Après plusieurs mois de test, Apple confirme que la mise à jour iOS 26.5, qui devrait être disponible dans les prochains jours, introduira les RCS chiffrés dans l'application Messages. Un échange entre un iPhone et un smartphone Android se fera donc dans un cadre chiffré alors que la précédente version du RCS utilisée par Apple n'était pas protégée.
Hier soir Lilian, fidèle lecteur de Korben m'a envoyé une vidéo incroyable qui retrace 5h de combat sur Age of Empires 2 résumées en 34 minutes par TheGreatReview.
Faut savoir que je suis fan d'Age of Empires depuis le premier épisode de 1997 . AoE 1, 2, Mythology, AoE 3... j'ai laissé un nombre indécent d'heures sur ces titres, donc forcément, voir ces longues heures de matchs condensées en chouette récit, ça ravive de vieux souvenirs !
Lors de cette partie, 2 joueurs avec un très très bon niveau s'affrontent ainsi durant des heures, quasiment sans ressources, en mettant au point toutes sortes de stratégies pour faire capituler leur adversaire. De l'AoE2 raconté à la voix posée, avec beaucoup de stratégie, d'imagination et surtout de patience ! Mais je ne vais pas vous en dire plus pour ne pas vous spoiler.
Gardez-vous ça pour la pause déj', ça ne dure que 34 minutes et franchement ça vaut le coup !
Encore merci à Lilian pour le partage !
Tamawatchi , c'est 2,8 Mo de pixel art qui tournent en natif sur Apple Watch sans dépendre d'un iPhone. Michael Ratto, lecteur de korben.info, vient de m'écrire pour m'annoncer la sortie de son Tamagotchi qui se nourrit de vos pas via HealthKit. La première créature est gratuite, et les autres à 99 centimes pièce.
Il s'agit donc d'un compagnon style Tamagotchi des années 90 qui vit sur votre montre. Vous marchez, il bouffe. Vous glandez, il a faim. Vous dormez, il dort... vous voyez le tableau quoi... C'est une app de fitness qui se déguise puisque derrière le pixel art mignon, y'a surtout un compteur de pas gamifié qui pousse à se bouger. Parce que oui, ON EST PLUS MOTIVÉ pour faire 5000 pas pour garder en vie un blob tout mignon que pour compléter une jauge bleue qui clignote.
Cinq stades d'évolution sont proposés, du Bébé au Légendaire. Six espèces déclinées sur des thèmes élémentaires (feu, eau, lumière, terre, air, plus le blob classique baptisé Bloop). Comme je vous le disais en intro, le Bloop est offert, les autres se débloquent avec des achats in-app. L'avantage c'est que le Bloop suffit pour jouer normalement... donc rien ne vous force à payer pour profiter du concept !
Côté technique, Michael Ratto a tout codé en SwiftUI natif pour watchOS. Donc y'a zéro dépendance iPhone, ce qui est rare sur l'écosystème Apple Watch où la majorité des apps ont besoin du téléphone pour fonctionner.
L'app est même installable sur Vision Pro (allez savoir qui achète ça ??).
Le concurrent direct s'appelle habbie . Celui-ci tourne sur watchOS 8 et nécessite iOS 16 sur un iPhone à côté, en proposant le même mix Tamagotchi + tracking de pas. Tamawatchi se distingue donc surtout par son côté indépendant et son poids plume. Donc si vous cherchez la version complète avec habit tracking, habbie reste plus mature mais si vous voulez surtout un tamagotchi mignon qui vous fait marcher, Tamawatchi fait le job.
Les notifications sont plafonnées à quatre par jour, ce qui évite le harcèlement mais limite un peu l'engagement et contrairement au Tamagotchi original de 1996, votre créature ne meurt jamais !
Le côté bisounours peut donc décevoir les puristes, sauf si vous en avez déjà perdu dans des conditions dramatiques. Y'a des gens qui ont vu, mourir leur tamagotchi à l'âge de 8 ans, et qui à cause de ça n'ont jamais voulu faire d'enfant ou même adopter un chat !!
Donc là, ça permet quand même de le laisser tomber pendant trois semaines de vacances saucisson mojitos, sans aucune culpabilité.
J'aurais quand même bien aimé une option "mode hardcore" qui laisserait la créature crever comme à la grande époque, mais ça viendra peut-être !
Et pour ceux qui aimeraient pousser le concept ailleurs, y'a aussi Codachi qui fait la même chose dans VSCode, ou CATAI côté Mac. La famille des compagnons en pixel art s'étoffe donc sérieusement...
Voilà, Tamawatchi est gratuit pour tester donc si vous portez une Apple Watch, allez voir ce que ça donne !
Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l'ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.
La faille concernait la base de données des notifications : quand vous supprimiez un message dans l'appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu'à un mois.
Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.
Le FBI, selon les documents repérés par 404 Media début avril, a utilisé cette faiblesse sur plusieurs affaires pour remonter des conversations pourtant explicitement effacées par les utilisateurs, y compris celles utilisant la fonction messages éphémères.
Apple a reconnu le problème, mais si ça a été fait avec les pincettes habituelle, avec une phrase du genre... "les notifications marquées pour suppression pouvaient être conservées sur l'appareil de manière inattendue", ce qui ne veut pas dire grand chose, ou au contraire, tout dire...
Dit plus simplement, il y avait un écart entre ce que l'utilisateur voyait disparaître et ce qui restait réellement sur le disque. Le patch a été rétroporté sur les anciennes versions d'iOS 18, ce qui suggère que la faille existait depuis un bon moment et a probablement été exploitée dans des affaires que l'on ne connaîtra jamais.
Meredith Whittaker, présidente de Signal a rappelé publiquement que les notifications pour des messages effacés ne devraient jamais rester dans la base de notifications d'un OS. C'est une évidence technique. Sauf que dans la pratique, la chaîne cache des notifications plus indexation iOS laisse des traces que les outils forensiques comme Cellebrite ou GrayKey savent exploiter depuis des années.
Le problème dépasse Signal. Toute application qui envoie une notification contenant le texte d'un message entier sur iOS pouvait voir ses contenus persistés dans le cache, même après un effacement explicite. Du coup, pour les journalistes, les avocats, les activistes ou simplement les gens qui tiennent à leur vie privée, mettre à jour le plus vite possible n'est pas une option mais une priorité.
Bref, quand on parle de messagerie chiffrée, la vraie surface d'attaque n'est plus le protocole mais tout ce que l'OS fait autour dans votre dos.
Source : The Hacker News
La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.
Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.
Les deux ont été mises en ligne en l'espace de 39 minutes, et pas via le processus habituel. Au lieu de passer par GitHub Actions, le pipeline d'intégration continue du projet, les paquets ont été poussés directement avec la ligne de commande npm. Un détail qui aurait pu alerter plus tôt, mais qui est passé entre les mailles du filet pendant deux à trois heures avant que npm ne retire les versions concernées.
Le plus vicieux dans l'affaire, c'est la méthode. Plutôt que de modifier directement le code d'Axios, l'attaquant a ajouté une dépendance fantôme appelée plain-crypto-js. Elle n'est jamais importée dans le code source, son seul rôle est d'exécuter un script d'installation qui fonctionne comme un programme d'installation de malware.
Ce qui veut dire que dès que vous faites un npm install, le script contacte un serveur de commande en moins de deux secondes et télécharge un programme malveillant adapté à votre système : un daemon déguisé sur macOS, un script PowerShell sur Windows, une porte dérobée en Python sur Linux. Et une fois le malware déployé, le script se supprime, remplace son propre fichier de configuration par une version propre, et fait comme si de rien n'était. Même un npm list affiche alors un numéro de version différent pour brouiller les pistes.
StepSecurity et Socket.dev ont été les premiers à repérer la compromission. Selon Ashish Kurmi, CTO de StepSecurity, ce n'est pas du tout une attaque opportuniste. La dépendance malveillante avait été préparée 18 heures à l'avance, trois programmes malveillants différents étaient prêts pour trois systèmes d'exploitation, et les deux branches de publication ont été touchées en moins de 40 minutes.
Elastic a de son côté relevé que le binaire macOS présente des similitudes avec WAVESHAPER, une porte dérobée en C++ déjà documentée par Mandiant et attribué à un acteur nord-coréen identifié sous le nom UNC1069. Pour les chercheurs en sécurité, le message est clair : si vous avez installé axios 1.14.1 ou axios 0.30.4, considérez votre machine comme compromise. Il faut supprimer la dépendance, faire tourner les identifiants, et dans certains cas, réinstaller la machine.
Franchement, c'est le genre d'attaque qui fait froid dans le dos. Axios, c'est une brique de base pour à peu près tous les projets JavaScript qui font des appels réseau. Et là, en deux heures, un attaquant a réussi à transformer cette brique en porte d'entrée pour un cheval de Troie, y compris sur Mac.
Le plus déroutant, c'est que le système de publication npm permet encore de pousser un paquet manuellement sans que personne ne bronche. Bon par contre, il faut reconnaître que StepSecurity et Socket.dev ont fait du bon boulot en détectant le problème aussi vite.
Sans eux, la fenêtre d'exposition aurait pu être bien plus large, c'est faramineux quand on y pense. Et quand on sait que la piste nord-coréenne revient de plus en plus souvent dans ce genre d'opérations, on se dit que la sécurité de la chaîne logicielle mérite qu'on s'y intéresse de près.
Source : The Register
WhatsApp a dévoilé une nouvelle salve de fonctionnalités autour de l'utilisation de plusieurs comptes, du nettoyage de l'espace de stockage et de l'IA.
Le post Multicompte iOS, nettoyage intelligent et Meta AI : voici les nouveautés WhatsApp a été publié sur IT-Connect.
Dans un rapport, les chercheurs du Google Threat Intelligence Group décrivent comment un kit d'exploitation vendu à plusieurs acteurs, étatiques et commerciaux, a permis de compromettre des iPhone en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
Alors que le démarchage téléphonique s'intensifie et que l'intelligence artificielle générative permet à des bots de simuler des appels, les solutions traditionnelles comme s'inscrire sur Bloctel ou bloquer les numéros un par un ne suffisent plus. Voici une sélection de logiciels recommandés par nos lecteurs pour limiter les appels indésirables.
Connexion