Twilio a publié une alerte après la découverte d'une intrusion dans son service. Plusieurs millions de numéros de téléphone d'utilisateurs de son app Authy ont été dérobés.

Authy est un utilitaire populaire sur iOS et Android pour générer des codes d'authentification à double facteur pour les principaux services du web. Si par exemple vous avez besoin d'un code pour confirmer votre connexion à Google, Dropbox ou Amazon et qu'il tarde à vous être envoyé, Authy, qui s'interface avec ces services, peut en donner un.

Son éditeur, Twilio, un gros acteur des services de messageries et d'outils de gestion de clientèle pour les entreprises a publié un avertissement après la découverte d'une intrusion. Les pirates ont pu récupérer 33 millions de numéros de téléphone associés à des comptes créés pour Authy. Une mise à jour de l'app pour iOS (v26.1.0) et Android (v25.1.0) a été mise en ligne il y a quelques jours — leurs notes de version sont génériques et n'indiquent pas la raison de ces versions.

Il ne s'agit que de numéros de téléphone, mais puisqu'il est établi qu'ils sont liés au service de Twilio, cela peut permettre à ceux qui les ont dérobés de fabriquer une campagne de phishing beaucoup plus ciblée.

5 grands groupes américains, emmenés par Netflix, ont fait plus de la moitié du trafic enregistré par les fournisseurs d'accès internet en France l'an dernier. L'Autorité de régulation des communications électroniques, des Postes et de la distribution de la Presse a publié son édition 2024 de l'état de l'internet en France avec une somme de chiffres, d'analyses et de tendances sur l'année 2023.

Parmi ces observations il y a la décomposition de l'origine du trafic enregistré par les principaux fournisseurs d'accès. Cinq grands acteurs s'arrogent plus de la majorité — 53 % — de cette circulation entrante de données. Tous Américains, avec Netflix loin devant ses compatriotes.

Le service de streaming a compté pour 15,3 % du total, suivi par Akamai (12,3 %, sous-traitant en distribution de contenus de gros clients), Google (9,8 %), Meta (6,8 %) et Amazon (6,4 % auxquels on pourrait ajouter les 2,1 % de sa filiale Twitch). Pour la plupart de ces leaders en volume de données, la part a baissé en un an : Meta (-1,3 points), Google (-0,8 point), Amazon (-0,6 point). Netflix accuse le recul le plus important puisqu'il frôlait les 20 % en 2022 (avec 19,7 % à l'époque, il cède 4,4 points).

Ces tendances à la baisse peuvent s'expliquer, au moins partiellement par le recours à des serveurs-cache comme ceux d'Akamai qui a gagné 3 points. L'Arcep note au passage une augmentation de 100 % en deux ans pour ByteDance, la maison-mère de TikTok (1,1 % sur 2023). Apple apparaît sur le radar avec 1,2 %.

Canal+ ne fait que 2,6 % et Disney+ 0,4 %. Mais ces services, comme ceux des chaines de télévision françaises, s'appuient très fortement sur des tiers pour l'acheminement de leurs données. Le pourcentage donné ne correspond pas forcément à leur poids réel.

Une autre donnée toujours intéressante, alors que les FAI ont lancé tout récemment de nouveaux forfaits bien lestés en DATA, est la consommation moyenne mensuelle par carte SIM. Au dernier trimestre 2023, dernière mesure en date, elle avait atteint 14,9 Go. Une progression de 1,6 Go en un an. Et sur les 83 millions de SIM en service à ce moment-là, 16,8 % servaient à un accès à la 5G.

Forfaits : Sosh gonfle sa 4G, les autres poussent sur la 5G 

Le délai pour la réception d'un Vision Pro a commencé à s'étirer en France. Pour les 3 capacités de stockage — 256 Go, 512 Go et 1 To — un Vision Pro précommandé aujourd'hui sera réceptionné par son acheteur entre le 19 et le 22 juillet. C'est un décalage d'une semaine à 10 jours sur le calendrier initial qui n'avait pas bougé durant les 4 ou 5 jours qui ont suivi l'ouverture des précommandes.

Parmi les accessoires du Vision Pro, la batterie externe a maintenant une date de livraison pour le mardi 16 juillet. Elle est incluse avec le casque mais on peut en vouloir un second exemplaire pour aller au-delà des 2h à 2h30 d'autonomie.

Pour être certain maintenant d'avoir son casque le 12 juillet avec les autres premiers clients, il faut demander un retrait l'un des 20 Apple Store de l'Hexagone. On peut y obtenir en même temps sa paire d'inserts optiques. Ce sera l'occasion aussi d'avoir une démonstration de visionOS (lire aussi Test des inserts YouZee Clip-In : pour le Vision Pro, mais pas que). Une mise en bouche à laquelle tout un chacun peut s'inscrire même sans volonté d'acheter le produit. Cela permettra de découvrir concrètement ce qu'Apple entend par son "informatique spatiale".

Vision Pro : Apple aurait légèrement revu le programme de la démo en Apple Store

Apple n'a jamais communiqué sur les ventes américaines du Vision Pro, même lors de la WWDC où les développeurs étaient invités à redoubler d'ardeur pour réaliser des apps adaptées. Mais cela fait de nombreuses années que les chiffres de vente par produit ne font plus l'objet d'une communication officielle. L'époque est bien révolue où la Pomme se félicitait, un peu plus de deux mois après la sortie du premier iPhone, d'en avoir déjà écoulé 1 million.

Apple a procédé à une augmentation générale sur le prix de tous ses iPhone en France. Fini les chiffres ronds, de la dernière gamme des iPhone 15 et 15 Pro au vieux SE, tous ont pris — un peu — de poids sur l'étiquette.

Ainsi, l'iPhone 15 démarre maintenant à 970,95 € au lieu de 969 €, l'iPhone 15 Pro coûte 1 230,95 € contre 1 229 € à son lancement. L'iPhone SE, qui n'était plus tout intéressant depuis longtemps à 529 € s'enfonce encore en augmentant à 532,95 €. Quant à l'iPhone 14 qui est resté au catalogue, ses 869 € se sont transformés en 872,95 €. Même en montant dans les capacités de stockage sur les modèles haut de gamme, les écarts de prix restent de cet ordre.

Test du Pixel 8a : à quand un iPhone SE aussi bon ?

Ce changement de prix s'inscrit dans le cadre de la loi AGEC (Anti-gaspillage pour une économie circulaire) qui fixe une contribution pour les acteurs de certaines filières. Sur les téléphones portables, cela répond à l'instauration du fonds réparation et la prise en charge de la casse écran. L'éco-contribution pour ces fabricants est passée de 0,02 € à 1,67 € H.T depuis le 1er juillet. Les autres matériels informatiques ne sont pas visés par cette augmentation programmée.

QualiRépar : un « bonus réparation » de 25 € pour faire rafistoler votre smartphone chez un professionnel

Netflix a commencé à pousser les abonnés à sa défunte formule sans pub à tarif réduit vers ses autres offres plus chères ou avec de la pub. Ces derniers jours, des utilisateurs aux États-Unis et au Royaume-Uni ont commencé à voir apparaître un message sur Netflix qui les enjoint à choisir une nouvelle offre d'abonnement. Il s'agit plus d'une sommation que d'une invitation.

Celle qu'ils utilisaient jusque-là, la "Basic" (ou "Essentiel" en France où elle coûtait 10,99 €) a été retirée. Il n'a pas d'autre choix que de souscrire à une autre ou de quitter le service — le délai de réflexion n'est que de quelques jours. Netflix avait prévenu en janvier de cette prochaine évolution. En France, la formule en question avait disparu de la grille en décembre. Mais il semblait que ses clients pourraient continuer à en profiter jusqu'à ce qu'ils résilient ou qu'ils changent d'offre. Que cela restait à leur initiative. En définitive, c'est bien Netflix qui coupe l'image.

Les États-Unis et le Royaume-Uni étaient les deux pays qui devaient ouvrir le bal avant que les autres ne suivent. Tous ceux du moins où existe la formule de base avec de la publicité. Car c'est bien là l'objectif, faire migrer les clients vers des forfaits payants plus chers (13,49 € et 19,99 €) ou les faire se rabattre sur l'offre d'entrée de gamme avec ses coupures pub (5,99 €).

Netflix mise fortement sur cette dernière qui est passée en un an de 5 millions à 40 millions d'inscrits. Pour le service elle assure deux sources de revenus : ceux de l'abonnement et ceux des annonceurs. Elle a été améliorée dans ses prestations, avec du 1080p, la lecture et le téléchargement sur 2 appareils alors que l'abonnement Essentiel restait en 720p et un seul appareil pour l'utilisation. Elle était devenue, de facto, peu compétitive.

Netflix réfléchit à une formule gratuite

Netflix va arrêter les abonnements Essentiel existants pris sur l’App Store dans tous les pays

Trois millions d'apps iOS et macOS ont été exposées pendant plus de dix ans à des risques de piratage potentiellement sérieux. Rien n'indique que les trois vulnérabilités découvertes par E.V.A Information Security ont été exploitées, mais comme le résument ses chercheurs : « L’absence de preuve n’est pas la preuve de l’absence ». Surtout lorsque le problème a touché un service très populaire dans la communauté des développeurs Apple pendant aussi longtemps.

Le fautif est CocoaPods, un service communautaire lancé en 2011 pour aider les développeurs à gérer les dépendances de leurs applications à des librairies externes. Diverses et variées, ils en utilisent, parfois en nombre, dans leurs projets. Des modules tiers, en open source, qui évitent de réinventer la roue lorsqu'on a besoin d'une fonction courante ou d'une plus spécialisée et hors de ses compétences. CocoaPods s'occupe par exemple de mettre à jour automatiquement ces librairies tierces dans un projet lorsque leurs auteurs ont publié de nouvelles versions. CocoaPods revendique plus de 3 millions d'apps qui ont utilisé ses services via leurs développeurs.

Développeurs : CocoaPods 1.0 est disponible

Ces failles ont fait courir le risque d'un détournement du contenu et du rôle de ces librairies. Porteuses de code piraté, elles auraient pu ouvrir l'accès à des données sensibles dans les apps utilisées par tout un chacun et donner lieu à des tentatives de chantage, de menace ou au vol d'informations, suggère E.V.A Information Security.

Ces vulnérabilités découlaient d'un défaut dans l'identification des développeurs qui mettent à disposition leurs librairies. Pour la première, le lien que recevait le titulaire d'un compte chez CocoaPods pour accéder à son espace (ou "pod") pouvait être manipulé. L'URL ainsi bricolée l'aurait renvoyé à son insu vers un autre serveur étranger à CocoaPods où se seraient trouvées des librairies copiées et altérées.

La seconde faille permettait de prendre le contrôle d'un pod laissé en déshérence par son propriétaire, mais dont les librairies stockées étaient toujours liées à des projets actifs. Il y avait un moyen d'accéder à ce compte pour le réactiver, sans devoir fournir une preuve d'identité. Enfin, la troisième vulnérabilité était au niveau du serveur, dans le mécanisme prévu pour vérifier que les adresses électroniques des développeurs qui distribuent leurs librairies respectent un format standard. Il était possible de passer outre et de forcer le serveur à donner un accès à ses commandes shell. De quoi en profiter ensuite pour berner les développeurs en les dirigeant vers d'autres adresses.

Ces failles ont toutes été corrigées en octobre dernier. Les développeurs de CocoaPods ont confirmé que les scénarios proposés par les chercheurs sur les risques qu'elles faisaient peser étaient réalistes. Sans pouvoir confirmer que personne ne s'est aperçu de ces problèmes et n'en a pas tiré profit.