🔒
❌
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 1 juin 2020MacBidouille

Une faille majeure dans "Sign in with Apple" comblée

La fonction "Connexion avec Apple" permet aux utilisateurs d'utiliser leur compte iCloud pour se connecter à des applications tierces si leurs éditeurs ont exploité les APIs mises en place par Apple. On a des choses équivalentes chez Google ou Facebook.
Un hacker rapporte qu'Apple lui a versé 100.000$ pour avoir découvert une faille 0-day permettant d'outrepasser toutes les sécurités de ce système et de se connecter aux applications tierces sans connaître les identifiants iCloud de la cible.
Une faille majeure permettait en effet de demander aux serveurs Apple un jeton d'authentification valable pour n'importe quel identifiant iCloud sans en connaître le mot de passe. Ce jeton pouvait ensuite être injecté dans les applications tierces utilisant l'API sans autre forme de sécurité pour s'y connecter.

La faille était donc bien majeure et l'on ignore si elle a été exploitée avant sa découverte par ce hacker blanc, et exploitée activement.

Apple referme dans l'urgence ses Apple Store aux Etats-Unis

Pour faire face aux manifestations violentes qui ont cours aux Etats-Unis, Apple a pris dans l'urgence la décision de fermer l'essentiel de ses boutiques.
Pour rappel, elles venaient à peine de réouvrir après avoir fermé à cause de l'épidémie Covid 19.

Samsung lance une version Intel de son Galaxy Book S

Alors que tout porte à croire qu'Apple proposera bientôt un Mac doté d'un processeur ARM, Samsung vient de faire un chemin inverse en annonçant une version Intel de son Galaxy Book S.

Cet ultraportable n'était jusqu'à maintenant proposé qu'avec un processeur ARM fabriqué par Qualcomm. Sa grande force était son autonomie, jusqu'à 23h.

Il sera donc prochainement commercialisé avec un processeur Intel. Ce n'est pas un processeur usuel, mais une vraie révolution pour la société qui n'avait que peu fait évoluer ses produits depuis fort longtemps.

Le processeur Lakefield est en effet une puce hybride composée, comme les puces ARM, de plusieurs couches.

On trouve ainsi empilées des couches de DRAM, une couche contenant 4 cœurs ATOM (basse consommation) et une contenant un cœur puissant Sunny Cove et la partie graphique. Le tout est gravé en 10nm.

Intel reprend donc ce qui a fait le succès des puces ARM récentes, mixer cœurs basse consommation et hautes performances pour assurer une autonomie maximale en usage courant tout en permettant des usages plus sérieux quand le besoin s'en fait sentir.

On attend maintenant avec impatience les premiers tests de ce processeur pour savoir si Intel va pouvoir revenir dans la course et surtout éviter la fuite des fabricants d'ultraportables vers ARM.

À partir d’avant-hierMacBidouille

Twitter part en guerre contre Donald Trump

Comme vous le savez certainement, Donald Trump, président américain, fait passer nombre de ses messages politiques via Twitter ou encore Facebook.
Cette méthode peu orthodoxe lui a valu nombre de critiques qui ne l'empêchent pas de continuer alors même qu'il accuse les médias sociaux américains de s'être ligués contre lui.

Twitter a pris ces derniers temps une décision qui va exacerber la confrontation avec le président. Le site a étiqueté deux de ses récents tweets sous le coup d'un "avis d'intérêt public". Dans ce cas, les tweets ne sont pas censurés mais masqués à moins que l'utilisateur ne décide volontairement de l'afficher.
Facebook de son côté n'a pas pris une telle décision.
Donald Trump, devant la décision de Twitter, a signé un décret présidentiel à ce sujet.

Bien entendu, tout est compliqué dans ce genre de cas. Est-ce qu'un président doit avoir plus de droits sur les réseaux sociaux qu'un citoyen lambda ?
Voilà une question que l'on aurait pu poser au bac.

Apple poursuivie par le frère de Pablo Escobar

BGR rapporte que le frère de Pablo Escobar réclame à Apple la somme de 2,3 milliards de dollars devant la justice.
Il affirme qu'une faille de sécurité sur son iPhone X a permis à un tiers de découvrir son adresse après un échange FaceTime. Suite à cela il a été harcelé par cette personne au point de devoir déménager.
Il considère que ce déménagement forcé lui a provoqué un énorme préjudice qu'il compte récupérer.

Voilà de quoi retrouver le sourire dans une période qui ne s'y est guère prêtée.

Apple se paye la startup Inductiv Inc.

Bloomberg rapport qu'Apple a racheté la startup Inductiv Inc. La société est spécialisée dans les systèmes experts d'apprentissage automatique en particulier pour la correction automatique d'erreurs.
Les équipes de la société auraient été déployées dans plusieurs services d'Apple. Une bonne partie a certainement rejoint les équipes travaillant sur Siri.

ARM révèle le Mali-G78, certainement la base du futur Mac sans Intel

ARM a révélé ses nouveaux designs de processeurs. Parmi eux, le Mali-G78.

Cette puce peut avoir jusqu'à 24 coeurs, le double de ce que proposait ARM jusqu'à maintenant.

C'est certainement ce qu'il faudra à Apple pour proposer un ordinateur portable capable de convaincre les utilisateurs de laisser tomber Intel.

ARM révèle le Mali-G78, certaine la base du futur Mac sans Intel

ARM a révélé ses nouveaux designs de processeurs. Parmi eux, le Mali-G78.

Cette puce peut avoir jusqu'à 24 coeurs, le double de ce que proposait ARM jusqu'à maintenant.

C'est certainement ce qu'il faudra à Apple pour proposer un ordinateur portable capable de convaincre les utilisateurs de laisser tomber Intel.

Catalina 10.15.5 disponible

Apple propose l'installation de Catalina 10.15.5.

Le changement le plus notable reste la nouvelle gestion de la batterie qui s'adapte aux usages pour en augmenter la durée de vie. Ainsi, une machine passant l'essentiel de son temps branchée ne verra plus son niveau de charge rester constamment à 100%. Il pourra varier à la marge de quelques % en moins pour ne pas l'user.
La fonction peut être désactivée.

Pour en savoir plus à son sujet:
https://support.apple.com/fr-fr/HT211094

Nouveaux iPhone, problèmes anciens

Emmanuel nous a envoyé ces photos d'un iPhone 11 acheté à la toute fin 2019.

Comme vous l'aurez compris, tant nous avons déjà montré par le passé de telles photos, la batterie de l'iPhone a gonflé au point de déformer totalement l'appareil. Il y a eu des signes précurseurs, des taches sur l'écran liées à la surpression.

Bien entendu, la batterie sera échangée sous garantie, mais cela prouve que ces problèmes sont devenus des banalités auxquelles il faut s'attendre un jour ou l'autre.

Un jailbreak universel serait bientôt disponible

La team unc0ver a annoncé l'arrivée prochaine d'un système universel pour jailbreaker les iPhone.

Tous les iPhone seraient concernées, à cause d'une faille découverte dans le noyau d'iOS et pas comblée, même par la récente 13.5.

Pour Apple, c'est une nouvelle mauvaise nouvelle après la faille impossible à combler concernant l'essentiel des iPhone jusqu'au X.
Pouvoir jailbreaker un iPhone ou un iPad permet non seulement d'installer des applications non autorisées, mais surtout de pouvoir aller fureter dans le contenu des appareils que ce soit légalement ou pas.

[MàJ] Il est disponible. A faire bien entendu à vos risques et périls :
https://unc0ver.dev

Samsung lance un capteur photo Isocell de 50 millions de pixels

En février dernier, Samsung avait annoncé un nouveau capteur photo doté de 108 millions de pixels. Ce capteur utilisait une configuration appelée Nonacell permettant de capter assez de lumière malgré une taille de photosites très réduite.


Visiblement tout n'était pas parfait, en particulier la lenteur du système de mise au point associé à ces capteurs.

La société a donc revu sa copie et propose maintenant un nouveau capteur Isocell doté de "seulement" 50 millions de pixels. La taille de chacun passe de 0,8 µm à 1,2 µm. Il pourra, en faible luminosité, créer des groupes de capteurs de 2,4 µm donnant des images de 12,5 millions de points.
Un système logiciel lui permettra également de créer des images de 100 millions de pixels par déduction de points intermédiaires.

Bref, l'industrie cherche le moyen de pousser au maximum ce dont est capable un capteur intégré dans un smartphone avec des contraintes très fortes de volume.

Apple travaillerait à une version Catalyst de son application Messages

Apple pousse en avant sa technologie Catalyst, qui permet de développer simultanément des applications iOS, iPadOS et macOS.
Selon 9to5Mac, la société utilise activement cet outil pour la prochaine application Messages qui sortira dans un avenir proche.
Le but sera d'avoir exactement la même expérience utilisateur sur un Mac, un iPhone et un iPad.

Un jailbreak universel serait bientôt disponible

La team unc0ver a annoncé l'arrivée prochaine d'un système universel pour jailbreaker les iPhone.

Tous les iPhone seraient concernées, à cause d'une faille découverte dans le noyau d'iOS et pas comblée, même par la récente 13.5.

Pour Apple, c'est une nouvelle mauvaise nouvelle après la faille impossible à combler concernant l'essentiel des iPhone jusqu'au X.
Pouvoir jailbreaker un iPhone ou un iPad permet non seulement d'installer des applications non autorisées, mais surtout de pouvoir aller fureter dans le contenu des appareils que ce soit légalement ou pas.

Au tour d'easyJet de se faire dérober des données

Voici un message envoyé par easyJet à ses clients:

Chère cliente, cher client,

Je souhaitais vous écrire personnellement au sujet d'un incident récent de cybersécurité chez easyJet.

Comme vous le savez probablement, le 19 mai 2020, nous avons annoncé que nous avons été la cible d'une attaque hautement sophistiquée. Dès que nous avons eu connaissance de l'incident, nous avons immédiatement pris des mesures pour gérer et répondre à l'attaque, tout en fermant l'accès non autorisé. Nous avons engagé de grands experts forensiques pour enquêter sur la question et avons également informé le Centre National de Cybersécurité anglais ainsi que le Bureau du Commissaire à l'Information (ICO).

Notre enquête a révélé que votre nom, votre adresse électronique et vos coordonnées de voyage pour les réservations de vols ou d’easyJet Holidays effectuées entre le 17 octobre 2019 et le 4 mars 2020 ont été consultés. Les données de votre passeport et vos coordonnées bancaires n'ont pas été consultées. En revanche, le lieu d’origine et la destination de votre voyage, la date de départ, le numéro de réservation, la date de la réservation ainsi que le montant de la réservation ont été consultés.

Nous sommes sincèrement navrés que cela se soit produit.

Veuillez être particulièrement vigilant face aux e-mails malveillants de type phishing.

Rien ne n’indique que des informations personnelles, quelles qu'elles soient, aient été utilisées à mauvais escient, mais soyez particulièrement vigilant si vous recevez des communications non sollicitées, surtout si elles prétendent provenir d'easyJet ou d’easyJet Holidays. Veuillez noter que nous ne vous contacterons jamais pour vous demander les détails de votre compte ou d’autres informations de sécurité, et que nous ne vous demanderons jamais de divulguer vos mots de passe, ou de changer vos mots de passe sur votre compte easyJet.

Vous n'avez pas besoin de faire autre chose que de continuer à être vigilant comme vous le seriez normalement, surtout en ce qui concerne les communications non sollicitées. Pour assurer votre sécurité en ligne, n'oubliez pas :

– N'ouvrez pas les e-mails ou les pièces jointes si vous avez des doutes sur leurs sources ;
– Assurez-vous de savoir à qui vous avez affaire avant de divulguer des informations personnelles en ligne ;
– Vérifiez toujours que les liens sont authentiques avant de cliquer dessus – vous pouvez le faire en survolant le lien pour voir si la source est reconnaissable. Ne cliquez sur aucun lien si vous n'êtes pas sûr.

L'ICO dispose d'informations très utiles sur son site web, notamment un article sur le phishing publié le 31 mars 2020 intitulé « Gardez une longueur d’avance sur les fraudeurs » (Stay One Step Ahead of the Scammers). Le Centre National de Cybersécurité anglais dispose également de conseils utiles, dont un article intitulé « Attaques de phishing : traitement des e-mails et messages suspects » (Phishing attacks : dealing with suspicious emails and messages).

Vous trouverez plus d'informations sur cet incident de cybersécurité sur notre site web. En outre, si vous avez d'autres questions, veuillez nous envoyer un e-mail à l'adresse suivante : infoalert@easyjet.com.

Encore une fois, nous sommes sincèrement navrés que cette attaque ait eu lieu. Nous prenons la sécurité des informations de nos clients très au sérieux, et nous continuerons à prendre toutes les mesures nécessaires pour les protéger contre toute attaque future.

Je vous prie d'agréer l'expression de mes sentiments distingués.

Pour la petite histoire, EasyJet n'a toujours pas remboursé les vols annulés sur la période de confinement, ce qui est donc une double peine pour ses clients.

Pride 2020 : Apple sort deux nouveaux bracelets pour Apple Watch

À l'occasion de la saison des Fiertés, Apple a sorti deux nouveaux bracelets pour Apple Watch. Le premier est un bracelet sport, assez voyant, et le second est un bracelet sport Nike, plus discret.

Ils sont tout deux disponibles sur le site d'Apple pour le même prix que les bracelets de la gamme sport classiques, à savoir 49€.

Sortie d'iOS 13.5

Une nouvelle mise à jour d'iOS vient tout juste de sortir : iOS 13.5. Entre autres, cette mise à jour vous sera très utile si vous portez un masque et tentez de déverrouiller votre iPhone avec Face ID : l'option pour taper le code apparaîtra bien plus rapidement, vous faisant ainsi gagner de précieuses secondes.





Apple aux manoeuvres pour enrichir son offre Apple TV+

Apple a fort à faire face à la concurrence avec son service Apple TV+. N'ayant que peu de programmes originaux, elle est partie à la chasse aux contenus.
Pour commencer, elle cherche à obtenir des droits sur des fonds de catalogues, des films anciens ayant eu du succès à leur sortie. Les droits ne sont pas trop élevés et permettent d'étoffer l'offre à moindres frais.
Dans le même temps elle cherche à obtenir des exclusivités comme le dernier film avec Tom Hank, Greyhound, dont une exclusivité temporaire lui coûterait 70 millions de dollars.

Le chemin pour revenir sur Netflix ou Disney est encore très long.

Un nombre considérable d'appareils ont une vulnérabilité Bluetooth

Des chercheurs en sécurité ont découvert une faille dans le système d'authentification du Bluetooth.
La faille, facile à exploiter avec un matériel peu coûteux comme un Raspberry Pi, permet de se faire passer pour un appareil maître face à un périphérique ou esclave face à l'appareil maître. On peut ainsi, par exemple, récupérer les données frappées sur un clavier ou appairer un casque sans fil à un smartphone.
Voici une vidéo de démonstration.

Elle concerne chez Apple tous les ordinateurs de 2017 et antérieurs, tous les iPhone 8 et antérieurs ainsi que les iPad 2018 et antérieurs. Elle est aussi présente sur la plupart des appareils électroniques produits à la même époque chez les autres fabricants.

Le seul moyen de s'en protéger pour le moment est d'oublier un périphérique chaque fois que l'on a fini de l'utiliser et de refaire un appairage en cas de besoin.

TSMC confirme la création d'une usine aux Etats-Unis

La rumeur courait depuis un moment, TSMC vient de la confirmer.
La société va implanter une usine de production de puces aux Etats-Unis, en Arizona.
Le démarrage du chantier est prévu pour 2021 et la production devrait démarrer en 2024. TSMC dépensera pour cette usine 12 milliards de dollars entre 2021 et 2029.
L'usine sera capable de graver 20 000 galettes de silicium en 5nm par mois.
TSMC créera à cette occasion 1600 emplois.

Voilà qui devrait faire plaisir au président américain et certainement aussi à Apple qui pourra ainsi augmenter le nombre d'emplois américains auxquels elle participe indirectement.

Ralentissement de ses iPhone: Apple pourrait payer un demi milliard de dollars

Aux Etats-Unis, Apple fait face à une action en recours collectif pour avoir décidé sans en informer ses clients de ralentir le fonctionnement de ses iPhone pour ne pas surcharger leur batterie défaillante.
Une proposition va être soumise au juge. Elle propose de verser à chaque client concerné la somme de 25 dollars.
Ce n'est pas énorme mais cela fera une addition totale allant de 310 à 500 millions de dollars.

Ce n'est pas cher payer pour se débarrasser une fois pour toute de la mauvaise presse liée à cette affaire.

[MàJ] L'affaire avance, et la justice devrait entériner prochainement cet accord.

Foxconn annonce ses plus mauvais résultats en 20 ans

Foxconn a dévoilé ses résultats du dernier trimestre échu. Entre fermetures de ses sites et baisses de commandes, la société a enregistré un recul de son bénéfice de 90%, le pire depuis 20 ans.
La société attribue pour l'essentiel cette contre-performance à la chute vertigineuse des commandes d'assemblage de smartphones.
La société espère une stabilisation de ses résultats au prochain trimestre mais n'espère pas retrouver les niveaux précédant la crise avant longtemps.
Elle espère s'en tirer grâce à la forte demande d'ordinateurs, liée elle aussi à la crise et à la généralisation du télétravail.

Foxconn annoncé les plus mauvais résultats en 20 ans

Foxconn a dévoilé ses résultats du dernier trimestre échu. Entre fermetures de ses sites et baisses de commandes, la société a enregistré un recul de son bénéfice de 90%, le pire depuis 20 ans.
La société attribue pour l'essentiel cette contre-performance à la chute vertigineuse des commandes d'assemblage de smartphones.
La société espère une stabilisation de ses résultats au prochain trimestre mais n'espère pas retrouver les niveaux précédant la crise avant longtemps.
Elle espère s'en tirer grâce à la forte demande d'ordinateurs liée elle aussi à la crise et à la généralisation du télétravail.

Des failles majeures d'Acrobat viennent d'être comblées

Adobe vient de mettre à jour Acrobat DC. Cette nouvelle version comble trois failles majeures, qui permettaient sous Mac OS de contourner le SIP et ainsi permettre l'accès à toute la machine.
Ceci était lié à une erreur d'Adobe qui faisait tourner un de ses process avec des droits root, donc en dehors de la SandBox.
La mise à jour remet tous les process d'Acrobat dans le bac à sable et devrait éviter ce genre de débordement.

Trump menace de taxer les produits fabriqués en dehors des Etats-Unis

Dans une interview donnée à Fox Business, le président américain a annoncé son intention de taxer tous les produits provenant de Chine, sans exception.
Cela concernerait donc tous les produits vendus par Apple, qui sont nommément cités.

La pression monte donc sur Apple dans un contexte de vives tensions avec la Chine, exacerbées par l'épidémie de Covid.

Pendant ce temps, TSMC négocie l'implantation d'une usine aux Etats-Unis.

Des failles majeures d'Acrobat vient d'être comblées

Adobe vient de mettre à jour Acrobat DC. Cette nouvelle version comble des failles majeures, trois, qui permettaient sous Mac OS de contourner le SIP et permettre l'accès à toute la machine.
Ceci était lié à une erreur d'Adobe qui faisait tourner un de ses process avec des droits root, donc en dehors de la SandBox.
La mise à jour remet tous les process d'Acrobat dans le bac à sable et devrait éviter ce genre de débordement.

Apple planifie le retour au bureau de ses salariés

Comme nombre d'entreprises dans le monde, Apple a réduit au maximum le nombre de salariés présents dans ses locaux.
Bloomberg rapporte que la société commence à planifier le retour de ses employés au bureau, y compris dans son immense Apple Park.
Cela va se faire progressivement et par étapes. Pour commencer, sans surprise, ce sont ceux pour qui le télétravail n'est pas possible qui retourneront au travail. Cela concerne surtout les ingénieurs et techniciens de R&D qui travaillent dans des laboratoires très protégés.

Comme partout, le port du masque et la distanciation sociale seront de mise.

Nouvelle charrette de Mac obsolètes chez Apple

Apple a ajouté de nombreux Mac à sa liste de produits obsolètes. Cela concerne les MacBook Air 11" et 13" de mi-2013 et début 2014 ainsi que le MacBook Pro mi-2014.
Il ne sera donc plus possible de les faire réparer, et surtout de faire changer leurs batteries.
C'est aussi le cas des iPod Touch de 5e génération sortis en 2012.

Intel réagit officiellement aux failles Thunderbolt

Intel a officiellement réagi aux failles Thunderbolt dont nous vous parlions hier.

En 2019, les principaux systèmes d'exploitation ont mis en œuvre la protection DMA (Kernel Direct Memory Access) pour atténuer de telles attaques. Cela inclut Windows (Windows 10 1803 RS4 et versions ultérieures), Linux (noyau 5.x et versions ultérieures) et MacOS (MacOS 10.12.4 et versions ultérieures). Les chercheurs n'ont pas démontré d'attaques DMA réussies contre des systèmes avec ces atténuations activées. Veuillez vérifier auprès du fabricant de votre système pour déterminer si votre système intègre ces atténuations. Pour tous les systèmes, nous vous recommandons de suivre les pratiques de sécurité standard, y compris l'utilisation de seuls périphériques de confiance et d'empêcher l'accès physique non autorisé aux ordinateurs.

C'est un grand moment d'anthologie, comme le sont souvent ces communiqués.
En gros, oui il y a des failles. Elles sont heureusement atténuées par le système d'exploitation. Non, il n'y a pas de preuves qu'elles soient exploitables, mais ne laissez pas votre ordinateur hors de vue et n'y connectez rien d'étranger...

Des failles majeures découvertes dans le Thunderbolt

Sept failles de sécurité ont été découvertes dans le protocole Thunderbolt.
En voici le détail:

1: Système de vérification du firmware inadéquat
2: Système d'authentification de périphérique faible
3: Utilisation de métadonnées d'appareil non authentifiées
4: Attaque de rétrogradation utilisant la compatibilité descendante
5: Utilisation de configurations de contrôleur non authentifiées
6: Défauts de l'interface flash SPI
7: Pas de sécurité Thunderbolt sur Boot Camp

Ces failles sont liées au matériel Thunderbolt fourni par Intel. Elles ont visiblement été atténuées en partie par MacOS, ce qui explique la plus grande vulnérabilité sous Windows.

Sans rentrer dans des détails rébarbatifs, tout ceci permet une attaque en règle du Mac si l'on y a accès et donc un accès aux données.
On ignore comment Apple va gérer cela sachant que cela concerne tous les Mac dotés de Thunderbolt depuis sa première version.

[MàJ] Il semble bel et bien que seul un changement au niveau du design des puces d'Intel puisse définitivement circonscrire cette faille.

❌