Un peu plus, un peu moins

L’opérateur américain prévient actuellement ses clients d’une gigantesque fuite de données. Contrairement à celle d’avril, les données n’ont pas été volées sur ses propres serveurs, mais ceux de la société Snowflake, qui analysait les informations fournies par AT&T.

Dans un message fraichement publié par AT&T, on apprend que de nombreuses données de clients ont été « illégalement téléchargées » depuis un espace de travail sur « une plateforme cloud tierce ». L’opérateur envoie depuis hier des emails aux clients pour les prévenir de la fuite. La SEC (Securities and Exchange Commission) a également été informée.

Une avalanche de métadonnées

Les informations dérobées sont essentiellement des métadonnées datant de mai à octobre 2022, bien que certaines datent du 2 janvier 2023. Rien de plus récent ne semble avoir fuité. Le contenu des appels et SMS n’est pas concerné. Cependant, les métadonnées sont précises :

« Ces enregistrements identifient d’autres numéros de téléphone avec lesquels un numéro de téléphone sans fil AT&T a interagi pendant cette période, y compris des clients de lignes terrestres AT&T (téléphone à domicile). Pour un sous-ensemble d’enregistrements, un ou plusieurs numéros d’identification de site cellulaire associés aux interactions sont également inclus. »

En d’autres termes, les informations permettent de savoir quel client AT&T a téléphoné à qui et combien de temps, et parfois dans quelle zone. Même chose pour les SMS. En revanche, les métadonnées ne contiennent pas les horodatages, que ce soit pour les appels ou les SMS.

La fuite est donc moins « grave » que celle révélée début avril. Pour rappel, des informations personnelles, dont des numéros de sécurité sociale, avaient été dérobés pour 70 millions de clients.

• NextAT&T s’est fait dérober des données de 73 millions de clients – Next

AT&T avait réinitialisé les codes d’accès de toutes les personnes concernées. Cette fois, même s’il n’y a pas à proprement parler de données sensibles, c’est la quasi-totalité des clients de l’opérateur qui sont concernés, soit 110 millions de personnes.

« Bien que les données ne contiennent pas les noms des clients, il est souvent possible de trouver un nom associé à un numéro de téléphone à l’aide d’outils en ligne accessibles au public », avertit tout de même l’opérateur.

Des données volées chez un prestataire

AT&T ne le précise pas dans son annonce, mais l’a confirmé à TechCrunch : la plateforme appartient à Snowflake. Il y a un mois environ, Mandiant avait prévenu qu’un « volume significatif de données » avait été dérobé à l’entreprise au début du printemps. Là encore, un responsable d’AT&T a confirmé à nos confrères que les informations des clients de l’opérateur en faisaient partie. En tout, 165 entreprises clientes avaient été concernées, dont TicketMaster.

Snowflake s’est fait une spécialité de l’analyse d’énormes quantités de données dans son cloud. AT&T n’a cependant pas indiqué pourquoi les données des clients y étaient et n’a pas souhaité s’exprimer sur le sujet.

L’opérateur dit avoir été informé de la fuite le 19 avril. Depuis cette date, il collabore avec les forces de l’ordre pour en retrouver les auteurs. « Au moins une personne » aurait été appréhendée, sans plus de détails. Tout juste sait-on qu’elle n’est pas employée chez AT&T. Le FBI, vers qui l’opérateur renvoyait pour les questions à ce sujet, n’a pas fait de commentaire.

Le support de la version classique de Firefox pour les deux anciens systèmes s’est terminé il y a un an environ avec la sortie de Firefox 115. C’était également le cas pour les versions 10.12, 10.13 et 10.14 de macOS.

Mozilla avait alors prévenu que pour ces plateformes, Firefox 115 ESR (Extended Support Release) restait disponible. Le support devait se poursuivre sur toute la durée de vie de cette version, à savoir au moins jusqu’au troisième trimestre 2024.

Cependant, Mozilla a révisé ses plans. Lors d’une session AMA (ask me anything) le 13 juin, les responsables de l’équipe Firefox ont glissé qu’ils souhaitaient étendre la durée du support pour Windows 7, 8 et 8.1. Depuis, Mozilla ne s’est pas exprimée sur le sujet.

Nous avons interrogé l’éditeur, qui a confirmé cette intention : oui, le support sera bien étendu pour les trois anciens Windows. En revanche, pas d’informations plus concrètes, notamment pendant combien de temps. On ignore si les trois anciens macOS seront concernés.

Mozilla a ajouté qu’une communication officielle sera faite quand les décisions auront été prises.

Si l’on en croit StatCounter, les parts de Windows 7 et 8 sont aujourd’hui minimales, avec moins de 3 % pour Windows 7 et à peine 0,36 % pour Windows 8. Windows 10 est toujours sur la première marche du podium avec 66,04 % des installations Windows. La version 11 atteint 29,75 %. Rappelons que ces systèmes ne sont plus supportés par Microsoft et que leur utilisation est dangereuse.

Spotify fait partie des services qui n’ont jamais cru bon jusqu’à présent d’ajouter des facteurs multiples à l’authentification. Il s’agit pourtant aujourd’hui d’un élément fondamental de sécurité, permettant d’éviter l’usurpation simple d’un compte par le vol des identifiants.

Comme on peut le voir sur Reddit (ici et là), des internautes se voient demander un code à six chiffres envoyé par email en cas de nouvelle connexion. Cependant, bien que la mesure soit appréciable, l’implémentation actuelle est étrange.

Selon les témoignages, la demande du code n’est ainsi pas systématique. En outre, la fonction a été imposée : aucune option n’a été activée, et aucune ne permet de l’enlever. Enfin, et surtout, l’email est la seule méthode fournie pour réaliser l’authentification à deux facteurs. Un constat d’autant plus curieux que cette dernière est proposée depuis longtemps aux artistes, avec plusieurs méthodes possibles, dont les applications TOTP (de type Authenticator).

Nous avons demandé des précisions à Spotify et mettrons à jour cette actualité si l’entreprise nous répond.

Un plan (presque) sans accroc

Dans le bras de fer qui oppose actuellement Apple à l’Europe, une détente vient de se produire. La Commission européenne reprochait à Apple un abus de position dominante sur le NFC des iPhone. Face aux propositions de l’entreprise, la Commission a accepté, sous réserve de contrôles réguliers.

Depuis plusieurs années maintenant, la Commission européenne reproche à Apple d’abuser de sa position dominante dans la manière dont les iPhone communiquent via NFC. Les accès tiers sont rares, et aucun n’est accordé pour tout ce qui touche aux paiements. Il faut passer par Apple Pay via des cartes bancaires ajoutées dans l’application Cartes.

La Commission, comme toujours après avoir communiqué ses griefs, avait laissé à Apple une chance de corriger le tir. Une première série de propositions a été envoyée par Cupertino en début d’année. Elles ont globalement plu à la Commission. Des modifications avaient cependant été demandées. Apple a accepté, corrigé le tir et fait part de sa nouvelle copie. La Commission est cette fois pleinement satisfaite.

L’ouverture du NFC aux applications tierces

Parmi les propositions faites par Apple, la plus importante est sans conteste la permission pour les portefeuilles tiers d’accéder aux communications NFC sans passer par Apple Pay et Cartes, ni contreparties financières. Cet accès se fera en mode HCE (Host Card Emulation), qui « permet de stocker en toute sécurité les informations d’identification de paiement et d’effectuer des transactions à l’aide de la technologie NFC, sans dépendre d’un élément sécurisé intégré à l’appareil », indique la Commission.

Cet engagement a été accepté et amendé, face aux retours faits par la Commission, qui avait demandé l’avis aux entreprises concernées. Elle va donc être étendue à l’ensemble des smartphones pouvant disposer du même mode HCE. En d’autres termes, il devrait être possible de s’échanger facilement de l’argent entre un iPhone et un smartphone Android.

Apple devra publier une liste de critères « équitables, objectifs, transparents et non discriminatoires pour accorder l’accès NFC aux développeurs d’applications de portefeuilles mobiles tiers », ajoute la Commission.

Une application de paiement par défaut

Autre gros changement, il sera possible de déclarer une application de paiement par défaut. Si l’on est client, par exemple, d’une banque incompatible avec Apple Pay, une mise à jour de l’application correspondante permettra de la déclarer comme effectuant les paiements.

Une modification importante, car l’application par défaut obtiendra du même coup l’accès au précieux geste pour appeler Apple Pay : le double appui sur le bouton d’alimentation, sur la tranche de l’iPhone. Le déclenchement de la fonction provoque une validation biométrique, avec Face ID ou Touch ID. L’application par défaut pourra également utiliser Field Detect, qui l’appellera automatiquement pour valider un achat, après validation biométrique bien sûr.

Une série d’engagements

Si ce sont les deux plus importantes promesses, Apple s’est engagée sur d’autres mesures. L’entreprise promet, par exemple, que les conditions seront appliquées uniformément à l’ensemble des développeurs établis dans l’Union européenne. Ces derniers n’auront pas à posséder de licence de prestataire de services de paiement (PSP).

Apple devra en outre suivre les évolutions de l’architecture HCE, même si Apple Pay ne devait pas ou plus les utiliser par la suite. À noter que l’entreprise a aussi « offert une indépendance et des garanties procédurales supplémentaires au mandataire chargé du suivi », signale la Commission européenne. La société devra en effet se soumettre à des audits réguliers, visant à examiner l’application de ces engagements.

Ces derniers ont une validité de dix ans. Si Apple devait rompre ses engagements, elle s’exposerait à une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial. Soit la même qu’en cas d’abus de position dominante sans mesures correctrices.

Reste à voir quand ces engagements se traduiront concrètement dans iOS.

La version initiale de FranceConnect a été lancée en 2016. Tout le monde la connait aujourd’hui. Le service peut s’activer depuis un compte Ameli, des impôts ou encore depuis une Identité Numérique La Poste. Une fois en place, un compte FranceConnect peut être utilisé pour se connecter à plus de 1 800 services en lignes, pointe la Direction interministérielle du Numérique (DiNUM).

En 2021, une version renforcée du service est apparue : FranceConnect+. Cette fois, il ne s’agit plus d’un simple compte, mais de prouver que l’on est bien la personne à l’origine de la demande, via une identité numérique. Celle-ci ne peut actuellement être obtenue que de deux manières : une Identité Numérique LaPoste ou France Identité.

La seconde vient tout juste d’être mise en ligne, après avoir été ajoutée au FranceConnect classique fin 2022. Elle s’adresse à toutes les personnes ayant à la fois l’application France Identité sur smartphone (Android ou iPhone) et la dernière version de la carte nationale d’identité, au format carte bancaire (avec puce). Comme nous l’avions indiqué à l’arrivée de l’application, c’est à ce jour la seule preuve d’identité dématérialisée reconnue en France.

Si vous remplissez les conditions, il sera encore nécessaire de faire certifier cette identité numérique en mairie. Le rendez-vous peut se prendre depuis l’application. Après quoi, France Identité pourra être utilisée pour se connecter sur un service réclamant FranceConnect+.

Plusieurs services proposés par l’État demandent cette protection supplémentaire pour pouvoir être utilisés en ligne : Mon Compte Formation (pour acheter une formation), l’accès à MaPrimeRénov’, les démarches de modification ou cessation d’entreprise sur Guichet Unique Entreprise, l’accès à son dossier médical et l’envoi de lettres recommandées électroniques. Sur le site officiel de FranceConnect, il est indiqué que de nouveaux services arriveront « prochainement ».

La dernière CNI devenant progressivement un sésame pour l’accès à certains services, nous avons demandé à France Titres si un processus de renouvellement facilité était prévu pour remplacer les anciens modèles. Aujourd’hui, la seule manière de provoquer un renouvellement de CNI est une déclaration de vol ou perte dans un commissariat. Nous mettrons à jour cette actualité quand France Titres nous aura répondu.

Yris est également prévu pour devenir un fournisseur d’identité sur FranceConnect+, mais aucun calendrier n’est précisé.

La nuit des morts-vivants

Mardi, Microsoft a corrigé une flopée de failles de sécurité. Dans le lot, deux étaient activement exploitées. L’une d’elles permettait de leurrer un utilisateur via un faux raccourci, provoquant le passage au moteur d’Internet Explorer, pourtant remisé au placard.

Le dernier bulletin mensuel de sécurité, publié mardi par Microsoft, était touffu. Un total de 143 failles étaient colmatées dans divers produits, dont Windows 10 et 11. Sur l’ensemble, 5 étaient critiques, 136 importantes et 4 modérées.

Parmi les failles importantes, deux sont activement exploitées. La première, CVE-2024-38080, permet une élévation de privilèges dans Hyper-V. Son score CVSS 3.1 est de 7,8/10. L’autre, CVE-2024-38112, est de type usurpation d’identité et réside dans l’ancien moteur de rendu d’Internet Explorer, MSHTML. Son score CVSS 3.1 est de 7/10.

C’est pourtant cette seconde faille qui a concentré les regards. Selon les chercheurs en sécurité de chez Check Point, le code malveillant l’exploitant remonte en effet au moins à janvier 2023. Il circulait encore en mai dernier, quand ils ont signalé la vulnérabilité à Microsoft.

Leurrer l’internaute avec un faux lien

L’idée derrière l’exploitation de la faille CVE-2024-38112 est d’attirer l’internaute dans un piège, en lui présentant ce qui semble être un document PDF. Dans un échantillon présenté par les chercheurs de Check Point, on peut voir le fichier « Books_A0UJKO.pdf », qui cache en fait un piège classique : un raccourci, le vrai nom du fichier étant « Books_A0UJKO.pdf.url ».

Dans le raccourci, on trouve un lien vers l’exécutable msedge.exe, qui ouvre le navigateur Edge. Cependant, le lien comporte deux attributs, mhtml et !x-usc :

Les chercheurs indiquent que ces attributs sont régulièrement utilisés par les pirates pour ouvrir une application spécifique. Dans le cas présent, ils forcent Edge à s’ouvrir en mode Internet Explorer et à utiliser le moteur de celui-ci, MSHTML. Or, comme l’indique Check Point, il est beaucoup plus simple d’avoir sous la main une faille 0-day pour Internet Explorer que pour Edge, basé sur Chromium.

Juste de vieilles astuces ? Pas uniquement

Leurrer un internaute vers un document qui est en fait un raccourci et ouvrir une autre application, c’est du déjà-vu, depuis longtemps. « Cependant, dans les échantillons que nous avons analysés, les acteurs malveillants n’ont pas utilisé d’exploit d’exécution de code à distance d’IE. Au lieu de cela, ils ont utilisé une autre astuce dans IE – qui n’était probablement pas connue du public, à notre connaissance – pour tromper la victime et obtenir l’exécution du code à distance », indique toutefois Check Point.

En ouvrant le raccourci, Internet Explorer affiche une première boite de dialogue, pour confirmer l’ouverture du PDF. L’ancien navigateur supprime l’extension « .url » dans sa demande, à cause du deuxième attribut placé dans le lien. Si l’on n’a pas remarqué la petite flèche sur l’icone du fichier, il y a une deuxième chance de se rendre compte de la supercherie : la taille du fichier, inférieure à 2 ko.

Si l’on confirme, une deuxième fenêtre s’ouvre. L’avertissement y est vague, Windows signalant seulement qu’un site web veut ouvrir un contenu. Il est tout de même spécifié que cette ouverture se fera en dehors du Mode Protégé (en fait une sandbox) et qu’il vaut mieux ne pas ouvrir ce contenu si on ne lui fait pas confiance. Le message peut fonctionner… pour les personnes qui lisent ce type d’avertissement.

En cas de deuxième confirmation, le code malveillant est cette fois exécuté via un fichier HTA. À partir de là, la chaine d’exploitation peut mener à l’exécution arbitraire de code à distance. Si la faille n’est pas considérée comme critique, c’est bien sûr parce qu’elle réclame une intervention de l’utilisateur.

La place étrange d’Internet Explorer

« Pour résumer les attaques du point de vue de l’exploitation : la première technique utilisée dans ces campagnes est l’astuce « mhtml », qui permet à l’attaquant d’appeler IE au lieu de Chrome/Edge, plus sûr. La deuxième technique est une astuce IE qui fait croire à la victime qu’elle ouvre un fichier PDF, alors qu’en fait, elle télécharge et exécute une application .hta dangereuse. L’objectif global de ces attaques est de faire croire aux victimes qu’elles ouvrent un fichier PDF, ce qui est rendu possible par l’utilisation de ces deux astuces », expliquent les chercheurs.

Mais Internet Explorer n’a-t-il pas pris sa retraite ? Si, officiellement le 15 juin 2022. Il reste cependant présent dans le système, y compris dans Windows 11. Son moteur de rendu est parfois utilisé dans Edge, quand on demande spécifiquement le mode Compatibilité pour afficher un très vieux site, par exemple en entreprise.

Signalons également qu’en dépit de ce départ à la retraite, le support technique d’Internet Explorer ne s’est jamais arrêté. Microsoft continue de corriger les failles trouvées. Le patch déployé mardi est d’ailleurs pour l’ancien navigateur. Le problème est plus sérieux quand la faille est de type 0-day, comme ici : le code malveillant le plus ancien retrouvé date de janvier 2023.

Les chercheurs ont confirmé que le correctif déployé permet bien de se protéger contre la vulnérabilité.

Mauvaise nouvelle pour les joueurs concernés : Microsoft a augmenté les tarifs de toutes ses formules Game Pass et procédé à plusieurs autres ajustements.

Les nouveaux tarifs sont les suivants :

• Xbox Game Pass Core : le tarif annuel passe de 60 à 70 € (le tarif mensuel reste à 7 €)
• Xbox Game Pass Ultimate : le tarif mensuel passe de 15 à 18 €
• PC Game Pass : le tarif mensuel passe de 10 à 12 €

Ces changements s’appliquent depuis hier pour les nouveaux utilisateurs. Pour les personnes déjà abonnées, les nouveaux tarifs entreront en vigueur le 12 septembre.

Autre modification importante : la fin annoncée du Xbox Game Pass (classique) au profit d’une nouvelle formule nommée Xbox Game Pass. L’ancienne permettait l’accès à tous les titres dès leur sortie, pour 11 € par mois, mais sans accès au multijoueur. La nouvelle donne accès à presque tout le catalogue, sauf les titres récents. En revanche, le multijoueur est cette fois inclus, pour 14,99 € par mois.

En bref, c’est un peu le bazar. D’ailleurs, malgré le changement, il est possible de garder le Xbox Game Pass actuel. Il suffit de continuer à payer. Mais en cas d’abandon, la formule ne sera plus disponible après. Et, au vu du calendrier des prochains mois, pas sûr que les joueurs aient envie de changer, avec notamment l’arrivée de Call of Duty: Black Ops 6 en octobre.

L’entreprise chercherait à faire basculer les joueurs vers l’offre Ultimate qu’elle ne s’y prendrait pas autrement.

SecNumCloud ! SecNumCloud !

L’ANSSI a publié hier ses recommandations visant le stockage des données sensibles dans le cloud. Non contraignantes, elles se veulent un outil d’aide à la décision, pour couvrir autant d’angles que possible dans les projets. Ces recommandations sont cependant temporaires. Elles seront mises à jour quand le schéma de certification européen services cloud (EUCS) sera prêt.

Drôle de timing pour la publication des recommandations de l’ANSSI. De nombreuses données sont hébergées dans le cloud depuis un moment maintenant. Néanmoins, EUCS est toujours en cours d’élaboration et dictera sa propre logique. Cette future directive est actuellement contestée, car la dernière version aurait supprimé l’obligation de souveraineté européenne. Autrement dit, les entreprises étrangères pourraient être certifiées, même dans les niveaux les plus élevés.

En attendant d’y voir plus clair, les recommandations de l’ANSSI sont présentées comme un outil d’aide à la décision. Elles ne s’adressent pas, a priori, aux structures ayant déjà des données dans le cloud. Elles sont spécifiquement écrites pour les « entités qui envisagent un hébergement cloud pour leurs systèmes d’information (SI) de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que les systèmes d’information d’importance vitale (SIIV) ».

Des précautions avant même de commencer

Le document de l’ANSSI ne représente pas une solution clé en main pour toute structure qui envisagerait le cloud pour stocker des données sensibles. L’agence part du principe qu’une étude d’impact doit avoir été réalisée, ainsi qu’une analyse de risques.

L’entité devrait au moins avoir défini le niveau de menace maximal auquel pourraient être exposés ses systèmes d’information. Il est également nécessaire d’évaluer les risques inhérents à l’hébergement cloud. L’ANSSI donne deux exemples : l’exposition des services à internet et la mutualisation des infrastructures avec d’autres clients. Vient ensuite la sensibilité des données et traitements concernés. Les niveaux de confidentialité, intégrité et disponibilité doivent ainsi être définis.

Autre recommandation : prévoir les mécanismes de sécurité nécessaires, afin que les options soient adaptées aux besoins. Par exemple, définir à l’avance la configuration des services de filtrage et de contrôle d’accès. Objectif évident : savoir avec précision qui aura accès à quelles ressources, tout particulièrement les interfaces d’administration et de supervision. L’agence recommande aussi de prévoir une clause de réversibilité, pour pouvoir migrer d’une offre cloud vers une autre en cas de besoin.

Les entités devraient en outre prendre en compte la formation du personnel, aussi bien les équipes que leurs responsables. « Cette précaution contribuera à assurer la qualité de l’étude de la migration du système d’information vers un hébergement cloud, ainsi que la maîtrise des coûts et les délais. Elle permettra également d’étudier, de manière exhaustive, l’ensemble des aspects techniques et organisationnels de la migration », indique l’ANSSI.

Attention aux lois extraterritoriales

Nouvelle étape dans la Data Transfer Initiative conclue entre Apple, Google et Meta. Les utilisateurs de Google Photos ont désormais un nouvel outil permettant d’envoyer facilement toutes leurs données vers iCloud.

Dans les pages d’aide mises en place par Apple et Google, on peut lire certains détails importants. D’abord, que le transfert implique la copie, non le déplacement des données. Ensuite, selon la taille de la photothèque, l’opération peut prendre entre plusieurs heures et plusieurs jours.

Quelques types de photos (Mouvement, Live Photos ou Souvenirs) et vidéos, ou encore le RAW, ne seront pas transférés. Ces contenus seront placés dans un dossier spécifique de Google Drive.

Si cette capacité devrait simplifier la vie des personnes qui réfléchissaient à une telle migration, elle n’est que la réciproque de l’outil inverse. Il était déjà possible en effet de transférer d’une traite les photos d’iCloud vers Google Photos.

Microsoft déploie actuellement une nouveauté pour son application Bloc-notes, plus de 40 ans après son arrivée dans Windows : le vérificateur d’orthographe. Un ajout de plus dans une application qui a nettement gagné en fonctions ces deux dernières années, avec les onglets, le thème sombre, l’enregistrement automatique ou encore le meilleur support d’UTF-8.

Contrairement à un traitement de texte comme Word, il ne s’agit ici que de surligner en rouge les mots non reconnus. On peut alors faire un clic droit sur le mot et aller voir dans le sous-menu « Orthographe » les propositions disponibles. L’utilisation de ce sous-menu n’est d’ailleurs pas très pratique. Word affiche ainsi directement les suggestions dans le menu contextuel, ou via un clic gauche.

Microsoft a pensé à quelques options intéressantes. On peut choisir de n’appliquer le vérificateur qu’à certains types de fichiers. Par exemple, les autoriser pour les fichiers TXT, mais pas MD. Dans les cas où Bloc-notes détecte un contexte spécifique (journal, code…), le vérificateur sera désactivé. On peut également ajouter ses propres mots au dictionnaire.

Enfin, une correction automatique est disponible pour les fautes classiques. Elle peut être désactivée dans les paramètres de l’application, tout comme le vérificateur lui-même.

Si vous n’avez pas encore la nouvelle fonction, vérifiez la disponibilité d’une mise à jour pour l’application dans le Microsoft Store.

Firefox 128 vient tout juste de paraitre, avec à son bord bon nombre d’améliorations plus ou moins importantes. L’une d’elles est la révision de la boite de dialogue permettant de supprimer les données. Le navigateur de Firefox s’est aligné sur Chromium, avec des réglages plus fins et la possibilité d’effacer les données sur un laps de temps spécifique.

Plusieurs options intéressantes font également leur apparition dans les réglages. La plus notable est l’apparition d’une rubrique « Préférences publicitaires des sites web ». Une option, cochée par défaut, autorise les sites web à effectuer des mesures publicitaires en respectant la vie privée.

Dans la fiche technique liée, Mozilla explique que cette fonction, nommée PPA (privacy-preserving attribution), permet la mesure des performances des campagnes de publicité sans pistage. Dans le fonctionnement, PPA n’est pas sans rappeler le système mis en place par Apple. La fonction est décrite comme expérimentale par Mozilla, qui compte en faire un standard du web.

Dans les réglages, deux autres options actives par défaut ont été ajoutées. La première permet d’afficher les recherches « tendance », si le moteur configuré par défaut prend en charge cette fonction (c’est le cas de Google). La seconde permet l’affichage des recherches récentes.

Parmi les autres ajouts, citons la capacité de lire des contenus protégés de sources de streaming (comme Netflix) en navigation privée, la possibilité d’utiliser un proxy DNS quand on utilise SOCKS v5, ou encore celle de traduire des sélections de texte depuis le menu contextuel. Sur Android, le support des passkeys (clés d’accès) est élargi aux gestionnaires tiers. Sur Mac, on note une amélioration de la qualité audio.

Enfin, Firefox 128 colmate seize failles de sécurité, dont quatre sont de sévérité haute.

Spotify vient d’annoncer la disponibilité des commentaires sur les podcasts, audios comme vidéos. La fonction commence tout juste son déploiement et il peut être nécessaire d’attendre pour en profiter. L’opération prendra jusqu’à plusieurs semaines.

Dans son communiqué, l’entreprise suédoise indique que sa plateforme de streaming compte maintenant 250 000 épisodes de podcasts vidéos. Une fois la fonction disponible, les utilisateurs peuvent laisser des commentaires. Les auteurs des contenus peuvent « aimer » ces commentaires et y répondre directement, pour créer un début d’animation de communauté.

Spotify précise que plus de 70 % des personnes autrices de podcasts souhaitaient davantage de moyens pour interagir avec leurs auditeurs. Toujours selon le spécialiste du streaming musical, les personnes laissant des commentaires sont quatre fois plus susceptibles de revenir écouter ou visionner ce contenu.

Précision importante, l’affichage des commentaires n’est pas obligatoire pour les auteurs de contenus. Le contrôle est laissé aux personnes concernées et n’est pas activé par défaut. Des alertes peuvent être déclenchées pour les nouveaux commentaires. Les commentaires sont privés par défaut et nécessitent une approbation pour être visibles. En outre, il est possible de n’autoriser les commentaires que pour des épisodes spécifiques ou pour l’ensemble de la chaine.

L’ajout des commentaires fait s’engager Spotify sur une voie très proche de celle de YouTube. Aucune monétisation n’a pour l’instant été annoncée, mais il serait logique que Spotify propose des fonctions liées, comme YouTube.

Et pour les clients actuels ?

HP a décidé d’arrêter la commercialisation de ses imprimantes laser dont la référence finit par un « e ». Elles requièrent un service HP+ et obligent le client à n’acheter que des toners de la marque. Pour les unités déjà achetées en revanche, rien ne change.

Il y a environ trois ans, HP a lancé un service nommé HP+. Il s’agissait en fait d’un bouquet avec plusieurs avantages, dont celui de limiter le prix de l’imprimante, d’étendre la garantie avec une année supplémentaire et de fournir des fonctions d’impression dans le cloud.

Cependant, le service n’est pas sans défaut. D’une part, il requérait une connexion permanente. En cas de coupure, l’imprimante ne pouvait plus être utilisée, même avec un câble USB. D’autre part – et surtout – les imprimantes concernées par ce service rendaient obligatoire l’utilisation de cartouches d’encre et de toners « authentiques » de chez HP. Une limite stricte qui rendait impossible l’utilisation de consommables compatibles tiers.

Au même moment, HP lançait pour la première fois des modèles d’imprimantes LaserJet dont le nom finissait par un « e ». Ces modèles fonctionnaient obligatoirement avec HP+. Une situation très différente des imprimantes à jet d’encre, où le service restait optionnel, avec possibilité d’en sortir.

HP met fin aux modèles « e » des LaserJet

Le site allemand DruckerChannel a signalé hier que les imprimantes LaserJet dont la référence finit par « e » ont été retirées de la vente. Le changement serait intervenu au cours des dernières semaines. Quand on effectue une recherche sur le site de HP en France, on se rend compte effectivement qu’elles ont toutes disparu. Pour le modèle LaserJet M110we par exemple, seul reste le M110w classique.

Voici les références supprimées :

• HP Laserjet M110we, M209dwe
• HP Laserjet MFP M140we, M234sdne, M234sdwe
• HP Laserjet Pro 3002dwe, 4002dne, 4002dwe
• HP Laserjet Pro MFP 3102fdwe, 4102dwe, 4102fdwe

« Nous savons que certains clients dans des environnements de bureau gérés par l’informatique ne sont pas en mesure de répondre aux exigences de connexion au cloud pour HP+. Afin d’offrir à nos clients une expérience d’impression exceptionnelle dans tous les environnements de bureau, nous ne proposerons plus les produits de la gamme LaserJet avec HP+. Nous prévoyons d’étendre des solutions éprouvées telles que Print from Anywhere et Smart Security à certains nouveaux appareils HP LaserJet. Les clients HP+ satisfaits de leurs appareils et du service peuvent continuer d’utiliser leurs appareils comme avant. Ils ne doivent donc procéder à aucune adaptation », a déclaré HP à DruckerChannel.

Et pour les clients actuels ?

Plusieurs remarques cependant. D’abord, la décision ne concerne que les séries « e », donc avec un service HP+ obligatoire. Tous les autres modèles pouvant activer le service optionnellement restent en vente.

Ensuite, cet arrêt de commercialisation ne change rien pour les personnes (morales ou physiques) ayant déjà une imprimante Laserjet « e ». Le service HP+ reste vissé au périphérique, la connexion obligatoire. HP n’évoque dans sa réaction que les clients « satisfaits ». Les insatisfaits n’ont pas de nouvelle option pour autant, autre que le remplacement du matériel.

Nous avons demandé à HP si une éventuelle mise à jour était envisagée pour autoriser les clients à couper le lien avec HP+. Nous mettrons cette actualité à jour si l’entreprise nous répond.

Le cas étrange d’Instant Ink

HP a également confirmé à DruckerChannel que l’abonnement Instant Ink allait être supprimé pour les imprimantes laser. Nos confrères allemands s’interrogent : pourquoi y mettre fin, alors que cet abonnement n’est pas directement lié à HP+ et que l’on peut l’arrêter à tout moment ?

« HP cessera la commercialisation du service d’abonnement Instant Ink pour les toners dans le courant de l’année. Le service ne sera alors plus disponible pour les nouveaux clients. Cela n’aura pas d’impact sur les abonnés actuels à l’encre instantanée pour les toners, mais uniquement sur les nouveaux intéressés par cette offre », s’est contenté de répondre le constructeur.

Instant Ink est un abonnement mensuel qui permet de recevoir automatiquement des cartouches d’encre ou du toner en fonction du niveau restant. Il reste en place pour les modèles à jet d’encre, mais disparait pour l’ensemble des modèles laser (et pas uniquement les modèles « e »), sans que la raison soit claire. Là encore, nous avons posé la question à HP.

Bloomberg rapporte que les employés de la filiale chinoise de Microsoft vont devoir bientôt être équipés en iPhone. Les personnes ayant actuellement un smartphone Android recevront un iPhone 15.

« Cette mesure, qui s’inscrit dans le cadre de l’initiative Secure Future de Microsoft, concernera des centaines de travailleurs en Chine continentale et vise à garantir que l’ensemble du personnel utilise le gestionnaire de mots de passe Microsoft Authenticator et l’application Identity Pass », indiquent ainsi nos confrères.

Pourquoi cette mesure ? Deux éléments sont abordés. D’une part, la nature fragmentée de l’offre logicielle en Chine. Le Play Store de Google n’y est pas disponible et il faut pouvoir faire valider les deux applications concernées sur plusieurs autres boutiques. D’autre part, des inquiétudes liées au matériel fabriqué en Chine.

Cette décision s’inscrit dans le cadre de l’initiative Microsoft Secure Future, présentée en novembre dernier.

Les petits paquets font les grands DDoS

Dans un long exposé, OVHcloud est revenu sur la problématique des attaques par haut débit de paquets, l’une des formes des attaques par déni de service distribué. Selon l’hébergeur, elles sont en recrudescence, avec une nouvelle tendance : l’utilisation d’appareils situés dans les cœurs de réseau, pouvant rendre les attaques plus complexes à absorber.

Avant de plonger dans les informations données par OVHcloud, revenons à l’essentiel : qu’est-ce qu’une attaque par déni de service distribué, ou DDoS ?

L’idée principale est toujours la même : submerger un serveur ou un équipement réseau sous un flot de requêtes ou de données. Face à cette vague, la ou les ressources réseau se retrouvent en situation d’embouteillage. Selon les cas, la cyberattaque peut saturer la liaison, le processeur, la mémoire ou plusieurs éléments. Il y a simplement trop de travail.

Le trafic légitime se retrouve pris dans ce torrent. La charge ne pouvant plus être répartie, des lenteurs plus ou moins importantes se font sentir, jusqu’à l’indisponibilité complète si l’attaque réussit.

Le moyen le plus couramment utilisé pour provoquer un tel déluge est de multiplier les sources d’émissions de paquets ou de requêtes. Souvent, l’attaque est produite depuis un botnet, une armée d’équipements « zombies ». Les pirates en prennent le contrôle par l’exploitation de failles de sécurité ou en détournant le fonctionnement à cause d’accès insuffisamment protégés. Le cas le plus emblématique est sans doute Mirai en 2016. Le logiciel malveillant avait créé un immense botnet d’appareils connectés, capable de créer de puissantes attaques DDoS.

Les attaques par déni de service distribué sont très courantes. La semaine dernière, Cloudflare dressait, par exemple, un bilan des attaques ayant eu lieu en France avant et après le premier tour des élections législatives. De nombreux sites de partis politiques ont ainsi été affectés. Les grands acteurs sont également visés. L’année dernière, Microsoft avait subi une vaste attaque et nombre de ses services avaient été perturbés pendant plusieurs jours.

Des bombardements de petits paquets

Skydance Media et Paramount Global ont annoncé leur fusion hier. L’opération va se faire en deux temps. D’abord, Skydance va acquérir National Amusements, entreprise de la famille Redstone détenant 77 % des parts de Paramount, pour 2,4 milliards de dollars. Ensuite, Skydance fusionnera avec Paramount, en posant 4,5 milliards sur la table, en cash et actions.

David Ellison, fils du fondateur d’Oracle Larry Ellison et actuellement CEO de Skydance, deviendra CEO de la nouvelle entité. Jeff Shell, anciennement directeur général de NBCUniversal (qui appartient à Paramount), sera le nouveau président.

Comme le rapporte Reuters, les temps étaient difficiles pour Paramount. Sa valeur a ainsi perdu 17 milliards de dollars depuis 2019. Surtout, la valeur de la plateforme de streaming Paramount+ est arrivée tard et ses bénéfices ne peuvent pas encore compenser les pertes sur l’activité de télévision traditionnelle.

David Ellison « s’est engagé à doter Paramount+ et le service gratuit de diffusion en continu, Pluto TV, d’une technologie de pointe et d’une infrastructure moderne, tout en améliorant les réseaux de télévision traditionnels de Paramount », indiquent nos confrères.

Dans son communiqué de presse, Paramount indique que les documents vont être envoyés à la SEC (Securities and Exchange Commission). Celle-ci devra encore accepter l’opération.

Après bien des péripéties, Apple a fini par approuver le lancement en Europe de la boutique tierce d’Epic. Ces boutiques sont pour rappel autorisées en Europe par Apple depuis iOS 17.4, par obligation envers le DMA, malgré tout le mal qu’elle en pense.

La situation entre les deux entreprises est complexe et tendue depuis que le studio a déclaré la guerre à Apple. Une rupture assumée de contrat qui a conduit Epic à déposer plainte, initiant une longue procédure judiciaire qui s’est finalement avérée dommageable pour le père de Fortnite.

Depuis l’application du DMA et l’obligation d’Apple de s’y conformer, Epic a annoncé son intention très claire de lancer une boutique dans laquelle viendrait trôner Fortnite. Le jeu ferait alors son grand retour sur iOS. En mars cependant, Apple qualifiait Epic de menace pour son écosystème et bloquait le compte développeur de la succursale suédoise. Avant de se raviser devant les froncements de sourcils de la Commission européenne.

Vendredi, rien n’était encore joué. Sur son compte X, Epic se plaignait ainsi d’une notarisation refusée à deux reprises pour son Games Store. Raison selon Epic : Apple ne serait pas satisfaite de certains boutons ressemblant trop aux siens.

« Le refus d’Apple est arbitraire, obstructif et en violation du DMA, et nous avons fait part de nos préoccupations à la Commission européenne. Sauf nouveaux obstacles de la part d’Apple, nous restons prêts à lancer l’Epic Games Store et Fortnite sur iOS dans l’UE dans les prochains mois », affirmait Epic le 5 juillet.

Quelques heures plus tard, retournement de situation : Epic annonce qu’Apple a finalement approuvé son Games Store. Le lendemain, on apprend cependant via Apple Insider que cette autorisation est « temporaire ». Le processus d’autorisation peut poursuivre sa route, mais il est demandé à Epic de modifier ses boutons.

Le problème est considéré comme mineur par Apple, qui considère avoir donné son feu vert. Epic, de son côté, ne décolère pas. Pas plus que Tim Sweeney, son fondateur et CEO.