Plus moins bien

Qualcomm a levé le voile sur son Snapdragon X Plus, une version moins puissante que l’Elite, mais également moins onéreuse. Alors que cette ligne de puces doit permettre enfin l’avènement des machines Windows sur puces Arm, faisons un rappel sur les enjeux.

C’est peu dire que des puces Arm performantes sont attendues dans le monde Windows. Difficile d’oublier les tentatives sur Windows RT et Windows 10. Depuis, des machines existent bien – notamment une déclinaison de la tablette Surface – mais le problème est à chaque fois le même : les performances.

On le sait, quand une application arrive sur Windows on Arm dans une version compilée spécifiquement pour cette architecture, les performances font un énorme bond. Google l’a rappelé récemment pour son navigateur Chrome, qu’il a pris le temps (c’est un euphémisme) de peaufiner. La firme de Mountain View s’est probablement dit qu’il n’était pas question de rater le coche sur la prochaine génération d’ordinateurs portables et tablettes devant embarquer les Snapdragon X.

Dans le cas d’une application non compilée pour Arm, c’est l’émulation x86 qui prend le relai. Et là, le résultat est très différent, particulièrement dans les applications lourdes. La couche d’émulation fournie par Microsoft n’est pas aussi efficace que Rosetta chez Apple. Bien que l’arrivée des puces de Qualcomm soit très attendue, elles ne règleront pas ce point d’un coup de baguette magique.

• Qualcomm : Snapdragon 8 Gen 3 pour le mobile haut de gamme, Snapdragon X Elite pour prendre d’assaut les PC

Et voilà le Snapdragon X Plus

Faille 1460-days

Le groupe de pirates APT28, aussi connu sous les noms de Fancy Bear et Forest Blizzard, exploite une vulnérabilité connue dans le spouleur d’impression de Windows. Cette faille, exploitée depuis quatre ans environ, est corrigée depuis deux ans. Suite à l’apparition d’un nouveau malware, elle revient sur le devant de la scène.

Le spouleur d’impression de Windows aura été une source régulière de vulnérabilités, toutes versions du système confondues. En 2021, on se rappelle notamment PrintNightmare, de son vrai nom CVE-2021-34527. Exploitée, elle permettait l’exécution d’un code arbitraire avec des privilèges système, le tout à distance. On pouvait difficilement faire pire. La suite n’avait pas été glorieuse, puisque le correctif initial s’était révélé incomplet. Microsoft avait même publié un patch pour Windows 7, alors que le système n’avait déjà plus de support technique.

En 2022, une autre faille apparaît. Estampillée CVE-2022-38028, elle est corrigée en octobre de la même année, suite à un signalement de la NSA. Exploitée, elle pouvait permettre une élévation des privilèges et aboutir, sur un système ayant déjà été compromis, à l’exécution d’un code arbitraire avec des droits système.

La faille, moins sévère que celle de 2021, restait dangereuse. Et son histoire n’est pas terminée : elle est toujours exploitée, signe que des structures n’ont toujours pas appliqué le correctif correspondant. D’autant que derrière l’exploitation, on trouve APT28, un groupe rattaché au renseignement militaire russe et spécialisé dans la collecte de renseignements.

APT28, un vieux de la vieille

Dans un billet de blog, l’entreprise a présenté toute une série de nouveautés, dont plusieurs liées à la sécurité. On trouve ainsi un chiffrement de bout en bout intégré pour les dossiers d’équipe et la possibilité d’ajouter une clé unique provenant d’un service compatible FIPS 140-2 de niveau 3.

Dropbox renforce également certains outils d’administration. Le tableau de bord central permet ainsi de gérer les membres de l’équipe et les invitations. Le centre de confiance rassemble tout ce qui touche aux audits, à la sécurité, la fiabilité, la conformité et la confidentialité. Tous les ajouts mentionnés sont disponibles pour les clients Advanced, Business Plus et Enterprise.

Le service se dote surtout de plusieurs capacités très attendues, comme la coréalisation en temps réel sur les fichiers Office (Word, Excel et PowerPoint). La capacité fait son apparition en bêta, à laquelle tout le monde peut s’inscrire. Dropbox ajoute aussi la compatibilité OneDrive pour sa fonction Replay.

Enfin, la version web se dote de plusieurs nouvelles fonctions. On peut ainsi prévisualiser un fichier ou un dossier en le survolant à la souris, épingler des éléments en accès rapide dans la barre latérale, organiser le contenu via des filtres dynamiques, ou encore afficher des fichiers similaires grâce à des « suggestions intelligentes » tenant compte du contexte.

Dans un billet de blog, l’entreprise a présenté toute une série de nouveautés, dont plusieurs liées à la sécurité. On trouve ainsi un chiffrement de bout en bout intégré pour les dossiers d’équipe et la possibilité d’ajouter une clé unique provenant d’un service compatible FIPS 140-2 de niveau 3.

Dropbox renforce également certains outils d’administration. Le tableau de bord central permet ainsi de gérer les membres de l’équipe et les invitations. Le centre de confiance rassemble tout ce qui touche aux audits, à la sécurité, la fiabilité, la conformité et la confidentialité. Tous les ajouts mentionnés sont disponibles pour les clients Advanced, Business Plus et Enterprise.

Le service se dote surtout de plusieurs capacités très attendues, comme la coréalisation en temps réel sur les fichiers Office (Word, Excel et PowerPoint). La capacité fait son apparition en bêta, à laquelle tout le monde peut s’inscrire. Dropbox ajoute aussi la compatibilité OneDrive pour sa fonction Replay.

Enfin, la version web se dote de plusieurs nouvelles fonctions. On peut ainsi prévisualiser un fichier ou un dossier en le survolant à la souris, épingler des éléments en accès rapide dans la barre latérale, organiser le contenu via des filtres dynamiques, ou encore afficher des fichiers similaires grâce à des « suggestions intelligentes » tenant compte du contexte.

Dans un communiqué, l’Agence spatiale européenne explique que, depuis le 24 avril 2024, « le corps central de la nouvelle fusée européenne Ariane 6, qui s’envolera pour la première fois vers l’espace, a été déplacé à la verticale sur la rampe de lancement ». Une étape qui, pour une fois, s’est faite dans les délais, du moins ceux annoncés en mars.

Le premier booster de la fusée Ariane 6 du vol inaugural est prêt depuis le mois de mars, tandis que le second est censé être terminé depuis début avril. La suite est déjà connue : « Les passagers de la première Ariane 6 doivent arriver en mai, prêts à être intégrés ». Ensuite, les différents partenaires d’Ariane 6 (ESA, CNES et ArianeGroup) visent une date de lancement comprise entre le 15 juin et le 31 juillet 2024.

L’ESA rappelle que ce nouveau lanceur lourd, attendu depuis des années, doit redonner à l’Europe « une grande puissance et une grande flexibilité, avec un coût inférieur à celui de ses prédécesseurs. La configuration du lanceur – avec un étage principal amélioré, deux ou quatre boosters puissants et un nouvel étage supérieur redémarrable – offrira à l’Europe une plus grande efficacité et davantage de possibilités, car elle pourra lancer plusieurs missions sur différentes orbites en un seul vol. Son étage supérieur se désorbitera à la fin de la mission ».

Dans un communiqué, l’Agence spatiale européenne explique que, depuis le 24 avril 2024, « le corps central de la nouvelle fusée européenne Ariane 6, qui s’envolera pour la première fois vers l’espace, a été déplacé à la verticale sur la rampe de lancement ». Une étape qui, pour une fois, s’est faite dans les délais, du moins ceux annoncés en mars.

Le premier booster de la fusée Ariane 6 du vol inaugural est prêt depuis le mois de mars, tandis que le second est censé être terminé depuis début avril. La suite est déjà connue : « Les passagers de la première Ariane 6 doivent arriver en mai, prêts à être intégrés ». Ensuite, les différents partenaires d’Ariane 6 (ESA, CNES et ArianeGroup) visent une date de lancement comprise entre le 15 juin et le 31 juillet 2024.

L’ESA rappelle que ce nouveau lanceur lourd, attendu depuis des années, doit redonner à l’Europe « une grande puissance et une grande flexibilité, avec un coût inférieur à celui de ses prédécesseurs. La configuration du lanceur – avec un étage principal amélioré, deux ou quatre boosters puissants et un nouvel étage supérieur redémarrable – offrira à l’Europe une plus grande efficacité et davantage de possibilités, car elle pourra lancer plusieurs missions sur différentes orbites en un seul vol. Son étage supérieur se désorbitera à la fin de la mission ».

Mardi 23 avril, le Monde a annoncé que Xavier Niel avait cédé sa société holding NJJ Presse, qui détient la majorité du capital du groupe Le Monde au Fonds pour l’indépendance de la presse.

Cette acquisition s’est effectuée pour la somme de 1 euro symbolique pour l’intégralité moins une action du capital de NJJ Presse, explique le journal Les Echos. Le média précise que cette action conservée permet à Xavier Niel de pouvoir réinvestir dans le groupe de presse si nécessaire.

Le Fonds pour l’indépendance de la presse devient le premier actionnaire du groupe devant le Pôle d’indépendance du Groupe Le Monde (qui regroupe les sociétés de journalistes, personnels et lecteurs du Monde, de Télérama, de Courrier international et de La Vie), qui possède lui 25 % du capital et un représentant au conseil d’administration du Fonds.

Cité par Le Monde, Xavier Niel explique que « ce fonds aura vocation à protéger le capital du Groupe Le Monde. Il sera désormais impossible de le céder ».

Ce genre de modèle commence à fleurir dans la presse avec les exemples déjà établis du Guardian, de Médiapart et de Libération.

• OpenAI a signé des contrats avec Le Monde et Prisma Media

Il y a une semaine, Google a mis en ligne la première beta d’Android 15. Comme nous l’expliquions alors, de nombreux utilisateurs se plaignaient de problèmes avec le NFC lors du paiement sans contact.

C’est corrigé avec la bêta 1.1. Les notes de version sont les suivantes :

• Correction de différents problèmes liés à la technologie NFC qui interféraient avec les applications de portefeuille et d’autres opérations système dépendantes de la technologie NFC
• Correction d’un problème qui entraînait parfois le plantage de l’écran des paramètres Options pour les développeurs
• Correction d’un problème qui empêchait certains appareils d’effectuer correctement la mise à jour vers la version bêta 1
• Correction d’un problème de rognage du texte lors des tentatives d’impression

La mise à jour est automatiquement proposée aux utilisateurs avec la bêta 1, tandis que les autres peuvent directement passer à la 1.1 s’ils disposent d’un smartphone compatible.

• Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Il y a une semaine, Google a mis en ligne la première beta d’Android 15. Comme nous l’expliquions alors, de nombreux utilisateurs se plaignaient de problèmes avec le NFC lors du paiement sans contact.

C’est corrigé avec la bêta 1.1. Les notes de version sont les suivantes :

• Correction de différents problèmes liés à la technologie NFC qui interféraient avec les applications de portefeuille et d’autres opérations système dépendantes de la technologie NFC
• Correction d’un problème qui entraînait parfois le plantage de l’écran des paramètres Options pour les développeurs
• Correction d’un problème qui empêchait certains appareils d’effectuer correctement la mise à jour vers la version bêta 1
• Correction d’un problème de rognage du texte lors des tentatives d’impression

La mise à jour est automatiquement proposée aux utilisateurs avec la bêta 1, tandis que les autres peuvent directement passer à la 1.1 s’ils disposent d’un smartphone compatible.

• Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

« Le deal s’est fait en toute discrétion, en décembre dernier, par Apple », affirme Challenges à l’origine de cette information. Datakalab est « spécialisée dans la compression d’algorithmes et l’analyse d’image par intelligence artificielle », ajoutent nos confrères.

Cette entreprise s’est notamment fait connaitre pendant la crise du Covid. C’était en effet la start-up qui détectait le port du masque pour la RATP. Elle a aussi travaillé sur la détection des émotions et du comportement des personnes, notamment pour des sites d’ecommerces.

Plus récemment, lors d’une annonce pour un stage, Datakalab expliquait être « une startup basée à Paris (17e arrondissement) spécialisée dans des algorithmes d’apprentissage profond à faible consommation, efficaces en termes d’exécution, respectueux de la vie privée et fonctionnant entièrement en embarqué ».

Pour rappel, il y a quelques semaines, Apple rachetait DarwinAI. La société de Cupertino serait aussi en discussion avec Google pour intégrer Gemini dans iOS 18. Cette version du système d’exploitation devrait faire la part belle à l’intelligence artificielle.

Nouvelle corde à l’arc des abonnés payants pour Proton Mail. Le service propose désormais de surveiller le dark web pour y trouver les éventuelles fuites de données qui impliqueraient l’un des 19 domaines de l’entreprise.

« Notre système vous alertera s’il détecte des fuites de données relatives à l’un de vos comptes sur des sites web tiers. Vous recevrez des informations complètes sur la violation, y compris les données compromises et le service affecté, le cas échéant. En outre, nous vous expliquons ce que vous pouvez faire pour protéger votre identité numérique et minimiser les risques de violations futures », indique Proton dans son annonce.

Dans le cas où la fuite de données contiendrait des mots de passe, l’alerte envoyée contiendra une pastille rouge. Proton proposera alors de changer le mot de passe. Une pastille orange signifiera que le mot de passe n’a pas été volé, mais que des informations personnelles sont quand même impliquées, avec les risques que l’on connait sur le phishing.

La fonction sera enrichie à l’avenir, notamment avec des notifications pour les applications mobiles sur Android et iPhone. La surveillance des domaines personnalisés est aussi prévue, de même que les adresses de récupération et externes.

Nouvelle corde à l’arc des abonnés payants pour Proton Mail. Le service propose désormais de surveiller le dark web pour y trouver les éventuelles fuites de données qui impliqueraient l’un des 19 domaines de l’entreprise.

« Notre système vous alertera s’il détecte des fuites de données relatives à l’un de vos comptes sur des sites web tiers. Vous recevrez des informations complètes sur la violation, y compris les données compromises et le service affecté, le cas échéant. En outre, nous vous expliquons ce que vous pouvez faire pour protéger votre identité numérique et minimiser les risques de violations futures », indique Proton dans son annonce.

Dans le cas où la fuite de données contiendrait des mots de passe, l’alerte envoyée contiendra une pastille rouge. Proton proposera alors de changer le mot de passe. Une pastille orange signifiera que le mot de passe n’a pas été volé, mais que des informations personnelles sont quand même impliquées, avec les risques que l’on connait sur le phishing.

La fonction sera enrichie à l’avenir, notamment avec des notifications pour les applications mobiles sur Android et iPhone. La surveillance des domaines personnalisés est aussi prévue, de même que les adresses de récupération et externes.

L’entreprise spécialisée dans l’entretien et la réparation automobile Speedy explique sur son site avoir été victime d’un « incident de cybersécurité […] Il est possible que certaines de vos données personnelles aient été compromises ». Lesquelles ? Rien n’est indiqué.

Speedy ne donne par contre aucun détail : « Nous avons immédiatement mobilisé nos équipes d’experts et nos partenaires spécialisés dans la gestion de ce type d’incident, afin de prendre les mesures de protection nécessaires, puis mener les investigations appropriées […] Nous avons notifié cet incident aux autorités (CNIL) ».

On apprécie que l’entreprise affiche un bandeau rouge en haut de son site pour informer ses clients. On y apprend aussi que « la prise de rendez-vous est momentanément indisponible », là encore sans plus de détails.

Après le Slip Français la semaine dernière, les emplettes des pirates continuent donc bon train.

• Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

Le client email se prépare à une nouvelle version majeure. Cette mouture ESR (Extended Support Release) sera la première à intégrer du code écrit en Rust, avec les avantages qu’on lui connait : ses bonnes performances et son aspect memory safe.

Plusieurs composants vont être ainsi ajoutés, dont un particulièrement attendu : le support intégré d’Exchange Web Services (EWS). Cette prise en charge nécessite actuellement l’installation d’une extension.

L’intégration rendrait l’utilisation plus simple, d’autant que le support lui-même serait amélioré dans le nouveau module. Selon les développeurs, les performances seront également meilleures. Autre avantage, la présence de Rust dans Firefox depuis un moment déjà, permettant aux développeurs de Thunderbird de réutiliser l’infrastructure existante pour les tests et l’intégration continue.

Si l’ajout d’un support intégré d’Exchange sera une nouveauté majeure, de nombreuses autres sont prévues. On retrouve ainsi la synchronisation des paramètres par le compte Mozilla, une nouvelle base de données pour les messages, des améliorations pour la présentation en colonne et en vue Cartes, un mode sombre complet ou encore Account Hub, un panneau centralisé de gestion des comptes.

L’entreprise spécialisée dans l’entretien et la réparation automobile Speedy explique sur son site avoir été victime d’un « incident de cybersécurité […] Il est possible que certaines de vos données personnelles aient été compromises ». Lesquelles ? Rien n’est indiqué.

Speedy ne donne par contre aucun détail : « Nous avons immédiatement mobilisé nos équipes d’experts et nos partenaires spécialisés dans la gestion de ce type d’incident, afin de prendre les mesures de protection nécessaires, puis mener les investigations appropriées […] Nous avons notifié cet incident aux autorités (CNIL) ».

On apprécie que l’entreprise affiche un bandeau rouge en haut de son site pour informer ses clients. On y apprend aussi que « la prise de rendez-vous est momentanément indisponible », là encore sans plus de détails.

Après le Slip Français la semaine dernière, les emplettes des pirates continuent donc bon train.

• Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

Le client email se prépare à une nouvelle version majeure. Cette mouture ESR (Extended Support Release) sera la première à intégrer du code écrit en Rust, avec les avantages qu’on lui connait : ses bonnes performances et son aspect memory safe.

Plusieurs composants vont être ainsi ajoutés, dont un particulièrement attendu : le support intégré d’Exchange Web Services (EWS). Cette prise en charge nécessite actuellement l’installation d’une extension.

L’intégration rendrait l’utilisation plus simple, d’autant que le support lui-même serait amélioré dans le nouveau module. Selon les développeurs, les performances seront également meilleures. Autre avantage, la présence de Rust dans Firefox depuis un moment déjà, permettant aux développeurs de Thunderbird de réutiliser l’infrastructure existante pour les tests et l’intégration continue.

Si l’ajout d’un support intégré d’Exchange sera une nouveauté majeure, de nombreuses autres sont prévues. On retrouve ainsi la synchronisation des paramètres par le compte Mozilla, une nouvelle base de données pour les messages, des améliorations pour la présentation en colonne et en vue Cartes, un mode sombre complet ou encore Account Hub, un panneau centralisé de gestion des comptes.

Le progrès

Les clients LastPass ont récemment été victimes d’une vague de phishing assez bien conçue pour tromper la vigilance des personnes aguerries. Cette action s’inscrit dans une campagne plus vaste ayant visé d’autres services. Elles ont pour point commun l’utilisation d’une suite d’outils malveillants spécialisés dans l’ingénierie sociale.

En août 2022, LastPass révélait avoir été victime d’une série d’attaques. Bien que l’entreprise ait dans un premier temps caché l’ampleur de l’affaire, la réalité était sombre. Un très grand nombre d’informations avaient été volées, y compris des coffres-forts d’utilisateurs. Des données normalement chiffrées, mais les normes appliquées par LastPass n’étaient alors pas celles recommandées pour des informations aussi sensibles que les mots de passe. Un comportement largement critiqué par les chercheurs en sécurité.

En début d’année dernière, LastPass informait qu’une autre attaque avait eu lieu. Ciblant cette fois l’un des membres du personnel, elle avait permis l’infiltration de sa machine et le vol d’un coffre-fort d’entreprise. L’attaque était basée sur l’ingénierie sociale. Plus récemment, en février, une fausse application LastPass a été supprimée par Apple sur l’App Store. La semaine dernière, l’un des employés de LastPass a été victime d’un appel audio utilisant un deepfake de la voix du PDG de l’entreprise, Karim Toobba.

LastPass reste une cible de choix. Et pas seulement la société : ses clients aussi.

Nouvelle campagne visant les utilisateurs

Les 15 et 16 avril, une partie des clients a été ciblée par une campagne tablant largement sur l’ingénierie sociale.

C’est à travers un billet de blog de Sundar Pichai, CEO de Google, que l’entreprise annonce la nouvelle. Désormais, toutes les personnes travaillant sur les produits Pixel, Android, Chrome, Photos et Google One travailleront ensemble, au sein d’une seule division baptisée sobrement Platforms and Devices.

Rick Osterloh, jusqu’ici chargé des appareils et services, pilote cette nouvelle division. Hiroshi Lockheimer, qui dirigeait les équipes Android et Chrome, l’assistera durant la transition. Il sera ensuite appelé à développer de nouveaux projets chez Alphabet, sans précision.

Le changement n’est pas sans rappeler celui déjà vu fin mars chez Microsoft, avec un rapprochement similaire entre le matériel et le logiciel. Une réunion qui a du sens, une intégration poussée pouvant mener à une meilleure expérience utilisateur. C’est le modèle d’Apple depuis longtemps, même si Cupertino va beaucoup plus loin : le contrôle sur le système d’exploitation est total, là où Google et Microsoft fournissent Android et Windows au reste du marché.

Pichai annonce une autre fusion. Les équipes travaillant sur de nouveaux modèles d’IA au sein de Google Research seront intégrés à la division DeepMind.

« Cela simplifiera le développement en concentrant la construction de modèles à forte intensité de calcul en un seul endroit et en établissant des points d’accès uniques pour les AP qui cherchent à prendre ces modèles et à construire des applications d’IA générative », ajoute le patron.

Google a annoncé mercredi avoir licencié 28 employés qu’elle accuse d’avoir participé à une manifestation mardi contre un contrat passé entre l’entreprise, Amazon et le gouvernement d’Israël nommé « projet Nimbus », explique Reuters.

Ce contrat de 1,2 milliard de dollars inclut de l’informatique « en nuage » mais aussi des outils d’intelligence artificielle.

L’entreprise explique qu’un petit nombre d’employés ont manifesté dans ses locaux en perturbant le travail dans certains bureaux. Ceux-ci affirment que le contrat permet le développement d’outils militaires par le gouvernement israélien.

« Le fait d’entraver physiquement le travail d’autres employés et de les empêcher d’accéder à nos installations constitue une violation manifeste de nos politiques et un comportement totalement inacceptable », a déclaré l’entreprise.

Les manifestants ont publié sur Medium un texte qui déclarant que « les salariés de Google ont le droit de protester pacifiquement contre les conditions de travail. Ces licenciements sont clairement des représailles ». Ils affirment que certaines personnes licenciées n’ont pas directement participé à la manifestation.

Ce contrat est remis en cause par des salariés de Google depuis un certain temps déjà.