Le digital, « une opportunité historique » pour l’agriculture africaine (expert)

Le digital, « une opportunité historique » pour l’agriculture africaine (expert)

L’expert marocain Mohamed Horani, fondateur de la société de services informatiques bancaires (Hightech Payment Systems, HPS), a fait jeudi à Meknès (nord) l’éloge de la digitalisation de l’agriculture, soulignant More »

Dalal Tones : plus de 400 millions payés..la grosse part aux chants religieux

Dalal Tones : plus de 400 millions payés..la grosse part aux chants religieux

Le services de dalal Tones est une vraie aubaine pour les artistes surtout les chanteurs religieux. En effet, ils participent efficacement à la promotion des artistes. En tout cas More »

AgriNumA 2019 : le 1er rendez-vous de l’agriculture numérique en Afrique de l’Ouest

AgriNumA 2019 : le 1er rendez-vous de l’agriculture numérique en Afrique de l’Ouest

Plus de 100 acteurs académiques, industriels et de la société civile (Sénégal, Mali, Burkina Faso, Bénin, Cameroun) du secteur numérique et agricole sont attendus du 28 au 30 avril More »

CIVIC TECH: l’UGB accueille un panel sur la participation citoyenne et la transparence publique, le 13 avril 2019

CIVIC TECH: l’UGB accueille un panel sur la participation citoyenne et la transparence publique, le 13 avril 2019

L’Université Gaston Berger de Saint-Louis abrite un grand panel sur la participation citoyenne et la transparence publique, le 13 avril 2019. La rencontre s’ouvrira à 09 heures à l’Auditorium de l’UGB More »

Les ministres des Finances d’Afrique s’engagent à faire progresser le taux de pénétration du smartphone sur le continent

Les ministres des Finances d’Afrique s’engagent à faire progresser le taux de pénétration du smartphone sur le continent

Réunis à Marrakech au Maroc les 25 et 26 mars 2019, lors de la 52ème session de la Commission économique des Nations Unies pour l’Afrique (CEA) qui se tenait More »

 

Monthly Archives: novembre 2018

cybersecurite

SENEGAL-CYBERCRIMINALITÉ : SEIZE PERSONNES ARRÊTÉES ET DÉFÉRÉES AU PARQUET (POLICE)

La Division spéciale de cybersécurité (DSC) a annoncé vendredi avoir arrêté et déféré seize personnes au parquet, dans le cadre de la lutte contre la cybercriminalité.

Six de ces personnes arrêtées récemment ont été appréhendées dans le cadre d’une affaire d’accès frauduleux aux systèmes d’information de plateformes de transfert d’argent, a précisé le commissaire Pape Guèye, responsable de cette unité de la Police sénégalaise.

Les 10 autres personnes sont impliquées dans un cas d’atteinte aux données à caractère personnel, diffusion et traitement de ces données, a-t-il indiqué au cours d’une conférence de presse.

Selon le commissaire Guèye, les personnes mises en cause dans la première affaire sont « un groupe d’escrocs », qui s’introduisaient sur les plateformes d’argent, pour effectuer des virements vers leurs propres comptes.

« Plusieurs plaintes ont été déposées au niveau de la DSC. Des dispositions techniques ont été mises en place à Dakar et dans les régions. Ce qui a permis l’interpellation de six individus à Kaolack », a expliqué le chef de la Division spéciale de cybersécurité.

Ils utilisaient des « méthodes d’ingénierie sociale’’ pour collecter des données frauduleuses leur permettant d’accéder aux comptes de leurs victimes.

« Ces cas d’arnaque connaissent une véritable explosion », au préjudice « d’honnêtes citoyens (….). Les victimes ont subi un préjudice de 200 millions de francs CFA », a souligné le commissaire Guèye.

Evoquant la deuxième affaire, il a parlé de 10 individus interpellés pour des « collectes déloyales de données à caractère personnel, diffusion de ces données à travers des systèmes d’information, atteinte à l’image, à la dignité et à la réputation ».

APS

Des chercheurs ont trouvé un moyen de produire de fausses empreintes digitales en utilisant l’Intelligence Artificielle

Les téléphones portables ont subi une transformation radicale ces dernières années avec l’évolution de la technologie et maintenir confidentielles les informations qu’ils contiennent est la préoccupation majeure des fabricants. La dernière génération de smartphones est dotée d’un système d’authentification d’empreintes digitales qui apportait jusqu’ici un niveau de sécurité optimal aux utilisateurs et la sécurité des données contenues dans ces téléphones semblait alors garantie, mais les résultats d’une étude menée récemment nous en font douter.

En effet, une nouvelle étude de la Tandon School of Engineering de l’Université de New York révèle un niveau surprenant de vulnérabilité dans ces systèmes d’authentification. L’équipe de recherche était dirigée par Julian Togelius, professeur associé en informatique et en ingénierie à New York, et par le doctorant Philip Bontrager. Ces travaux s’appuient sur des recherches antérieures menées par Nasir Memon, professeur d’informatique et d’ingénierie et doyen associé pour l’apprentissage en ligne à NYU Tandon. Les chercheurs ont donc trouvé un moyen de produire de fausses empreintes digitales en utilisant l’intelligence artificielle, ce qui pourrait faire croire aux scanners biométriques que ce sont les vrais.

Généralement les périphériques permettent aux utilisateurs d’enregistrer plusieurs images de doigts différentes, et une correspondance avec toute impression partielle enregistrée suffit pour confirmer l’identité de l’utilisateur. Les travaux de Memon ont montré qu’il existe suffisamment de similitudes entre les impressions partielles pour créer des MasterPrints capables de faire correspondre de nombreuses impressions partielles stockées dans une base de données. Les MasterPrints sont des empreintes digitales réelles ou synthétiques qui peuvent correspondre fortuitement à un grand nombre d’empreintes digitales, nuisant ainsi à la sécurité offerte par les systèmes d’empreintes digitales et pouvant être utilisées pour lancer une attaque par force brute contre un cache sécurisé de ces images.

Comme l’a déclaré Bontrager : « l’authentification par empreinte digitale est toujours un moyen efficace de protéger un périphérique ou un système, mais la plupart des systèmes ne vérifient pas pour l’instant si une empreinte digitale ou autre biométrique provient d’une personne réelle ou d’une réplique » et les chercheurs veulent simplement faire plus de sensibilisation afin de s’assurer que les fabricants de dispositifs rendent les systèmes suffisamment stricts pour mettre en place quelque chose afin que cela ne soit pas possible.

Source

L’invulnérabilité des ordinateurs Mac remise en cause

Pour tout le monde, ou presque, s’acheter un Mac constituerait une solution pour mettre définitivement ses données personnelles à l’abri. Pourtant, il ne s’agit pas d’une véritable forteresse qu’on le croit. Apple en est conscient, mais préfère entretenir la légende pour pouvoir encore en vendre plus. Explication.

Une exposition moindre

Même les utilisateurs des Macs se laissent entraîner dans le piège et pensent qu’il est inutile d’ajouter un antivirus et antimalwares parmi leurs applications. On ne peut pas dire qu’ils ont totalement tort, surtout s’ils fondent leur pensée sur une légende comme quoi les ordinateurs de la marque à la pomme étaient plus sûrs.

Le système macOS occupe seulement à peu près 10% du marché mondial de PC. Il ne constitue donc pas la cible préférée des hackers et des créateurs de virus. Ce qui ne devrait cependant pas constituer une raison de penser que le mac est un appareil totalement immunisé. Il est aussi faux de se dire qu’il dispose déjà d’un puissant antivirus intégré. Certes, il y a un système de mise en quarantaine systématique des fichiers potentiellement dangereux, mais celui-ci n’est efficace que pour les téléchargements depuis des applications dédiées. Il y a aussi XProtect dont l’efficacité est remise en question depuis son incapacité à détecter de nombreux virus au cours d’une étude.

Ces dernières années, par ailleurs, les infections sous macOS se sont multipliées, même si le rythme reste soutenu. En 2015, par exemple, un malware donnait la possibilité d’avoir les mots de passe stockés par un ordinateur estampillé macOSX, un simple visionnage d’image suffisant à l’activer et à exploiter l’une de ses failles critiques. Une attaque similaire a pu aussi être menée, en 2011, via le malware OSX.DevilRobber. Plusieurs centaines de machines ont été déjà également victimes du cheval de Troie Flashback en 2012, du ransomware Keranger et de Wannacry et Petya en 2017. Le cas le plus récent est celui des programmes malveillants donnant aux pirates la possibilité d’effectuer un minage des crypto-monnaies aussi bien sur Windows que sur les autres systèmes, dont macOS et GNU/linux.

De nombreux types de menaces

Les virus sont considérés par bon nombre d’utilisateurs comme la seule menace pouvant atteindre leurs ordinateurs personnels. Aussi, ils ont tendance à oublier qu’il ne s’agit que d’une petite partie des menaces pouvant toucher leur machine. Si l’on se fie à un récent résumé fourni par Oracle, les hackers recourent à de nombreuses techniques pour parvenir à leurs fins. Et celles-ci ne cessent de se multiplier et se renouveler. D’où l’importance d’avoir un antivirus ou un anti-malware à jour.

Certains utilisateurs d’ordinateur sous macOS pensent qu’une bonne partie des virus se trouvant sur le net sont « inanimés » et quelques changements de réflexes devraient suffire pour se mettre à l’abri. Cependant, il ne faut pas oublier qu’il y a, derrière chaque agent malveillant, un être humain prêt à profiter de la moindre faille et de la moindre inattention pour arriver à ses fins. Il leur faut ainsi, en plus d’un antivirus/antimalware de base un VPN, un pare-feu et tout autre outil de sécurité informatique connu pour son efficacité, s’ils veulent être à l’abri de toute attaque informatique.

Source

Jusqu’à 500 millions de clients touchés par un piratage du groupe hôtelier Marriott

Le géant mondial de l’hôtellerie Marriott a annoncé vendredi le piratage d’une base de données pouvant contenir les informations d’environ 500 millions de clients, précisant qu’une enquête interne avait révélé des « accès non autorisés » depuis 2014.

Le groupe américain, dont le siège est à Bethesda (Maryland), a précisé dans un communiqué avoir reçu un signalement le 8 septembre 2018 concernant une tentative d’accès à un vaste fichier de réservations aux Etats-Unis et l’enquête a révélé qu’un « tiers non autorisé » avait « copié et crypté des informations, et avait entrepris des opérations pour les retirer ».

« Nous regrettons profondément cet incident. Depuis le début, nous avons agi rapidement pour limiter cet incident et mener une enquête approfondie avec l’assistance d’experts en sécurité de premier plan », a indiqué Arne Sorenson, patron de Marriott, cité dans le communiqué. « Nous faisons tout notre possible pour soutenir nos clients ».

« Nous allouons toutes les ressources nécessaires pour éliminer les systèmes Starwood et accélérer le renforcement en cours de la sécurité de notre réseau », a-t-il relevé.

Les forces de l’ordre ont ouvert une enquête, avec laquelle Marriott coopère, et les autorités de régulation ont été prévenues.

L’hôtelier, qui a fusionné en 2016 avec l’Américain Starwood devenant alors le premier groupe hôtelier mondial, dit n’avoir pas fini d’identifier les informations ayant été dupliquées. Elles peuvent concerner des réservations effectuées le ou avant le 10 septembre 2018.

– Réseau Starwood –

Il a relevé que pour environ 327 millions de clients sur les quelque 500 millions qui figureraient dans la base de données affectée, les informations contenues incluent noms, adresses postale et électronique, numéros de téléphone et de passeport, date de naissance, sexe ou encore détails sur le compte Starwood Preferred Guest (SPG), une carte haut de gamme lancée récemment par l’émetteur de cartes de crédit American Express (AmEx) destinée aux voyageurs réguliers. Pour certains clients, le numéro de carte bancaire et sa date d’expiration sont également concernés.

Pour les autres, les informations ne comportent que le nom et, parfois, d’autres détails comme les adresses email et postale.

Marriott a mis en place un site dédié (info.starwoodhotels.com) et un centre d’appel pour informer les clients. Il compte envoyer des emails aux personnes concernées à partir de vendredi, a-t-il ajouté.

Le site d’information précise que seules les réservations opérées par le biais du réseau Starwood étaient concernées car « Marriott utilise un système de réservation séparé qui est sur un réseau différent ».

Le portefeuille hôtelier de Starwood inclut notamment W Hotels, Sheraton Hotels and Resorts, Westin Hotels and Resorts, Le Méridien Hotels and Resorts ou encore Four Points by Sheraton et Design Hotels. Des propriétés de Starwood en multipropriété (timeshare) peuvent également être concernées.

Marriott a indiqué offrir l’abonnement gratuit à WebWatcher, un service qui surveille internet pour vérifier si des données personnelles d’un client sont utilisées.

Source

(©AFP / (30 novembre 2018 15h01)

Le Code sénégalais des communications électroniques ne bloque pas l’accès à Internet (ministre)

Le ministre sénégalais de la Communication, Abdoulaye Bibi Baldé a déclaré que l’adoption du projet de loi portant Code des communications électroniques, hier mercredi par les députés, n’a pas pour objectif « de bloquer l’accès à internet ou l’usage des réseaux sociaux », malgré toute la controverse et les craintes autour.

S’exprimant lors du vote du nouveau budget de son ministère qui s’est accru « de plus de 82% », soit un montant de plus de 28 milliards FCFA, Abdoulaye Bibi Baldé a expliqué, dans des propos rapportés par Le Soleil de ce jeudi, que cette nouvelle loi va surtout « aider à renforcer le rôle central des télécommunications et de l’économie numérique dans la stratégie de développement du Sénégal ».

De même, selon le ministre de la Communication, elle va contribuer à la mise en œuvre de la Stratégie Sénégal numérique 2025 et permettre également le développement harmonieux des acteurs de l’écosystème numérique, en assurant la fourniture de services de communications électroniques de qualité.

Toutefois, la loi continue de soulever des polémiques, et cela depuis son état de projet où plusieurs acteurs sénégalais des Tic avaient alerté sur une volonté de l’Etat de vouloir restreindre les droits des utilisateurs et contrôler, à son seul profit, la communication électronique à travers « l’article 27 » du nouveau code des communications électroniques.

Pour certains parlementaires de l’opposition, cet article ne vise qu’à « restreindre la liberté d’expression et à contrôler les réseaux sociaux » à quelques mois de l’élection présidentielle, dont le premier tour est prévu le 24 février 2019.

« Le dernier alinéa pose problème, en donnant un pouvoir important à l’ARTP (Autorité de régulation des télécommunications et des postes). Tout le monde est inquiet du pouvoir qui est alloué à cette autorité de régulation », s’est alarmé l’élu opposant Mamadou Lamine Diallo, qui recommande à ses collègues députés « un travail approfondi (…) pour mieux étudier cette question ».

Dell

Dell annonce un piratage informatique dans son site web

Le géant informatique américaine DELL vient d’alerter ses clients d’un piratage visant les informations sauvegardées dans son site web.

Des pirates informatiques ont réussi à s’inviter dans des serveurs de la société américaine DELL. Une intrusion détectée ce 9 novembre 2018. Comme l’explique le communiqué de presse de l’entreprise, des pirates ont “tenté” d’extraire les informations des clients du site Dell.com. Bilan, l’injection SQL a été vu… mais un peu trop tardivement. Les données collectées, on ne connait pas encore le nombre exacte, comportent : noms des clients, adresses électroniques et les mots de passe hachés, donc illisible dans la forme sauvegardée dans la base de données ponctionnée.

Dès que la tentative d’extraction a été détectée, Dell a immédiatement mis en œuvre des contre-mesures et ouvert une enquête. Dell a également retenu les services d’une société d’investigation numérique pour mener une enquête indépendante et a engagé des poursuites avec les forces de l’ordre, a déclaré Dell dans son communiqué de presse. La société a également déclaré que les pirates informatiques ne ciblaient pas les données bancaires ou toute autre information client sensible.

En cette ère de menaces hautement sophistiquées pour la sécurité des informations, Dell s’engage à tout mettre en œuvre pour protéger les informations des clients. La société américaine s’engage à continuer d’investir dans ses réseaux informatiques et sa sécurité afin de détecter et de prévenir le risque d’activité non autorisée.

La rédaction

Google Impact Challenge soutient les visionnaires en Afrique

Le Google Impact Challenge (GIC) a demandé il y a six mois aux innovateurs sociaux Kényans, Nigérians et Sud-africains de proposer des idées marquantes et audacieuses pouvant avoir un impact réel au sein de leurs communautés.

A la clôture de cet appel, plus de 5000 propositions ont été reçu de tous les trois pays concernés.

Aujourd’hui, 36 responsables d’organisme à but non lucratif et d’entrepreneurs sociaux au Kenya, au Nigeria et en Afrique du Sud sont venus présenter à un panel d’experts leurs projets destinés à développer des opportunités économiques dans leurs pays et au-delà. Les jurés du GIC ont sélectionné 12 finalistes et trois « Prix du public » ont été annoncés après le décompte de plus de 200,000 votes du public, record mondial battu pour le Google Impact Challenge.

GIC

Les lauréats recevront une bourse de 250 000 $ de Google.org, et les finalistes une bourse de 125 000 $, soit un financement total de 6 millions de dollars pour l’ensemble du continent.

Selon les organisateurs « La passion et la vision de tous nos finalistes sont de véritables stimulants pour nous. Mais c’est maintenant que le véritable travail commence. Nous avons hâte de collaborer avec ces organisations pour mettre en œuvre ces projets novateurs et changer la vie au sein de nos communautés. »

Adepoju Abiodun – Directeur du marketing produit, Se développer avec Google

espionage iphone, android

Espionnage par le téléphone : une étude épingle 68% des hommes et 52% des femmes

BankMyCell, un site de reprise pour les appareils technologiques, a décidé de mener une petite enquête sur ses clients, et plus précisément sur les comportements entre couples utilisateurs de smartphones. Il a voulu savoir combien de personnes espionnaient le téléphone de son conjoint, mais également le ressenti par rapport à l’utilisation du téléphone au quotidien. Ils ont ainsi interrogé 1 663 personnes âgées de 18 à 35 ans demandant s’ils consultaient le mobile de leur partenaire, quelles applications ils utilisaient pour mener à bien leurs investigations, s’ils connaissent les mots de passe et si l’utilisation du smartphone pouvait avoir un impact sur la durée de leur relation.

Au final, il semble que les utilisateurs d’iPhone soient les moins susceptibles d’espionnage. En effet, 63% des utilisateurs Android déclareraient surveiller leur moitié, contre 52% pour les iPhone. Les hommes seraient de gros curieux (68% l’avouent contre 52% des femmes). La cause serait vieille comme le monde : la tromperie pour 89% des hommes et 70% des femmes.

Pour une immense majorité, c’est sur WhatsApp que cette recherche s’effectue (62% des hommes et 64% des femmes). Neuf femmes sur dix laisseraient leur partenaire examiner leur téléphone à leur demande, contre cinq hommes sur six. Enfin, 52% des hommes savent comment déverrouiller le téléphone de leur conjoint, car ils connaissent le code (contre 36% des femmes). Enfin sachez qu’un tel espionnage réciproque serait toléré et ne serait pas une cause de rupture pour 75% des hommes et 83% des femmes.

Source

Youtube Music Premium

YouTube et YouTube Music offrent un abonnement réduit pour les étudiants

YouTube Music (non encore disponible au Sénégal), est l’interface sur mesure orienté vers la diffusion de musique en continu développé par le géant YouTube offre un abonnement réduit pour les étudiants américains

Youtube a lancé les nouveaux tarifs destinés exclusivement aux étudiants. Une réduction de 50% a été faite sur le coût normal de la souscription.

Les nouveaux abonnements offrent YouTube Music Premium à 4,99 dollars par mois au lieu de 9,99 dollars/mois et YouTube Premium à 6,99 dollars par mois au lieu de 11,99 dollars/mois. Les étudiants qui prendront ces abonnements pourront alors jouir de ces services sans publicité.

Une offre additionnelle propose aux étudiants qui s’inscrivent à YouTube Premium, avant le 31 janvier 2019, un tarif de 5,99 dollars par mois. Malheureusement, ces forfaits sont à l’instant présent disponibles exclusivement pour les étudiants américains. Toutefois, YouTube affirme que les nouveaux prix seront transmis à d’autres pays d’ici les mois à venir.

Un code JavaScript malveillant peut espionner les onglets d’autres navigateurs pour identifier les sites Web que vous visitez

Il est possible qu’un code JavaScript malveillant dans un onglet de navigateur Web espionne d’autres onglets ouverts pour déterminer les sites Web que vous visitez. Les chercheurs de l’Université Ben Gourion du Néguev en Israël, de l’Université d’Adélaïde en Australie et de l’Université Princeton aux États-Unis ont réussi une attaque par empreinte digitale de site Web basée sur le cache du processeur qui utilise JavaScript pour collecter des données afin d’identifier les sites Web visités. « L’attaque que nous avons démontrée compromet les données personnelles des utilisateurs : en découvrant les sites Web auxquels l’utilisateur accède, elle peut enseigner à l’attaquant des choses telles que l’orientation sexuelle de l’utilisateur, ses convictions religieuses, ses opinions politiques, son état de santé, etc. », ont déclaré Yossi Oren (de l’université Ben Gourion en Israël) et Yuval Yarom (de l’université d’Adélaïde en Australie).

La technique intitulé « empreinte digitale de site Web robuste via le canal d’occupation du cache » est décrite dans un document récemment distribué par ArXiv, une archive de prépublications électroniques d’articles scientifiques dans les domaines de la physique, l’astrophysique, des mathématiques, de l’informatique, des sciences non linéaires et de la biologie quantitative. Les chercheurs ont démontré comment contourner les défenses de protection de la vie privée récemment introduites et soumet même le navigateur Tor à un suivi. Les informations collectées peuvent être utilisées pour cibler des publicités en fonction de vos centres d’intérêt ou pour déterminer le type de contenu dans lequel vous vous trouvez et le rassembler en toute sécurité pour le consulter ultérieurement.

« Dans ce travail, nous étudions ces attaques selon un modèle d’attaque différent, dans lequel l’adversaire est capable d’exécuter une petite quantité de code sans privilège sur l’ordinateur de l’utilisateur cible. Sous ce modèle, l’attaquant peut monter des attaques sur les canaux auxiliaires du cache, qui exploitent les effets de conflit sur le cache du processeur, afin d’identifier le site Web sur lequel le navigateur est consulté », peut-on lire dans leur article publié. « Les attaques par empreinte digitale sur les sites Web, qui utilisent l’analyse statistique du trafic réseau pour compromettre la confidentialité des utilisateurs, se sont révélées efficaces même si le trafic est envoyé sur des réseaux préservant l’anonymat tels que Tor. Le modèle d’attaque classique utilisé pour évaluer les attaques par empreinte digitale sur les sites Web suppose un adversaire sur le chemin, capable d’observer tout le trafic voyageant entre l’ordinateur de l’utilisateur et le réseau Tor », précisent les chercheurs.

En tout état de cause, l’attaque pourrait avoir de graves conséquences pour les utilisateurs de Tor convaincus que leurs visites sur Internet peuvent être tenues secrètes. Une attaque par canal auxiliaire (une attaque informatique qui, sans remettre en cause la robustesse théorique des méthodes et procédures de sécurité, recherche et exploite des failles dans leur implémentation, logicielle ou matérielle) implique l’observation d’une partie d’un système informatique pour collecter des mesures pouvant être utilisées pour déduire des informations autrement privilégiées. Les vulnérabilités Spectre, Meltdown et Foreshadow révélées cette année pourraient toutes être exploitées via des techniques d’attaque par canal auxiliaire.

Oren et Yarom ont expliqué que leur approche fonctionnait à un niveau plus fondamental que Spectre. « Cela fonctionne à des endroits où Spectre ne peut pas fonctionner (par exemple, au-delà des limites du processus) et où les correctifs de processeur conçus pour protéger Spectre ne peuvent pas l’arrêter. D’autre part, l’attaque Spectre est capable de récupérer des informations à une résolution beaucoup plus élevée que notre attaque », ont-ils déclaré. « Spécifiquement, nous utilisons des techniques d’apprentissage automatique pour classer les traces d’activité du cache. Contrairement aux travaux antérieurs, qui tentent d’identifier les conflits de cache, notre travail mesure l’occupation globale du cache de dernier niveau. Nous montrons que notre approche permet d’obtenir une précision de classification élevée dans les modèles du monde ouvert et du monde fermé », expliquent les chercheurs.

L’un des moyens utilisés pour atténuer ces attaques consiste à limiter l’accès aux timers de haute précision grâce auxquels les données des canaux auxiliaires peuvent être collectées. Rappelons qu’en début de cette année, Luke Wagner, un ingénieur de Mozilla confirmait que c’était possible d’exploiter les vulnérabilités (Meltdown et Spectre) pour accéder à des informations sensibles. Un rapport du Microsoft Vulnerability Research avait appuyé le propos de Wagner. L’exploitation desdites failles ouvre la voie à une violation plus aisée de la protection Same-Origin Policy dont les navigateurs sont équipés. En d’autres termes, un script JavaScript malicieux chargé sur une page peut extirper des cookies d’authentification ou autres mots de passe d’une autre plus facilement. Pire, les données privées du navigateur lui-même sont à la merci du code malicieux, d’après ce que rapporte l’équipe sécurité de la firme de Redmond.

Microsoft avait, par le biais de Windows Update, déployé la mise à jour KB4056890 pour les utilisateurs du navigateur Edge au sein de la Fall Creators Update en date du 3 janvier dernier. Pour ce qui est de Mozilla, une version mise à jour de Firefox Quantum (la 57.0.4) était désormais disponible. Les vulnérabilités dont il est question reposent sur la capacité du logiciel malveillant à abuser de la temporisation du cache des données des processeurs. Elles reposent sur l’aptitude à effectuer des mesures précises du temps. Pour ces raisons, Firefox et Edge sont sevrés du tampon de données binaires SharedArrayBuffer. Parallèlement, la méthode JavaScript performance.now() voit sa résolution passer de 5 à 20 microsecondes. Quant à Google Chrome, la version 63 intègre le mécanisme de protection Strict Site Isolation. D’après la firme, son activation permet d’assigner à chaque site Web un espace d’adressage distinct. Il était prévu que l’entreprise s’aligne avec les mesures actuellement adoptées par ses concurrents dans le cadre de cette release.

Par contre, Oren et Yarom déclarent que leurs travaux montrent que les efforts déployés pour se défendre contre les attaques par canaux auxiliaires en réduisant l’accès au chronométrage de précision ont été vains. « Dans ce travail, nous montrons que toute cette approche est vaine – nous n’avons simplement pas besoin de minuteries haute résolution pour attaquer. De même, certaines approches de protection contre Spectre séparent les sites en plusieurs processus. Nous montrons que cela n’est pas suffisant. Nous montrons que nous pouvons espionner à partir d’un onglet de navigateur sur un autre et même à partir d’un navigateur sur d’autres navigateurs exécutés sur l’ordinateur », ont-ils déclaré. Selon eux, ce qu’il faut retenir, c’est que tout ce qui n’est pas exécuté à un moment donné dans le navigateur pose un risque pour la confidentialité : si vous ouvrez un deuxième onglet, le JavaScript qu’il contient peut filtrer l’autre. Désactiver complètement JavaScript supprimera l’attaque, mais également de nombreux sites Web, qui dépendent du fonctionnement de JS. Les chercheurs disent que la virtualisation devrait être considérée comme une fonctionnalité plus pratique qu’une fonctionnalité de sécurité.

Source