléchargent et s’installent alors automatiquement. Sur une machine un peu ancienne, l’immobilisation de la machine peut prendre 10 à 20 min.
Le statut RTM et le calcul du différentiel
Depuis des années, les mises à jour de sécurité de Windows fonctionnent sur un mode cumulatif. Là où il fallait avant installer les correctifs mensuels comme autant de mises à jour séparées, Windows Update propose aujourd’hui une seule mise à jour contenant tout.
Ce « tout » est une accumulation de toutes les mises à jour rendues disponibles depuis la RTM de la dernière révision majeure du système. RTM, pour Release To Manufacture, est le statut d’une version signifiant qu’elle est prête pour distribution. C’est en général un équivalent à « version finale ». Il y a quelques subtilités, mais elles ne sont pas importantes dans le cas présent.
Pour donner un exemple simple, la version majeure en cours de Windows 11 est la 23H2. Quand des mises à jour mensuelles sont préparées, elles incluent tout ce qui est sorti depuis la RTM de cette version. Les téléchargements ont donc tendance à gonfler avec le temps. En revanche, le temps d’installation reste à peu près le même, car seule la partie effectivement absente de la machine est installée. Le reste est « inerte » et disparait après installation.
Vers des mises à jour « checkpoint »
On savait que Microsoft préparait depuis un certain temps un système plus souple. Le 15 juillet, l’entreprise a donc annoncé une importante modification qui arrivera avec la version majeure 24H2 et entrera en piste vers la fin de l’année.
L’éditeur y présente les points de contrôle, ou mises à jour « checkpoint ». L’objectif est simple : plutôt que d’attendre la RTM d’une version majeure pour établir une base de calcul, ces mises à jour établiront un nouveau point de contrôle. Il n’est manifestement pas prévu qu’elles soient présentes tous les mois, mais chacune consistera la base d’un nouveau calcul incrémentiel.
Le gros avantage est qu’elles viendront « casser » l’accumulation faite au fil des mois. Si vous recevez l’une de ces mises à jour, la mise à jour mensuelle suivant ne téléchargera et n’installera que le différentiel (delta) strictement nécessaire.
Les entreprises également concernées
Le delta étant calculé depuis le dernier point de contrôle et non plus depuis la dernière RTM, ce sont toutes les mises à jour qui seront plus légères à télécharger. Microsoft met donc en avant trois avantages : de plus petits téléchargements, une installation plus rapide et une charge moins importante pour les serveurs, qui n’auront plus à fusionner de trop grandes masses de données. Microsoft se permet d’indiquer au passage que ce fonctionnement est plus « durable ».
C’est également valable en entreprise, puisque le changement sera aussi présent dans Windows Server 2025. La prise en charge dans des services comme Windows Update for Business, Windows Autopatch et Windows Server Update Services (WSUS) sera automatique. Les administrateurs n’auront pas à modifier leurs réglages.
Pour les personnes testant les préversions de Windows 11, ces changements sont présents dans la dernière build (26120.1252) du canal Dev du programme Windows Insiders.
Cisco a publié hier un bulletin d’alerte sur une faille de sécurité critique dans l’un de ses produits, Smart Software Manager On-Prem. D’une sévérité maximale de 10 sur 10, elle peut être exploitée à distance pour obtenir tous les droits d’un compte. Il est recommandé d’appliquer la mise à jour aussi rapidement que possible.
Dans un bulletin de sécurité publié hier soir, Cisco avertit ses clients d’une faille critique dans l’un de ses produits. Ce dernier, Smart Software Manager (SSM) On-Prem, est un service permettant de gérer ses licences Cisco sur site. Il est conçu pour les personnes refusant de se servir du cloud à cette fin, ou qui ne le peuvent pas. Il se présente sous la forme d’un tableau de bord.
Une sévérité maximale
La faille, estampillée CVE-2024-20419, est critique. Sa sévérité est maximale, avec un score CVSS 3.1 de 10 sur 10. La vulnérabilité réside plus précisément dans le processus de changement de mot de passe utilisé par le système d’authentification de SSM On-Prem.
« Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à un appareil affecté. Une exploitation réussie pourrait permettre à un attaquant d’accéder à l’interface utilisateur web ou à l’API avec les privilèges de l’utilisateur compromis », explique Cisco dans son bulletin.
De manière plus explicite, un pirate peut créer une requête HTTP spécifique et l’envoyer à un appareil concerné par la faille. La requête permet d’exploiter la faille. Après quoi, le pirate obtient l’accès à l’interface de gestion et les droits du compte visé, y compris s’il s’agit d’un compte administration.
Cependant, ce que le pirate peut faire exactement n’est pas clair. L’obtention des droits permet en tout cas d’effectuer toutes les actions liées. Il est probable également que le pirate puisse profiter de cette position privilégiée pour accéder à d’autres appareils sur le réseau. On ne sait pas s’il est possible d’affecter directement les données, notamment les voler ou les chiffrer, pour exiger ensuite une rançon. Nous avons contacté Cisco pour demander des précisions.
Une mise à jour à installer rapidement
La faille affecte Smart Software Manager On-Prem 8.0, ainsi que toutes les versions antérieures à la 7.0 (quand le produit s’appelait SSM Satellite). Les moutures 9.X de SSM On-Prem ne sont pas concernées. La récupération de la dernière mouture se fait depuis le logiciel. Dans le cas de clients ayant des contrats de service, la mise à jour s’obtient automatiquement par le canal de distribution habituel.
Dans son bulletin, Cisco indique ne pas être au courant d’une quelconque exploitation de la faille. Cependant, la révélation de son existence peut rapidement faire pencher la situation.
Il s’agissait de l’une des fonctions les plus réclamées depuis au moins 2019, indique la fondation Wikimedia dans son billet d’annonce. Pour autant, et comme elle l’avait précisé en décembre dernier, ajouter le mode sombre n’était pas si simple.
La fondation a tenté dans un premier temps une conversion automatique. Un bouton aurait alors été présent pour demander la bascule. Mais les résultats obtenus étaient parfois décevants, avec notamment une altération des couleurs dans les images. Or, ce changement peut avoir un impact sur la bonne compréhension de l’information. Par exemple sur des drapeaux ou, plus simplement, sur les couleurs elles-mêmes.
La solution retenue est finalement un déploiement progressif sur les pages, en fonction de la langue. Le français fait d’ailleurs partie du premier lot de versions concernées. Sur la page d’accueil ou les wikis compatibles, vous trouverez un nouveau réglage en bas de la colonne de droite, dédiée à l’apparence. On peut choisir entre clair, sombre et automatique. Ce dernier récupère simplement le réglage du thème système. Curieusement, le thème sombre reste ensuite sur les pages a priori non compatibles (où le réglage n’apparait pas).
Selon ses propres chiffres, 20 % des internautes venant sur Wikipédia utilisent un thème sombre pour leur système. La nouveauté devrait donc être largement utilisée. Il faudra cependant changer le réglage en arrivant sur le site, car le thème par défaut reste sur « clair ».
La fondation ajoute que cette fonction, en cours de déploiement, a également été l’occasion de travailler sur l’accessibilité du site.
À un peu plus d’une semaine de la cérémonie d’ouverture des Jeux olympiques et paralympiques, l’ANSSI nous a communiqué son état des lieux. L’agence est revenue sur ses préparations et s’est dit « confiante ».
Les Jeux olympiques et paralympiques sont sous haute surveillance. Comme tout évènement très médiatisé, il attirera les acteurs malveillants de tous horizons. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’attend à tous types d’attaques. Les différentes catégories sont les mêmes que celles récemment abordées dans ses recommandations pour les données sensibles dans le cloud : attaques étatiques, cybercriminalité et hacktivisme.
« En termes de menaces, on sait que des choses vont se produire pendant les jeux », nous a indiqué l’ANSSI. L’agence ne s’attend pas à un ciblage particulier des entités impliquées dans les JOP 2024, mais y voit une opportunité pour les acteurs de la menace et un élargissement de la « pêche au chalut ».
Hacktivisme et communication
L’un des aspects abordés l’agence concerne la communication, particulièrement les hacktivistes : « Ils sont là pour faire du bruit et vont profiter de la grande visibilité pendant les Jeux olympiques. Ils ne font pas des choses très graves. Il s’agit souvent de déni de service, sans effet destructeur. Pendant ce genre d’évènement, ça fait du bruit. Mais ces groupes sont de très bons communicants. Plusieurs ont déjà annoncé leur intention de déclencher des actions. On ne donne pas de noms, pour ne pas leur faire de publicité ».
« Certains sont même déjà à l’œuvre », a ajouté l’ANSSI. « On constate de petits DDoS, sans gravité. Mais on ne crie pas victoire pour autant ». D’autant que des attaques plus sérieuses peuvent survenir, plus ciblées, avec des malwares et autres techniques. L’ANSSI s’attend également à ce que des acteurs étatiques se manifestent.
Sur la communication, l’ANSSI affirme qu’elle fera preuve d’autant de transparence que possible. Elle livrera les informations quand elle les aura et ses équipes se tiendront prêtes à répondre aux questions. Comme toujours, les éléments ne seront pas tous disponibles au départ.
L’ANSSI est sûre d’elle. Elle sait que l’attention sera braquée sur ses capacités pendant toute la durée des JOP. Et pour cause : « L’ANSSI s’est préparée, avec des mesures supplémentaires et pour réagir aussi vite que possible. On a fait tout ce qu’on avait prévu de faire ».
L’agence est finalement allée au-delà de ce qu’elle avait prévue. En février, elle indiquait ainsi avoir identifié 300 entités à accompagner dans la préparation pour les JOP, qui a commencé il y a plus de deux ans. On sait maintenant que ce chiffre dépasse 500. Le nombre d’entités critiques n’a pas changé (80), mais l’agence a évoqué dix entités ayant bénéficié d’un accompagnement intense et personnalisé. Aucun nom n’a été cité.
L’ANSSI s’est également présentée comme « chef d’orchestre » de la sécurité informatique pendant les JOP 2024. Elle travaille avec un officier de liaison de Paris 2024 et est en lien avec le CNCS (Centre national de commandement stratégique). Les équipes ont été renforcées pour l’occasion, avec 630 agents « pleinement mobilisés ».
« Même des agents dont ce n’est pas métier à la base ont reçu une formation spécifique. Nous sommes conscients que les regards seront braqués sur nous, surtout face à des acteurs qui sont de bons communicants », nous a indiqué l’agence. Elle ajoute que la Coupe du monde de rugby a d’ailleurs été un bon entrainement. Aujourd’hui, la situation semble claire : « Aucun angle mort n’a été identifié ».
Les JOP sont une occasion
Nous avons demandé à l’ANSSI des précisions sur la préparation des entités : s’agissait-il d’un processus spécifique aux Jeux olympiques et paralympiques ? Ou l’agence visait-elle plus loin, en profitant de l’occasion pour instaurer des processus pérennes, surtout au regard de cadres réglementaires en préparation, comme la transposition de la directe européenne NIS 2 ?
C’est bien la deuxième solution : « Oui, les travaux ont été faits dans la perspective des JOP. Mais ce qu’on a fait avec eux, sur les compétences et la manière de communiquer avec l’ANSSI, va plus loin. Beaucoup d’entités travaillaient régulièrement avec l’ANSSI, mais pas d’autres, notamment des hôpitaux. Tout ce qu’on a mis en place servira plus tard ».
L’agence ajoute que « des kits d’entrainement ont été distribués aux entités. Elles pourront les déployer chez eux, pour qu’ils s’entrainent chez eux, en lien ou pas avec l’ANSSI. Tout cela participe au passage à l’échelle ».
L’agence compte-t-elle sur ces entités préparées pour « évangéliser » d’autres structures ? Pas vraiment, nous répond-elle : « Pour nous, ce qui compte, ce sont les retours d’expérience. Avec les entités, avec l’État, en interne, pour voir ce qui a fonctionné ou pas ».
Le renouvellement du Parlement européen s’est achevé il y a deux jours par l’élection de Roberta Metsola à sa présidence. Elle assurait déjà l’intérim de la fonction depuis « le décès soudain du Président Sassoli le 11 janvier 2022 ». Le Parlement note que c’est la troisième femme seulement à être présidente, après Simone Veil (1979-1982) et Nicole Fontaine (1999-2002).
Alors que le Parlement européen entame sa dixième législature, il était temps d’élire la nouvelle présidence de la Commission. Sans trop de surprise, c’est Ursula von der Leyen qui a été réélue, avec 401 voix pour sur 719 députés (284 contre, 15 abstentions et 7 nuls).
Avant le vote, Ursula von der Leyen avait présenté son programme devant le Parlement. Parmi les priorités exposées, notons un nouveau pacte sur l’industrie propre, un Fonds européen pour la compétitivité, un doublement du personnel d’Europol, un triplement des garde-frontières et garde-côtes européens, un renforcement de la lutte contre « la manipulation de l’information et l’ingérence étrangère » et un grand plan européen pour le logement abordable.
Elle a également proposé la création d’un nouveau poste de commissaire chargé de la défense. Elle souhaite en outre la mise en place d’un « bouclier aérien européen », un système complet de défense de l’espace aérien, envisagé comme un « symbole fort de l’unité européenne en matière de défense ».
Dans un billet de blog publié hier soir, Proton annonce le déploiement d’une nouvelle fonction : un assistant IA pour l’écriture des emails, nommée Scribe. Une fois les comptes à jour, Scribe est disponible dans les navigateurs web et l’application de bureau. Il s’agissait, selon Proton, d’une des fonctions les plus demandées par la clientèle.
Plusieurs capacités sont disponibles, comme décrire le type de courrier que l’on souhaite envoyer pour que l’assistant le génère, ou encore la relecture d’un courrier déjà écrit pour le vérifier et le formaliser.
Bien que la fonction soit désormais classique, l’implémentation de Proton est différente. D’une part, elle laisse à l’utilisateur la possibilité de télécharger le modèle pour l’exécuter localement. D’autre part, Proton s’est servi du modèle Mistral-7B avec des lots de données open source uniquement, sans partenariats avec des tiers.
Enfin, et c’est sans doute la partie la plus importante pour une société comme Proton, tout aurait été fait pour maintenir la sécurité et le respect de la vie privée. Comme les autres services de l’éditeur suisse, les requêtes et résultats sont échangés avec un chiffrement de bout en bout. En outre, l’utilisation du service ne laisserait aucune trace côté serveurs.
Scribe n’est pas gratuit. Bien que la capacité soit offerte aux personnes ayant souscrit à un compte Lifetime ou Visionnary, il est surtout conçu pour l’entreprise. Il sera donc facturé 2,99 euros par personne et par mois dans le cadre d’un abonnement Proton Business Suite.
L’assistant sera amélioré avec le temps. À TechCrunch, Proton a également indiqué qu’il était possible que le modèle Mistral-7B soit remplacé, au fur et à mesure que les performances augmentent sur les nouvelles générations.
Une gigantesque panne affecte actuellement de nombreuses structures, y compris de grosses entreprises, des aéroports et des hôpitaux. En cause apparemment, une mise à jour des logiciels de cybersécurité de CrowdStrike. Elle provoque des écrans bleus sur les machines équipées de Windows, ainsi que des redémarrages en boucle.
Partout dans le monde, des entreprises et autres structures rapportent être partiellement ou totalement bloquées. Une cyberattaque ? A priori non. Le problème vient d’une mise à jour déployée par CrowdStrike pour son EDR (détection et intervention sur les points de terminaison) Falcon Sensor. Des banques, des aéroports, des hôpitaux, des magasins, des chaines de télévision ou encore des organes de presse sont touchés.
Le symptôme est le même partout : un écran bleu de Windows et un redémarrage du système. Falcon Sensor étant un produit destiné aux entreprises, le grand public n’est pas censé être concerné.
De très nombreuses structures touchées
Les exemples sont très nombreux. Parmi les plus retentissants, la bourse de Londres, dont le service de nouvelles « est actuellement confronté à un problème technique global d’une tierce partie, empêchant la publication de nouvelles sur www.londonstockexchange.com ». De nombreux aéroports sont touchés, dont ceux de Berlin, Melbourne, Hong-Kong, Prague ou plusieurs en Inde. Aux États-Unis, tous les avions de Delta, United et American Airlines sont cloués au sol.
Citons également les groupes médias ABC aux États-Unis et Sky News au Royaume-Uni, dont les services sont perturbés. Même chose pour les trains au Royaume-Uni.
CrowdStrike au courant, un début de solution
CrowdStrike indique être au courant de la situation dans une note, qui réclame malheureusement un compte pour la lire. La société ajoute qu’elle enquête sur le problème, qui semble lié à un souci de déploiement. La modification a été annulée.
Sur Reddit, la solution présentée dans la page « cachée » de CrowdStrike est mise en avant. Elle consiste à :
redémarrer Windows en mode sans échec
se rendre dans le dosser C:\Windows\System32\drivers\CrowdStrike et à
y effacer un fichier de type « C-00000291*.sys ».
Après le redémarrage, le problème disparaitrait. Mais, comme indiqué dans de nombreuses réponses sur Reddit : il est presque impossible d’accéder aux machines actuellement. En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.
En France, le CERT vient également de communiquer : « Le CERT-FR a été informé ce jour d’un incident majeur affectant les systèmes Microsoft Windows disposant de l’EDR CrowdStrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste. À ce stade, le CERT-FR n’a pas d’élément indiquant que cet incident est lié à une attaque informatique ». Le Centre ajoute suivre « avec attention les évolutions de cet incident ». Même son de cloche à l’ANSSI, qui a mis en ligne un bulletin d’alerte.
La nouvelle pourrait fortement impacter CrowdStrike. Avant même l’incident, l’entreprise voyait son action chuter à cause de divers problèmes de valorisation. Hier, on a également appris que le cabinet d’analyse Redburn Atlantic baissait sa note pour CrowdStrike (et Palo Alto Networks), citant le prix trop élevé de son action et des conditions changeantes sur le marché.
« CrowdStrike travaille activement avec les clients touchés par un défaut détecté dans une seule mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas impactés. Il ne s’agit pas d’un incident de sécurité ou d’une cyberattaque. Le problème a été identifié, isolé et un correctif a été déployé. Nous renvoyons les clients au portail d’assistance pour connaître les dernières mises à jour et continuerons à fournir des mises à jour complètes et continues sur notre site Web. Nous recommandons en outre aux organisations de s’assurer qu’elles communiquent avec les représentants CrowdStrike via les canaux officiels. Notre équipe est pleinement mobilisée pour assurer la sécurité et la stabilité des clients CrowdStrike. »
De nombreuses questions restent cependant ouvertes. Dont la plus évidente : comment une telle mise à jour a-t-elle pu passer les différentes étapes de vérification ?
While current evidence points to a CrowdStrike update gone wrong — let's not forget that causing this level of outage, by a single application, should not be possible in the first place.
How did 1. Windows, 2. process isolation and 3. null-safe kernel code also fail to catch it?
Quelques heures auparavant, Microsoft avait des problèmes avec Azure et Microsoft 365, mais ils semblent désormais réglés et sans lien apparent avec les soucis du jour. Ces derniers viennent pour rappel d’une mise à jour de chez CrowdStrike, pas d’un problème chez Microsoft.
L’incident survenu chez CrowdStrike a entrainé un plantage d’un très grand nombre d’ordinateurs Windows. Comment en est-on arrivés là ? Il s’agit très probablement de la convergence de plusieurs facteurs techniques, que nous allons exposer.
Dans notre article, nous relations comment une mise à jour du logiciel Falcon Sensor de CrowdStrike avait provoqué une épidémie d’écrans bleus à travers le monde. La panne engendrée a touché de nombreux aéroports et autres structures.
Comment le déploiement d’une telle mise à jour a-t-elle été possible ? Pourquoi la mise à jour d’un produit de sécurité peut-elle aboutir à un plantage complet du système ?
Une question de privilèges
Sous Windows, comme sur n’importe quel autre système d’exploitation, il existe des niveaux de privilèges, basés sur un système d’anneaux concentriques (les fameux rings). Le ring 0 constitue l’espace noyau (ou kernel). Les privilèges y sont maximaux, de même que les performances. Dans son infrastructure, Microsoft a simplifié les autres niveaux depuis longtemps et n’en laisse aujourd’hui qu’un autre : le ring 3, l’espace utilisateur.
Dans les vieilles versions de Windows, de nombreux pilotes étaient en espace noyau. Aujourd’hui, le paysage a changé. L’évolution du framework de développement des pilotes a repoussé un nombre croissant de catégories vers le ring 3. Sous les actuels Windows 10 et 11, les pilotes en espace noyau sont beaucoup plus rares. Le cas le plus connu est le pilote graphique, pour des questions de performances.
L’autre exception est pour les logiciels de sécurité. On parle ici des antivirus et plus généralement des suites de sécurité. Ce type de produit surveille un certain nombre de processus. Pour le faire, ils utilisent le plus souvent un pilote en espace noyau, lui octroyant les privilèges nécessaires à une telle surveillance.
Mais puisqu’un grand pouvoir implique de grandes responsabilités, le plantage d’un pilote en espace noyau peut avoir des conséquences bien plus importantes que, disons, le pilote de votre souris USB. Vous avez déjà peut-être rencontré un clignotement soudain de l’écran sous Windows, le système vous avertissant qu’une panne du pilote graphique a été détectée. Le message indique que le pilote a été relancé. Parfois, le système n’y parvient pas et un écran bleu se produit.
Comme l’explique l’ingénieur Aurélien Chalot chez Orange Cyberdéfense, le fonctionnement est le même pour les EDR (Endpoint Detection and Response), auxquelles appartiennent les suites de sécurité. La proximité du pilote avec le noyau lui octroie privilèges et performances. Mais, en cas de plantage, c’est le noyau lui-même qui risque de partir avec l’eau du bain.
Un simple fichier de définition
Falcon Sensor de CrowdStrike possède bien un pilote en espace noyau, csagent.sys. C’est un agent responsable du cœur des fonctionnalités de surveillance. Il est alimenté très régulièrement par des fichiers de définition. Ceux-ci permettent de mettre à jour les capacités de détection des malwares de l’agent en lui donnant les moyens de les repérer par leur empreinte.
Falcon Sensor, comme toutes les autres solutions de sécurité, reçoit donc plusieurs types de mises à jour. Certaines concernent l’agent, d’autres, beaucoup plus fréquentes, les définitions. Or, c’est un fichier de définition qui a provoqué la vaste panne. Comment est-ce possible ?
Selon l’expert en cybersécurité Kevin Beaumont, qui a récupéré des fichiers incriminés, tout vient d’un problème de formatage. Le fichier de définition, lorsqu’il est interprété par le pilote, entraine un plantage de ce dernier qui, à son tour, entraine le noyau Windows avec lui. Les machines sous Linux et MacOS ne sont pas affectées.
Pour lui, une chose est sûre : « Il s’agira de l’incident « cyber » le plus important de tous les temps en termes d’impact, c’est juste un spoiler, tant la récupération est difficile ».
La question du processus de validation
Plus on en apprend sur les raisons techniques de l’incident, plus la question de la validation s’impose : comment une telle mise à jour a pu passer les tests de qualité (QA) et être validée pour déploiement ?
Car il faut constater l’ampleur de la panne. Au vu du nombre de machines concernées (au strict minimum des dizaines de milliers, partout dans le monde), on peut se demander comment un problème aussi important n’a pas été détecté durant la phase de test. À moins que celle-ci ait été particulièrement légère, voire inexistante.
C’est la question que se pose notamment l’ingénieur Maiko Bossuyt (MaikoB sur X). Il n’est pas le seul, le sujet revient régulièrement sur les réseaux sociaux. CrowdStrike n’a pour le moment rien dit.
La question de la réparation, en revanche, pose toujours un gros problème. Microsoft, sur sa page de statut pour Azure, indique avoir reçu des retours de clients sur le plantage CrowdStrike qui touchait des machines virtuelles Windows ou Windows Server.
Dans le cas des machines virtuelles, les tâches peuvent être automatisées. Selon des clients, redémarrer les machines plusieurs fois (jusqu’à quinze !) donne de bons résultats.
Selon Maiko Bossuyt, avec qui nous nous sommes entretenus, l’explication est simple : le BSOD n’est pas forcément immédiat. Avec un peu de chance, Windows a le temps de se charger et Falcon Sensor de trouver la dernière mise à jour, qui corrige le tir. S’il parvient à la récupérer et l’installer, la machine est tirée d’affaire. « Ça se joue vraiment à quelques secondes », ajoute-t-il. L’opération est donc loin de réussir dans tous les cas
Malheureusement, les machines virtuelles ne sont pas les seules : les machines physiques (ordinateur et serveurs) sont également concernées. D’après les retours obtenus par Next, les PC Windows où le système est installé nativement sont aussi impactés.
… ou déplacez-vous (y compris en datacenter)
La réparation prend beaucoup plus de temps, car il faut intervenir physiquement sur chaque ordinateur et se déplacer dans les datacenters pour les serveurs Windows sans accès IPMI (ou autre). Dans le cadre d’organisations possédant des milliers de machines, l’opération risque de virer au cauchemar. Si BitLocker est actif, il faut en plus avoir la clé de restauration de chaque machine sous la main.
Enfin, précisons que ce n’est pas la première fois que le pilote de Falcon Sensor entraine des problèmes, même si aucun de cette ampleur. Sous Windows, on trouve des cas de plantage similaires en décembre dernier. En avril, on relevait des kernel panics sur Linux.
Dans un avis publié vendredi, la CNIL alerte sur les dangers de la version actuelle de la future directive EUCS. La Commission fustige l’absence de protection contre l’extraterritorialité de certaines lois, notamment américaines. Elle milite pour un retour à une base SecNumCloud.
L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est un projet de directive en cours d’élaboration en Europe. Ses ambitions sont grandes. Le futur cadre doit se substituer aux réglementations nationales comme SecNumCloud en France ou C5 en Allemagne. Ses objectifs sont clairs : élever le niveau de sécurité général du stockage cloud en Europe.
Pour y parvenir, le projet de directive propose quatre niveaux de sécurité : Basic, Substantial, High et High+. Plus on grimpe dans ces niveaux, plus les obligations sont nombreuses. Jusqu’au printemps, High correspondait à peu près à la certification SecNumCloud « classiques ». High+, lui, reprenait la dernière version de la certification française (3.2). Celle-ci inclut un volet sur la souveraineté et est imperméable aux lois extraterritoriales.
Seulement voilà, dans une nouvelle version parue en avril, le projet ne contenait plus rien sur la question de souveraineté. Une situation qu’avait dénoncé l’ancien directeur de l’ANSSI, Guillaume Poupard : « Force est de reconnaître qu’une majorité d’États Membres de l’Union européenne a clairement d’autres priorités que de développer l’Europe du numérique ».
Il indiquait alors que certains pays membres de l’Union pouvaient avoir d’autres priorités, notamment « leurs rentrées fiscales ». Et pour cause : en High+, l’ancienne version interdisait tout simplement le stockage des données les plus sensibles dans des solutions non européennes. « Exit » donc les GAFAM.
La CNIL prend position pour SecNumCloud
« Les données stockées par une entreprise soumise à un droit extra-européen, comme c’est le cas des hébergeurs dont les sociétés mères sont situées aux États-Unis, peuvent être exposées à un risque de devoir communiquer des données aux autorités publiques de ce pays », pointe la CNIL dans un communiqué publié le 19 juillet.
La Commission rappelle que ce n’est en général pas un problème. Dans le cadre du Data Privacy Framework, les données peuvent être stockées chez des prestataires situés dans des pays « adéquats ». C’est le cas des États-Unis. Mais qu’en est-il des données les plus sensibles ? La position de la CNIL est claire : « les données hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers ». Le Cloud Act américain, s’il n’est pas directement cité, est clairement dans la ligne de mire.
La recommandation est donc de « recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat ». En France, cette recommandation se traduit par la certification SecNumCloud. Elle « comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères ».
EUCS : des « lacunes et des risques »
La CNIL confirme dans son communiqué que cette disposition « ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA) ». Et, même dans les niveaux les plus élevés de la certification. Pas même en option.
La CNIL rappelle qu’elle recommande « depuis longtemps » d’assurer une protection contre les lois extraterritoriales pour les données les plus sensibles. De plus, EUCS, dans son état actuel, « ne permet pas de stimuler l’offre européenne en matière de cloud ». Or, cette offre est essentielle pour répondre « aux besoins de développement et déploiement » des systèmes d’IA. Autre problème pointé par la CNIL, l’accès à la commande publique pour les acteurs européens. Ce, alors que les États-Unis ont eux-mêmes un programme (FedRAMP) pour les acteurs américains.
Surtout, EUCS ne peut pas être utilisé par les acteurs publics et privés pour « externaliser dans le cloud leurs projets les plus sensibles ». La CNIL cite en bon exemple le gouvernement et sa doctrine « cloud au centre », qui réclame des autorités publiques qu’elles stockent les données « d’une sensibilité particulière » dans un cloud non soumis à des lois extra-européennes qui pourraient « impliquer des injonctions de communication ».
Le projet EUCS est actuellement en stand-by, conséquence logique du renouvellement du Parlement européen. Ursula von der Leyen vient d’être réélue à la tête de la Commission européenne, mais cette dernière doit être constituée. C’est seulement une fois cette étape franchie que les discussions – et négociations – reprendront.
Notez qu’en l’état, la directive EUCS permettrait a priori à des offres comme Bleu et S3NS d’être certifiées en niveau High+. La question de la certification SecNumCloud reste entière, même si S3NS vient de se lancer dans le processus.
Une position surprenante ? Pas vraiment
La position de la CNIL pourrait faire se soulever quelques sourcils. Dans son communiqué, elle cite en effet le système national des données de santé (SNDS) comme exemple de données personnelles très sensibles. Pourtant, on se souvient de la polémique autour de l’avis positif rendu sur le stockage de ces mêmes données dans Azure. Pour rappel, elle autorisait ainsi le Health Data Hub (Plateforme des données de santé) à stocker chez Microsoft les données du projet européen EMC2.
Le député Philippe Latombe, commissaire à la CNIL, nous avait indiqué que la décision de la CNIL avait été faite en droit. En l’occurrence, celui du Data Privacy Framework qui établit une adéquation entre les cadres réglementaires européen et états-unien.
La CNIL « juge en droit. Elle est obligée de l’appliquer. Il n’y a rien qui interdit le projet EMC2 d’être stocké chez Microsoft », avait appuyé le député. Il avait ajouté que la décision de la CNIL laissait « suffisamment de prise pour que tout le monde puisse la contester ». En outre, la position de la Commission était clairement perceptible entre les lignes.
La position de la CNIL n’est donc pas surprenante, car il s’agit justement de donner son avis. Avis qui tombe d’ailleurs quelques jours seulement après les recommandations de l’ANSSI sur le stockage des données sensibles dans le cloud. Elles pouvaient se résumer aisément : SecNumCloud.
Avec Firefox 128, Mozilla a introduit une fonction baptisée PPA, pour Privacy-Preserving Attribution. Mais entre cette arrivée sans crier gare et le fonctionnement – pas toujours bien compris – du mécanisme, les critiques ont fusé.
Firefox 128 a introduit plusieurs nouveautés intéressantes, dont un panneau de suppression des données repensé, avec davantage de possibilités. Au sein des nouveautés, l’une des plus discrètes était la Privacy-Preserving Attribution. À ce moment, Mozilla avait peu communiqué sur cette fonction. Un point qui lui est d’ailleurs copieusement reproché aujourd’hui.
De quoi s’agit-il ? Revenons sur le fonctionnement de ce mécanisme, pour mieux comprendre la polémique qui l’accompagne.
Des données agrégées
Mozilla a souvent pris position contre le pistage publicitaire. La fondation a toujours fait du respect de la vie privée son principal cheval de bataille. Parallèlement, on sait aussi que son financement est une vieille problématique et que la fondation cherche à multiplier ses sources de revenus. La majeure partie d’entre eux provient en effet de Google, pour que son moteur de recherche soit configuré par défaut dans Firefox.
Après plusieurs tentatives infructueuses dans le domaine de la publicité « vertueuse », Mozilla tente une autre approche. La fondation veut modifier la manière dont les entreprises récupèrent des statistiques de performance sur leurs campagnes publicitaires. Objectif : mettre fin au pistage publicitaire.
L’approche de la Privacy-Preserving Attribution ressemble, dans les grandes lignes, à des solutions déjà vues chez Apple et Google. Quand un site détecte un clic sur une publicité, il peut demander un rapport au navigateur. Ce dernier crée le rapport, le chiffre et l’envoie à un service d’agrégation, à l’aide du Distributed Aggregation Protocol (DAP), que Mozilla cherche à faire normaliser auprès de l’IETF.
Là, le rapport est mis en attente, le temps d’être combiné à d’autres. Le service d’agrégation finit par envoyer une masse d’informations agrégées contenant des rapports de comportement similaire. La régie publicitaire reçoit ainsi des statistiques sur un groupe (Apple et Google parlent de cohortes), pas sur une personne spécifique. Selon Mozilla, les « annonceurs ne reçoivent que des informations globales qui répondent à des questions basiques sur l’efficacité de leur publicité ».
Polémique sur les intentions de Mozilla
Les critiques ont rapidement fusé. Mozilla, qui se bat depuis de longues années contre les géants de la tech, s’insinuerait dans le circuit publicitaire pour en devenir un maillon essentiel ? Ne serait-ce pas l’antithèse exacte de tout ce pourquoi la fondation a milité jusqu’ici ?
Devant la multiplication des avis négatifs et des billets de blog consacrés au sujet, le directeur technique de Firefox, Bobby Holley, a fini par s’exprimer sur Reddit. Constatant qu’internet était devenu « un gigantesque réseau de surveillance », la fondation a estimé qu’elle devait agir. Jusqu’à présent, la lutte passait par un nombre croissant d’outils anti-pistage. Une approche satisfaisante, mais limitée, selon Holley.
Deux points sont mis en avant. D’une part, les annonceurs ont tout intérêt, d’un point de vue financier, à contourner les mesures anti-pistage. Ce jeu du chat et de la souris conduit « à une course à l’armement perpétuelle que nous ne pourrons peut-être pas gagner ».
D’autre part, ces outils n’aident que les personnes choisissant d’utiliser Firefox. En élargissant ce point, Bobby Holley évoque un problème fondamental selon lui dans le discours sur la vie privée : « aborder la question sous l’angle de la responsabilité individuelle est un excellent moyen d’apaiser les utilisateurs avertis tout en veillant à ce que la vie privée de la plupart d’entre eux reste compromise ». Les bannières de cookies serait un bon exemple. « La plupart des utilisateurs se contentent d’accepter les paramètres par défaut qui leur sont proposés », affirme le directeur technique.
La PPA, telle que présente dans Firefox 128, est une version expérimentale, ayant peu de fonctions. Il représente pour Mozilla l’aboutissement de plusieurs années de travail au PATCG (Private Advertising Technology Community Group) du W3C. ISRG (qui gère Let’s Encrypt) a été choisi pour partenaire pour le service d’agrégation et le développement du mécanisme s’est fait en collaboration avec Meta.
Le compromis sans se compromettre ?
L’arrivée de la PPA n’est pas complètement une surprise. Mozilla avait abordé le futur mécanisme en février 2022. On savait alors déjà que le travail se faisait en collaboration avec Meta. C’est probablement cette approche au puissant parfum de compromis qui a agacé. Et le fait que même si les annonceurs reçoivent des rapports agrégés et anonymisés, le service générant les rapports est, au moins momentanément, en possession de données très précises. Ce qui implique de la confiance.
Mozilla semble avoir choisi la voie du milieu. Une position que l’on retrouve dans un autre avis, cette fois de Bas Schouten, ingénieur principal sur Firefox. Sur Mastodon, il évoquait l’approche actuelle de la vie privée, qui fait selon lui « de la vie privée un privilège pour les personnes qui travaillent à s’informer et à se former sur le sujet ». Et pour les personnes totalement contre les publicités ? « Vous utilisez probablement un bloqueur de publicités. Vous n’êtes donc pas concerné par cette mesure », répond l’ingénieur.
On le voit dans les commentaires sur Reddit, au-delà de l’aspect technique, c’est le compromis mis en avant par Mozilla qui déplait chez de nombreuses personnes. On lit de nombreux messages à l’opinion nette et tranchée : la publicité devrait être supprimée. Voir Mozilla proposer ce mécanisme, même si efficace, c’est accepter que la publicité restera (omni)présente. Le rachat de la société Anonym le mois dernier était un autre signe clair.
D’autres, comme le développeur Andrew Moore, ont adopté une posture plus nuancée. Il ne constate aucun problème fondamental dans l’approche de Mozilla. Il considère cependant que l’échec de la fondation sur la PPA provient du manque de communication. « Le plus grand échec de l’Attribution préservant la vie privée (PPA) est sans doute l’incapacité de Mozilla à communiquer et à expliquer clairement cette expérience à ses utilisateurs », considère Moore.
Le développeur aurait apprécié que la page « Quoi de neuf ? » (qui présente les notes de version) contiennent un encadré clair expliquant les tenants et aboutissants de l’expérience. Ou une fenêtre demandant à l’internaute si la fonction peut être activée, là encore avec des explications claires.
Même si Microsoft n’est pas directement responsable du fiasco CrowdStrike, l’éditeur est copieusement pointé du doigt. Le fait que Windows ait pu planter à cause d’un bug dans un logiciel tiers n’est-il pas la preuve flagrante que sa fiabilité et sa sécurité devraient être améliorées ? Face à la pression croissante et les questions incessantes, Microsoft a désigné une coupable : l’Europe.
La panne CrowdStrike n’en finit plus de créer des ondes de choc dans le monde informatique, les innombrables structures touchées, les clients et la classe politique. Rappelons qu’une mise à jour déployée dans l’outil de sécurité Falcon Sensor de CrowdStrike a provoqué des écrans bleus sur des millions de PC équipés de Windows. Nous nous sommes largement penchés sur les aspects techniques de cette affaire.
La panne, nous l’avons vu, vient d’un logiciel tiers. Dans un précédent article, nous avons d’ailleurs rappelé le fonctionnement des niveaux de privilèges dans Windows, ainsi que des espaces noyau et utilisateur. Mais la question demeure, entêtante : comment une simple mise à jour d’un produit tiers peut entrainer un plantage du noyau Windows, entrainant le reste du système avec lui ?
Une faiblesse inhérente à Windows ?
On lit régulièrement que la panne est l’illustration flagrante d’une faiblesse de Windows. Ainsi, le système ne devrait pas être conçu de manière à laisser une application tierce créer un tel bazar. N’est-ce pas la preuve qu’il est temps que Microsoft revoie l’organisation de son architecture et des API proposées aux développeurs tiers ?
« Ce que vous voyez ici, ce sont des défaillances systémiques de la part de Microsoft, qui mettent en danger non seulement leurs clients, mais aussi le gouvernement américain ». Tels étaient les propos de George Kutz, CEO de CrowdStrike, sur CNBC en janvier. Microsoft venait alors de confirmer que certains systèmes utilisés par des cadres de l’entreprise avaient été piratés par un groupe russe.
L’ironie de la situation est palpable, mais Microsoft a quand même un problème sur les bras. Que ce soit à travers une presse mal informée ou une récupération politique, l’entreprise est largement pointée du doigt. En France et en Europe, c’est pour certains la preuve que la souveraineté numérique doit être une priorité. Et ce, alors que l’origine d’un logiciel ne peut en garantir l’excellence technique.
Une situation complexe. Mais alors que la question doit se poser en interne chez Microsoft, la firme est soumise à une grande pression. On la somme de s’expliquer. Dans un développement surprenant, elle accuse l’Europe.
Sans l’Europe, Windows serait plus verrouillé
Face à cette pression, un porte-parole de Microsoft s’est expliqué auprès du Wall Street Journal. Selon nos confrères, « la société ne pouvait pas légalement cloisonner son système d’exploitation comme le fait Apple, en raison d’un accord conclu avec la Commission européenne à la suite d’une plainte ». Une posture pour le moins surprenante (nous allons y revenir), mais que nous a confirmée le service presse de Microsoft France.
En 2009 en effet, « Microsoft a accepté de donner aux fabricants de logiciels de sécurité le même niveau d’accès à Windows que celui dont bénéficie Microsoft », ajoute le Journal. L’accord en question est toujours disponible sur le site de Microsoft. Dans son communiqué du 16 décembre 2009, on peut y lire l’enthousiasme de l’entreprise :
« Nous nous réjouissons de la décision prise aujourd’hui par la Commission européenne, qui approuve la résolution finale de plusieurs problèmes de longue date en matière de droit de la concurrence en Europe. Nous sommes impatients de poursuivre le dialogue et la confiance qui ont été établis entre Microsoft et la Commission et d’étendre notre leadership industriel en matière d’interopérabilité ».
Il s’agissait à l’époque d’intervenir sur deux points majeurs. D’une part, l’arrivée d’un écran de sélection du navigateur dans Windows, pour mettre fin à la suprématie d’Internet Explorer. D’autre part, un engagement public de Microsoft couvrant l’interopérabilité des produits Microsoft avec les logiciels tiers. Les mesures prévues sont toujours listées dans un document dédié.
Ce document est important, car Microsoft s’engage à proposer aux développeurs tiers les mêmes API que celles utilisées par ses propres produits de sécurité. La Commission européenne avait demandé ce changement, car plusieurs éditeurs de solutions de sécurité avaient accusé Microsoft d’avantage injuste, en profitant de capacités qu’elle seule pouvait utiliser.
Il s’agirait du cœur du problème : l’accord avec l’Europe stipule que les logiciels tiers doivent avoir les mêmes capacités que les logiciels de Microsoft, notamment dans le domaine de la sécurité. Ce qui, à l’époque, avait été applaudi comme une règle de bon sens. Le ton même du communiqué de Microsoft était joyeux.
Pourquoi un tel revirement ?
Nous avons demandé à Microsoft les raisons de ce revirement, ainsi que des détails sur cet avis tranché. À l’heure où nous écrivons ces lignes, l’entreprise n’a pas répondu à nos sollicitations. La question reste donc entière : pourquoi accuser l’Europe d’un tel fiasco ?
La Commission européenne est bien à l’origine de la demande. Les modifications ont été décidées après de longues concertations entre les parties. Microsoft, à l’époque, évoquait même « un jour important et un grand pas en avant ». Pour ne pas être ensevelie sous une trop grande complexité, l’entreprise avait d’ailleurs répercuté ce changement dans tous les marchés. CrowdStrike, entreprise, américaine, en a donc profité.
L’attaque contre l’Europe semble donc bien malavisée. L’exigence de la Commission n’était pas en effet de donner aux éditeurs tiers un accès à l’espace noyau, mais de leur offrir les mêmes capacités que ses propres produits. Si ces derniers pouvaient passer par un pilote en espace noyau – comme Falcon Sensor de CrowdStrike et l’immense majorité des solutions de sécurité aujourd’hui sur Windows – alors les autres éditeurs devaient pouvoir en faire autant.
Y avait-il une autre solution ?
La déclaration de Microsoft au Wall Street Journal laisse à penser que sans cette décision de l’Europe, Windows serait aujourd’hui plus verrouillé. L’éditeur en aurait-il profité pour cloisonner définitivement l’espace noyau, y compris pour ses produits ? On peut en douter, car l’éditeur estimait alors être dans son bon droit en voulant sécuriser son propre système. Il se retrouvait, de fait, en concurrence directe avec toutes les sociétés de sécurité.
Cette déclaration ressemble davantage à un os négligemment jeté à la presse, mais l’argument est faible. Rien n’empêchait en effet depuis 15 ans de mettre en place une autre architecture et de revoir la manière dont les solutions de sécurité travaillaient sur Windows. Comme nous l’avons indiqué, ces dernières ont actuellement un grand pouvoir, car elles doivent avoir les privilèges nécessaires pour surveiller tout ce qui se passe sur la machine.
C’est précisément la voie empruntée par Apple en 2020 avec macOS Big Sur. La firme avait mis les kexts à la retraite. Les kexts, pour « kernel extensions », pouvaient être utilisés par les éditeurs tiers pour déposer des éléments en espace noyau. Apple a fermé cette porte, forçant les éditeurs tiers à s’adapter. En novembre 2020 d’ailleurs, CrowdStrike avait annoncé sa compatibilité avec Big Sur en grande pompe, précisant que la nouvelle mouture de Falcon gardait toutes ses capacités, sans impact sur les performances.
La version Mac de Falcon est, à ce jour, la seule version du logiciel à fonctionner en espace utilisateur. Sur Windows et Linux, le pilote en espace noyau est toujours présent. Sur Linux, CrowdStrike aussi avait provoqué différents problèmes, dont… des kernel panics, l’équivalent Linux de l’écran bleu. Les origines des pannes étaient autres, mais le résultat était le même, avec une interrogation identique sur les privilèges de ce type de logiciel. Au cours des derniers mois, on a ainsi pu voir des blocages complets se produire sur Debian et RockyLinux, et confirmés par RedHat.
Nous mettrons cette actualité à jour si Microsoft nous répond.
Il aura fallu des années, mais il semble que l’attente touche à sa fin pour une version « HQ » de Spotify. Daniel Ek, PDG de l’entreprise, a confirmé l’arrivée d’une version « Deluxe » avant la fin de l’année au Hollywood Reporter.
Il ne s’agira pas simplement de proposer une offre à la qualité sonore augmentée. Ce point a bien été abordé, mais sans aucun détail. On s’attend à ce que Spotify propose au moins la même chose que chez Apple dans ce domaine, à savoir une qualité lossless allant jusqu’à 44,1 kHz/24 bits.
Cette offre Deluxe contiendrait également plus de fonctions, notamment pour l’organisation des titres et listes de lecture, de meilleures recommandations (alimentées par l’IA, il va sans dire), des statistiques d’écoute, de meilleurs filtres, etc.
« C’est probablement autour de 17 ou 18 dollars, mais c’est une sorte de version de luxe de Spotify qui a tous les avantages de la version normale de Spotify, mais avec beaucoup plus de contrôle, beaucoup plus de qualité dans tous les domaines », a résumé Daniel Ek.
Le choix d’intégrer un bouquet supplémentaire de fonctionnalités tient dans la stratégie financière de Spotify. Chez plusieurs concurrents (Apple et Amazon notamment), l’arrivée du lossless s’est faite sans aucune augmentation de tarif. Spotify, dont l’équilibre financier reste délicat, veut pouvoir justifier un prix plus élevé pour cette offre.
Quel tarif d’ailleurs pour ce Spotify Deluxe ? « Quelque chose comme 5 dollars de plus que l’offre Premium actuelle », a indiqué Daniel Ek. En France, si on table sur les tarifs actuels, on obtient environ 16 euros pour une personne et 23 euros pour l’offre familiale.
Dans un billet publié il y a quelques heures, CrowdStrike revient sur la chronologie des évènements ayant engendré la panne mondiale que l’on connait. L’éditeur y explique ses processus de test et ce qui s’est passé. Il annonce également des changements pour que ce type de problème ne se reproduise plus.
Alors que la panne engendrée par un bug dans le produit Falcon de CrowdStrike affecte toujours une partie des machines, l’éditeur est revenu en détail sur ce qui s’est passé. Une publication attendue, car elle revient sur l’enchainement des faits ayant abouti à la diffusion d’une mise à jour qui, en théorie, n’aurait jamais dû engendrer une telle pagaille.
CrowdStrike commence par expliquer qu’il existe autour de Falcon deux types de mises à jour. Celles de type « Sensor Content » d’abord, qui ont trait au fonctionnement du capteur lui-même, à ses capacités inhérentes. Elles contiennent de nouveaux modèles (IA et machine learning) et « du code écrit expressément pour fournir des capacités réutilisables à plus long terme aux ingénieurs de CrowdStrike chargés de la détection des menaces ».
Ensuite, les mises à jour de type « Rapid Response Content », qui sont à Falcon ce que les fichiers de définition sont aux antivirus. Ce contenu de réponse rapide est conçu pour mettre à jour les capacités du capteur et est fourni sous forme d’instances de modèles. Ces dernières « sont des instanciations d’un type de modèle donné », chacun correspondant à « des comportements spécifiques que le capteur doit observer, détecter ou prévenir ».
Chacun ses tests
Les deux types reçoivent chacun une série de tests. Les Sensor Content subissent « des tests unitaires, des tests d’intégration, des tests de performance et des tests de stress ». Ces mises à jour sont logicielles et modifient des fichiers. Elles sont soumises aux paramètres de déploiement définis par les clients. Il peut s’agir de la dernière version (N), de la version précédente (N-1) ou de celle d’encore avant (N-2).
Pour les secondes, c’est un peu plus complexe. Trois composants sont impliqués : le système de configuration du contenu, l’interprète du contenu et le moteur de détection du capteur. Le premier est dans le cloud, les deux autres sont sur site. Le système de configuration du contenu est chargé de créer les instances de modèles. Ces dernières sont envoyées au capteur via des fichiers de canaux (nous y sommes), qui sont lus par l’interprète du contenu, pour que le moteur de détection du capteur puisse faire son travail.
« Les nouveaux types de modèles sont soumis à des tests de résistance sur de nombreux aspects, tels que l’utilisation des ressources, l’impact sur les performances du système et le volume d’événements. Pour chaque type de modèle, une instance de modèle spécifique est utilisée pour tester le type de modèle en le comparant à toutes les valeurs possibles des champs de données associés afin d’identifier les interactions négatives du système », explique CrowdStrike.
La chronologie des évènements
La version actuellement utilisée du capteur (Sensor Content) est la 7.11, déployée le 28 février dernier. Elle a introduit un nouveau type de modèle IPC (Inter Process Communication), afin de détecter de nouveaux types d’attaques. Elle est passée par toutes les procédures de tests mentionnées.
Le 5 mars, une nouvelle instance du modèle entre en environnement de test et passe tous les essais (dont des tests sur tous les systèmes d’exploitation et sur des charges de travail). Elle est déployée plus tard le même jour en tant que fichier de canal 291. Trois instances supplémentaires sont déployées entre les 8 et 24 mars, via des mises à jour Rapid Response Content. CrowdStrike ajoute que toutes ces versions ont fonctionné comme prévu.
Que s’est-il passé le 19 juillet ? Deux nouvelles instances du modèle sont déployées via une mise à jour Rapid Response Content à 6h09, heure française. Cependant, l’une de ces nouvelles instances a été validée en dépit de « données problématiques ». Pourquoi ? À cause d’un bug dans le validateur de contenu.
L’envoi en production s’est fait sur la base des tests réalisés et validés par erreur, ainsi que sur ceux du déploiement initial (5 mars) et de toutes les instances publiées ces derniers mois. L’instance validée par erreur, lorsqu’elle a été lue par l’interpréteur de contenu, a entrainé une lecture hors limites de la mémoire, créant une exception. Celle-ci « n’a pas pu être gérée de manière élégante, ce qui a entraîné un plantage du système d’exploitation Windows (BSOD) ». Les hôtes Mac et Linux n’ont pas été concernés, ce que l’on savait déjà.
La diffusion de la mise à jour fautive a été annulée à 7h27, la fameuse fenêtre de 78 minutes qui a suffi à mettre à genoux des millions d’ordinateurs.
CrowdStrike s’excuse et modifie ses processus
« Je tiens à m’excuser sincèrement auprès de vous tous pour cette panne. L’ensemble de CrowdStrike comprend la gravité et l’impact de la situation. Nous avons rapidement identifié le problème et déployé un correctif, ce qui nous a permis de nous concentrer avec diligence sur la restauration des systèmes des clients, qui est notre priorité absolue », a déclaré George Kurtz, fondateur et PDG de CrowdStrike, à la fin du billet.
Ce dernier présente également une série de changements pour s’assurer que ce genre de problème ne se reproduira pas. Il s’agit, on s’en doute, d’un plus grand nombre de tests (stress, fuzzing, injection de fautes, stabilité, interfaces de contenu…) et d’étapes de validation supplémentaires. L’interpréteur va être renforcé pour détecter plus efficacement les données invalides.
En outre, un canal Canary va être mis en place pour tester les mises à jour Rapid Response Content et ainsi échelonner les déploiements. L’éditeur ajoute qu’il va aussi améliorer « le suivi des performances des capteurs et des systèmes », permettre un meilleur contrôle sur leur déploiement (quand, comment et où) et fournir des notes de version. On se demande pourquoi il a fallu attendre une panne aussi critique pour que de telles avancées soient proposées.
Enfin, CrowdStrike s’engage à publier plus tard une « analyse complète des causes profondes » de l’incident, une fois que l’enquête sera terminée.
Connexion
