juin 2019

Mozilla a oublié de renouveler son certificat, désactivé automatiquement tous les addons Firefox

Mozilla a lancé une mise à jour hors-cycle pour leur canal régulier Firefox 66 (66.0.4) et leur canal de support élargi Firefox 60 (60.06.2). Il s’agit de régler un souci relatif à tous les modules additionnels Firefox pris en charge qui sont désactivés lorsque le certificat expiré qui les valide dans le navigateur expire. En cas d’urgence, Mozilla a résolu le problème de la chaîne de certificats qui provoquait le démantèlement des paquets de langues, extensions web, thèmes et moteurs de recherche affectés dans le navigateur Firefox.

«Une version de Firefox a pour sa part été lancée – version 66.0.4 sur Desktop et Android, et version 60.6.2 pour ESR. Cette version rétablit la chaîne de certificats de façon à ce que les extensions Web, les thèmes, les moteurs de recherche et les paquets de langues désactivés soient réactivés (bug 1549061). Il y a encore des problèmes que nous nous efforçons activement de résoudre, par contre, nous souhaitions obtenir cette correction avant lundi pour que les effets des modules additionnels pour handicapés se dissipent avant la semaine» a déclaré Kev Needham de Mozilla sur le blog officiel du site de la société.

Le problème des extensions désactivées est lié à la négligence de Mozilla qui a laissé expirer le certificat numérique qu’il utilise pour signer les extensions le 4 mai 2019. Mozilla a démarré l’utilisation d’un certificat numérique afin d’imposer l’utilisation d’extensions officielles à partir de https://addons.mozilla.org/en-US/firefox/extensions/, dans la mesure où le navigateur évite que des extensions extérieures au site officiel de l’extension soient installées sur Firefox. Le 4 mai dernier, à l’expiration du certificat, le navigateur a présumé que les extensions installées par l’utilisateur sur son navigateur venaient d’un tiers, ce qui a automatiquement désactivé celles-ci.

Une autre conséquence secondaire de l’expiration du certificat n’a pas été renouvelé à temps est le https://addons.mozilla.org/en-US/firefox/extensions/ lui-même ne peut pas être utilisé pour télécharger des modules d’extension comme prévu. Toutes les extensions hébergées sur le site ont été jugées invalides par Firefox 66.0.3 et Firefox 60.06.1, donc l’installation a été désactivée depuis le 4 mai.

Le hack rapide et sale utilisé par les utilisateurs intelligents consistait à utiliser «Firefox Studies» afin de permettre l’utilisation d’un nouveau certificat numérique, authentifiant ainsi les modules additionnels installés et disponibles pour téléchargement comme authentiques. Hélas, puisque «Firefox Studies» fait partie intégrante du système de télémétrie Mozilla, les utilisateurs sensibles à la vie privée qui désactivent la télémétrie doivent désactiver leurs modules d’extension.

Tous les utilisateurs de Mozilla Firefox doivent télécharger leurs mises à jour corrigées respectives, afin que le navigateur dispose du certificat numérique valide pour signer les modules additionnels.

Un bref aperçu du problème des logiciels espions WhatsApp

Facebook est confronté à un autre énorme revers cette semaine, puisque leur application iOS/Android acquise, WhatsApp, est touchée par un logiciel espion sur une version de l’application disponible au téléchargement. Le géant des médias sociaux classe le problème comme étant un «logiciel espion» incorporé à quelques versions de WhatsApp incrustées par des acteurs de menaces, utilisant une faille importante dans l’application. Le prétendu «spyware» incorporé a été mis en place par une prétendue société de spyware nommée NSO Group, qui est implantée en Israël. La portée de son accès à l’appareil mobile dans son ensemble, à partir de celui-ci, servant de RAT (Remote Access Trojan), l’activation des caméras avant/arrière, lire les e-mails / SMS/MMS et la capacité d’accéder aux contacts de l’utilisateur.

Le problème est multiplateforme, puisque des versions infectées de WhatsApp pour iOS et Android se sont manifestées à l’extérieur. Même les petits joueurs tels que la plate-forme Windows Phone 10 déjà désuète et la version Tizen de WhatsApp de Samsung sont aussi touchés. Le seul signe visible que l’utilisateur est «ciblé» réside dans le fait qu’il reçoit des appels abandonnés trop souvent depuis l’application. Le logiciel espion est supposé avoir la possibilité de réaliser du cyber espionnage sur le téléphone, ce qui rend l’utilisation de WhatsApp comme service de messagerie instantanée et d’appel vocal dangereuse pour tous.

Entre-temps, le groupe des OSN rejette fortement ces allégations, comme son porte-parole l’a dit en public : En aucun cas NSO ne sera impliqué dans l’exploitation ou l’identification des cibles de sa technologie, qui est exploitée par des services Suite à cet incident, Facebook recommande vivement à tous ses 1,5 milliard d’utilisateurs WhatsApp de désinstaller leur WhatsApp actuel installé sur leurs appareils, de retélécharger une nouvelle version de WhatsApp (version propre disponible au téléchargement) dans le Google Play Store, de se connecter à leur compte et d’effectuer une procédure spécifique de réinitialisation du mot de passe. Les forces de l’ordre américaines interviennent déjà dans cette affaire, en essayant d’aider Facebook à découvrir plus de détails sur l’infection par spyware de WhatsApp.

L’innocence du groupe NSO se heurte à l’opposition d’Amnesty Tech, qui se préoccupe de ce nouveau type de vecteur d’attaque préjudiciable pour les utilisateurs mobiles. «Le groupe NSO commercialise ses produits auprès de gouvernements connus pour leurs atteintes outrageuses aux droits humains, en leur fournissant les outils nécessaires dans le but de suivre les activistes et les critiques. L’attaque contre Amnesty International a été la goutte d’eau qui a fait déborder le vase», a fait remarquer Danna Ingleton, directrice adjointe du département d’Amnesty Tech.

Ce souci de WhatsApp intervient juste après que Facebook ait fièrement fait l’annonce de l’initiative de chiffrement de bout en bout «privacy first» pour leur autre messagerie instantanée Facebook Messaging. De plus, il a aussi annoncé une fusion des infrastructures de WhatsApp, Instagram et Facebook, ce qui ne crée qu’un seul produit pour l’ensemble de l’entreprise.

L’iOS d’Apple et l’Android de Google disposent tous deux d’une configuration standard qui leur permet de télécharger automatiquement les mises à jour des applications de leurs appstores respectifs dès que l’éditeur a posté une nouvelle version de l’application. Cette fonctionnalité est en principe désactivée uniquement par les utilisateurs avancés à partir de la page des paramètres de leurs appstores respectifs. Hackercombat.com conseille vivement la réinitialisation du mot de passe utilisateur pour tous les utilisateurs de WhatsApp, et si cela est pratique pour les utilisateurs, également le mot de passe pour leurs comptes Facebook et Instagram. Même si la fusion de l’infrastructure ne semble pas encore terminée, puisque le plan n’est pas encore prêt, il est préférable d’être prudent que d’être désolé.

L’enclave iOS sécurisée d’Apple, trop sécurisée pour être sécurisée

Le caractère secret d’Apple par rapport à l’infrastructure générale des appareils iOS, notamment l’iPhone, constitue aussi bien sa force que sa faiblesse en terme de sécurité et de confidentialité. Hackercombat.com a signalé hier que le logiciel espion WhatsApp fait de gros dégâts pour 1,5 milliard d’utilisateurs WhatsApp sur les plateformes iOS et Android. L’ouverture d’Android était accusée de la propagation des logiciels malveillants depuis une dizaine d’années, cependant le même facteur donne à Google la possibilité de procéder à des ajustements rapides de son système Google Play Protect, l’anti logiciels malveillants intégré d’Android.

Suite au déclin des appareils Blackberry comme smartphones officiels du gouvernement, les appareils iOS vulnérables se sont installés. Une ancienne version installée de l’instance WhatsApp sur un iPhone convertit l’appareil en un dispositif prolifique de cyber espionnage. Apple s’est vanté que leurs appareils iOS, plus précisément l’iPhone se sert d’une enclave sécurisée, il s’agit d’un appareil verrouillé qui est prêt à fonctionner. Le souci, c’est qu’il est trop verrouillé à un stade tel qu’il est exclu que les utilisateurs puissent vérifier que leur appareil espionne déjà leurs activités d’utilisation de l’iPhone.

«Pour aggraver la situation, les charges utiles subissent fréquemment des tests et sont optimisées pendant des semaines ou plus avant leur déploiement, ce qui assure une forte probabilité d’exploitation et, inversement, une faible probabilité de repérage, en particulier quand il s’agit d’attaques ne nécessitant aucun utilisateur», indique Jonathan Levin, chercheur indépendant à iOS.

Cela s’explique par l’absence de documentation sur la manière dont l’enclave sécurisée agit concrètement en défaveur de l’intérêt des utilisateurs de scanner l’appareil pour y déceler les infections.En réalité, Apple a proscrit tout type d’application antivirus dans l’App Store, et même si cela se produisait dans le futur, l’architecture stopperait toute application de toucher l’enclave sécurisée qu’Apple a créée. L’épisode du logiciel espion WhatsApp constitue une véritable révélation pour l’industrie, Android se révélant en tant que plate-forme bien plus aisée à utiliser dès le départ, et ce jusqu’à ce que Google publie un correctif.

«Le fait est qu’il y a tant d’exploits 0-day pour iOS. Et la seule raison pour laquelle seulement quelques attaques ont été capturées dans la nature réside dans le fait que les téléphones iOS sont des obstacles à l’inspection des téléphones par les défenseurs», souligne Stefan Esser, un chercheur en cybersécurité.

La seule chose qu’un utilisateur de périphérique iOS est en mesure de faire consiste à lancer l’App Store, dans l’espoir que l’application vulnérable ait une mise à jour de la part du développeur. Il il n’y a pas de méthode d’atténuation qu’un utilisateur peut utiliser afin de prévenir l’espionnage électronique, dans la mesure où les dispositifs iOS interdisent l’accès de faible niveau à ce dispositif. Les utilisateurs sont incapables de télécharger une application spécialisée pour «surveiller» les opérations du téléphone et émettre un rapport d’état, ce qui requiert un accès de faible niveau au matériel que les périphériques iOS interdisent.

«Ces contrôles de sécurité ont compliqué l’inspection des appareils mobiles, en particulier à distance, et en particulier pour ceux d’entre nous qui sont au service d’organisations de défense des droits humains qui n’ont pas accès aux technologies médicolégales adéquates. Pour cette raison, il est rare que nous soyons en mesure de confirmer l’infection de ceux que nous soupçonnons déjà d’être ciblés. Honnêtement, nous nous trouvons du côté des perdants d’une asymétrie décourageante des capacités qui privilégie les hackers plutôt que les défenseurs, a souligné Claudio Guarnieri, technologue d’Amnesty International.

Microsoft lance une mise en garde contre une attaque Windows de type WannaCry

Microsoft met en garde les utilisateurs des anciennes versions de Windows contre l’installation immédiate de Windows Update dans le but de se protéger contre les cyber-attaques de toutes sortes. Le géant du logiciel a éliminé les failles des services de bureau à distance fonctionnant sous Windows XP, Windows 7 et les versions serveur comme Windows Server 2003, Windows Server 2008 R2, et Windows Server 2008. Microsoft a choisi cette approche peu commune de diffuser des mises à jour pour Windows XP et Windows Server 2003, même si les deux systèmes d’exploitation ne les gèrent pas. Les utilisateurs de Windows XP sont tenus de procéder manuellement au téléchargement des mises à jour depuis le catalogue de Microsoft.

«Cette faille constitue une pré-authentification et ne requiert pas la participation des utilisateurs», précise Simon Pope, directeur de la réponse aux incidents au Security Response Center de Microsoft. «Autrement dit, la vulnérabilité est un «virus», ce qui veut dire que tout logiciel nuisible à l’avenir qui utiliserait cette vulnérabilité risquerait de se répandre d’un ordinateur vulnérable à un autre, de la même façon que le logiciel nuisible WannaCry se serait répandu sur le globe en 2017.»

Microsoft a affirmé ne pas avoir constaté l’exploitation de cette vulnérabilité. Par contre, dès que le correctif est lancé, ce ne sera plus qu’une question de temps avant que le hacker ne choisisse des correctifs Microsoft et ne crée un logiciel malveillant. Par chance, les ordinateurs Windows 8 et Windows 10 sont épargnés par cette vulnérabilité. Même si Windows 10 est aujourd’hui plus répandu que Windows 7, il existe toujours des millions d’ordinateurs sous Windows 7 qui sont en mesure de déclencher des attaques potentielles très problématiques.

Microsoft brise la tradition de ne pas mettre de correctifs, les systèmes d’exploitation Windows qui ne sont pas pris en charge quand des milliers d’ordinateurs dans plus de 100 pays subissent le logiciel malveillant appelé WannaCry. Le logiciel malveillant sert d’un bug dans l’ancienne version de Windows afin de crypter l’ordinateur et demande une rançon de 300 $ avant de l’ouvrir. Microsoft souhaite éviter d’autres programmes WannaCry, bien qu’il déclare que «la meilleure manière de remédier à cette vulnérabilité est de procéder à la mise à niveau vers la dernière version de Windows».

Le règlement de la FTC sur Facebook comprendrait 20 ans de surveillance de la protection de la vie privée.

UNE OFFRE ENTRE Facebook et la Federal Trade Commission (FTC) des États-Unis risquent de voir le réseau social soumis à la surveillance de l’organisme pendant les 20 prochaines années.  

Un pacte entre les deux devrait être bientôt publié, une fois que l’organisme de surveillance conclura son enquête de longue haleine sur les pratiques de l’entreprise en ce qui concerne la protection des données. La FTC a dénoncé la violation par Facebook d’un accord de 2011 visant à préserver la confidentialité de toutes les données des utilisateurs. Au titre de cet accord, la compagnie a pris l’engagement d’obtenir la permission explicite des utilisateurs avant de communiquer leurs données à des tierces parties.

Toutefois, les derniers scandales concernant la société de conseil politique Cambridge Analytica et plusieurs autres organisations montrent que l’entreprise a enfreint cet accord en toute illégalité.

La FTC procède en ce moment à une enquête visant à vérifier si les pratiques de Facebook ont enfreint l’accord.

Au titre du règlement qui sera bientôt rendu public, Facebook risque aussi de se voir imposer une lourde amende ; l’entreprise a dernièrement alloué 3 milliards de dollars de ses bénéfices pour le règlement de la facture à payer.

En ce temps-là, Facebook a reconnu que la FTC pourrait réclamer jusqu’à 5 milliards de dollars – un montant sans précédent pour une société de technologie aux États-Unis – une fois son enquête achevée, qui dure depuis longtemps.

«Nous évaluons que les pertes dans cette affaire se situent entre 3 et 5 milliards de dollars», a indiqué l’entreprise. «Le problème demeure non réglé, et il n’y a aucune garantie quant au moment ou aux modalités de tout résultat final.»

D’après Reuters, cette entente entre Facebook et la FTC pourrait aussi comprendre des clauses de surveillance des activités du conseil d’administration de Facebook relativement à la mise en œuvre des politiques et pratiques en matière de protection des renseignements personnels. L’accord devrait aussi imposer à Facebook d’être plus attentif et agressif dans la surveillance des concepteurs d’applications tiers.

Facebook pourrait faire une annonce sur son accord avec la FTC au cours du mois prochain, d’après Reuters.

La barre de jeu de Windows 10 est dotée de la fonction Groupes Xbox One

Microsoft a sorti une mise à jour pour la barre de jeu Windows 10 incluant une fonction connue sous le nom de Looking for Groups de Xbox One. Cette fonctionnalité est présentement réservée aux utilisateurs de l’anneau de test bêta.

Les joueurs ont à présent la possibilité de fixer des exigences particulières pour chaque joueur tout en créant de nouveaux groupes. Ils ont aussi la possibilité de rechercher des joueurs avec lesquels ils peuvent former une équipe pendant une session de jeu. De plus, ils sont en mesure de discuter avec les membres potentiels du groupe avant de les rejoindre.

Comment utiliser Recherche de groupes sur la barre de jeu

Vous pouvez presser la touche Windows + G pour accéder à la barre de jeu Windows 10. Toutefois, vous devez être enregistré dans l’aperçu de Windows 10 Gaming pour profiter de ces fonctions.

Les adeptes de l’anneau de test sont tenus de rafraîchir leur barre de jeu en visitant le Microsoft Store. La mise à jour va activer un onglet dans le menu qui donne accès à un panel de jeux restreint.

Microsoft envisage de mettre à l’avenir la barre des jeux en liaison avec sa base de données de la ludothèque dans le but de vous permettre d’apprécier une grande variété de jeux.

Problèmes avec Windows 10 Game Bar Group

Eh bien, la fonctionnalité est fournie avec quelques bugs qui lui sont propres. Quelques utilisateurs ont rapporté que la molette de sélection ne marche pas comme elle le devrait. Les adeptes de Xbox Insider sont en train de tester cette toute nouvelle fonctionnalité.

Les joueurs sont déjà emballés par la fonction Looking for Groups et sont impatients de voir la version publique.

Windows 10 Game Bar propose quelques fonctionnalités pratiques à ses utilisateurs. Il élimine la nécessité pour tout logiciel tiers d’enregistrer des vidéos, de prendre des captures d’écran et de retransmettre des sessions de jeux en direct.

Looking for Groups est idéal pour les utilisateurs de Windows 10 qui sont toujours à la quête de partenaires pour jouer à leurs jeux favoris.

La fonction de chat leur permet de trouver des joueurs qui partagent les mêmes centres d’intérêt et d’éviter les joueurs ennuyeux. Si Microsoft parvient à ses fins, cette nouvelle addition pourrait avoir un effet positif pour l’entreprise. Le bug M est donc susceptible de distancer ses concurrents offrant des services semblables.