Skydance Media et Paramount Global ont annoncé leur fusion hier. L’opération va se faire en deux temps. D’abord, Skydance va acquérir National Amusements, entreprise de la famille Redstone détenant 77 % des parts de Paramount, pour 2,4 milliards de dollars. Ensuite, Skydance fusionnera avec Paramount, en posant 4,5 milliards sur la table, en cash et actions.
David Ellisson, fils du fondateur d’Oracle Larry Ellison et actuellement CEO de Skydance, deviendra CEO de la nouvelle entité. Jeff Shell, anciennement directeur général de NBCUniversal (qui appartient à Paramount), sera le nouveau président.
Comme le rapporte Reuters, les temps étaient difficiles pour Paramount. Sa valeur a ainsi perdu 17 milliards de dollars depuis 2019. Surtout, la valeur de la plateforme de streaming Paramount+ est arrivée tard et ses bénéfices ne peuvent pas encore compenser les pertes sur l’activité de télévision traditionnelle.
David Ellisson « s’est engagé à doter Paramount+ et le service gratuit de diffusion en continu, Pluto TV, d’une technologie de pointe et d’une infrastructure moderne, tout en améliorant les réseaux de télévision traditionnels de Paramount », indiquent nos confrères.
Dans son communiqué de presse, Paramount indique que les documents vont être envoyés à la SEC (Securities and Exchange Commission). Celle-ci devra encore accepter l’opération.
Skydance Media et Paramount Global ont annoncé leur fusion hier. L’opération va se faire en deux temps. D’abord, Skydance va acquérir National Amusements, entreprise de la famille Redstone détenant 77 % des parts de Paramount, pour 2,4 milliards de dollars. Ensuite, Skydance fusionnera avec Paramount, en posant 4,5 milliards sur la table, en cash et actions.
David Ellisson, fils du fondateur d’Oracle Larry Ellison et actuellement CEO de Skydance, deviendra CEO de la nouvelle entité. Jeff Shell, anciennement directeur général de NBCUniversal (qui appartient à Paramount), sera le nouveau président.
Comme le rapporte Reuters, les temps étaient difficiles pour Paramount. Sa valeur a ainsi perdu 17 milliards de dollars depuis 2019. Surtout, la valeur de la plateforme de streaming Paramount+ est arrivée tard et ses bénéfices ne peuvent pas encore compenser les pertes sur l’activité de télévision traditionnelle.
David Ellisson « s’est engagé à doter Paramount+ et le service gratuit de diffusion en continu, Pluto TV, d’une technologie de pointe et d’une infrastructure moderne, tout en améliorant les réseaux de télévision traditionnels de Paramount », indiquent nos confrères.
Dans son communiqué de presse, Paramount indique que les documents vont être envoyés à la SEC (Securities and Exchange Commission). Celle-ci devra encore accepter l’opération.
Après bien des péripéties, Apple a fini par approuver le lancement en Europe de la boutique tierce d’Epic. Ces boutiques sont pour rappel autorisées en Europe par Apple depuis iOS 17.4, par obligation envers le DMA, malgré tout le mal qu’elle en pense.
La situation entre les deux entreprises est complexe et tendue depuis que le studio a déclaré la guerre à Apple. Une rupture assumée de contrat qui a conduit Epic à déposer plainte, initiant une longue procédure judiciaire qui s’est finalement avérée dommageable pour le père de Fortnite.
Depuis l’application du DMA et l’obligation d’Apple pour s’y conformer, Epic a annoncé son intention très claire de lancer une boutique dans laquelle viendrait trôner Fortnite. Le jeu ferait alors son grand retour sur iOS. En mars cependant, Apple qualifiait Epic de menace pour son écosystème et bloquait le compte développeur de la succursale suédoise. Avant de se raviser devant les froncements de sourcils de la Commission européenne.
Vendredi, rien n’était encore joué. Sur son compte X, Epic se plaignait ainsi d’une notarisation refusée à deux reprises pour son Games Store. Raison selon Epic : Apple ne serait pas satisfaite de certains boutons ressemblant trop aux siens.
« Le refus d’Apple est arbitraire, obstructif et en violation du DMA, et nous avons fait part de nos préoccupations à la Commission européenne. Sauf nouveaux obstacles de la part d’Apple, nous restons prêts à lancer l’Epic Games Store et Fortnite sur iOS dans l’UE dans les prochains mois », affirmait Epic le 5 juillet.
Quelques heures plus tard, retournement de situation : Epic annonce qu’Apple a finalement approuvé son Games Store. Le lendemain, on apprend cependant via Apple Insider que cette autorisation est « temporaire ». Le processus d’autorisation peut poursuivre sa route, mais il est demandé à Epic de modifier ses boutons.
Le problème est considéré comme mineur par Apple, qui considère avoir donné son feu vert. Epic, de son côté, ne décolère pas. Pas plus que Tim Sweeney, son fondateur et CEO.
Après bien des péripéties, Apple a fini par approuver le lancement en Europe de la boutique tierce d’Epic. Ces boutiques sont pour rappel autorisées en Europe par Apple depuis iOS 17.4, par obligation envers le DMA, malgré tout le mal qu’elle en pense.
La situation entre les deux entreprises est complexe et tendue depuis que le studio a déclaré la guerre à Apple. Une rupture assumée de contrat qui a conduit Epic à déposer plainte, initiant une longue procédure judiciaire qui s’est finalement avérée dommageable pour le père de Fortnite.
Depuis l’application du DMA et l’obligation d’Apple pour s’y conformer, Epic a annoncé son intention très claire de lancer une boutique dans laquelle viendrait trôner Fortnite. Le jeu ferait alors son grand retour sur iOS. En mars cependant, Apple qualifiait Epic de menace pour son écosystème et bloquait le compte développeur de la succursale suédoise. Avant de se raviser devant les froncements de sourcils de la Commission européenne.
Vendredi, rien n’était encore joué. Sur son compte X, Epic se plaignait ainsi d’une notarisation refusée à deux reprises pour son Games Store. Raison selon Epic : Apple ne serait pas satisfaite de certains boutons ressemblant trop aux siens.
« Le refus d’Apple est arbitraire, obstructif et en violation du DMA, et nous avons fait part de nos préoccupations à la Commission européenne. Sauf nouveaux obstacles de la part d’Apple, nous restons prêts à lancer l’Epic Games Store et Fortnite sur iOS dans l’UE dans les prochains mois », affirmait Epic le 5 juillet.
Quelques heures plus tard, retournement de situation : Epic annonce qu’Apple a finalement approuvé son Games Store. Le lendemain, on apprend cependant via Apple Insider que cette autorisation est « temporaire ». Le processus d’autorisation peut poursuivre sa route, mais il est demandé à Epic de modifier ses boutons.
Le problème est considéré comme mineur par Apple, qui considère avoir donné son feu vert. Epic, de son côté, ne décolère pas. Pas plus que Tim Sweeney, son fondateur et CEO.
Une société chinoise avait racheté le site Polyfill.io et le service qui y était hébergé, utilisé par de nombreux sites. Son usage a été détourné, allant des contenus pornographiques à la diffusion de malwares. Depuis, plusieurs domaines ont été suspendus et des entreprises comme Cloudflare et Google sont intervenues.
Un polyfill est un morceau de code, souvent écrit en JavaScript, utilisé pour fournir des fonctionnalités récentes à d’anciens navigateurs. Une technique utile depuis longtemps pour s’assurer que les internautes ont tous au moins les fonctions de base, même depuis des appareils anciens. Même si leur usage baisse graduellement, on les trouve encore dans des centaines de milliers de sites.
Le site Polyfill.io était particulièrement connu. Il avait été construit pour être une vaste bibliothèque de polyfills, afin que chaque développeur trouve son bonheur. En février cependant, le nom de domaine et compte GitHub ont été rachetés par l’entreprise chinoise Funnull.
Le créateur du projet, Andrew Brett (employé chez Fastly), recommandait alors de supprimer immédiatement toutes les références à Polyfill.io. Il ajoutait que son usage n’était plus nécessaire, les nouvelles technologies étant rapidement adoptées par tous les navigateurs.
Tout s’enchaine rapidement
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Cybernews a repéré une nouvelle collection de mots de passe dérobés contenant dix milliards d’enregistrements. Elle a été publiée dans un forum par un compte nommé « ObamaCare », au sein de fichier « rockyou2024.txt ».
Il ne s’agit pas de nouvelles fuites à proprement parler. Le ou les auteurs ont simplement ajouté des données rassemblées durant les dernières années à la précédente collection RockYou2021. Celle-ci comptait déjà 8,4 milliards d’identifiants.
Cependant, Troy Hunt, créateur de la base Have I Been Pwned, relativisait déjà à l’époque l’importance de ces informations, indiquait que RockYou2021 ne contenant déjà « que » 615 millions de mots de passe, souvent vieux.
Cybernews met cependant en garde : « Combinée à d’autres bases de données ayant fait l’objet de fuites sur des forums de pirates et des places de marché, qui contiennent par exemple des adresses électroniques d’utilisateurs et d’autres informations d’identification, RockYou2024 peut contribuer à une cascade de violations de données, de fraudes financières et d’usurpations d’identité ».
On pense notamment à MOAB (Mother Of All Breaches), qui détient toujours le record du nombre d’identifiants volés, avec 26 milliards d’enregistrements.
Cybernews va inclure les données du nouveau fichier texte dans son Leaked Password Checker. On imagine que Have I Been Pawned va faire de même. Le conseil est toujours le même dans ce genre de cas : vérifier les identifiants faisant partie des fuites et les changer si besoin, avec de nouveaux mots de passe (ou phrases de passe) forts et uniques.
Cybernews a repéré une nouvelle collection de mots de passe dérobés contenant dix milliards d’enregistrements. Elle a été publiée dans un forum par un compte nommé « ObamaCare », au sein de fichier « rockyou2024.txt ».
Il ne s’agit pas de nouvelles fuites à proprement parler. Le ou les auteurs ont simplement ajouté des données rassemblées durant les dernières années à la précédente collection RockYou2021. Celle-ci comptait déjà 8,4 milliards d’identifiants.
Cependant, Troy Hunt, créateur de la base Have I Been Pwned, relativisait déjà à l’époque l’importance de ces informations, indiquait que RockYou2021 ne contenant déjà « que » 615 millions de mots de passe, souvent vieux.
Cybernews met cependant en garde : « Combinée à d’autres bases de données ayant fait l’objet de fuites sur des forums de pirates et des places de marché, qui contiennent par exemple des adresses électroniques d’utilisateurs et d’autres informations d’identification, RockYou2024 peut contribuer à une cascade de violations de données, de fraudes financières et d’usurpations d’identité ».
On pense notamment à MOAB (Mother Of All Breaches), qui détient toujours le record du nombre d’identifiants volés, avec 26 milliards d’enregistrements.
Cybernews va inclure les données du nouveau fichier texte dans son Leaked Password Checker. On imagine que Have I Been Pawned va faire de même. Le conseil est toujours le même dans ce genre de cas : vérifier les identifiants faisant partie des fuites et les changer si besoin, avec de nouveaux mots de passe (ou phrases de passe) forts et uniques.
Twilio, spécialiste des messageries et outils de gestion clientèle pour entreprises, avait annoncé la semaine dernière avoir été victime d’un piratage. On sait désormais que les attaquants ont pu récupérer 33 millions de numéros de téléphone.
En 2022, Twilio avait été victime d’une vaste brèche dans ses données. Des pirates avaient réussi à s’introduire dans son infrastructure et à voler des informations sur plus d’une centaine de clients. De cette fuite était ressortie une grande campagne d’hameçonnage (phishing). Les pirates avaient ainsi pu récupérer près de 10 000 identifiants d’employés provenant de plus de 130 entreprises.
À cette époque, Twilio avait confirmé que 93 utilisateurs d’Authy – une application générant des codes pour l’authentification à deux facteurs – avaient également été piratés. Les attaquants avaient réussi à enregistrer des appareils supplémentaires sur leur compte, permettant l’interception des demandes d’authentification.
Authy a de nouveau été piraté, cette fois de manière moins grave, mais également bien plus large.
Des comptes non compromis, mais…
Lundi, Twilio a publié une alerte de sécurité. Affirmant que la sécurité de ses produits et des données de ses clients est « d’une importance capitale », elle annonce que « des données associées à des comptes Authy, y compris des numéros de téléphone », ont été dérobées.
Dans son bulletin initial, Twilio indiquait n’avoir aucune preuve que les pirates avaient pu s’infiltrer plus profondément dans les infrastructures. Aucun vol de données sensibles n’avait a priori été commis. L’éditeur invitait par sécurité les utilisateurs d’Authy à mettre à jour leurs applications Android et iOS vers les dernières versions, pour s’assurer qu’ils avaient les derniers correctifs de sécurité.
Twilio indiquait par ailleurs que même si les comptes Authy eux-mêmes n’étaient pas compromis, les pirates pouvaient utiliser les numéros dérobés dans des campagnes d’hameçonnage ou de smishing (hameçonnage par sms).
…33 millions de numéros dérobés
Si l’annonce de Twilio manquait de détails, l’entreprise en a donné mercredi soir à TechCrunch. Elle a ainsi confirmé que 33 millions de numéros de téléphone avaient été volés. Le chiffre était connu, car un groupe de pirates nommé ShinyHunters avait déjà revendiqué l’attaque. Il avait évoqué dans un forum spécialisé un fichier CSV contenant 33 millions de numéros appartenant à des utilisateurs d’Authy, comme l’a indiqué BleepingComputer mercredi soir.
Crédits : BleepingComputer
Twilio a déclaré avoir « détecté que des acteurs malveillants ont pu identifier des données associées à des comptes Authy, y compris des numéros de téléphone, en raison d’un point de terminaison non authentifié ». Des « mesures pour sécuriser ce point d’accès » ont été prises. « Nous n’autorisons plus les requêtes non authentifiées », a ajouté l’éditeur.
Le plus grand danger bien sûr, ce sont les campagnes qui pourraient suivre. Si les numéros de téléphone sont identifiés, ils pourraient être à la base d’actions plus ciblées, par exemple, contre des employés d’entreprises clients. Les pirates pourraient alors se faire passer pour Twilio, sur la base des informations récupérées. Sur ces dernières cependant, Twilio n’a rien dit, en dehors des numéros de téléphone.
Mais le constat est le même à chaque fuite de données : plus il y a d’information, plus l’hameçonnage peut se transformer en harponnage. C’est d’ailleurs ce qui s’était produit après l’attaque de 2022.
Le problème des API
Comme l’expliquait BleepingComputer dans son article, toutes ces données ont pu être récupérées en abusant d’une API insuffisamment corrigée. C’est précisément contre ce danger qu’avertissait Cloudflare en janvier. Dans une longue explication sur la sécurité des API, l’entreprise rappelait que plus de la moitié du trafic passait par ces interfaces de programmation et que beaucoup n’étaient pas assez sécurisées.
Dans le cas présent, les pirates n’ont pas directement dérobé les 33 millions de numéros. Ils ont présenté à l’API une liste en contenant beaucoup plus, obtenus lors de précédentes fuites. L’interface ne réclamant aucune authentification, ils ont pu l’interroger en présentant les numéros un à un. S’il s’agissait d’un numéro utilisé pour Authy, l’API « renvoyait des informations sur les comptes associés enregistrés ».
BleepingComputer indique que cette méthode avait déjà été utilisée pour d’autres attaques, notamment contre Twitter et Facebook, là aussi via des API non sécurisées.
Twilio, spécialiste des messageries et outils de gestion clientèle pour entreprises, avait annoncé la semaine dernière avoir été victime d’un piratage. On sait désormais que les attaquants ont pu récupérer 33 millions de numéros de téléphone.
En 2022, Twilio avait été victime d’une vaste brèche dans ses données. Des pirates avaient réussi à s’introduire dans son infrastructure et à voler des informations sur plus d’une centaine de clients. De cette fuite était ressortie une grande campagne d’hameçonnage (phishing). Les pirates avaient ainsi pu récupérer près de 10 000 identifiants d’employés provenant de plus de 130 entreprises.
À cette époque, Twilio avait confirmé que 93 utilisateurs d’Authy – une application générant des codes pour l’authentification à deux facteurs – avaient également été piratés. Les attaquants avaient réussi à enregistrer des appareils supplémentaires sur leur compte, permettant l’interception des demandes d’authentification.
Authy a de nouveau été piraté, cette fois de manière moins grave, mais également bien plus large.
Des comptes non compromis, mais…
Lundi, Twilio a publié une alerte de sécurité. Affirmant que la sécurité de ses produits et des données de ses clients est « d’une importance capitale », elle annonce que « des données associées à des comptes Authy, y compris des numéros de téléphone », ont été dérobées.
Dans son bulletin initial, Twilio indiquait n’avoir aucune preuve que les pirates avaient pu s’infiltrer plus profondément dans les infrastructures. Aucun vol de données sensibles n’avait a priori été commis. L’éditeur invitait par sécurité les utilisateurs d’Authy à mettre à jour leurs applications Android et iOS vers les dernières versions, pour s’assurer qu’ils avaient les derniers correctifs de sécurité.
Twilio indiquait par ailleurs que même si les comptes Authy eux-mêmes n’étaient pas compromis, les pirates pouvaient utiliser les numéros dérobés dans des campagnes d’hameçonnage ou de smishing (hameçonnage par sms).
…33 millions de numéros dérobés
Si l’annonce de Twilio manquait de détails, l’entreprise en a donné mercredi soir à TechCrunch. Elle a ainsi confirmé que 33 millions de numéros de téléphone avaient été volés. Le chiffre était connu, car un groupe de pirates nommé ShinyHunters avait déjà revendiqué l’attaque. Il avait évoqué dans un forum spécialisé un fichier CSV contenant 33 millions de numéros appartenant à des utilisateurs d’Authy, comme l’a indiqué BleepingComputer mercredi soir.
Crédits : BleepingComputer
Twilio a déclaré avoir « détecté que des acteurs malveillants ont pu identifier des données associées à des comptes Authy, y compris des numéros de téléphone, en raison d’un point de terminaison non authentifié ». Des « mesures pour sécuriser ce point d’accès » ont été prises. « Nous n’autorisons plus les requêtes non authentifiées », a ajouté l’éditeur.
Le plus grand danger bien sûr, ce sont les campagnes qui pourraient suivre. Si les numéros de téléphone sont identifiés, ils pourraient être à la base d’actions plus ciblées, par exemple, contre des employés d’entreprises clients. Les pirates pourraient alors se faire passer pour Twilio, sur la base des informations récupérées. Sur ces dernières cependant, Twilio n’a rien dit, en dehors des numéros de téléphone.
Mais le constat est le même à chaque fuite de données : plus il y a d’information, plus l’hameçonnage peut se transformer en harponnage. C’est d’ailleurs ce qui s’était produit après l’attaque de 2022.
Le problème des API
Comme l’expliquait BleepingComputer dans son article, toutes ces données ont pu être récupérées en abusant d’une API insuffisamment corrigée. C’est précisément contre ce danger qu’avertissait Cloudflare en janvier. Dans une longue explication sur la sécurité des API, l’entreprise rappelait que plus de la moitié du trafic passait par ces interfaces de programmation et que beaucoup n’étaient pas assez sécurisées.
Dans le cas présent, les pirates n’ont pas directement dérobé les 33 millions de numéros. Ils ont présenté à l’API une liste en contenant beaucoup plus, obtenus lors de précédentes fuites. L’interface ne réclamant aucune authentification, ils ont pu l’interroger en présentant les numéros un à un. S’il s’agissait d’un numéro utilisé pour Authy, l’API « renvoyait des informations sur les comptes associés enregistrés ».
BleepingComputer indique que cette méthode avait déjà été utilisée pour d’autres attaques, notamment contre Twitter et Facebook, là aussi via des API non sécurisées.
Les nouvelles moutures 6.8 de Vivaldi pour Android et iOS apportent quelques améliorations bienvenues, notamment pour les onglets inactifs. Selon l’éditeur, ils sont maintenant plus faciles à repérer. En outre, l’utilisateur à la main pour contrôler leur comportement. Par défaut, les onglets inactifs sont rassemblés dans une section dédiée (au-dessus des onglets) au bout de 21 jours. On peut modifier ce délai.
Les signets, l’historique et les éléments de liste de lecture peuvent en outre être ouverts en arrière-plan. On peut alors rester sur l’écran en cours. On accède à la fonction par un appui prolongé sur un lien.
Puisque l’on parle de signets, on peut leur attribuer un « surnom ». Ils s’afficheront avec ce nom dans les recherches ou à la saisie d’une adresse. Là encore, on peut modifier le nom d’un signet via un appui prolongé.
La page d’accueil peut être davantage personnalisée avec, par exemple, la possibilité de choisir comment les Speed Dial sont affichés, la création de groupes ou encore la suppression d’un ou plusieurs éléments, sans quitter la page.
Vivaldi affirme enfin que son bloqueur de publicité intégré a été amélioré et se montre plus efficace.
Les nouvelles moutures 6.8 de Vivaldi pour Android et iOS apportent quelques améliorations bienvenues, notamment pour les onglets inactifs. Selon l’éditeur, ils sont maintenant plus faciles à repérer. En outre, l’utilisateur à la main pour contrôler leur comportement. Par défaut, les onglets inactifs sont rassemblés dans une section dédiée (au-dessus des onglets) au bout de 21 jours. On peut modifier ce délai.
Les signets, l’historique et les éléments de liste de lecture peuvent en outre être ouverts en arrière-plan. On peut alors rester sur l’écran en cours. On accède à la fonction par un appui prolongé sur un lien.
Puisque l’on parle de signets, on peut leur attribuer un « surnom ». Ils s’afficheront avec ce nom dans les recherches ou à la saisie d’une adresse. Là encore, on peut modifier le nom d’un signet via un appui prolongé.
La page d’accueil peut être davantage personnalisée avec, par exemple, la possibilité de choisir comment les Speed Dial sont affichés, la création de groupes ou encore la suppression d’un ou plusieurs éléments, sans quitter la page.
Vivaldi affirme enfin que son bloqueur de publicité intégré a été amélioré et se montre plus efficace.
OpenAI a lancé il y a deux mois une application Mac officielle pour ChatGPT. Comme l’a cependant démontré le développeur Pedro José Pereira Vieito sur Mastodon et Threads, l’application stockait les informations en clair.
On pouvait très facilement trouver ces informations dans le dossier ~/Library/Application Support/com.openai.chat, sous forme de fichiers .data. Pereira Vieito a donc créé une petite application pour trouver ces informations et les présenter sous une forme exploitable.
Si les informations étaient aussi facilement accessibles, c’est parce qu’OpenAI a choisi de ne pas placer son application dans une sandbox. Après tout, l’entreprise n’y est pas tenue, puisque son client officiel est disponible depuis son propre site, pas via le Mac App Store.
En outre, l’éditeur a choisi de stocker les informations dans un dossier non protégé. Apple recommande aux développeurs de stocker les informations personnelles dans les dossiers prévus à cet effet. Depuis Mojave (macOS 10.14), ces dossiers sont protégés, leur accès devant être confirmé par l’utilisateur.
OpenAI a corrigé depuis le tir en déployant une nouvelle version de son application il y a quelques jours. Les conversations sont désormais chiffrées et le programme créé par Pedro José Pereira Vieito ne fonctionne plus.
« Nous sommes conscients de ce problème et avons livré une nouvelle version de l’application qui chiffre ces conversations. Nous nous engageons à fournir une expérience utilisateur utile tout en maintenant nos normes de sécurité élevées au fur et à mesure que notre technologie évolue », a déclaré une porte-parole à The Verge.
OpenAI a lancé il y a deux mois une application Mac officielle pour ChatGPT. Comme l’a cependant démontré le développeur Pedro José Pereira Vieito sur Mastodon et Threads, l’application stockait les informations en clair.
On pouvait très facilement trouver ces informations dans le dossier ~/Library/Application Support/com.openai.chat, sous forme de fichiers .data. Pereira Vieito a donc créé une petite application pour trouver ces informations et les présenter sous une forme exploitable.
Si les informations étaient aussi facilement accessibles, c’est parce qu’OpenAI a choisi de ne pas placer son application dans une sandbox. Après tout, l’entreprise n’y est pas tenue, puisque son client officiel est disponible depuis son propre site, pas via le Mac App Store.
En outre, l’éditeur a choisi de stocker les informations dans un dossier non protégé. Apple recommande aux développeurs de stocker les informations personnelles dans les dossiers prévus à cet effet. Depuis Mojave (macOS 10.14), ces dossiers sont protégés, leur accès devant être confirmé par l’utilisateur.
OpenAI a corrigé depuis le tir en déployant une nouvelle version de son application il y a quelques jours. Les conversations sont désormais chiffrées et le programme créé par Pedro José Pereira Vieito ne fonctionne plus.
« Nous sommes conscients de ce problème et avons livré une nouvelle version de l’application qui chiffre ces conversations. Nous nous engageons à fournir une expérience utilisateur utile tout en maintenant nos normes de sécurité élevées au fur et à mesure que notre technologie évolue », a déclaré une porte-parole à The Verge.
Une équipe de chercheurs d’EVA Information Security a publié lundi un billet racontant la découverte de trois failles sérieuses dans CocoaPods. Ce service, très utilisé par les développeurs d’applications tierces sur les environnements Apple, vérifiait mal les emails envoyés aux utilisateurs. Aucune des failles n’aurait été exploitée, sans que les chercheurs en soient certains.
CocoaPods est un service communautaire lancé en 2011. L’idée était de simplifier la gestion des dépendances en automatisant une multitude de processus. Le service s’est spécialisé dans la gestion des bibliothèques externes, régulièrement utilisées pour simplifier le développement. Ces bibliothèques proposent en effet des fonctions prêtes à l’emploi, évitant de réinventer la roue.
CocoaPods se présente ainsi comme un dépôt rassemblant de nombreuses bibliothèques open source (pour les projets en Swift et Objective-C). Quand des bibliothèques sont mises à jour, le service se charge de les synchroniser avec les projets existants. En outre, quand des développeurs apportent des modifications à leurs « pods » (des paquets de code individuels), les applications qui en dépendent sont, elles aussi, mises à jour automatiquement.
Les failles découvertes par EVA Information Security appartiennent toutes à la catégorie de la chaine d’approvisionnement. Elles sont toutes critiques, avec une sévérité allant de 8,2 à 10 sur 10. Exploitées via de l’injection de code, elles auraient pu permettre à des pirates de récupérer des informations précises sur les développeurs et jusqu’à la prise de contrôle de pods et de comptes.
Selon les chercheurs, aucun signe d’exploitation n’a été trouvé. Mais puisque ces vulnérabilités sont restées en place dix ans, il est difficile d’en être sûr. En outre, CocoaPods revendique trois millions d’applications ayant fait appel à ses bons offices.
« L’injection de code dans ces applications pourrait permettre aux attaquants d’accéder à ces informations à toutes les fins malveillantes imaginables – rançongiciels, fraude, chantage, espionnage d’entreprise… Ce faisant, elle pourrait exposer les entreprises à des responsabilités juridiques majeures et à des risques pour leur réputation », écrivent les chercheurs.
Des emails de vérification… insuffisamment vérifiés
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
À la suite d’une « semaine de folie », Sam Altman, alors limogé, avait retrouvé son poste de CEO d’OpenAI. À la suite de quoi un nouveau conseil d’administration avait été formé. Au sein de ce dernier, Microsoft – qui avait déjà investi des milliards de dollars dans l’entreprise – avait obtenu un siège, bien qu’en tant qu’observateur seulement.
Selon Bloomberg, c’est aussi le cas d’Apple désormais. Nos confrères indiquent que c’est Phil Schiller qui aurait obtenu la place, négociée entre Apple et OpenAI pendant le rapprochement qui a vu l’arrivée de ChatGPT dans les prochaines plateformes de Cupertino.
En tant qu’observateurs, Microsoft et Apple ne peuvent pas voter durant les sessions du conseil d’administration. Même si les places sont théoriquement identiques, les partenariats avec Microsoft et Apple sont fondamentalement différents.
Il est probable que le contrat liant désormais OpenAI à Apple soit d’un montant élevé. Il s’agit cependant d’un contrat simple : Apple utilise les services d’OpenAI et rémunère l’entreprise en conséquence. À moins qu’Apple ait fait valoir qu’une exposition dans iOS et macOS valait bien une ristourne. Ou qu’OpenAI ait été impliqué d’une manière ou d’une autre dans la conception du bouquet Apple Intelligence, et qu’une exposition dans les systèmes d’Apple ait été une partie du paiement.
Microsoft, de son côté, est le partenaire privilégié d’OpenAI, dont la firme détient 49 % des parts. Elle est l’unique partenaire d’OpenAI en matière d’infrastructure, Azure servant à l’entrainement de tous ses modèles.
À la suite d’une « semaine de folie », Sam Altman, alors limogé, avait retrouvé son poste de CEO d’OpenAI. À la suite de quoi un nouveau conseil d’administration avait été formé. Au sein de ce dernier, Microsoft – qui avait déjà investi des milliards de dollars dans l’entreprise – avait obtenu un siège, bien qu’en tant qu’observateur seulement.
Selon Bloomberg, c’est aussi le cas d’Apple désormais. Nos confrères indiquent que c’est Phil Schiller qui aurait obtenu la place, négociée entre Apple et OpenAI pendant le rapprochement qui a vu l’arrivée de ChatGPT dans les prochaines plateformes de Cupertino.
En tant qu’observateurs, Microsoft et Apple ne peuvent pas voter durant les sessions du conseil d’administration. Même si les places sont théoriquement identiques, les partenariats avec Microsoft et Apple sont fondamentalement différents.
Il est probable que le contrat liant désormais OpenAI à Apple soit d’un montant élevé. Il s’agit cependant d’un contrat simple : Apple utilise les services d’OpenAI et rémunère l’entreprise en conséquence. À moins qu’Apple ait fait valoir qu’une exposition dans iOS et macOS valait bien une ristourne. Ou qu’OpenAI ait été impliqué d’une manière ou d’une autre dans la conception du bouquet Apple Intelligence, et qu’une exposition dans les systèmes d’Apple ait été une partie du paiement.
Microsoft, de son côté, est le partenaire privilégié d’OpenAI, dont la firme détient 49 % des parts. Elle est l’unique partenaire d’OpenAI en matière d’infrastructure, Azure servant à l’entrainement de tous ses modèles.
Proton vient d’ajouter un nouveau service à sa besace : Docs in Proton Drive. Présenté comme une alternative sécurisée à Google Docs, il dispose du chiffrement de bout en bout, cher à l’éditeur suisse.
En avril dernier, Proton rachetait Standard Notes. Ce service permet de rédiger des notes, synchronisées avec le chiffrement de bout en bout. Dans son annonce, Proton, qui a fêté récemment ses dix ans, évoquait alors « une concordance de valeurs rare » et une « adéquation naturelle pour travailler ensemble ». L’entreprise promettait alors que les abonnements seraient honorés et que Standard Notes resterait open source. Au moins jusqu’à ce que Proton trouve « des moyens » de le rapprocher de ses propres produits.
La réflexion n’aura guère duré. Moins de trois mois plus tard, Docs in Proton Drive est l’héritier direct de ce rachat. Il est largement mis en avant comme une alternative sécurisée et respectueuse de la vie privée. Le billet d’annonce nomme explicitement Google Docs et Microsoft 365, dont il gère les fichiers DOCX.
Traitement de texte, prise de notes et collaboration
On y retrouve toutes les fonctions élémentaires d’un traitement de texte, avec tout ce qui touche au formatage du texte. Les fonctions de Standard Notes sont également présentes : compatibilité avec le Markdown, le texte enrichi, les blocs de code, les listes de contrôle et ainsi de suite. On peut en outre ajouter des commentaires et intégrer des images.
Point d’orgue du nouveau service, la synchronisation des modifications. Elle utilise le même chiffrement de bout en bout que dans les autres services. « Les documents de Proton Drive sont conçus selon les mêmes principes de confidentialité et de sécurité que tous nos services, à commencer par le chiffrement de bout en bout. Les documents vous permettent de collaborer en temps réel, de laisser des commentaires, d’ajouter des photos et de stocker vos fichiers en toute sécurité. Mieux encore, tout est privé – même les frappes au clavier et les mouvements du curseur sont chiffrés », déclare ainsi l’entreprise suisse.
La vie privée mise en avant
Elle explique dans son billet d’annonce que l’utilisation d’autres services comporte des risques. Collecte massive de données personnelles (qui peuvent être utilisées pour l’entrainement des modèles d’IA), fuites de données (les géants de la tech n’utilisent pas de chiffrement de bout en bout), réglementation faible sur la vie privée (particulièrement pour les entreprises basées aux États-Unis) et accès aux données par des tiers ou gouvernements : n’en jetez plus.
Proton, bien sûr, met en avant ses forces. À TechCrunch cependant, la société indique que la création d’une synchronisation chiffrée de bout en bout pour le travail collaboratif n’a pas été simple. Le développement du service a manifestement commencé il y a un moment, le rachat de Standard Notes étant venu compléter le projet.
« Construire des documents collaboratifs qui conservent l’E2EE [End to End Encryption, ndlr] était incroyablement difficile, et c’est quelque chose que nous n’avons vu personne d’autre faire sur le marché. Cela implique l’échange de clés et la synchronisation des informations clés, ainsi que la possibilité d’inviter des personnes à collaborer, de révoquer ces autorisations, et de partager des documents en privé », a expliqué Proton à nos confrères.
Une première version en cours de déploiement
L’annonce ayant quelques heures, le déploiement commence tout juste. Proton prévient que cela prendra quelques jours, pas d’inquiétude donc si vous ne voyez pas apparaître la fonction immédiatement. Outre la possibilité d’ouvrir les fichiers texte, DOC/DOCX ou encore ODF, on peut créer un nouveau document en passant par le bouton « Nouveau » en haut à gauche de Drive.
Comme pratiquement tous les produits Proton, Docs for Proton Drive est disponible depuis un compte gratuit. Seule la limite imposée au stockage dans Drive pourra se faire sentir. Il n’y a pas de différence entre les personnes utilisant un compte gratuit et celles abonnées sur la réception de la fonction. Celle-ci arrive également dans les applications mobiles, qu’il faudra mettre à jour pour en profiter
À TechCrunch, Proton a précisé que d’autres fonctions sont en cours de développement. Notamment pour compléter les capacités de collaboration dans les équipes. Un ajout peu surprenant, une partie de la communication autour du service étant orientée vers le monde professionnel maniant des données sensibles, dont le domaine de la santé. Le code du service sera prochainement ouvert, sans précision.
Proton vient d’ajouter un nouveau service à sa besace : Docs in Proton Drive. Présenté comme une alternative sécurisée à Google Docs, il dispose du chiffrement de bout en bout, cher à l’éditeur suisse.
En avril dernier, Proton rachetait Standard Notes. Ce service permet de rédiger des notes, synchronisées avec le chiffrement de bout en bout. Dans son annonce, Proton, qui a fêté récemment ses dix ans, évoquait alors « une concordance de valeurs rare » et une « adéquation naturelle pour travailler ensemble ». L’entreprise promettait alors que les abonnements seraient honorés et que Standard Notes resterait open source. Au moins jusqu’à ce que Proton trouve « des moyens » de le rapprocher de ses propres produits.
La réflexion n’aura guère duré. Moins de trois mois plus tard, Docs in Proton Drive est l’héritier direct de ce rachat. Il est largement mis en avant comme une alternative sécurisée et respectueuse de la vie privée. Le billet d’annonce nomme explicitement Google Docs et Microsoft 365, dont il gère les fichiers DOCX.
Traitement de texte, prise de notes et collaboration
On y retrouve toutes les fonctions élémentaires d’un traitement de texte, avec tout ce qui touche au formatage du texte. Les fonctions de Standard Notes sont également présentes : compatibilité avec le Markdown, le texte enrichi, les blocs de code, les listes de contrôle et ainsi de suite. On peut en outre ajouter des commentaires et intégrer des images.
Point d’orgue du nouveau service, la synchronisation des modifications. Elle utilise le même chiffrement de bout en bout que dans les autres services. « Les documents de Proton Drive sont conçus selon les mêmes principes de confidentialité et de sécurité que tous nos services, à commencer par le chiffrement de bout en bout. Les documents vous permettent de collaborer en temps réel, de laisser des commentaires, d’ajouter des photos et de stocker vos fichiers en toute sécurité. Mieux encore, tout est privé – même les frappes au clavier et les mouvements du curseur sont chiffrés », déclare ainsi l’entreprise suisse.
La vie privée mise en avant
Elle explique dans son billet d’annonce que l’utilisation d’autres services comporte des risques. Collecte massive de données personnelles (qui peuvent être utilisées pour l’entrainement des modèles d’IA), fuites de données (les géants de la tech n’utilisent pas de chiffrement de bout en bout), réglementation faible sur la vie privée (particulièrement pour les entreprises basées aux États-Unis) et accès aux données par des tiers ou gouvernements : n’en jetez plus.
Proton, bien sûr, met en avant ses forces. À TechCrunch cependant, la société indique que la création d’une synchronisation chiffrée de bout en bout pour le travail collaboratif n’a pas été simple. Le développement du service a manifestement commencé il y a un moment, le rachat de Standard Notes étant venu compléter le projet.
« Construire des documents collaboratifs qui conservent l’E2EE [End to End Encryption, ndlr] était incroyablement difficile, et c’est quelque chose que nous n’avons vu personne d’autre faire sur le marché. Cela implique l’échange de clés et la synchronisation des informations clés, ainsi que la possibilité d’inviter des personnes à collaborer, de révoquer ces autorisations, et de partager des documents en privé », a expliqué Proton à nos confrères.
Une première version en cours de déploiement
L’annonce ayant quelques heures, le déploiement commence tout juste. Proton prévient que cela prendra quelques jours, pas d’inquiétude donc si vous ne voyez pas apparaître la fonction immédiatement. Outre la possibilité d’ouvrir les fichiers texte, DOC/DOCX ou encore ODF, on peut créer un nouveau document en passant par le bouton « Nouveau » en haut à gauche de Drive.
Comme pratiquement tous les produits Proton, Docs for Proton Drive est disponible depuis un compte gratuit. Seule la limite imposée au stockage dans Drive pourra se faire sentir. Il n’y a pas de différence entre les personnes utilisant un compte gratuit et celles abonnées sur la réception de la fonction. Celle-ci arrive également dans les applications mobiles, qu’il faudra mettre à jour pour en profiter
À TechCrunch, Proton a précisé que d’autres fonctions sont en cours de développement. Notamment pour compléter les capacités de collaboration dans les équipes. Un ajout peu surprenant, une partie de la communication autour du service étant orientée vers le monde professionnel maniant des données sensibles, dont le domaine de la santé. Le code du service sera prochainement ouvert, sans précision.
Des chercheurs ont découvert une importante faille de sécurité dans OpenSSH. Il s’agit en fait d’une régression : la faille a été réintroduite en 2020, alors qu’elle avait été corrigée en 2006. Au vu du danger entrainé par la faille, critique, il est recommandé de mettre à jour rapidement.
Chez Qualys, une équipe de chercheurs a averti d’une faille critique dans OpenSSH. Estampillée CVE-2024-6387 et nommée RegreSSHion, elle peut permettre l’exécution d’un code à distance, sans authentification, sur tous les systèmes Linux basés sur la bibliothèque glibc (implémentation open source de la bibliothèque standard C). Le tout avec les droits administrateurs. Plusieurs distributions ont déjà émis des bulletins de sécurité sur le problème, notamment Debian, ArchLinux, Oracle Linux, Red Hat et Ubuntu.
« Cette vulnérabilité, si elle est exploitée, peut conduire à une compromission totale du système où un attaquant peut exécuter un code arbitraire avec les privilèges les plus élevés, ce qui entraîne une prise de contrôle complète du système, l’installation de logiciels malveillants, la manipulation de données et la création de portes dérobées pour un accès persistant », décrit ainsi Bharat Jogi, directeur de la recherche sur les menaces chez Qualys.
L’exploitation pourrait « faciliter la propagation dans le réseau, permettant aux attaquants d’utiliser un système compromis comme point d’ancrage pour traverser et exploiter d’autres systèmes vulnérables au sein de l’organisation ».
Une ancienne faille de retour
Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Connexion
