Les clés d’accès, ou passkeys, sont souvent présentées comme la solution idéale pour remplacer les mots de passe. Elles ont notamment pour avantage de ne pas pouvoir être volées. Elles ont cependant un gros inconvénient : la complexité pour les transférer d’un compte un autre. Apple a confirmé que toutes les versions 26 de ses plateformes prendront en charge cette opération.
Les clés d’accès ont de nombreux avantages par rapport aux mots de passe traditionnels. Il n’y a pas d’information à retenir, elles sont uniques et reposent sur une architecture de clés publiques/privées. Ainsi, la première est publique et est stockée par le service sur lequel on souhaite s’identifier. L’autre est privée, n’appartient qu’à l’utilisateur et est stockée dans une zone sécurisée. Toute utilisation de la clé privée demande une authentification, biométrique par défaut.
Le gros avantage de cette infrastructure est que la clé privée ne sort jamais de son antre. Lorsque l’on veut se connecter, une autorisation d’accès est demandée. Après authentification, un jeton est émis, basé sur la clé privée. Ce jeton est alors mis en contact avec la clé publique. Si la négociation se passe bien, la connexion est autorisée. L’intégralité du mécanisme repose sur le protocole WebAuthn (Web Authentication de l’alliance FIDO, un consortium réunissant tous les principaux acteurs dans ce domaine, dont Apple, Google et Microsoft.
Comme nous l’avions indiqué en novembre 2024, les clés d’accès souffrent actuellement d’un défaut majeur. Si vous restez constamment connecté dans le même univers centré sur un fournisseur, ce n’est pas un problème. Mais si vous comptez changer, ou si vous avez un lot hétérogène d’appareils, comme c’est le cas chez beaucoup de personnes, la situation est un peu compliquée.
Les principaux éditeurs proposent tous depuis plusieurs années la compatibilité avec les clés d’accès. Ils tentent de motiver les internautes en proposant régulièrement de passer à ce mode de connexion. Cependant, pour des questions pratiques, ces clés sont synchronisées avec le compte maison. Comme nous l’avions montré, Google synchronise ainsi les clés via Chrome, qui a l’avantage d’être disponible partout. Le navigateur peut même être paramétré comme gestionnaire de mots de passes (et de clés d’accès) sur d’autres plateformes, y compris iOS.
Le problème se voit de loin : si l’on passe plusieurs années dans un environnement synchronisé par un certain compte, comment changer de crèmerie ? La question est valable autant pour les trois principaux éditeurs de systèmes d’exploitation que pour les gestionnaires tiers. Avec les mots de passe, il y a possibilité d’exportation, le plus souvent sous forme de fichier CSV ou JSON. Mais une solution équivalente pour les clés d’accès romprait leur promesse principale en sortant les clés privées de leur enclave et en les rendant vulnérables.
Cette limitation, inhérente à la première version du mécanisme, a engendré bon nombre de critiques. Certaines personnes ont ainsi estimé que les clés d’accès n’étaient qu’un moyen supplémentaire de verrouiller un peu plus les utilisateurs dans certains écosystèmes. Pourtant, rester maitre de ses clés et pouvoir les déplacer sont des conditions sine qua non de leur succès. L’alliance FIDO avait donc commencé à travailler sur une extension du standard, avec notamment un protocole et un format de données pour sécuriser les échanges.
Avantage de l’alliance FIDO, elle réunit sous un même toit tous les principaux acteurs considérés comme fournisseurs d’authentification. On y trouve ainsi 1Password, BitWarden, Dashlane, Devolution ou encore Okta. Autant de noms que l’on retrouvait en mars dans le brouillon du Credential Exchange Format, la nouvelle structure de données pour les échanges de clés.
Apple, en marge de sa WWDC, a publié une vidéo pour faire le point sur les nouveautés des clés d’accès. L’entreprise rappelle que le mécanisme est en lui-même « un voyage », qui change progressivement les habitudes. « Les gens sont propriétaires de leurs informations d’identification et devraient avoir la possibilité de les gérer comme ils l’entendent. Cela permet aux gens de mieux contrôler leurs données et de choisir le gestionnaire d’informations d’identification qu’ils utilisent », explique l’entreprise.
Apple présente le nouveau mécanisme comme « fondamentalement différent et plus sûr que les méthodes traditionnelles d’exportation ». Celles-ci passent le plus souvent par l’enregistrement des informations dans un fichier non chiffré, puis son importation manuelle dans une autre application. Dans la nouvelle solution, le partage des clés est initié depuis l’application qui les gère habituellement (l’app Mots de passe, chez Apple). On sélectionne alors l’application de destination, qui aura exposé cette capacité. L’opération doit être validée par une authentification et le transfert se base sur le format de données défini par l’alliance FIDO.
« Le système fournit un mécanisme sécurisé pour déplacer les données entre les applications. Aucun fichier non sécurisé n’est créé sur le disque, ce qui élimine le risque de fuite de données d’identification à partir de fichiers exportés. Il s’agit d’un moyen moderne et sûr de transférer des informations d’identification », explique Apple dans sa vidéo.
Côté applications et sites web, aucune modification n’est nécessaire. Elles continueront à s’adresser au gestionnaire de mots de passe et clés d’accès déclaré par défaut. Du côté des développeurs qui veulent pouvoir intégrer ces capacités dans leurs gestionnaires, il faut regarder du côté de deux nouvelles classes créées pour les versions 26 des plateformes d’Apple, ASCredentialImportManager et ASCredentialExportManager.
Précisons enfin que ces annonces sont basées sur un standard en brouillon. L’extension de la norme devrait être finalisée dans les prochains mois. Au vu des participants, ces fonctions vont se retrouver prochainement dans l’ensemble des plateformes et gestionnaires.
Les clés d’accès, ou passkeys, sont souvent présentées comme la solution idéale pour remplacer les mots de passe. Elles ont notamment pour avantage de ne pas pouvoir être volées. Elles ont cependant un gros inconvénient : la complexité pour les transférer d’un compte un autre. Apple a confirmé que toutes les versions 26 de ses plateformes prendront en charge cette opération.
Les clés d’accès ont de nombreux avantages par rapport aux mots de passe traditionnels. Il n’y a pas d’information à retenir, elles sont uniques et reposent sur une architecture de clés publiques/privées. Ainsi, la première est publique et est stockée par le service sur lequel on souhaite s’identifier. L’autre est privée, n’appartient qu’à l’utilisateur et est stockée dans une zone sécurisée. Toute utilisation de la clé privée demande une authentification, biométrique par défaut.
Le gros avantage de cette infrastructure est que la clé privée ne sort jamais de son antre. Lorsque l’on veut se connecter, une autorisation d’accès est demandée. Après authentification, un jeton est émis, basé sur la clé privée. Ce jeton est alors mis en contact avec la clé publique. Si la négociation se passe bien, la connexion est autorisée. L’intégralité du mécanisme repose sur le protocole WebAuthn (Web Authentication de l’alliance FIDO, un consortium réunissant tous les principaux acteurs dans ce domaine, dont Apple, Google et Microsoft.
Comme nous l’avions indiqué en novembre 2024, les clés d’accès souffrent actuellement d’un défaut majeur. Si vous restez constamment connecté dans le même univers centré sur un fournisseur, ce n’est pas un problème. Mais si vous comptez changer, ou si vous avez un lot hétérogène d’appareils, comme c’est le cas chez beaucoup de personnes, la situation est un peu compliquée.
Les principaux éditeurs proposent tous depuis plusieurs années la compatibilité avec les clés d’accès. Ils tentent de motiver les internautes en proposant régulièrement de passer à ce mode de connexion. Cependant, pour des questions pratiques, ces clés sont synchronisées avec le compte maison. Comme nous l’avions montré, Google synchronise ainsi les clés via Chrome, qui a l’avantage d’être disponible partout. Le navigateur peut même être paramétré comme gestionnaire de mots de passes (et de clés d’accès) sur d’autres plateformes, y compris iOS.
Le problème se voit de loin : si l’on passe plusieurs années dans un environnement synchronisé par un certain compte, comment changer de crèmerie ? La question est valable autant pour les trois principaux éditeurs de systèmes d’exploitation que pour les gestionnaires tiers. Avec les mots de passe, il y a possibilité d’exportation, le plus souvent sous forme de fichier CSV ou JSON. Mais une solution équivalente pour les clés d’accès romprait leur promesse principale en sortant les clés privées de leur enclave et en les rendant vulnérables.
Cette limitation, inhérente à la première version du mécanisme, a engendré bon nombre de critiques. Certaines personnes ont ainsi estimé que les clés d’accès n’étaient qu’un moyen supplémentaire de verrouiller un peu plus les utilisateurs dans certains écosystèmes. Pourtant, rester maitre de ses clés et pouvoir les déplacer sont des conditions sine qua non de leur succès. L’alliance FIDO avait donc commencé à travailler sur une extension du standard, avec notamment un protocole et un format de données pour sécuriser les échanges.
Avantage de l’alliance FIDO, elle réunit sous un même toit tous les principaux acteurs considérés comme fournisseurs d’authentification. On y trouve ainsi 1Password, BitWarden, Dashlane, Devolution ou encore Okta. Autant de noms que l’on retrouvait en mars dans le brouillon du Credential Exchange Format, la nouvelle structure de données pour les échanges de clés.
Apple, en marge de sa WWDC, a publié une vidéo pour faire le point sur les nouveautés des clés d’accès. L’entreprise rappelle que le mécanisme est en lui-même « un voyage », qui change progressivement les habitudes. « Les gens sont propriétaires de leurs informations d’identification et devraient avoir la possibilité de les gérer comme ils l’entendent. Cela permet aux gens de mieux contrôler leurs données et de choisir le gestionnaire d’informations d’identification qu’ils utilisent », explique l’entreprise.
Apple présente le nouveau mécanisme comme « fondamentalement différent et plus sûr que les méthodes traditionnelles d’exportation ». Celles-ci passent le plus souvent par l’enregistrement des informations dans un fichier non chiffré, puis son importation manuelle dans une autre application. Dans la nouvelle solution, le partage des clés est initié depuis l’application qui les gère habituellement (l’app Mots de passe, chez Apple). On sélectionne alors l’application de destination, qui aura exposé cette capacité. L’opération doit être validée par une authentification et le transfert se base sur le format de données défini par l’alliance FIDO.
« Le système fournit un mécanisme sécurisé pour déplacer les données entre les applications. Aucun fichier non sécurisé n’est créé sur le disque, ce qui élimine le risque de fuite de données d’identification à partir de fichiers exportés. Il s’agit d’un moyen moderne et sûr de transférer des informations d’identification », explique Apple dans sa vidéo.
Côté applications et sites web, aucune modification n’est nécessaire. Elles continueront à s’adresser au gestionnaire de mots de passe et clés d’accès déclaré par défaut. Du côté des développeurs qui veulent pouvoir intégrer ces capacités dans leurs gestionnaires, il faut regarder du côté de deux nouvelles classes créées pour les versions 26 des plateformes d’Apple, ASCredentialImportManager et ASCredentialExportManager.
Précisons enfin que ces annonces sont basées sur un standard en brouillon. L’extension de la norme devrait être finalisée dans les prochains mois. Au vu des participants, ces fonctions vont se retrouver prochainement dans l’ensemble des plateformes et gestionnaires.
Le Conseil constitutionnel vient de censurer le « traitement algorithmique des URL » par les services de renseignement. Réservé depuis 2021 à la lutte contre le terrorisme, la loi narcotrafic voulait l’étendre à la criminalité et à la délinquance organisées. Et ce, alors que les services n’avaient pas demandé à pouvoir y recourir, et que les URL étant dans leur quasi-totalité chiffrées par HTTPS, seuls les noms de domaine pourraient a priori être analysés.
Saisi par des députés LFI et le groupe parlementaire Écologiste et social de 38 des 64 articles de la loi visant à sortir la France du piège du narcotrafic, le Conseil constitutionnel a déclaré conformes 32 d’entre eux, dont l’article 28 prévoyant le retrait et le blocage de contenus en ligne qui proposent l’achat de stupéfiants.
Le Conseil précise avoir été « saisi d’un grief de méconnaissance de la liberté d’expression au motif qu’un contenu illicite tenant à la cession ou à l’offre de stupéfiants serait difficile à identifier et que la gravité de l’atteinte portée à l’ordre public par de tels contenus ne justifierait pas une telle mesure ». Les Sages ont formulé une réserve d’interprétation réservant la mesure aux contenus dont le caractère illicite est « manifeste ».
Ils ont également déclaré conformes les articles 38 et 39, qui permettent l’activation à distance d’appareils électroniques fixes et mobiles, aux fins d’enregistrement de l’image et du son, sans qu’il soit nécessaire pour les enquêteurs d’accéder physiquement à des lieux privés, en vue de la mise en place de dispositifs de sonorisation et de captation, dans le cadre de la lutte contre la criminalité organisée.
Les Sages estiment que ces dispositions sont entourées de garanties suffisantes pour ne pas porter d’atteinte disproportionnée au droit au respect de la vie privée, mais formulent là encore une réserve d’interprétation selon laquelle elles ne sont applicables qu’aux infractions « présentant des éléments de gravité et de complexité suffisants » pour justifier le recours à un tel dispositif.
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Intelligence Online révèle qu’une petite société de télécommunications spatiales chinoises avait déployé une station d’écoute dans un village rural à proximité de centres du CNES et d’Airbus. Son antenne ciblait les fréquences de communication des satellites français. Peu de temps après, un satellite survolant la frontière russo-ukrainienne a brusquement cessé de fonctionner.
D’après Intelligence Online, qui a passé plusieurs mois à enquêter à ce sujet, il s’agirait de « l’une des plus grandes opérations d’espionnage ayant visé la France ces dernières années ».
Dans une enquête en deux parties, notre confrère raconte qu’en 2022, la Direction du renseignement et de la sécurité de la défense (DRSD), le service de contre-espionnage et de contre-ingérence du ministère des Armées, découvrait une « antenne suspecte » dépassant d’un balcon dans un immeuble de Boulogne-sur-Gesse.
D’après les sources d’Intelligence Online, il s’agirait d’un « endroit parfait pour intercepter des communications échangées » avec les satellites gérés par le Centre national d’études spatiales (CNES). Ce village de 1 600 habitants en Haute-Garonne est en effet situé à 71 km à vol d’oiseau du téléport (ou station terrestre de télécommunication par satellite) d’Issus Aussaguel qui, sis à 20 km au sud de Toulouse, permet de piloter les satellites d’observation de la Terre du CNES.
D’autant que Boulogne-sur-Gesse se situe aussi à 74 km du site toulousain de l’Astrolabe, la division du groupe Airbus Defence and Space (ADS) spécialisée dans les avions militaires, les drones, les missiles, les lanceurs spatiaux et les satellites.
Contactée par la DRSD, l’Agence nationale des fréquences (ANFR) découvrit que l’antenne ne disposait d’aucune autorisation d’emploi. En outre, la personne qui avait déployé l’antenne est une Chinoise, diplômée d’une université proche de l’Armée populaire de libération et travaillant pour une entreprise chinoise de « services de communication dans le domaine spatial ».
Le faisceau d’indices suspicieux était tel qu’au printemps 2022, une cellule interservices était créée, réunissant la DRSD, les services de renseignement extérieur (DGSE), intérieur (DGSI), et financier (Tracfin). « Un dispositif peu courant dans le contre-espionnage économique », souligne Intelligence Online.
Leurs investigations allaient confirmer que l’antenne était bien en capacité d’intercepter les communications satellitaires, mais également qu’elle ciblait précisément les fréquences de communication des satellites français (CNES, Airbus, Thales Alenia Space).
Les services concluaient en outre que l’opération émanerait du ministère de la Sécurité de l’État (ou Guoanbu), le principal service secret chinois. Intelligence Online ne donne aucune indication par contre sur quand l’antenne avait été mise en place et donc pendant combien de temps elle avait pu « écouter » des transmissions.
Dans la seconde partie de son enquête, Intelligence Online revient sur « la mystérieuse perte d’un satellite d’Airbus vendu à l’Azerbaïdjan ». En mars 2023, SPOT-7 (pour Système probatoire d’observation de la Terre), qui avait été vendu à l’agence spatiale azerbaïdjanaise Azercosmos par Airbus Group en 2014 et avait au passage été renommé Azersky, cessait brusquement d’émettre.
La piste d’une collision avec un débris ou une météorite était rapidement écartée, la trajectoire du satellite n’ayant pas été affectée. A contrario, « un large faisceau d’indices » laissait supposer une opération émanant d’un « acteur étatique hostile ».
Le Centre Opérationnel de Surveillance Militaire des Objets Spatiaux (COSMOS), une unité du Commandement de l’espace (CDE) créée en 2014, relevait que le satellite azerbaïdjanais avait perdu ses deux panneaux solaires avant de disparaître. Circonstance aggravante : ses réservoirs d’hydrocarbures alimentant les propulseurs avaient en outre été vidés.
Armée : immersion au cœur du COSMOS, le centre du commandement de l’espace
« Au moment où il a cessé d’émettre […] Azersky était positionné exactement au-dessus de la frontière russo-ukrainienne », précisent nos confrères, sans expliquer comment ils ont pu obtenir la localisation précise du satellite.
Azersky se déplaçait en effet très rapidement. Il était à près de 700 km d’altitude, sur une orbite héliosynchrone, avec une période orbitale de 98,79 minutes. Le satellite effectuait ainsi le tour de la Terre en 1h40 environ, soit une vitesse de 27 000 km/h.
Selon l’Agence spatiale européenne, le satellite pouvait repasser au même endroit avec un délai compris entre un et trois jours. Intelligence Online ajoute que les images prises par le satellite (avec une résolution de 1,5 m) étaient transmises à l’armée ukrainienne par l’Azerbaïdjan, qualifié de « discret allié de Kiev ».
Les services de renseignement russes disposent bien d’unités entraînées à ce type d’opérations de guerre électronique et cybernétique, comme on l’avait vu avec la cyberattaque Viasat (KA-SAT) qui, à la veille de l’invasion militaire russe, avait rendu des dizaines de milliers de terminaux satellitaires inopérants. Il y a néanmoins une différence de taille : l’attaque Viasat visait les installations au sol. Ici, c’est le satellite qui semble viser, sans que l’on sache comment.
La Russie avait aussi précédemment montré ses muscles, de la manière la moins discrète possible, en tirant un missile tiré depuis la Terre pour détruire l’un de ses propres satellites. Une démonstration de force et une pluie de centaines de débris ; un « comportement imprudent et irresponsable » pour certains.
Mais les services français penchent plutôt pour une opération orchestrée par la Chine, alliée de la Russie, à qui elle fournit des capacités d’observation satellitaires. La société chinoise qui avait déployé l’antenne d’écoute satellitaire à Boulogne-sur-Gesse venait en effet d’être informée de l’ouverture d’une enquête judiciaire pour utilisation non conforme de fréquences ou d’équipements radioélectriques.
En outre, l’entreprise ayant déployé l’antenne appartient au groupe privé chinois Emposat, soupçonné d’espionnage par la République tchèque, qui opère pour sa part des stations de communication par satellite et « est très implanté en Azerbaïdjan, où il fournit plusieurs stations de communication par satellite terrestres à Azercosmos ».
Contactés, aucun des acteurs impliqués de part et d’autres n’ont souhaité faire de commentaires, à l’exception de la personne ayant déployé l’antenne et qui leur a répondu : « Tout ce que je peux vous dire est que tout est faux ».
Intelligence Online révèle qu’une petite société de télécommunications spatiales chinoises avait déployé une station d’écoute dans un village rural à proximité de centres du CNES et d’Airbus. Son antenne ciblait les fréquences de communication des satellites français. Peu de temps après, un satellite survolant la frontière russo-ukrainienne a brusquement cessé de fonctionner.
D’après Intelligence Online, qui a passé plusieurs mois à enquêter à ce sujet, il s’agirait de « l’une des plus grandes opérations d’espionnage ayant visé la France ces dernières années ».
Dans une enquête en deux parties, notre confrère raconte qu’en 2022, la Direction du renseignement et de la sécurité de la défense (DRSD), le service de contre-espionnage et de contre-ingérence du ministère des Armées, découvrait une « antenne suspecte » dépassant d’un balcon dans un immeuble de Boulogne-sur-Gesse.
D’après les sources d’Intelligence Online, il s’agirait d’un « endroit parfait pour intercepter des communications échangées » avec les satellites gérés par le Centre national d’études spatiales (CNES). Ce village de 1 600 habitants en Haute-Garonne est en effet situé à 71 km à vol d’oiseau du téléport (ou station terrestre de télécommunication par satellite) d’Issus Aussaguel qui, sis à 20 km au sud de Toulouse, permet de piloter les satellites d’observation de la Terre du CNES.
D’autant que Boulogne-sur-Gesse se situe aussi à 74 km du site toulousain de l’Astrolabe, la division du groupe Airbus Defence and Space (ADS) spécialisée dans les avions militaires, les drones, les missiles, les lanceurs spatiaux et les satellites.
Ce n'est pas la première fois que nous parlons de l'AMD Ryzen 5 5500X3D sur H&Co. L'existence de ce processeur est un secret de Polichinelle puisque dès novembre 2023, le 5500X3D était évoqué par un leaker. En aout 2024, AMD lui-même enregistrait le nom du Ryzen 5 5500X3D auprès de la Communauté...
Read more of this story at Slashdot.
Lors de l'événement Advancing AI qui se tenait hier à San José, AMD a annoncé un large éventail de composants, de logiciels et de solutions, présentant sa vision d'une plateforme d'IA intégrée de bout en bout. Les points clés : - AMD poursuit l'exécution de sa feuille de route en matière d'accélérateurs, en lançant les GPU AMD Instinct Série MI350 avec des performances en calcul d'IA 4 fois supérieures à celles de la génération précédente. - AMD a fait la démonstration d'une infrastructure d'IA de bout en bout, à l'échelle du rack et aux standards ouverts, déjà mise en uvre avec les accélérateurs AMD Instinct Série MI350, les processeurs AMD EPYC de 5ème génération et les cartes réseau AMD Pensando Pollara dans les déploiements hyperscaler tels qu'Oracle Cloud Infrastructure (OCI). - AMD a présenté l'avenir des plateformes d'IA entièrement intégrées avec son rack de calcul IA AMD « Helios ». Basé sur la prochaine génération de produits AMD, « Helios » créera un nouveau paradigme pour la performance de l'IA lorsqu'il sera disponible en 2026. - AMD continue de proposer des logiciels libres d'IA - en dévoilant ROCm 7.0 et le programme AMD Developer Cloud […]
Lire la suite
Le studio Capcom vient d'annoncer le neuvième opus issu de sa fructueuse licence, son nom est Resident Evil Requiem, préparez-vous pour de l'action en début d'année 2026 !On nous promet un retour dans l'emblématique ville de Racoon City, totalement dévastée par une jolie petite bombe. Nous incarnerons une analyste du FBI, timide, Grace Ashcroft et devrions dire au revoir à Ethan Winters.Raccoon City Retour à la ville du désastre et du désespoir Une ville ordinaire du midwest des États-Unis où se trouvait le siège d'une entreprise pharmaceutique d'envergure mondiale nommée Umbrella. Suite à l'apparition dévastatrice de zombies en 1998, le gouvernement a approuvé une opération de stérilisation, un tir de missile sur la ville dans l'espoir de reprendre le contrôle de la situation, et tout a été très vite étouffé. […]
Lire la suite
Eh bien nous avons donc un nouveau processeur X3D qui arrive chez AMD avec le Ryzen 5 5500X3D. Un petit modèle Gaming d'entrée de gamme, qui repose sur une architecture Zen 3 et qui sera à destination des sockets AM4. Le tout sera gravé en 7 nm, proposera 6 Cores et 12 Threads, le tout à 3.0 GHz de base et 4.0 GHz en Boost. Nous aurons aussi 384 Ko de cache L1, 3 Mo de cache L2 et 96 Mo de cache L3. […]
Lire la suite
Hier, nous vous disions qu'une carte graphique Intel en BGM-G31 était en très probablement en préparation chez les bleus. Ce jour, nous avons la confirmation que des nouvelles cartes BGM-G31 vont arriver, au total, très probablement, 4 déclinaisons, avec les e220. e221, e222 et e223. On peut penser que nous aurons une B770 et les espoirs sont aussi permis pour une B780. […]
Lire la suite
Read more of this story at Slashdot.
Connexion