Un chercheur britannique a réussi à intercepter des connexions
Internet par satellite avec seulement 300 dollars d’équipement. Sans
trop d’effort, il a pu accéder à toutes les données transmises, même les
plus sensibles.
James Pavur, chercheur à l’Université d’Oxford en Angleterre, a
démontré que les connexions Internet par satellite comportaient encore
de sérieuses failles de sécurité. Il a en effet réussi à intercepter
avec une grande facilité les signaux de 18 satellites. Ces derniers couvrant une zone de 100 kilomètres carrés.
Le chercheur a mené son étude pendant plusieurs années. Il a présenté
ses résultats cette semaine lors de la conférence Black Hat 2020, qui
réunit toute la communauté d’experts en sécurité informatique. Au cours
de son expérience, Pavur a pu télécharger un total de 8 To de données. Et certaines étaient parfois très sensibles.
Il a notamment intercepté des informations de navigation d’un avion de ligne chinois. Ou
encore des mots de passe du réseau du yacht d’un milliardaire chinois.
Il a également pu collecter les données personnelles de tout l’équipage
d’un navire pétrolier égyptien, et télécharger un email envoyé par un
avocat espagnol à son client. Et pour cela, le chercheur a simplement
utilisé les données de localisation publiques des satellites. L’équipement nécessaire lui aura coûté moins de 300 dollars.
Internet par satellite : encore de gros progrès à faire pour sécuriser les connexions
Les connexions Internet par satellite sont principalement utilisées
par des entreprises exerçant des activités dans des zones très isolées
de la planète. Mais ce service est sur le point de s’étendre à de plus
en plus de particuliers. La société SpaceX s’est déjà lancée dans ce projet avec sa constellation Starlink. Avec
son réseau de 12 000 satellites, le PDG Elon Musk ambitionne de fournir
un accès Internet fiable aux habitants des régions les plus reculées du
monde. Le millardaire promet une latence inférieure à 20 ms.
Amazon a également annoncé un plan similaire baptisé « Project Kuiper ».
Celui-ci fournira une connexion destinée en priorité aux entreprises et
établissements publics. L’entrée en service de ces satellites Internet
n’est pas prévue pour tout de suite, mais l’expérience de James Pavur
est très utile. Elle vient en effet prouver qu’il reste encore beaucoup de travail pour sécuriser ces connexions Internet par l’espace.
« Le but de mes recherches est de faire ressortir ces dynamiques
uniques que les propriétés physiques de l’espace créent pour la
cybersécurité, et c’est un domaine qui a été sous-exploré. », a déclaré le chercheur britannique.
Si le véhicule de Google Street View est déjà passé dans votre rue,
n’importe qui peut se retrouver en quelques clics devant la façade de
votre maison. Il est heureusement possible de la flouter, voici comment
procéder.
Depuis son lancement en 2007, Google Street View offre une navigation virtuelle aux quatre coins du monde. Il est d’ailleurs bien connu pour ses clichés insolites capturés au fil des années. Des chercheurs estiment même que la population pourrait être recensée avec les images prises et l’intelligence artificielle.
Grâce aux panoramas à 360°, vous pouvez aussi bien partir à
l’exploration des plus grandes villes que découvrir des zones rurales
peu fréquentées. Néanmoins, cela signifie également que votre maison y
figure, du moins sa façade. Si la fameuse voiture Street View
est passée devant votre maison, il y a de fortes chances que sa façade
soit aujourd’hui visible sur le service de navigation. Pour des raisons évidentes de confidentialité et de sécurité, vous pouvez la flouter.
Les étapes à suivre pour faire flouter sa maison
Attention, une fois que votre maison est floutée, elle le sera pour toujours. Il est impossible d’annuler le floutage. Réfléchissez donc bien avant de prendre cette décision. Pour faire flouter votre maison, rendez-vous d’abord sur Google Maps et rentrez votre adresse exacte.
Pour le but de cette démonstration, nous utiliserons l’adresse du siège
de Google France qui se situe au 8 rue de Londres à Paris.
Ensuite, cliquez sur « Signaler un problème » qui se situe
dans le coin inférieur droit. Une page s’ouvre alors et vous demande
pourquoi vous signalez cette image. Assurez-vous d’abord que la façade de votre maison se situe bien à l’intérieur du rectangle rouge. Vous pouvez ensuite demander un floutage en sélectionnant « Mon domicile » dans le choix proposé et en donnant des informations supplémentaires. Enfin, rentrez votre adresse e-mail et cliquez sur « Envoyer ».
Google vérifiera alors votre demande de son côté et vous tiendra au courant par e-mail si le floutage a été effectué ou s’il est nécessaire d’apporter des précisions. En plus de la navigation sur Terre, Google Street View propose également une visite de la Station spatiale internationale.
C’est une première sur une console. Le pionnier de l’audiovisuel
Dolby a annoncé que les nouvelles Xbox Series S et Series X proposeront à
la fois le Dolby Vision et le Dolby Atmos pour les jeux.
Selon Dolby, les consoles seront compatibles avec le Dolby Atmos dès
leur commercialisation, tandis qu’il faudra attendre jusqu’en 2021 pour
voir arriver les premiers jeux compatibles avec la technologie Dolby
Vision.
Le Dolby Vision est une forme de HDR qui offre de meilleurs reflets et des niveaux de noir plus profonds. Il est pris en charge par certains téléviseurs,
comme les dernières LG OLED. Les téléviseurs Samsung ne supportent pas
le Dolby Vision car la société coréenne a choisi d’utiliser uniquement
le HDR10+.
Comme la prise en charge du Dolby Vision nécessite une licence,
il sera intéressant de voir si Sony choisit d’ajouter cette
fonctionnalité à sa console PlayStation 5, ou si le fabricant de
consoles japonais choisira d’opter pour un format concurrent tel que le
HDR10+.
Qu’est-ce que le Dolby Vision va changer sur les jeux ?
Selon les informations disponibles sur le site de Dolby, les futurs jeux de Xbox Series X et S seront jusqu’à 40 fois plus lumineux et les noirs seront 10 fois plus profonds
pour donner vie aux explosions et au vide profond de l’espace. Les
joueurs peuvent également s’attendre à des couleurs riches et profondes.
Les jeux seront plus beaux avec plus de contraste et des couleurs qui
révéleront plus de détails et de textures. Pour en profiter, il faudra
bien sûr s’assurer d’avoir une télévision compatible. Les deux consoles
seront disponibles en précommande le 22 septembre et sortiront le 10 novembre. Il faudra encore patienter pour l’annonce de la PS5 de Sony.
Des chercheurs de Stanford ont pris des photos de 3 200 mégapixels,
les plus grandes jamais prises, en utilisant des capteurs qui feront
partie du plus grand appareil photo numérique au monde.
Les chercheurs de Menlo Park ont testé avec succès leur appareil
photo numérique capable de prendre des photos gigantesques de 3200
mégapixels.
Les prises de vue sont rendues possibles grâce à 189 capteurs individuels
répartis sur un plan focal large de 60 centimètres qui éclipse les
capteurs habituels de 1,4 pouce de large d’une caméra standard. Chacun des capteurs peut prendre des images de 16 mégapixels.
L’appareil photo sera installé à l’observatoire Vera Rubin au Chili. Cet appareil de 3,2 gigapixels
va peut-être permettre de percer certains mystères de l’univers dans le
domaine de l’astronomie. Pour se rendre compte de la taille d’une telle
image, il faudrait 378 téléviseurs 4K pour en afficher une à la bonne échelle, selon le SLAC (Stanford Linear Accelerator Center).
Une fois que l’observatoire Vera Rubin sera opérationnel, l’appareil
photo numérique de 3 200 mégapixels capturera une succession d’images
panoramiques de tout le ciel austral, ce qu’il fera une fois tous les quelques jours pendant 10 ans.
Ce projet, connu sous le nom de Legacy Survey of Space and Time (LSST),
permettra de suivre les mouvements de milliards d’étoiles et de
galaxies, tout en créant le plus grand film d’astronomie au monde. Cet
observatoire nouvelle génération est prêt à s’attaquer à des questions
concernant la formation de l’univers, la matière noire et l’énergie
noire. Les chercheurs ont dévoilé la première image et ont expliqué
comment ils ont réalisé cet exploit dans une vidéo.
Apple a posé le verrou final : OS Big Sur.....donc,vous ne possédez pas un appareil technologique mais vous louez un service,pour qu'il puisse fonctionner
La sécurité est pour Apple un argument marketing de poids, comme on
le voit sur une page qui vante les mérites de la dernière version Big
Sur de macOS :
Sécurité. Directement intégrée. Nous avons intégré dans
le matériel et les logiciels du Mac des technologies avancées qui
travaillent ensemble pour exécuter les apps de façon plus sécurisée,
protéger vos données et garantir votre sécurité sur le Web.
On sait que le prix des appareils Apple les met hors de portée de
beaucoup d’internautes, mais c’est un autre prix que les inconditionnels
d’Apple vont devoir accepter de payer, celui de la liberté de faire
« tourner » des applications. Comme l’explique ci-dessous un responsable
de la sécurité chez Librem
(*la traduction Framalang conserve au dernier paragraphe quelques
lignes qui font la promotion de Purism/Librem), la dernière version de
macOS donne l’illusion du contrôle mais verrouille l’utilisateur, tant
au niveau logiciel que matériel désormais.
Traduction Framalang : goofy, Julien / Sphinx, framasky, Steampark, mo
Apple a pris le contrôle sur ses utilisateurs
par Kyle Rankin
Kyle est Chief Security Officer chez Librem (Mastodon )
On entend souvent dire des pirates informatiques qu’ils ont « pris le contrôle » (en anglais owned ou pwned) d’un ordinateur. Cela ne veut pas dire qu’ils ont pris possession physiquement de l’ordinateur, mais qu’ils ont compromis
l’ordinateur et qu’ils ont un contrôle à distance si étendu qu’ils
peuvent en faire ce qu’ils veulent. Lorsque les pirates informatiques
contrôlent un ordinateur, ils peuvent empêcher l’exécution de logiciels,
installer les logiciels de leur choix et contrôler le matériel à
distance, même contre la volonté du propriétaire et généralement à son
insu.
Les pirates informatiques comprennent intuitivement une chose que
beaucoup d’utilisateurs d’ordinateurs ne comprennent pas : la propriété
n’est pas une question de possession, mais de contrôle.
Si votre entreprise vous donne un ordinateur, ou même si vous apportez
le vôtre, mais qu’elle contrôle à distance la façon dont vous l’utilisez
et peut passer outre à vos souhaits, c’est l’ordinateur de
l’entreprise, pas le vôtre. Selon cette définition, la plupart des
téléphones, aujourd’hui, sont la propriété du vendeur, et non de
l’utilisateur, et comme je l’ai exposé dans The General Purpose Computer in Your Pocket1 :
L’un des plus beaux tours que Big Tech ait
jamais joué a été de convaincre les gens que les téléphones ne sont pas
des ordinateurs à usage général et qu’ils devraient suivre des règles
différentes de celles des ordinateurs portables ou de bureau. Ces règles
donnent commodément au vendeur un plus grand contrôle, de sorte que
vous ne possédez pas un smartphone mais que vous le louez. Maintenant
que le public a accepté ces nouvelles règles pour les téléphones, les
vendeurs commencent à appliquer les mêmes règles aux ordinateurs
portables et aux ordinateurs de bureau
L’illusion du contrôle
L’illusion selon laquelle les utilisateurs d’Apple ont le contrôle de
leurs ordinateurs a été rapidement mise à mal cette semaine quand Apple
a distribué dans le monde entier sa nouvelle version de macOS « Big
Sur ». Des utilisateurs ont commencé à remarquer dès la diffusion de la
mise à jour qu’ils avaient des problèmes pour exécuter des applications
locales : ces applications bégayaient et macOS lui-même ne répondait
plus par moments, même si l’utilisateur n’avait pas encore mis à jour
son OS vers Big Sur. Drôle de coïncidence que la sortie d’un nouvel OS
puisse bloquer des applications locales et même des applications ne
venant pas d’Apple.
Comme cet article d’Ars Technica l’explique, des utilisateurs ont été capables de déboguer ce problème assez rapidement :
Il n’a pas fallu longtemps à certains utilisateurs de Mac pour se rendre compte que trustd,
le processus de macOS chargé de vérifier avec les serveurs d’Apple si
une application est authentifiée, tentait de se connecter au domaine ocsp.apple.com mais échouait de manière répétée.
… ce qui a provoqué des ralentissements sur tout le système, entre
autres quand les applications essayaient de se lancer. Pour résumer le
problème, à chaque fois que vous lancez une application signée sur
macOS, un service d’enregistrement « notarial » envoie des informations
sur l’application aux serveurs d’Apple pour vérifier que les signatures
concordent. Si c’est le cas, votre système d’exploitation autorise
l’application à démarrer. Quand l’ordinateur est hors connexion, la
vérification échoue mais l’application est encore autorisée à
fonctionner. Mais quand l’ordinateur est connecté, la signature est
appliquée et comme le service était actif mais lent, les applications se
sont arrêtées pendant que le système d’exploitation attendait une
réponse.
La prise de contrôle à distance grâce à la signature du code.
Les applications utilisent souvent la signature du code comme moyen
pour l’utilisateur de détecter les altérations. Le développeur signe le
logiciel avec sa clé privée et l’utilisateur peut vérifier cette
signature avec une clé publique. Seul le logiciel qui n’a pas été
modifié correspondra à la signature. Dans le monde du logiciel libre,
les distributions comme PureOS comprennent des clés publiques installées
sur l’ordinateur local, et les mises à jour de logiciels vérifient
automatiquement que les signatures correspondent avant d’appliquer la
mise à jour elle-même. Quand on utilise ainsi les signatures, on peut
tester une application avant son installation pour savoir si elle a été
modifiée, c’est ainsi que l’utilisateur bénéficie d’un contrôle total
sur le processus.
Apple a fait franchir à la signature de code un pas supplémentaire en
incluant ce service « notarial ». Toutes les applications signées,
qu’elles viennent ou non d’Apple, doivent demander l’autorisation de
démarrer au service notarial distant. Ce qui signifie que l’entreprise
Apple non seulement connaît toutes les applications que vous avez
installées, mais elle est informée aussi à chaque fois que vous les exécutez.
Ce qui n’était autrefois qu’un service facultatif est devenu
aujourd’hui obligatoire. À partir de Big Sur, vous ne pourrez plus
utiliser un outil comme Little Snitch
pour bloquer ce service, ni le faire passer par Tor pour gagner en
confidentialité. Apple et tous ceux qui ont accès à la communication en
texte brut peuvent savoir quand vous avez lancé le navigateur Tor ou
d’autres outils nécessaires à la protection de la vie privée, ou encore à
quelle fréquence vous utilisez des applications de la concurrence.
[Mise à jour : il semble que les services
notariaux d’Apple n’envoient pas d’informations sur l’application, mais
envoient plutôt des informations sur le certificat de développeur
utilisé pour les signer (ce qui est plus logique étant donné la façon
dont l’OSCP fonctionne). Cela signifie qu’Apple peut savoir, par
exemple, que vous avez lancé une application de Mozilla, mais ne peut
pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un
développeur ne signe qu’une seule application, bien sûr, on peut
établir une corrélation entre le certificat et l’application. Le service
semble également mettre en cache une approbation pendant un certain
temps, de sorte que le fait qu’il envoie des informations à Apple chaque
fois que vous exécutez une application dépend de la fréquence à
laquelle vous la lancez].
J’imagine que beaucoup de personnes ont été surprises de découvrir
cette fonctionnalité, mais je soupçonne également que beaucoup
l’accepteront au nom de la sécurité. Pourtant, comme c’est le cas pour
de nombreuses fonctionnalités d’Apple, la sécurité est un terme de
marketing alors que la véritable motivation c’est le contrôle. Alors que
la signature de code permettait déjà à Apple de contrôler si vous
pouviez installer ou mettre à jour un logiciel, cette fonctionnalité lui
permet de contrôler si vous pouvez exécuter des applications. Apple a déjà utilisé la signature de code sur iOS pour retirer les applications de ses concurrents de l’App Store et aussi pour désactiver à distance des applications
au prétexte de la sécurité ou de la confidentialité. Il n’y a aucune
raison de croire qu’ils n’utiliseront pas le même pouvoir sur macOS
maintenant qu’il ne peut plus être contourné. Le but ultime d’Apple avec
la signature de code, son coprocesseur Secure Enclave et sa puce Silicon propriétaires, c’est de s’assurer le contrôle et la propriété totales du matériel que vend l’entreprise.
Reprenez le contrôle
Vous devriez demeurer en pleine possession des ordinateurs que vous
achetez. Ni les pirates informatiques ni les vendeurs ne devraient avoir
le droit de vous contrôler à distance.
Nous construisons des ordinateurs portables, des ordinateurs de bureau,
des serveurs et des téléphones sûrs, respectueux de la vie privée et de
la liberté, qui vous redonnent le contrôle et vous garantissent que
lorsque vous achetez un ordinateur Purism, c’est vous qui en êtes
vraiment propriétaire.
