Source : ZDNet

Réseaux : Le régulateur des télécoms ouvre un guichet afin de permettre aux opérateurs mobiles mais aussi à d’autres acteurs de tester en grandeur nature la cinquième génération de communications mobiles.

Alors que le gouvernement s’échine à convaincre les opérateurs d’enfin compléter leur couverture 4G, le passage à la 5G devient aujourd’hui une perspective palpable. L’Arcep, le régulateur des télécoms ouvre en effet un guichet afin de permettre aux opérateurs mobiles mais aussi à d’autres acteurs de tester en grandeur nature la cinquième génération de communications mobiles dans 9 villes françaises : Lyon, Bordeaux, Lille, Douai, Montpellier, Nantes, Le Havre, Saint-Etienne et Grenoble.

Rappelons que la 5G se caractérise évidemment par des débits montants et descendants encore plus élevés supérieurs à 10 gigabit par seconde théoriques mais surtout par plus de capacités et une latence très basse en deçà de la milliseconde contre 25 à 40 ms en 4G. Ce qui constitue un atout majeur pour les millions d’objets connectés qui déploient actuellement. La 5G a donc bien vocation à épauler l’essor de l’Internet des objets et indirectement de l’industrie et des entreprises en général.

"La 5G doit avant tout répondre à un besoin de capacité car les besoins en bande passante ne cessent d’exploser notamment pour supporter l’essor des usages vidéo, VR, cloud gaming, IOT, c’est sa première raison d’être", explique Gilbert Marciano, directeur marketing de Nokia France à ZDNet.fr. "Mais malgré tout, il faut regarder également ce que la 5G va ou peut apporter de plus dans d’autres domaines, notamment l’industrie. C’est sur ce terrain que les changements seront les plus marquants".

Les choses s’accélèrent et l’Europe ne veut pas rater le coche. "L’accélération a lieu, l’écosystème est en place, toutes les conditions sont là", souligne Laurent Fournier, directeur général de Qualcomm France. Il faut dire que la demande en bande passante est telle que tous les acteurs de la chaîne de valeur se sont mis en ordre de bataille ensemble afin de réduire les délais. "Nous tablons désormais sur un potentiel de lancement commercial pour la première moitié de 2019 avec les premiers smartphones équipés de modems 5G", avance le responsable.

Bref, il est temps de passer aux tests grandeur nature, c’est l’ambition de l’Arcep avec le lancement de ce guichet et de pilotes dans 9 villes françaises.

"En vue de permettre à l’ensemble des acteurs de la chaine de valeur 5G de s’approprier les cas d’usages et les enjeux de cette nouvelle génération, l’Arcep ouvre aujourd’hui, en vue de contribuer à la mise en place d’une stratégie nationale pour la 5G, son guichet « pilotes 5G » : 5G@arcep.fr  Les objectifs de ce guichet sont multiples", précise l’autorité.

Fédérer l’ensemble des acteurs de la chaine de valeur et pas seulement les opérateurs. "La mise en place de pilotes 5G doit permettre d’appréhender les modalités de cohabitation entre acteurs et de tester les modèles d’affaire : l’ensemble de la chaîne de valeur 5G doit ainsi pouvoir s’approprier en conditions réelles l’ensemble des enjeux de ces futurs réseaux, au-delà du simple cadre de validation technique des équipements de réseau".

"Les opérateurs, mais aussi tous les « verticaux » (acteurs industriels, d’infrastructures à connecter, etc.) devront pouvoir être parties prenantes de ces pilotes. Aussi, le guichet « pilotes 5G » de l’Arcep est ouvert à tout acteur intéressé par la 5G et souhaitant réaliser de premiers déploiements". Dès à présent, l’Arcep peut délivrer des autorisations d’utilisation de fréquences, à titre transitoire, pour développer des pilotes 5G, notamment dans les deux bandes 3400/3800 MHz.

"Nous pensons que la 5G va être rapidement mature sur le plan technologique. Mais qu’elle va chercher encore son marché et son modèle économique pendant un certain temps. La 5G n’est pas la simple prolongation de la 4G. Les télécoms sont aujourd’hui d’abord un marché BtoC. Avec la 5G, on entre dans un modèle d’internet industriel BtoB. Ce marché est encore incertain. Il mérite d’être testé pour savoir ce que les industriels pourront tirer de la plus-value technologique de la 5G. Outre l’augmentation des débits, la 5G offre des temps de latence 10 à 100 fois plus faibles que la 4G qui permettront des usages industriels inimaginables aujourd’hui en termes de réactivité. Ces usages vont nous projeter dans l’univers de la connectivité du 21e siècle. La 5G offre enfin la capacité de couvrir une variété d’objets sans commune mesure avec ce qui se fait aujourd’hui",  a estimé le président de l’Arcep dans un entretien à l’Usine Nouvelle.

"Nous voulons que la France soit une terre pionnière pour tester le modèle économique. Il y a derrière des enjeux importants de compétitivité", Ces tests permettront également d’obtenir d’importants retours d’expérience, notamment dans la manière de déployer le réseau, des déploiements qui seront différents de ce que l’industrie a connu jusqu’à aujourd’hui", poursuit-il.

Dans son dernier rapport sur la mobilité, Ericsson table sur un milliard d’abonnements 5G dans le monde en 2023, soit une couverture de 20% de la population mondiale, "une évolution soutenue par le besoin d’un haut débit mobile aux capacités améliorées", commente l’équipementier.

Publicités

 

Source : ZDNet

Sécurité : Plusieurs patchs diffusés par Microsoft afin de corriger les failles de sécurité Meltdown et Spectre provoquaient des bugs chez les utilisateurs de processeurs AMD, pouvant rendre la machine inutilisable. Microsoft propose aujourd’hui de nouveaux correctifs pour ceux qui étaient affectés par ce problème.

Meltdown et Spectre, deux failles découvertes dans les processeurs, affectent principalement les processeurs développés par Intel mais la concurrence n’est pas épargnée par les vulnérabilités. AMD et ARM ont eux aussi communiqué pour signaler que certains de leurs processeurs étaient touchés set que des patchs correctifs seraient nécessaires, au niveau de l’OS autant qu’au niveau du firmware. Jusque là, rien d’anormal : Microsoft a donc publié des patchs à destination des utilisateurs affectés par cette faille, mais les utilisateurs de processeurs AMD ont constaté de nombreux problèmes avec ces correctifs, dont un bug qui provoquait des écrans bleus voire rendait impossible de démarrer la machine suite à l’installation du patch.

Suite à la découverte des problèmes posés par les correctifs, Microsoft a retiré les patchs fautifs et a revu sa copie afin de proposer de nouveaux patchs fonctionnels pour les possesseurs de processeurs AMD. C’est maintenant chose faite : Microsoft propose deux patchs : l’un (KB 4073578) destiné à Windows 7 SP1 et Windows Server 2008 R2 SP1 et l’autre (KB 4073576) destiné à Windows 8.1 et Windows Server 2012 R2. Ces deux correctifs s’adressent spécifiquement aux utilisateurs AMD qui étaient victimes du bug les empêchant de démarrer leurs ordinateurs.

Si ces correctifs de correctifs sont bienvenus, les utilisateurs restent un peu démunis face à ces derniers. Comme le souligne Computerworld, Microsoft donne en effet assez peu de détails sur la façon dont les patchs doivent être appliqués. Les informations accompagnant les patchs indiquent ainsi que l’installation de cette mise à jour « ne remplace pas l’installation des précédentes mises à jour » ce qui est un peu ambigu compte tenu du fait que les « précédentes mises à jour » rendaient les machines inopérables. De nombreux utilisateurs s’interrogent également sur la manière d’appliquer le patch à une machine rendue inutilisable par l’application du précédent correctif.

Si Meltdown et Spectre n’ont pas encore été exploités directement par des cybercriminels, la confusion générée par ces failles de sécurité est en revanche une aubaine. La révélation des failles avant la date initialement prévue pour la fin de l’embargo a ainsi forcé les éditeurs à sortir des patch de façon un peu prématurée et Microsoft tente maintenant de corriger le tir. En attendant, les cybercriminels profitent également de la panique ambiante pour diffuser des malware en se faisant passer pour des sites officiels diffusant des correctifs de sécurité. Méfiance donc.

 

Source : ZDNet

Technologie : Les testeurs inscrits au programme Insider de Skype peuvent essayer le système de chiffrement complet des conversations sur la version Windows, Mac, Linux, Android et iOS de l’application de messagerie.

Microsoft offre un avant-goût du chiffrement de bout en bout sur Skype en ouvrant une préversion aux volontaires membres du programme Skype Insider sur la version Windows, Mac, Linux, Android et iOS de l’application. Une fois déployé, ce système de sécurité fonctionnera pour les appels audio, la messagerie écrite, les images ainsi que la transmission de fichiers audio et vidéo.

Skype utilise déjà un chiffrement AES 256-bit qui s’applique seulement au canal de communication. Dans le cas du chiffrement de bout en bout, tous les messages stockés sur les serveurs sont protégés et ne peuvent être lus que par les utilisateurs impliqués dans une conversation.

WhatsApp, Signal et iMessage (Apple) utilisent déjà ce système. Pendant cette phase de test, les utilisateurs pourront échanger seulement avec d’autres membres Skype Insider dans des conversations privées en tête à tête. Microsoft n’a pour le moment pas donné de date pour le déploiement général de cette fonctionnalité. (Eureka Presse)

Publié par : Papy40 | 10/01/2018

Wi-Fi : le protocole WPA3 en vue pour 2018

 

Source : ZDNet

Chahuté à l’automne par la faille KRACK, la Wi-Fi Alliance promet des améliorations sur le protocole de connexion sans fil WPA2 et l’arrivée prochaine de son successeur, WPA3.

La Wi-Fi Alliance, une organisation qui rassemble les principaux acteurs de l’industrie, annonce des améliorations sur la norme WPA2 (Wi-Fi Protected Access) et l’arrivée en 2018 de la norme WPA3.

Les améliorations sur le WPA2 portent sur la configuration, l’authentification et le chiffrement du protocole. La promesse ? Des améliorations apportées aux tests afin de réduire les risques de vulnérabilités "dus à une mauvaise configuration du réseau", et une meilleure protection "des réseaux gérés avec des services d’authentification centralisés".

La fonctionnalité Protected Management Frames devrait être mise en place sur le protocole WPA2. Par ailleurs l’organisation annonce des contrôles supplémentaires pour réduire le risque de vulnérabilités dues aux mauvaises configurations réseau et également l’implémentation de d’outils de chiffrement standardisés. WPA2, connu également sous le nom de la norme 802.11i, a été rendu public au mi-temps des années 2000.

Quatre nouveautés pour WPA3

"Quatre nouvelles capacités pour les réseaux Wi-Fi personnels et d’entreprise apparaîtront en 2018 dans le cadre du Wi-Fi Certified WPA3" assure par ailleurs la Wi-Fi Alliance. "Deux de ces fonctionnalités offriront des protections robustes même lorsque les utilisateurs choisiront des mots de passe qui ne répondent pas aux recommandations de complexité habituelles" mentionne un communiqué.

WPA3 devrait être en capacité de faire face aux attaques de force brute, en bloquant définitivement l’attaquant après quelques tentatives d’intrusion. De quoi simplifier le processus de configuration de la sécurité pour les périphériques dont l’interface d’affichage est limitée ou inexistante. On pense bien évidemment à l’armada des objets connectés de l’Internet des objets.

"Une autre fonctionnalité renforcera la confidentialité des utilisateurs sur les réseaux ouverts grâce au chiffrement individualisé des données". Le protocole WPA3 doit donc permettre de chiffrer toutes les données qui transitent sur des réseaux Wi-Fi publics. Cela signifie que chaque utilisateur devrait être en capacité d’utiliser un canal privé.

Enfin, "une suite de sécurité 192 bits, alignée sur la suite CNSA (Commercial National Security Algorithm)", doit protéger davantage les réseaux Wi-Fi assure le document. A noter que les appareils qui embarqueront le WPA3 seront toujours labellisés "Wi-Fi Certified".

Adapter le Wi-Fi à l’air du temps

La découverte d’une faille de sécurité sur le protocole WPA2 en octobre dernier, une faille nommée Krack, avait de fait rendu nécessaire une évolution du protocole à court terme. C’est chose faite avec cette double annonce. Certes, la faille Krack découverte par l’ICASI (International Consortium for Advancement of Cybersecurity on the Internet) avait été patchée, et la Wi-Fi Alliance avait relativisé la portée de l’attaque.

"Les utilisateurs peuvent s’attendre à ce que leurs appareils Wi-Fi, qu’ils soient patchés ou non, continuent de fonctionner correctement" mentionnait l’association, précisant qu’il n’y avait "pas de preuve que la vulnérabilité ait été exploitée de manière malhonnête" à ce stade.

Si WPA3 doit renforcer techniquement la sécurité du dispositif, sa fonction consiste aussi à rassurer industrie et utilisateurs sur la capacité de l’organisation a faire évoluer son protocole au regard des évolutions technologiques des connexions sans fil. Reste que le passage effectif des appareils de WPA2 à WPA3 risque d’être lent, puisque suite à la publication du protocole par la Wi-Fi Alliance, il faudra ensuite que les fabricants de matériel le mettent en place dans leurs propres gammes de produit.

 

Source : ZDNet

Sécurité : Intel commence à diffuser ses correctifs pour combler les failles Meltdown et Spectre révélées la semaine dernière. Mais les efforts pour patcher la vulnérabilité ne se font pas sans heurts.

Patcher Meltdown et Spectre est loin d’être une mince affaire pour l’industrie IT. Corriger les failles révélées la semaine dernière demande en effet un effort coordonné de la part de plusieurs acteurs, allant des fabricants de processeurs aux éditeurs de systèmes d’exploitation en passant par les éditeurs d’applications. Pour résumer, tout le monde doit patcher quelque chose, et cela pose évidemment quelques problèmes.

Les premiers affectés sont les utilisateurs de Windows équipés d’antivirus tiers. En effet, Microsoft a expliqué dès le 3 janvier que le patch qui serait mis en place pour corriger la faille Meltdown pouvait causer des problèmes pour les utilisateurs de Windows 10 ayant recours à des antivirus tiers.

En effet, Microsoft a découvert que le patch correctif avait la mauvaise habitude de provoquer des BSOD (Blue Screen of Death) sur certaines machines équipées d’antivirus tiers. Microsoft a donc pris la décision de ne pas livrer le patch du 3 janvier contenant les correctifs pour Spectre et Meltdown sur les machines disposant des antivirus posant des problèmes. Si vous cherchiez un usage très concret des données de télémétrie collectées par Windows 10, n’allez pas plus loin.

Sur une page dédiée au problème, Microsoft explique que le problème provient d’une mauvaise pratique des éditeurs antivirus qui ont tendance à avoir recours à des fonctionnalités liées au kernel. Le recours à ces « system calls » lié à la mémoire du kernel Windows est une source de conflit entre Microsoft et l’industrie des éditeurs antivirus depuis un certain temps déjà : les éditeurs réclament le droit d’accéder à certaines fonctionnalités de Windows tandis que l’éditeur du système d’exploitation cherche de plus en plus à sécuriser lui-même son système sans forcement se reposer entièrement sur l’écosystème d’éditeurs tiers qui prospéraient sur ce créneau depuis des années.

Pour les éditeurs antivirus, la solution se révèle assez complexe à mettre en œuvre. Microsoft a expliqué que deux critères étaient nécessaires pour ne pas bloquer le patch correctif du 3 janvier : les antivirus concernés doivent être compatibles avec les mises à jour automatiques de Windows et créer également une clef de registre au sein de Windows afin d’assurer la compatibilité. Microsoft ne donne pas de liste officielle des éditeurs compatibles, mais une page de tableur a été mise en place et tenue à jour par Kevin Beaumont, ingénieur britannique en sécurité informatique. Celle-ci, mise à jour régulièrement, permet de voir en un coup d’œil quels éditeurs de logiciels antivirus sont compatibles avec le patch et ont mis en place la clef de registre nécessaire. Les utilisateurs expérimentés peuvent toujours enregistrer eux même la clef de registre nécessaire si ce critère est le seul qui manque.

Outre les problèmes d’antivirus, les utilisateurs de certains processeurs AMD rencontrent apparemment des problèmes avec le nouveau correctif. Comme le rapportent plusieurs utilisateurs dans un sujet dédié au problème sur le site answers.microsoft.com, les utilisateurs de processeurs AMD de la ligne Athlon rencontrent de nombreux problèmes pouvant aller jusqu’à rendre la machine complètement inutilisable suite à l’application du patch. Le correctif doit évidemment être appliqué pour des raisons de sécurité, mais cela n’est pas sans risque pour les machines.

 

Source : Les Echos.fr

Chez professionnels cybersécurité, personne veut céder l'affolement ! FRANCE - 08/02/2012/Credit : DE FONTENAY JULIEN/JDD/SIPA/1202171311

Chez les professionnels de la cybersécurité, personne ne veut céder à l’affolement ! FRANCE – 08/02/2012/Credit : DE FONTENAY JULIEN/JDD/SIPA/1202171311 – SIPA

Des mises à jour de sécurité sont prêtes pour circonscrire les risques de vol de données sensibles.

« Ca arrive… ». Chez les professionnels de la cybersécurité, personne ne veut céder à l’affolement. « Nous découvrons une faille majeure mais il faut garder la tête calme », pointe Jules-Henri Gavetti, le patron d’Ikoula, un acteur français de l’informatique en ligne (cloud computing).

Les vulnérabilités détectées sur les microprocesseurs de type x86 des marques Intel, ARM et AMD touchent pourtant la quasi-totalité des ordinateurs personnels et serveurs informatiques, voire certains modèles de smartphones.

Des mots de passe en danger mais des solutions existent

Techniquement, elles rendent possible la consultation par un cyberattaquant d’une partie de la mémoire du processeur où il pourra y retrouver des mots de passe, voire des numéros de cartes bancaires. Heureusement, les éditeurs des systèmes d’exploitation grand public (Windows sur PC, MacOS sur Mac) doivent proposer d’ici quelques jours des mises à jour permettant de surmonter le problème. Il ne restera plus aux utilisateurs qu’à installer ces mises à jour. Ce qui se fait souvent de façon automatique lors du redémarrage des appareils.

Dans les centres de données des entreprises tout le monde se met aussi à « patcher ». Les correctifs existent pour les serveurs les plus récents. « Nous avons publié dès le 3 janvier des mises à jour de sécurité Windows pour protéger les utilisateurs contre les vulnérabilités touchant les processeurs concernés », expliquait un porte-parole de Microsoft ce jeudi.

Des baisses de performances à relativiser

D’après l’article de « The Register » qui a donné l’alerte sur les défauts du matériel Intel et mis le feu aux poudres, ces solutions pourraient entraîner une baisse « de 5 à 30 % » des performances des systèmes informatique. Là encore, les professionnels relativisent. « Le serveur d’un petit site d’e-commerce ne sera pas autant impacté, cela ne concernera que les systèmes qui sollicitent beaucoup la mémoire du processeur comme les grandes bases de données », explique Edouard Camoin, le responsable de la sécurité informatique d’Outscale, un autre fournisseur en ligne français de puissance informatique.

Certes, ces mises à jour impliquent d’éteindre pendant quelques instants un serveur. Mais les clients qui ont souscrit aux offres haut de gamme pourront voir leurs systèmes ne jamais s’arrêter. « Nous migrerons leurs systèmes vers un autre serveur redondant le temps de mettre à jour celui d’origine », expliquent en substance les deux experts. Ils préviennent aussi qu’il est inutile de se bercer d’illusion : d’autres failles continueront de surgir.

Florian Dèbes

 

Source : ZDNet

Technologie : Certains utilisateurs de Windows 7 et Windows Server 2008 signalent être incapables de rechercher des mises à jour à l’aide de Windows Update et de Microsoft Update. Silence de Microsoft.

Des utilisateurs de Windows 7 font état de problèmes lors de la recherche de mises à jour via Windows Update et Microsoft Update.

La source de ce dysfonctionnement pourrait être une date d’expiration, notait Computerworld plus tôt. Sa correction impose dans ce cas l’intervention de Microsoft.

Un sujet relatif à ce bug – et aux utilisateurs touchés par l’erreur Windows Update 80248015 – a été ouvert sur Microsoft Answers. Sa création remonte au 3 Décembre. Certains utilisateurs de Windows Server 2008 signalent ce même problème sur Twitter.

Des mises à jour ? RAS

Je suis parmi les utilisateurs de Windows affectés avec mon ordinateur de bureau Dell sous Windows 7 SP1. Le message suivant s’affiche : "Windows n’a pas pu rechercher de nouvelles mises à jour". Cliquer sur le code d’erreur ne fournit aucune information.

D’autres personnes déclarent recevoir ce message : "Windows Update ne peut pas actuellement vérifier les mises à jour car le service n’est pas en cours d’exécution. Vous devrez peut-être redémarrer votre ordinateur."

Certains suggèrent aux utilisateurs d’appliquer un ancien correctif et/ou de modifier la date du système en la remplaçant par une date antérieure au 12 mars 2017.

J’ai interrogé Microsoft pour savoir quand et comment l’entreprise prévoit de résoudre ce problème. Jusqu’à présent, aucune réponse ne m’est parvenue.

Windows 7 continuera de recevoir des mises à jour de sécurité de Microsoft jusqu’à la mi-janvier 2020, échéance de fin du support étendu.

 

Source : ZDNet

Réseaux : La mise à jour du réseau 2G de l’opérateur va rendre plusieurs modèles d’anciens feature-phones Samsung muets. Les clients ont été avertis depuis août dernier.

Les réfractaires aux smartphones sont encore nombreux, notamment chez les populations âgées qui se contentent très bien de feature-phones classiques. Mais pour certains d’entre eux, il va falloir abandonner leurs bons vieux mobile.

A partir du 15 novembre en effet, une mise à jour logicielle du réseau 2G d’Orange va rendre plusieurs modèles d’anciens feature-phones Samsung muets. Ils ne pourront ni émettre ni envoyer d’appels ou de SMS. 66.000 abonnés sont concernés.

Sept modèles du sud-coréen sont concernés, ils ont été commercialisés entre 2010 et 2011 : les GT-E1050, GT-E1080, GT-E1081, GT-E1085, GT-E1086, GT-E1150 et GT-E1170. Cette mise à mort devrait s’étaler jusqu’au début de l’année prochaine.

Orange a communiqué auprès des clients utilisant ces mobiles depuis août dernier et leurs propose même un bon de 30 euros pour l’achat d’un nouveau mobile en boutique. Une nouvelle vague de SMS et de messages vocaux leurs a été adressée il y a peu.

Et comme le rappelle l’association UFC Que Choisir : "Quant à ceux qui tiennent absolument à conserver leur vieux Samsung, ils n’ont pas d’autre choix que de changer d’opérateur. Ils peuvent le faire sans avoir à changer de numéro".

Quid de cette fameuse mise à jour de sécurité ? Interrogé par Next Inpact, l’opérateur explique que "les améliorations font suite au passage à l’algorithme standardisé A5/3 Kasumi sur [son] réseau, fortement recommandé par l’ANSSI", "afin d’empêcher à minima les interceptions passives de communications".

 

Source : ZDNet 

Sécurité : Le trou béant dans ce qui était considéré comme la meilleure protection du Wi-Fi permet d’écouter le trafic, de prendre le contrôle de la connexion ou bien d’injecter du code malveillant.

La protection de nos connexions Wi-Fi n’est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d’intercepter le trafic Wi-Fi entre les ordinateurs et les points d’accès.

Le trou baptisée KRACK (pour Key Reinstallation Attacks) est non seulement béant et il n’est à ce jour pas comblé. Un vrai problème puisque les attaquants peuvent écouter le trafic Wi-Fi à proximité lorsqu’il passe entre les ordinateurs et les points d’accès. Cela pourrait également signifier qu’il est possible de créer de faux paramètres Dynamic Host Configuration Protocol (DHCP), ouvrant la porte aux hacks impliquant le service de nom de domaine (DNS) des utilisateurs.

Qui est concerné ?

« Votre niveau de vulnérabilité dépend de plusieurs facteurs comme le type d’appareils que vous utilisez, mais tous les internautes utilisant le Wi-Fi sans prendre de précautions sont une cible potentielle », explique Jarno Niemelä, Lead Researcher pour le Laboratoire F-Secure. Les problèmes de sécurité liés aux protocoles Wi-Fi sont déjà bien connus, mais ces nouvelles attaques viennent s’ajouter à la longue liste des défauts de conception des protocoles de sécurité réseau. Les internautes doivent en être informés. ».

Malheureusement quasiment tout ceux qui utilisent un routeur Wi-Fi à la maison ou de manière professionnelle. Comme l’explique le CERT-US : "L’impact de l’exploitation de ces vulnérabilités inclut le décryptage, la relecture de paquets, le piratage de connexion TCP, l’injection de contenu HTTP et autres. Notez qu’en tant que problèmes détectés au niveau du protocole, la plupart voire toutes les implémentations correctes de la norme sont affectées. Le CERT / CC et le chercheur de Ku Leuven, divulgueront publiquement ces vulnérabilités le 16 octobre 2017".

A quand les correctifs ? 

Du côté des fabricants de routeurs, Ars Technica indique que Aruba et Ubiquiti Networks auraient déjà mis à disposition des correctifs pour leurs points d’accès professionnels qui règlent tout ou partie des problèmes mais ces deux entreprises n’ont pas confirmé. Nous les avons sollicité pour plus de précisions. Netgear qui fabrique une importante part des box domestiques indique à ZDNet.fr : "Nos équipes techniques sont en train de travailler sur le dossier".

Cisco confirme qu’une grande partie de ses produits sont touchés (une enquête est en cours mais la firme considère que 40 sont vulnérables) et indique qu’il pousse actuellement différents correctifs, vague qui devrait poursuivre cette semaine.

Du côté des opérateurs, il va falloir au minimum communiquer autour de ce problème de sécurité qui touche directement le grand public et réaliser la mise à jour des box lorsque les patchs seront disponibles. S’ils le sont. Interrogés par nos soins, les fournisseurs français sont pour le moment en train d’enquêter. Orange nous indique par exemple qu’il donnera des éléments d’explications "au plus vite". Quand on sait que la grande majorité des box du parc français exploitent le Wi-Fi pour se connecter aux smartphones ou aux décodeurs TV des foyers…

Que faire en attendant les correctifs ? 

La seule recommandation qu’il est possible d’effectuer à ce jour, c’est d’éviter d’utiliser le Wi-Fi autant que possible (et de repasser au bon vieux Ethernet filaire) ou d’employer un VPN. Lorsque le Wi-Fi est la seule option de connexion, les utilisateurs doivent utiliser HTTPS, STARTTLS, Secure Shell et d’autres protocoles fiables pour chiffrer le trafic Web et le courrier électronique entre les ordinateurs et les points d’accès.

Il est par contre inutile de basculer en WPA1 (trop faible et également impacté) et/ou de changer le mot de passe de son réseau Wi-Fi. On apprend également que la Wifi-Alliance à l’origine de WPA2 va mettre à jour son protocole et assister les fabricants afin de corriger la vulnérabilité. Une liste des équipements spécifiques devrait être prochainement disponible sur la base de données de CERT/CC.

Le site krackattacks.com propose un exposé déjà fort complet de l’attaque et des moyens de se protéger. Les textes sont dignés par Mathy Vanhoef et Frank Piessens de KU Leuven et imec-DistriNet, Maliheh Shirvanian et Nitesh Saxena de l’Université de l’Alabama (Birmingham), Yong Li de Huawei Technologies (Düsseldorf) et Sven Schäge de la Ruhr-Universität Bochum en Allemagne.

Une fois les correctifs disponibles, la mise à jour de vos équipements (smartphones, ordinateurs, objets connectés) et de vos routeurs sera à réaliser le plus rapidement possible.

A quand plus d’informations ?

A date, nous ne connaissons pas encore les détails techniques de la faille, ni les moyens pour l’exploiter.  La description complète des vulnérabilités devrait être effectuée le 1er novembre prochain à la Conférence ACM (Dallas).

Publié par : Papy40 | 10/10/2017

Windows 10 Mobile : requiem pour un rêve

 

Source : ZDNet

Technologie : Microsoft cesse enfin de jouer avec les mots et admet l’abandon du développement de la version de Windows pour smartphone, Windows 10 Mobile. Pas d’utilisateurs, pas d’applications et donc un échec et la fin d’un rêve pour l’éditeur.

Microsoft a-t-il jeté l’éponge sur smartphone ? Après avoir annoncé la fin de Windows Phone 8.1, l’éditeur refusait de l’admettre ouvertement, allant jusqu’à démentir par exemple les déclarations en 2016 du PDG de sa filiale française. Le patron de la division Windows, habile communicant, évitait de répondre explicitement à la question de la fin des développements sur Windows Mobile.

A quoi bon ? Après tout, Bill Gates lui-même confessait être passé sur un smartphone Android. Mais c’est finalement un tiers et partenaire de longue date de Microsoft qui a vendu la mèche. Nick Lazaridis, directeur EMEA d’HP, a annoncé la semaine dernière la fin de son hybride Elite X3 sous Windows 10 Mobile, justifiant cette décision par l’arrêt du développement de la plateforme.

"Nous avons essayé TRÈS DUR", mais en vain

Officiellement, la firme de Redmond n’avait pourtant rien annoncé de tel. Les éléments s’accumulant, Microsoft devait bien se résoudre à reconnaître ce que tous les observateurs constataient par eux-mêmes.

Et c’est Joe Belfiore qui s’y est collé sur Twitter. Le corporate vice-président de Windows 10 rompt avec les précédentes déclarations des dirigeants de l’entreprise pour admettre l’évidence : Windows 10 Mobile, suite de Windows Phone, est bien terminé.

Mais "bien sûr nous continuerons de supporter la plateforme… correctifs de bugs, mises à jour de sécurité, etc. Mais la conception de nouvelles fonctionnalités/hw n’est pas la priorité" écrit Joe Belfiore sur le réseau social.

Les raisons de l’abandon et de l’échec de l’aventure Microsoft sur smartphone sont inchangées : "Nous avons essayé TRÈS DUR d’encourager les développeurs d’applications. Versé de l’argent … écrit des applications pour eux, mais le volume d’utilisateurs est trop faible pour que la plupart des entreprises investissent" confesse le cadre de l’éditeur.

Comme d’autres, dont son (seul) partenaire Nokia, Microsoft a manqué le virage du smartphone, écrasé par les rouleaux compresseurs Apple iOS et Android. C’est un historique du mobile qui se retire. L’éditeur développait sur terminaux mobiles depuis plus de 20 ans, avec un début en 1996 via Windows CE, puis Windows Mobile en 2000.

Microsoft attend le prochain "saut technologique"

Mais l’écosystème Windows était à la peine depuis le lancement d’iOS en 2007 et d’Android de Google en 2008. Selon les chiffres de ventes les plus récents de Kantar Worldpanel, les téléphones Windows ne représentent plus que 1,3% aux États-Unis, devançant uniquement BlackBerry à 0,3%. Au niveau mondial, Windows a terminé 2016 à tout juste 0,4% selon IDC.

La tentative de Microsoft d’encourager les développeurs à concevoir des apps pour Windows 10 Mobile grâce aux applications dites universelles (développées une fois pour une compatibilité PC, tablettes et smartphones) n’a pas convaincu. Pas plus que les multiples outils destinés à simplifier le portage de logiciel Win32, Web, iOS et Android.

Adieu Surface Phone et tout autre projet Windows dans le secteur de la mobilité ? Pas forcément. En septembre 2016, le président de Microsoft France, Vahé Torossian annonçait que la firme faisait "le pari d’un saut technologique".

En clair, attendait la prochaine génération de terminaux. Les contours d’un tel futur sont bien incertains. L’éditeur poursuit ainsi les développements sur processeurs ARM afin de proposer du Windows 10 sur des PC portables "toujours connectés" grâce à une connectivité cellulaire.

De telles machines ne constituent cependant pas, à première vue, une alternative au smartphone. D’après Mary-Jo Foley de ZDNet, l’éditeur planche aussi sur AndromedaOS et un futur terminal Andromeda.

Older Posts »

Catégories