Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 29 mars 2024Tech Généraliste

Faille critique « WallEscape » dans Linux – Vos mots de passe en danger

Par : Korben
28 mars 2024 à 22:30

Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !

Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.

Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.

Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.

Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.

Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.

Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .

En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.

Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !

Source

Elon Musk annonce des fonctionnalités premium gratuites sur X

Par : Korben
28 mars 2024 à 22:02

Tiens, tiens, ce cher Elon Musk nous réserve encore des surprises de taille avec X, anciennement connue sous le nom de Twitter ! Le milliardaire vient d’annoncer que certains comptes auront désormais accès gratuitement à des fonctionnalités premium. Il se prend pour Xavier Niel, le gars 🙂

Concrètement, si votre compte X a plus de 2500 abonnés vérifiés, vous allez pouvoir profiter des fonctionnalités Premium sans débourser un centime. Et si vous avez la chance d’avoir plus de 5000 fidèles followers, c’est carrément Premium+ qui vous tend les bras !

Avant cette annonce fracassante, il fallait casquer 8$ par mois pour avoir accès à Premium et tous ses avantages : des posts plus longs, des uploads vidéos plus conséquents, une priorité dans les réponses et moins de pubs dans votre timeline. Quant aux utilisateurs Premium+, en plus de dire adieu à la publicité, ils ont même droit à Grok, le chatbot d’IA générative de X.

Depuis qu’Elon Musk a racheté Twitter pour la modique somme de 44 milliards de dollars en avril 2022, le réseau social a beaucoup fait parler de lui. Entre les polémiques sur la liberté d’expression, les changements de nom, et les fonctionnalités qui changent ou disparaissent, on ne s’ennuie pas une seconde.

Mais tout n’est pas rose dans le monde merveilleux de X. Un juge américain vient de rejeter une plainte déposée par la plateforme contre un groupe accusant X de laisser proliférer les discours haineux depuis l’arrivée de Musk aux manettes. Le juge a estimé que X ne supportait pas la critique et punissait les défendeurs pour leur liberté d’expression. Un revers cinglant pour le réseau social qui compte bien faire appel.

Et comme si cela ne suffisait pas, le nombre d’utilisateurs quotidiens de X serait en chute libre par rapport à ses concurrents comme Instagram et TikTok. Selon des chiffres rapportés par NBC News, l’utilisation quotidienne de X aux États-Unis aurait chuté de 23% depuis novembre 2022, juste après la finalisation du rachat par Musk. Une baisse bien plus importante que pour les autres géants des réseaux sociaux sur la même période.

Au niveau mondial, c’est pas la joie non plus. Les utilisateurs actifs quotidiens sur X sont descendu à 174 millions, soit une baisse de 15% par rapport à l’année précédente. Pendant ce temps-là, Snapchat, Instagram, Facebook et TikTok continuent de voir leur nombre d’utilisateurs grimper. Aïe aïe aïe…

Alors certes, Elon Musk et son équipe peuvent se vanter d’accueillir encore 250 millions d’utilisateurs quotidiens dans le monde, comme l’a fièrement annoncé X Data en mars dernier. Mais n’oublions pas que c’est quand même moins que les 258 millions revendiqués par le patron en personne fin 2022.

Malgré ces quelques zones de turbulences, X continue d’avancer et d’innover pour séduire les utilisateurs. Les nouvelles fonctionnalités premium gratuites pourraient bien doper l’attractivité de la plateforme et convaincre les indécis de sauter le pas. Après tout, qui n’a pas envie de pouvoir poster des messages plus longs et des vidéos de meilleure qualité sans payer un centime ?

Source

Hier — 28 mars 2024Tech Généraliste

Ryzen 8000 : performances et efficacité énergétique en hausse pour les prochains APU d’AMD

Le prochain lot de puces basées sur l’architecture Zen 5 d’AMD s’approche doucement. De nouvelles informations permettent d’en apprendre plus sur la prochaine génération de Ryzen 8000, notamment en ce qui concerne les APU Strix Point et Fire Range.

L’article Ryzen 8000 : performances et efficacité énergétique en hausse pour les prochains APU d’AMD est apparu en premier sur Tom’s Hardware.

full

thumbnail

Star Wars a un problème avec ses morts

28 mars 2024 à 18:58

Vous avez le sentiment que Star Wars a pris l'habitude de recycler un peu trop souvent ses personnages, en ramenant à la vie ceux qui étaient censés être morts ? Cette impression n'est pas infondée : la série d'animation The Bad Batch vient de la confirmer.

Sony WH-CH720N : des performances haut de gamme à prix bas pour ce casque sans fil

28 mars 2024 à 18:31

casque Sony WH-CH720N // Source: Amazon

[Deal du Jour] Sony n’en finit pas de baisser le prix de son casque WH-CH720N. Déjà à 119 € en juin 2023, il passe aujourd’hui sous les 100 €. Ce casque Bluetooth au rapport qualité-prix imbattable offre des performances haut de gamme pour un prix bien moins important.

De héros à criminel : l’année d’agonie de Sam Bankman-Fried, l’ancien PDG de FTX

Par : Aurore Gayte
28 mars 2024 à 17:13

L'ancien dirigeant de FTX a été reconnu coupable de fraude et de blanchiment d'argent le 2 novembre 2023. Exactement un an auparavant était publié l'article qui allait mener à la chute de FTX. Retour sur une année mouvementée et pleine de révélations.

Xiaomi SU7 : les performances d’une Porsche Taycan au prix d’une Tesla Model 3

28 mars 2024 à 17:46

Xiaomi a frappé un grand coup pour marquer le lancement de sa première voiture électrique. La berline Xiaomi SU7 envoie du lourd sur les performances, les équipements et les prix. Et en plus, elle est esthétiquement réussie. Que reste-t-il aux autres ?

Face aux cyberattaques, quelles solutions s’offrent aux établissements de santé ? [Sponso]

Par : humanoid xp
28 mars 2024 à 17:38

Dans la masse des cyberattaques, les établissements de santé ont une place de choix. Les raisons sont multiples et forcent les centres de soin à s’adapter et à sécuriser leur système informatique du mieux qu’ils peuvent.

Xiaomi : le prix de sa trottinette électrique Mi Scooter 4 Pro est au plus bas

28 mars 2024 à 16:34

[Deal du jour] Si la trottinette Xiaomi Electric Scooter 4 Pro avait déjà vu son prix baisser depuis plusieurs mois, sa réduction n’avait jamais atteint ce niveau-là. Ce sont, en effet, plus de 270 € que vous allez pouvoir économiser sur cet appareil haut de gamme aux bonnes performances.

Comment les récentes fuites de données pourraient être réutilisées pour les J0 2024

28 mars 2024 à 15:41

Les récentes cyberattaques contre la FFF, France Travail ou les mutuelles offrent une base de données « fraiches » que les cybercriminels pourraient exploiter en vue des Jeux Olympiques à Paris cet été.

Test Acer Predator X45 : l’écran gamer ultime pour les joueurs les plus fortunés ?

Acer commercialise dans sa gamme Predator un modèle d'écran clairement démesuré, le X45. Destiné aux joueurs qui entretiennent de bonnes relations avec leur banquier, ce dernier promet une expérience de jeu unique grâce à des caractéristiques techniques haut de gamme. La pratique rejoint-elle la théorie ? Découvrez notre réponse dans ce test.

L’article Test Acer Predator X45 : l’écran gamer ultime pour les joueurs les plus fortunés ? est apparu en premier sur Tom’s Hardware.

full

thumbnail
❌
❌