Télégrammes : L’Europe soutient la fibre de Free, Bug dans Slack, IBM brevette le mail automatique d’absence, En Marche encore vulnérable

AuthentificationCollaborationFibreLogicielsRégulationsRéseauxSécurité
0 5 Donnez votre avis

Alors que le jambon-beurre est menacé par la concurrence, les mythiques télégrammes du soir restent fidèles au poste.

La fibre de Free biberonne aux financements européens. Free va bénéficier d’un financement de 200 millions d’euros par la Banque européenne d’investissement (BEI) pour le déploiement des réseaux très haut débit FTTH en France. C’est la deuxième fois que le groupe Iliad profite du soutien de la BEI pour le déploiement de la fibre résidentielle sur le territoire après un premier prêt accordé en 2012. Ce qui porte le financement à 550 millions au total. L’opérateur va également recevoir l’appui du Fonds européen pour les investissements stratégiques (EFSI) dans le cadre du Plan d’investissement pour l’Europe (dit Plan Juncker), sans toutefois que les détails des facilités d’emprunts soient précisés. Free a présenté un plan visant à déployer 9 millions de prises optiques à domicile avant fin 2018 à la fois dans les zones très denses et moyennement denses. Et les 20 millions pour 2022.

IBM répond absent aux droits de son brevet de notification automatique par e-mail. Il existe des brevets sur tout (ou presque). Même sur la fonction de réponse automatique d’absence des messageries électroniques. Et le brevet de cette fonctionnalité qui permet d’informer automatiquement vos correspondants de votre absence du bureau est détenu par IBM. Le 13 janvier 2010, Big Blue avait déposé le brevet « Out-of-office electronic mail messaging system » auprès de l’US Patent and Trademark Office. Qui a fini par valider la demande le… 17 janvier 2017 (sous la référence US9547842). « L’invention concerne un procédé, un système et un produit de programme informatique consistant à transmettre des informations de disponibilité dans un système de courrier électronique », peut-on lire sur la fiche du brevet 9 547 842. Une paternité discutable selon Daniel Nazer. L’avocat de l’EFF (Electronic Frontier Foundation) pointe nombres de technologies similaires antérieures à la date du dépôt du brevet que l’organisme d’attribution aurait négligées. Dont une de Microsoft remontant à 1980 sur Xenix, l’ancêtre d’Exchange. Mais le débat s’arrête là. IBM vient d’annoncer qu’il renonçait à tous ses droits sur son brevet. Aucun risque de demande de royalties en vue, donc.

Trou de sécurité dans Slack. Un bug a été trouvé dans le service de collaboration par un chercheur de la société Detectify. Selon lui, le problème vient des tokens de Slack et la capacité à les voler en trompant les gens avec l’ouverture de pages malveillantes. Dans la version navigateur de Slack, le spécialiste est tombé sur un problème de validation dans postMessage. Ce dernier permet de parler à la fonction appel de Slack quand un appel est en cours. En remontant dans le code, il s’est aperçu que Postmessage ne vérifier pas l’origine des messages. Il a scruté les événements HTML et en a trouvé un nommé reconnect_url qui pouvait être modifié par une  url WebSocket. Il a donc créé sa propre WebSocket ayant la capacité de renifler le trafic et écouter quand Slack envoyer des jetons d’authentification. Une fois récupéré ce jeton (XSOS), il est possible d’accéder à l’ensemble du compte Slack. L’éditeur a rapidement pris les mesures pour colmater la brèche et a octroyé au chercheur une prime de 3000 dollars. Le spécialiste était passé par le bug bounty de Slack pour l’alerter.

Campagne électorale : une nouvelle faille chez Macron. Malgré ses assurances, Mounir Mahjoubi, le président du CNNum (Conseil national du numérique) devenu responsable de la campagne numérique d’Emmanuel Macron, n’a semble-t-il pas pensé à tout en matière de sécurisation des outils numériques du mouvement En marche. Y compris lorsqu’il s’agit de manipuler des données personnelles. Selon Buzzfeed, les demandes de désinscription étaient, jusqu’à tout récemment, gérées par des bénévoles via un tableur partagé accessible par une simple URL, sans protection particulière. Y figuraient, en clair, les adresses mail des personnes demandant à être retirées de la base de données du candidat à la présidentielle, celles souhaitant ne plus recevoir la newsletter ou simplement modifier leurs coordonnées. Buzzfeed affirme qu’un millier d’adresses mail étaient ainsi librement accessibles. L’accès au tableur est depuis protégé. Rappelons qu’En Marche se dit victime de multiples tentatives de piratages et campagnes de déstabilisation sur les réseaux sociaux, ces dernières étant appuyées par les médias financés par la Russie (Russia Today et Sputnik News).


Lire la biographie de l´auteur  Masquer la biographie de l´auteur