Publié dans Texte Actualité divers

Une faille de sécurité vieille de 14 ans découverte pour WinRAR

Le célèbre logiciel de décompression WinRAR, utilisé par plus de 500 millions de personnes dans le monde, souffre d’une faille de sécurité vieille de 14 ans.

WinRAR

La vulnérabilité est en effet présente dans le fichier UNACEV2.DLL, qui n’a pas été mis à jour depuis 2005.

Un faille en âge d’écrire son propre correctif
Ce sont les chercheurs de chez Check Point Software qui ont en effet mis en lumière cette étonnante faille de sécurité, qui pouvait être utilisée par un utilisateur malveillant pour pirater les systèmes des utilisateurs. Pas de panique toutefois, les développeurs de WinRAR ont d’ores et déjà corrigé le souci, via la dernière mise à jour du programme.

Concrètement, via la librairie UNACEV2.DLL, il était possible de mettre au point des archives ACE « malveillantes », permettant à leur décompression d’installer des fichiers sur le système cible, en dehors bien sûr du fichier de décompression. Selon Check Point Software, il était tout à fait possible d’injecter des fichiers dans le dossier de démarrage Windows.

« UNACEV2.DLL n’avait pas été mis à jour depuis 2005 et nous n’avons pas accès à son code source », ont déclaré les équipes de WinRAR. « Nous avons donc décidé de supprimer la prise en charge du format d’archive ACE afin de protéger la sécurité des utilisateurs WinRAR ».

Le groupe invite évidemment les utilisateurs à ne pas ouvrir les archives ACE dont la provenance est inconnue, mais aussi à mettre à jour le logiciel WinRAR. Un programme qui est installé dans de très (très) nombreux systèmes domestiques, mais aussi dans les entreprises, et que dont on ne prend rarement (voire jamais) le soin de mettre à jour.

Publicités
Publié dans Texte Actualité divers

Le Lavoir Moderne lève 5 millions d’euros pour moderniser le pressing

lavoir moderneLe Lavoir Moderne veut dominer le marché du pressing, et vient de lever 5 millions d’euros auprès d’investisseurs privés. La startup souhaite étendre l’accès à ses services à d’autres départements d’Île-de-France et aux capitales européennes.

Le pressing fait aussi sa révolution numérique. Le Lavoir Moderne a récolté 5 millions d’euros pour sa deuxième levée de fonds. Des investisseurs privés et des bureaux de gestion de patrimoine misent sur la startup, qui ambitionne d’industrialiser le marché du pressing de proximité. Prochaines étapes : étendre son service en Île-de-France au-delà de Paris et sa proche banlieue, puis dans d’autres capitales européennes.

Le linge livré à domicile et à prix cassés
Une fois l’application gratuite de Le Lavoir Moderne téléchargée, il suffit de quelques clics pour qu’un opérateur bien-nommé « Lavandier » vienne chercher le linge en scooter. Les chemises, robes et pantalons doivent être lavés à la pièce  entre 4 et 10 euros chacun, tandis que les autres vêtements sont facturés entre 2,5 et 8 euros le kilo. Si l’addition reste salée, elle reste inférieure au coût d’un pressing traditionnelle, affirme la startup.

Les textiles seront ensuite lavés dans une usine du Val d’Oise, à Pontoise. Un nouveau bâtiment de 3.500 mètres carrés, financé par une première levée de fonds de 3 millions d’euros l’an dernier, devrait être opérationnel dès mars, et augmenter la capacité de production de l’entreprise. Après deux ou trois jours ouvrés, la startup livre le linge propre à domicile à la demande du client.

Miser sur la production de masse
Avec des prix relativement bas par rapport au marché, la startup mise sur les économies d’échelle. Ses fondateurs affirment traiter dix fois plus de chemises par agent que dans les pressing traditionnels, grâce à ses infrastructures. Mais dans cette course à la productivité, le Lavoir Moderne ne facture pas des auto-entrepreneurs pour ses livraisons comme peut le faire Uber, ou son concurrent direct, Zipjet. Il embauche des salariés, essentiellement des étudiants à temps partiel.

La startup essuie encore quelques ratés parmi les milliers de commandes mensuelles. Les plateformes comme Google Maps ou Trustpilot recueillent différentes histoires d’usagers furieux d’avoir perdu leur linge. Mais la startup développe ses technologies pour y remédier, et géolocalise désormais les sacs grâce à une puce RFID.

Publié dans Texte Actualité divers

Au volant, vous n’aurez bientôt plus besoin de tourner la tête pour « vérifier l’angle mort »

Au volant, vous n'aurez bientôt plus besoin de tourner la tête pour vérifier l'angle mortLa multiplication des caméras à l’extérieur des véhicules pourrait signer la fin de l’angle mort à l’arrière, mais aussi redonner une visibilité.

C’est une tendance lourde de l’automobile : les voitures sont de plus en plus grosses, mais leurs surfaces vitrées sont de plus en plus réduites. Or, en ville notamment, cette absence de visibilité peut être très dangereuse. Constructeurs et équipementiers travaillent donc sur l’amélioration de la vision. Avec un outil imparable : les caméras.

Si elles permettent déjà au véhicule de s’orienter dans l’espace et d’aider le conducteur au stationnement, elles devraient demain faire disparaître l’angle mort. Ou plutôt les angles morts : à l’arrière comme à l’avant, à cause des montants de pare-brise de plus en plus imposants.

Un montant de pare-brise transparent
A l’automne, l’équipementier allemand Continental a ainsi développé un montant de pare-brise transparent. Une caméra placée à la hauteur du montant filme l’extérieur. L’image est ensuite diffusée sur un écran OLED, installé lui dans le montant interne du pare-brise. Résultat : le conducteur a l’impression de voir à travers.

Simple en apparence, le système s’avère beaucoup plus complexe. Car pour que l’image soit bien visible par le conducteur, il faut prendre en compte la position de celui-ci. Une seconde caméra est donc installée au niveau du volant, pour savoir comment s’installe le conducteur, et bien calibrer l’image sur l’écran du montant. Ce dispositif n’est pour le moment qu’un prototype, peut-on lire dans Le Point.

Des rétroviseurs caméras
Déjà disponibles, les rétroviseurs caméras règlent eux le problème de l’angle mort arrière. Plus besoin normalement de tourner la tête. Ils sont par exemple disponibles sur le SUV électrique d’Audi, l’e-tron, ou pour le rétroviseur intérieur du nouveau Toyota RAV-4. A la place des rétros à l’extérieur se trouve une caméra.

A l’intérieur, de chaque côté, deux écrans retransmettent les images, comme auparavant les glaces des rétroviseurs. L’angle de vue est bien plus large, certifie Audi. Plusieurs questions se posent, tout d’abord le prix de cette option, mais également la fiabilité à long terme du système. Le bon vieux miroir d’angle mort, et surtout les réflexes de sécurité, pourraient bien être encore indispensables quelques temps.

Publié dans Texte Actualité divers

Sans le savoir, vous êtes peut-être fiché par Facebook comme individu dangereux

facebookNom, prénom, photo, géolocalisation … Facebook tient à jour une liste de centaines d’individus considérés comme dangereux pour avoir menacé Facebook dans un commentaire ou insulté son PDG.

Souriez, vous êtes épié. Facebook tient à jour une liste d’individus à « surveiller », révèle CNBC. Créée en 2008, elle est composée d’utilisateurs lambda qui ont formulé des déclarations menaçantes contre l’entreprise sur le réseau social, mais aussi d’anciens salariés. L’inventaire de ces individus dangereux est surnommé « BOLO », pour « be on lookout » (ceux qu’il faut surveiller). Mise à jour au moins une fois par semaine, des centaines de personnes y sont inscrites, selon quatre anciens employés de sécurité chez Facebook.

Pour détecter les messages dangereux et extraire des données sur leurs auteurs (nom, prénom, photo …), Facebook utilise ses propres outils. Selon une dizaine de salariés Facebook avec qui CNBC a échangé, la surveillance des individus considérés comme dangereux peut aller très loin. Jusqu’à suivre leur géolocalisation. « C’est un peu Big Brother », déplore un employé.

« S’ils savent (Facebook, ndlr) qu’une menace pèse sur eux, ils doivent prendre des mesures », tempère auprès de CNBC Tim Bradley, consultant pour une entreprise de sécurité. « La manière dont ils obtiennent les informations est secondaire au fait qu’ils ont le devoir de protéger leurs employés. » Il affirme d’ailleurs que Facebook n’est pas la seule entreprise à établir des listes d’individus dangereux.

Pas de consignes à suivre
Mais la firme de Menlo Park préfère visiblement prévenir que guérir. Un ancien employé assure qu’il n’existe pas de « guide » à suivre pour identifier quels types d’actions mènent à une inscription sur la « BOLO » liste. Ce qui conduit forcément à des injustices. Ainsi, les auteurs de commentaires menaçants ou insultants en réponse à des messages publiés par des cadres comme Mark Zuckerberg ou Sheryl Sandberg sont souvent inscrits sur le registre. Même quand il s’agit d’un simple « Fuck you Mark ».

CNBC rapporte le cas d’une personne venue déjeuner avec un employé de Facebook au siège de Menlo Park. A son arrivée, elle n’a pas pu s’inscrire en tant qu’invitée car son nom était, sans qu’elle soit au courant, renseigné sur la fameuse liste. Elle a donc été escortée hors de la zone.

Facebook se défend
Concernant le fichage des individus et l’activation de leurs données de géolocalisation pour les repérer, Facebook se défend de tout abus. « Notre équipe de sécurité utilisent des mesures conformes aux normes de l’industrie pour détecter et contrer les menaces crédibles de violence contre nos employés et notre entreprise », explique un porte-parole de Facebook à CNBC. « Nous respectons toutes les lois sur la protection des données ». Pour rappel, le réseau social est au cœur de plusieurs scandales depuis plus d’un an. La gestion des données personnelles de ses utilisateurs est extrêmement critiquée.

Publié dans Texte Actualité divers

Selon Microsoft, il est de plus en plus difficile de pirater Windows 10

windows 10Un ingénieur en sécurité travaillant pour Microsoft a déclaré dans une conférence que la politique de sécurité mise en œuvre commence à porter ses fruits. Les attaques de pirates sont de plus en plus ciblées et rares.

Un travail de longue haleine pour Microsoft
Les efforts de Microsoft en matière de sécurité commencent à porter leurs fruits. Matt Miller, ingénieur en sécurité chez l’éditeur, est intervenu lors d’une conférence en Israël dédiée à la protection contre les piratages a annoncé que l’exploitation massive de failles de sécurité contre les utilisateurs de Windows est désormais plus rare.

L’expert explique que c’est grâce à l’activation du pare-feu par défaut, le sandboxing des applications (technique consistant à réduire l’accès au logiciel des composantes les plus importantes du système d’exploitation), les mises à jour de sécurité automatiques ou d’autres dispositifs (prévention de l’exécution des données, distribution aléatoire de l’espace d’adressage, …) que Microsoft a pu mieux sécuriser son système.

Les attaques concernent uniquement des failles encore inconnues dans Windows
Aujourd’hui, les failles les plus exploitées sont les vulnérabilités 0-Day, des brèches de sécurité encore non documentées ni repérées par les chercheurs en sécurité. Les modes d’attaque ont également changé. Les exploitations massives d’une faille, plus difficiles à réaliser, ont laissé place à des attaques ciblées. « Il est maintenant inhabituel de voir un exploit, autre qu’un 0-Day, réalisé dans les 30 jours suivants la disponibilité d’un correctif », ajoute Matt Miller.

Selon lui, ces raids représentent aujourd’hui 90% des attaques comptabilisées par Microsoft. Les 10% restants sont des informaticiens souhaitant démontrer l’existence d’une faille de sécurité pour alerter l’éditeur à intervenir rapidement et colmater la brèche.

Désormais, les types d’attaques considérés par Microsoft sont ceux provenant de groupes très chevronnés, possiblement soutenus par des nations, soit le piratage de machines qui n’est pas mise à jour assez fréquemment pour s’en protéger.

Publié dans Texte Actualité divers

Une simple image PNG suffit pour que votre smartphone Android soit piraté

androidGoogle vient de corriger une faille critique dans Android qui peut être exploitée par le biais d’une simple image.

Pour éviter tout risque de piratage, vérifiez que votre système est bien à jour.

Tous les jours, nous consultons et partageons un grand nombre d’images sur nos smartphones. Mais ces images peuvent aussi être un redoutable vecteur d’attaque. Ainsi, Google vient de révéler et corriger une faille critique dans Android qui permettait à un pirate de véroler des images PNG afin de pouvoir ensuite faire exécuter du code arbitraire dès leur ouverture, et cela, avec des droits privilégiés. Bref, vous recevez une belle image de chat, vous l’affichez et votre précieux smartphone est irrémédiablement infecté.

La bonne nouvelle, c’est que cette faille n’est pas exploitée par les pirates pour le moment. Mais ce n’est probablement qu’une question de temps. La première chose que les hackers malintentionnés font dès qu’un patch de ce calibre est publié, c’est de l’analyser par rétro-ingénierie pour retrouver le bug qui en est à l’origine. Il est donc vivement conseillé de mettre à jour son appareil.

De ce point de vue, tous les utilisateurs de smartphones Android ne sont malheureusement pas logés à la même enseigne. La diffusion des patchs de sécurité n’est pas gérée par Google, mais par les fabricants et/ou les opérateurs. Pour vérifier si votre téléphone est correctement mis à jour, il faut aller dans les paramètres et trouver le menu « A propos -> Version d’Android ». Vous devriez ensuite pouvoir consulter la date de vos derniers correctifs de sécurité. Pour être protégé contre la faille des images PNG, il faut que cette date soit supérieure ou égale au 1er février 2019.

Publié dans Texte Actualité divers

L’Académie française met son dictionnaire en ligne

Académie francaiseUn portail numérique gratuit permet depuis jeudi d’accéder aux 8e et 9e éditions du Dictionnaire de l’Académie française. Les précédentes versions seront accessibles plus tard.

Vieillot le dictionnaire de l’Académie française ?  Que nenni, la vénérable institution créée par le cardinal de Richelieu au XVIIe siècle, s’est dotée jeudi d’un nouvel outil informatique qui donne accès à une version 2.0 de son fameux dictionnaire.

Accessible sur le site www.dictionnaire-academie.fr, le nouveau portail numérique du dictionnaire de l’Académie française est d’un accès totalement libre et gratuit pour tous les amoureux du français et les quelque 300 millions de locuteurs francophones.

« Pour toucher le plus grand nombre il fallait changer nos modes de diffusion, le papier ne suffisait plus », a reconnu Hélène Carrère d’Encausse, secrétaire perpétuel de l’Académie française, en présentant le nouvel outil dont elle espère qu’il deviendra « une nouvelle référence en matière de dictionnaires dans l’espace numérique francophone ».

Le portail propose l’intégralité de la 8e édition et la version en cours de rédaction de la 9e édition qui s’arrête pour le moment à « sabéisme ». Si on recherche un mot situé après « sabéisme » on est automatiquement redirigé vers la 8e édition.

Mais le dictionnaire numérique est appelé à être constamment mis à jour, explique Yves Pouliquen, membre de la Commission du dictionnaire (qui compte douze membres et se réunit chaque jeudi entre 09h30 et 12h30).

« Ce matin, raconte à un journaliste de l’AFP l’académicien, responsable du projet d’édition numérique du dictionnaire, nous nous sommes entendus sur le mot ‘tambourin' ». Il espère que la neuvième édition sera terminée « à la fin 2020 ». « Mais ce n’est pas sûr », ajoute-t-il avec prudence. Pourtant, insiste-t-il, « on bosse énormément, on rentre chez nous un peu sonnés ».

Les académiciens ont commencé la rédaction de la 9e édition de leur dictionnaire en 1986 (après un gros passage à vide entre les année 1950 et 1970). A terme cette édition comptera quelque 60.000 mots (contre environ 32.000 dans l’édition précédente) et il sera temps de passer à la 10e édition.

Une première édition qui date de 1694
Dès l’automne, il sera possible de consulter toutes les éditions du dictionnaire depuis la première qui date de 1694. Ce sera une occasion unique de découvrir des mots disparus, auxquels BFMTV.com avait consacré un article en novembre dernier, ou de lire les différentes définitions d’un même mot selon les époques.

Le portail numérique du dictionnaire « veut marquer une rupture, un jalon dans la longue et singulière histoire du dictionnaire de l’Académie et constitue un changement radical dans le mode de diffusion de notre dictionnaire », se félicite Yves Pouliquen.

« Ce projet c’est avant tout la mise à disposition gratuite du dictionnaire pour les 300 millions de francophones et pour tous les apprenants du français dispersés dans le monde », ajoute-t-il.

Conjugaisons, correcteur d’orthographe, curiosités
Il donne la conjugaison de tous les verbes (à tous les temps et tous les modes), est doté d’un correcteur d’orthographe, donne les informations sur les rectifications orthographiques (on peut écrire « chariot » ou « charriot », deux orthographes acceptées), fournit des notices sur les difficultés ou les curiosités du français (« dire, ne pas dire »), renvoie vers des ressources externes notamment pour les mots de la francophonie.

« En donnant à nos lecteurs de meilleurs outils pour nous lire, pour leur exposer nos travaux, nous poursuivons une tâche entreprise il y a 384 ans et qui vit son premier aboutissement il y en a 325 », se réjouit Hélène Carrère d’Encausse.

« Dire l’usage, c’est accepter d’être Sisyphe et de reprendre sans fin une tâche dont on sait qu’elle ne sera jamais terminée. Mais rien ne nous interdit quelque joyeuse pause et de nous réjouir quand nous réussissons à pousser notre rocher un peu plus loin, quand nous atteignons une étape nouvelle », ajoute-t-elle.