Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 27 mars 2024Flux principal

VLC dévoile les sombres dessous de la signature d’apps Android

Par : Korben
27 mars 2024 à 09:21

Astuces VLC

La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC, a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.

Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !

Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅

Depuis les débuts d’Android, chaque app doit être installée via un fichier APK. Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.

L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?

Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement (upload key) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature (release key), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.

Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.

Du coup, l’équipe de VLC se retrouve face à un choix cornélien :

  1. Donner sa clé privée à Google et continuer à publier normalement. Bénéfice : aucun. Risque : Google a le contrôle total sur les mises à jour et la sécurité de l’app. Autant dire que pour eux c’est non.
  2. Virer le support TV des APK publiés sur le Play Store. Avantage : pas besoin de donner sa clé privée pour les appareils récents. Inconvénient : plus de support TV pour les vieux appareils sous Android 10 et moins. Pas top.
  3. Passer full App Bundles. Avantage : aucun. Inconvénient : ça rendrait l’app incompatible avec 30% des utilisateurs actuels. Même pas en rêve !

Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.

Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.

Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.

C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.

Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.

Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store

À partir d’avant-hierFlux principal

On en sait plus sur l’arrivée de l’Epic Games Store sur iPhone et Android

21 mars 2024 à 10:48

Grâce à un nouveau règlement européen, le DMA, Epic Games lancera prochainement son magasin d'applications sur iOS et Android, avec le retour de Fortnite sur iPhone. L'entreprise proposera aux développeurs une taxe de 12 %, soit un modèle semblable à celui d'Apple.

Pluie d’arnaques sur WhatsApp : voici comment les repérer pour mieux les contrer [Sponso]

Par : humanoid xp
17 mars 2024 à 08:08

Cet article a été réalisé en collaboration avec Bitdefender

Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Pluie d’arnaques sur WhatsApp : voici comment les repérer pour mieux les contrer [Sponso]

Par : humanoid xp
17 mars 2024 à 08:08

Cet article a été réalisé en collaboration avec Bitdefender

Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Apple continue de desserrer sa poigne sur l’App Store

12 mars 2024 à 18:22

main poigne

Les effets du DMA bousculent encore Apple, l'obligeant à lâcher du lest. L'entreprise américaine annonce la possibilité prochaine de télécharger des applications directement depuis des sites web.

Windows 11 : le support natif des apps Android passe à la trappe

Windows 11 s'apprête à perdre un nombre important d'applications très prochainement. Le projet commun d'Amazon et de Microsoft visant à permettre l'utilisation d'applications Android sur Windows 11, le sous-système Windows pour Android, va bientôt prendre fin.

L’article Windows 11 : le support natif des apps Android passe à la trappe est apparu en premier sur Tom’s Hardware.

full

thumbnail

WhatsApp sur iPhone va gagner une option de sécurité bien plus moderne

1 février 2024 à 14:02

whatsapp téléphone smartphone

Après Android, c'est autour d'iOS de recevoir bientôt une version actualisée de WhatsApp. La célèbre application de messagerie prépare la prise en charge des passkeys sur l'iPhone.

OSTE – Le scanner de vulns qui combine Nikto, ZAP, Nuclei, SkipFish, et Wapiti

Par : Korben
28 janvier 2024 à 09:00

Si vous vous intéressez un peu à la sécurité informatique, je vous présente aujourd’hui OSTE qui est ce qu’on pourrait appeler un Metascanner.

Alors qu’est-ce qu’un Metascanner ?

Eh bien il s’agit d’un scanner de vulnérabilité web qui combine différents outils tels que Nikto, zap de l’OWASP, Nucléi, SkipFish ou encore Wapiti.

L’intérêt de cet outil c’est qu’il offre une interface graphique très user friendly qui permet de consulter les rapports de scan, mais également de les lancer. Injections SQL, XSS, XML, HTML ou encore des injections liées à des commandes spécifiques au système d’exploitation visé. Chacun des scanners DAST (Dynamic Application Security Testing) intégrés fournit des listes de vulnérabilités pour vous aider à identifier et corriger les problèmes potentiels.

Pour l’installer, vous aurez besoin de tous les outils que je viens de vous citer, mais si vous utilisez Kali Linux vous n’aurez pas de soucis puisque tout ça est déjà présent dans la distrib. Sinon il faudra les installer manuellement.

Ensuite il ne vous restera plus qu’à cloner le dépôt sur votre machine et à lancer la commande

python3 metascan.py

Vous pourrez alors lancer des scans, charger les résultats, les exporter, les consulter directement depuis l’interface graphique.

Vous l’aurez compris, OSTE est un outil fantastique pour simplifier l’évaluation de la cyber sécurité. N’oubliez pas quand même que c’est destiné à usages éducatifs ou dans le cadre de mission d’audits pour lesquelles vous avez été mandaté.

Si vous voulez en savoir plus, cliquez ici.

ProcDump débarque sous Linux !

Par : Korben
20 janvier 2024 à 09:00

Les plus barbus d’entre vous qui utilisent encore Linux connaissent bien cet outil de Sysinternals baptisé Procdump. Pour rappel, ProcDump est un outil de surveillance de processus et de débogage conçu pour permettre aux administrateurs système et aux développeurs de capturer des images de processus (des dumps) lorsqu’un processus atteint un certain critère, comme une utilisation élevée du CPU, une fuite de mémoire, ou une exception non gérée. Cela peut être utile pour identifier la cause profonde des pannes.

Et bien bonne nouvelle pour les Linuxiens, puisque Sysinternals a également sorti ProcDump pour Linux. Ca fait tout pareil que son grand frère sous Windows et c’est compatible avec des distraits comme CentOS, Ubuntu ou encore Fedora.

Utilisation de base

Alors, c’est simple comme bonjour. Vous voulez garder un œil sur un processus particulier ? Rien de plus facile avec ProcDump. Tapez cette commande magique :

sudo procdump [PID du processus]

Par exemple, pour espionner ce qui se passe dans le processus avec le PID 1234, lancez :

sudo procdump 1234

Et pouf ! Vous avez un joli vidage de mémoire à analyser. Mais attendez, il y a plus ! Vous voulez sauvegarder votre trésor ? Indiquez simplement un nom de fichier ou un répertoire :

sudo procdump 1234 mondump.dmp

Création de plusieurs vidages

On passe à la vitesse supérieure ! Avec l’option -n, vous pouvez créer une série de vidages. Imaginez, vous pourriez avoir non pas un, mais TROIS vidages, en tapant :

sudo procdump -n 3 1234

Et si vous êtes du genre impatient, réglez l’intervalle entre chaque vidage avec -s :

sudo procdump -n 3 -s 5 1234

Trois vidages, toutes les 5 secondes. C’est pas génial, ça ?

Surveillance de l’utilisation du processeur

Et pour les mordus de performances, ProcDump peut aussi surveiller l’utilisation du processeur. Vous voulez un rapport dès que ça dépasse 65 % ? Facile :

sudo procdump -c 65 1234

Ou pourquoi pas définir une plage ? Entre 10 % et 65 % par exemple :

sudo procdump -cl 10 -c 65 1234

Surveillance de l’utilisation de la mémoire

Enfin, pour les obsédés de la mémoire, il y a l’option -m. Vous serez alerté dès que le processus dépassera les 100 Mo :

sudo procdump -m 100 1234

Et pour les plus gourmands, spécifiez plusieurs seuils :

sudo procdump -m 100,200,300 1234

Allez, je ne vais pas vous faire l’article sur toutes les possibilités de cet outil de compét’, mais si vous êtes un Linuxien dans l’âme, c’est du caviar !

Pour installer ProcDump sous Linux, je vous renvoie à la documentation ici. Les binaires et le reste des explications est ici.

C’est quoi les passkeys ? Comment ça marche ? Pourquoi cela remplace-t-il les mots de passe ?

22 décembre 2023 à 08:40

passkey

La sécurité informatique est à l'aube d'une révolution avec l'arrivée des passkeys. Ces clés d'accès ambitionnent de remplacer les mots de passe. Sur bien des critères, ils leur sont supérieurs.

New Powerful Terramaster F4-424 Pro, F4-424 and F2-424 NAS Revealed

Par : Rob Andrews
29 décembre 2023 à 18:00

Terramaster F4-424 Pro, F4-424 and F2-424 NAS for 2024

TerraMaster, arguably the value/affordable tier of the private NAS market, have revealed three new solutions that form the beginning of their 2024 series of devices – the Terramaster F4-424 Pro, F4-424 and F2-424 NAS. Arriving before their main competitors Synology, QNAP and Asustor, these new solutions are arriving with a more recent Intel N95 and N300 CPU series and will be available in 2-Bay and 4-Bay configurations.

Terramaster F4-424 Pro, F4-424 and F2-424 NAS – Hardware Specifications

At the core of the F2-424 and F4-424 models is the Intel Celeron N95 processor, a choice that balances power and efficiency. The F4-424 PRO, on the other hand, steps up the performance with the Intel Core i3 N300 processor, catering to more demanding tasks. Memory-wise, the F2-424 and F4-424 are equipped with 8 GB of DDR5 non-ECC SODIMM, while the F4-424 PRO doubles this capacity to 16 GB, enhancing its multitasking capabilities. Storage options vary across the models, with the F2-424 featuring two disk slots, suitable for personal or small office setups, and the F4-424 and F4-424 PRO offering four disk slots, providing more flexibility and capacity for intensive data storage needs.Here is a comparison table for the TerraMaster F2-424, F4-424, and F4-424 PRO NAS devices with the correct CPU specifications:

Feature/Specification TerraMaster F2-424 TerraMaster F4-424 TerraMaster F4-424 PRO
Processor Model Intel® Celeron N95 Intel® Celeron N95 Intel® Core™ i3 N300
Processor Architecture X.86 64-bit X.86 64-bit X.86 64-bit
Processor Frequency Max burst up to 3.4 GHz Max burst up to 3.4 GHz Max Turbo Frequency 3.80 GHz
Total Cores 4 4 8
Total Threads 4 4 8
System Memory 8 GB DDR5 non-ECC SODIMM 8 GB DDR5 non-ECC SODIMM 16 GB (Max, dependent on memory type)
Memory Slot Number 1 (DDR5 SODIMM) 1 (DDR5 SODIMM) 1
Maximum Supported Memory 32 GB DDR5 non-ECC SODIMM 32 GB DDR5 non-ECC SODIMM 16 GB
Disk Slot Number 2 4 4
Compatible Drive Types 3.5″ SATA HDD, 2.5″ SATA HDD/SSD 3.5″ SATA HDD, 2.5″ SATA HDD/SSD 3.5″ SATA HDD, 2.5″ SATA HDD/SSD
Maximum Internal Raw Storage Capacity 44 TB (22 TB x2) 88 TB (22 TB x4) 88 TB (22 TB x4)
Drive Hot Swap Yes Yes Yes
External Ports 2 RJ-45 2.5GbE, 2 USB3.1, HDMI 2 RJ-45 2.5GbE, 2 USB3.1, HDMI 2 RJ-45 2.5GbE, 2 USB3.1, HDMI
Dimensions (HWD) 222 x 119 x 154 mm 222 x 179 x 154 mm 222 x 179 x 154 mm
Weight 2.2 kg 3.4 kg 3.4 kg
System Fan 80 x 80 x 25 mm 80 x 80 x 25 mm 120 x 120 x 25 mm
Noise Level 19.0 dB(A) 19.0 dB(A) 21.0 dB(A)
Power Supply 40 W 40 W 90 W
Power Consumption 22.0 W (active), 11.0 W (hibernation) 22.0 W (active), 11.0 W (hibernation) 33.0 W (active), 13.0 W (hibernation)
Operating Temperature 0°C to 40°C 0°C to 40°C 0°C to 40°C
Supported OS Windows, Mac, Linux Windows, Mac, Linux Windows, Mac, Linux
Supported Browsers Chrome, Firefox, Safari, Edge Chrome, Firefox, Safari, Edge Chrome, Firefox, Safari, Edge
Supported Mobile OS iOS14.0+, Android 10.0+ iOS14.0+, Android 10.0+ iOS14.0+, Android 10.0+
Networking TCP/IP, IPv4/IPv6, Link Aggregation, DLNA, VPN, DDNS TCP/IP, IPv4/IPv6, Link Aggregation, DLNA, VPN, DDNS TCP/IP, IPv4/IPv6, Link Aggregation, DLNA, VPN, DDNS
Security Features Firewall, AES Encryption, RSA 2048 Firewall, AES Encryption, RSA 2048 Firewall, AES Encryption, RSA 2048
Price (Approximate) $379 $499 $699

This table provides a detailed comparison across key features and specifications for these TerraMaster NAS models. A common thread among these TerraMaster NAS units is their robust build and reliable performance. Each model supports both 3.5″ SATA HDDs and 2.5″ SATA SSDs, ensuring versatility in storage media choices. Networking is a strong suit, with all models featuring 2.5GbE network jacks for faster data transfer speeds, and HDMI ports for direct video output. Compatibility with various operating systems including Windows, Mac, and Linux, alongside comprehensive security features like firewall protection and AES encryption, underscores their flexibility and security focus.

When assessing these models for purchase, potential buyers should consider their specific needs. The number of disk slots is a critical factor, with the F2-424’s two slots being ideal for less demanding storage requirements, while the four slots in the F4-424 and F4-424 PRO are better suited for larger storage pools and more intensive applications. The F4-424 PRO, with its superior Intel Core i3 N300 processor and expanded memory, is particularly geared towards business environments that require higher processing power and greater multitasking abilities.

Terramaster F4-424 Pro, F4-424 and F2-424 NAS – CPU Differences

The choice of CPU significantly influences the performance of these NAS units. The Intel Celeron N95, powering the F2-424 and F4-424, is a quad-core processor with a maximum turbo frequency of 3.4 GHz and a 6 MB cache, capable of efficiently handling everyday storage tasks. It supports both DDR4 and DDR5 memory types, up to a speed of 4800 MHz, and can manage 4K graphics output at 60Hz, making it suitable for media-heavy applications. The Intel Core i3 N300 in the F4-424 PRO is an 8-core powerhouse, offering a higher turbo frequency of 3.8 GHz, which translates into faster processing and more efficient handling of data-intensive tasks. This processor also supports the same memory types and speeds as the N95 but stands out with enhanced graphics capabilities, owing to a greater number of execution units and a higher maximum dynamic frequency.

Specification Intel N95 CPU (F2-424 / F4-442) Intel N300 CPU (F4-424 PRO)
Product Collection Intel® Processor N-series Intel® Core™ i3 Processor N-series
Code Name Products formerly Alder Lake-N Products formerly Alder Lake-N
Vertical Segment Mobile Mobile
Processor Number N95 i3-N300
Lithography Intel 7 Intel 7
Total Cores 4 8
Total Threads 4 8
Max Turbo Frequency 3.40 GHz 3.80 GHz
Cache 6 MB 6 MB Intel® Smart Cache
TDP 15 W 7 W
Max Memory Size 16 GB (dependent on memory type) 16 GB (dependent on memory type)
Memory Types DDR4 3200 MT/s, DDR5 4800 MT/s, LPDDR5 4800 MT/s DDR4 3200 MT/s, DDR5 4800 MT/s, LPDDR5 4800 MT/s
Max Memory Channels 1 1
ECC Memory Supported No No
GPU Name Intel® UHD Graphics Intel® UHD Graphics
Max Dynamic Frequency 1.20 GHz 1.25 GHz
Graphics Output eDP 1.4b, DP 1.4, HDMI 2.1, MIPI-DSI 1.3 eDP 1.4b, DP 1.4, HDMI 2.1, MIPI-DSI 1.3
Execution Units 16 32
4K Support Yes, at 60Hz Yes, at 60Hz
Max Resolution (HDMI) 4096 x 2160@60Hz 4096 x 2160@60Hz
DirectX Support* 12.1 12.1
OpenGL Support* 4.6 4.6
OpenCL Support* 3.0 3.0
# of Displays Supported 3 3
PCI Express Lanes 9 Gen 3 9 Gen 3
USB Revision 2.0/3.2 2.0/3.2
TJUNCTION 105°C 105°C
Instruction Set 64-bit 64-bit
Advanced Technologies Includes Intel® Gaussian & Neural Accelerator 3.0, Intel® Image Processing Unit 6.0, Intel® Speed Shift Technology, Intel® Virtualization Technology, etc. Includes Intel® Gaussian & Neural Accelerator 3.0, Intel® Image Processing Unit 6.0, Intel® Speed Shift Technology, Intel® Virtualization Technology, etc.

Delving deeper into the usability aspects, all three models boast a user-friendly interface, making them accessible even to NAS novices. Their compatibility with various RAID configurations offers flexibility in data management and redundancy, crucial for data integrity and security. The inclusion of HDMI ports opens up possibilities for direct media playback, a feature that is particularly beneficial in home entertainment setups or digital signage applications. The TerraMaster NAS units also excel in connectivity options, with multiple USB and Ethernet ports providing the versatility needed in modern connected environments. This connectivity, coupled with their compact and sleek design, makes these NAS devices a fit for various settings, from home offices to more formal business environments.

Terramaster F4-424 Pro, F4-424 and F2-424 NAS – Should You Buy?

The TerraMaster’s F2-424, F4-424, and F4-424 PRO NAS units cater to a wide range of storage needs. The F2-424 and F4-424, with the Intel Celeron N95, are excellent choices for general home use and small offices, offering reliable performance for standard storage and media tasks. The F4-424 PRO, powered by the Intel Core i3 N300, is a step up, designed to meet the demands of business environments and power users who require enhanced processing power and expanded memory. This range from TerraMaster highlights a commitment to providing versatile, scalable storage solutions across different user needs and budget ranges, making them a noteworthy option in the NAS market.

📧 SUBSCRIBE TO OUR NEWSLETTER 🔔
[contact-form-7]
🔒 Join Inner Circle

Get an alert every time something gets added to this specific article!


Want to follow specific category? 📧 Subscribe

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions
If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a ☕ Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  
 
Or support us by using our affiliate links on Amazon UK and Amazon US
    
 
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

☕ WE LOVE COFFEE ☕

 

Signal accuse la France de dire n’importe quoi sur sa messagerie sécurisée

1 décembre 2023 à 11:11

Meredith Whittaker

La présidente de la fondation Signal, Meredith Whittaker, a eu vent des projets du gouvernement français de passer à Olvid pour discuter, à la place des apps pour le grand public. Si l'exécutif veut changer de messagerie, soit. Mais elle aimerait que cela se fasse sans aucune allusion douteuse.

Pourquoi les ministres vont devoir renoncer à WhatsApp, Signal et Telegram

30 novembre 2023 à 11:27

elisabeth borne

La Première ministre Elisabeth Borne a passé des consignes aux ministres et aux secrétaires d'État, ainsi qu'à leurs équipes. Les messageries étrangères WhatsApp, Signal et Telegram ne sont plus les bienvenues. À la place, tout le monde est invité à opter pour Tchap ou Olvid, deux solutions franco-françaises.

❌
❌