Après Meltdown et Spectre, des chercheurs de KU Leuven, Technion, Université du Michigan, Université d’Adélaïde et Data 61, ont découvert une nouvelle classe majeure de vulnérabilités de sécurité (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) affectant les processeurs Intel de la dernière décennie, et éventuellement les processeurs d’autres fabricants.

Intel nomme cette classe L1 Terminal Fault (L1TF) alors que les chercheurs la nomment Foreshadow (présager en francais). Elle est atténuée – et non corrigée – par une mise à jour du micrologiciel des processeurs déjà distribuée cette année, ainsi que des correctifs de sécurité des éditeurs des systèmes d’exploitation publiés aujourd’hui.

Le risque serait limité pour la plupart des ordinateurs personnels et des serveurs, et les correctifs n’abaisseraient pas trop les performances – attention, dans le cas de Meltdown et Spectre, Intel a largement minimisé l’impact sur les performances. En revanche, pour ceux qui utilisent la virtualisation, des étapes supplémentaires seraient nécessaires.

D’après le Dr Yarom, cité par The Register, Foreshadow brise le modèle de confiance érigé par Intel SGX. Intel devra révoquer les clés de chiffrement utilisées pour l’authentification dans des millions d’ordinateurs. Il appelle tous les concepteurs de processeurs à divulguer le code source de leurs processeurs, afin qu’il soit plus facile aux chercheurs de découvrir et de corriger les bogues de sécurité.

Intel devra choisir sa stratégie, peut être plus tôt que prévu : des organisations et des États pourraient décider de ne pas accepter de processeur opaque, du moins quand les premiers processeurs de la fondation RISC-V seront commercialisés.

 


Une nouvelle vulnérabilité de sécurité, CVE-2018-3110, affecte les serveurs de bases de données Oracle. Elle se trouve dans la JavaVM du serveur, et la rend vulnérable à des attaques d’exécution à distance de code. Toute attaque réussie provoque la compromission totale du serveur de base de données, plus un accès à la ligne de commande du serveur sous-jacent.

La vulnérabilité est si critique qu’Oracle recommande d’installer le correctif de sécurité sans tarder.

 


L’interopérabilité des assistantes virtuelles Cortana de Microsoft et Alexa d’Amazon, annoncée à l’automne dernier est disponible, en aperçu, pour les clients américains.

Sur une enceinte intelligente d’Amazon, il suffit de dire : « Alexa, open Cortana » pour lancer Cortana. Pour lancer Alexa sur un PC, il suffit de dire : « Hey Cortana, open Alexa ».

Cette intégration est d’autant plus intéressante que Cortona et Alexa ont chacune des capacités exclusives.

 


Jan Koum, le cofondateur archi-milliardaire de WhatsApp suite à sa vente à Facebook pour plus de 22 milliards de dollars, a annoncé qu’il quittait Facebook en avril. Toutefois, il viendrait faire un tour au bureau au moins une fois par mois chez Facebook, afin de ne pas compromettre ses 450 millions de dollars de stock-options…

 


Des centaines d’utilisatrices et d’utilisateurs de Instagram se plaignent que leur compte est piraté. Leurs informations personnelles, telles que leur adresse de courriel, leur numéro de téléphone et leur nom est modifié, ce qui les empêche de récupérer leur compte. Le plus souvent, l’adresse de courriel est remplacée par une adresse se terminant par. ru… Sur les 7 derniers jours, près de 5 000 tweets mentionnent des comptes piratés.

Même des comptes ayant activé l’authentification à double facteur ont été piratés.

Instagram ne semble pas prêt à fournir d’aide spécifique, et la procédure de récupération des comptes serait détraquée, avec des courriels contenant des liens vers des pages web inexistantes.

 


Le cofondateur de Tinder ainsi que huit dirigeants sont en procès contre IAC, la maison mère de l’application de rencontre, qu’ils accusent d’avoir volontairement tenté de leur voler leur rémunération en stock-options. Ils réclament deux milliards de dollars de dommages et intérêt.

 


Pour la première fois en treize ans, le résultat net trimestriel (avril à juin 2018) de Tencent Holdings Ltd a baissé, de 2 % à 17,87 milliards de yuans (2,27 milliards d’euros). Le chiffre d’affaires croît de 30 %, la plus faible progression en trois ans, à 73,68 milliards de yuans (9,36 milliards d’euros).

Martin Lau, son président, met en cause les autorités chinoises, qui n’ont toujours pas donné de date à partir de laquelle Tencent pourra faire payer en Chine pour son jeu vedette PlayerUnknown’Battlegroung (PUBG, 400 millions de joueurs dans le monde).

Depuis le début de l’année, la capitalisation boursière de l’entreprise a perdu 150 milliards d’euros.

 


D’après Strategy Analytics, Amazon aurait globalement vendu 4,8 millions d’enceintes intelligentes au deuxième trimestre, contre 3,2 millions pour Google, 800 000 pour Alibaba, 700 000 pour Apple et 300 000 pour JD.com.