Procès des « suicidés » de France Telecom, Firefox s’égare, Windows 10 se rêve sans mots de passe; écoutez le ZD Brief 08

Voici la huitième édition du ZD brief, le podcast dédié aux technologies.

Le procès des suicides à France Télécom s’ouvre

Après le renvoi en  correctionnelle de l’ancien PDG de l’opérateur historique, Didier Lombard, et de six ex-cadres de France Télécoms pour  harcèlement moral et complicité de harcèlement moral, le procès des suicides de France Télécom peut débuter pour faire la lumière sur cette période noire de l’histoire d’Orange, également jugé en qualité de personne morale par le tribunal correctionnel de Paris. Un procès tenu après neuf années de procédures judiciaires qui s’annonce d’ores et déjà fleuve et s’étale selon la convocation sur 21 audiences pour durer jusqu’au 2 juillet prochain.

Petit rappel des faits. Nommé PDG de France Télécom début 2005, Didier Lombard engage un énorme plan de restructuration au sein de l’opérateur historique. Baptisé « Next » pour « Nouvelle Expérience des Télécommunications », celui-ci doit permettre à l’opérateur d’unifier ses marques à l’international sous la bannière Orange, son service client, ses portails et la gestion de ses réseaux, le tout d’ici à 2008. Objectif pour l’opérateur historique : arriver à un rythme de croissance annuelle de ses revenus de l’ordre de 5%. Un plan qui passe notamment par l’unification de ses marques sous la bannière Orange et la disparition progressive de Wanadoo.

Si celui-ci achoppe en juin 2006 avec le regroupement de l’ensemble des activités de l’opérateur historique sous la marque globale Orange, elle passe également par une grande casse sociale et par la suppression de 22.000 emplois au sein de l’opérateur entre 2006 et 2008, « par la porte ou par la fenêtre », selon une formule équivoque utilisée par Didier Lombard. Au terme de cette période noire, la justice retiendra, après le dépôt de plusieurs plaintes, le cas de 39 salariés, parmi lesquels 12 victimes de dépression ou d’arrêt de travail, 12 personnes ayant tenté de mettre fin à leurs jours et 19 personnes s’étant effectivement donné la mort. Verdict attendu au mois de juillet prochain, au terme d’un procès marathon qui doit permettre de fermer la page d’une période noire pour l’opérateur historique et ses salariés.

Mozilla corrige un bug affectant l’utilisation d’extensions sur Firefox

Mozilla corrige le tir après un week-end noir. L’éditeur du navigateur Firefox a en effet publié une mise à jour de ce dernier afin de résoudre un bug désactivant par défaut dans un correctif temporaire la veille toutes les extensions de ses utilisateurs.

Le certificat numérique que Mozilla utilisait pour vérifier que les extensions installées dans les navigateurs de l’utilisateur sont les mêmes que celles hébergées sur le portail en ligne officiel du navigateur, Mozilla Add-ons avait expiré suite à la publication d’un correctif temporaire dans la nuit de vendredi à samedi dernier. Une fois le certificat expiré, les navigateurs Firefox ont commencé à être dans l’impossibilité de vérifier l’authenticité des extensions installées localement et ont immédiatement désactivé par défaut tous les add-ons des navigateurs des utilisateurs.

Un sacré dysfonctionnement rendant d’office le navigateur difficile d’utilisation pour une grande partie de ses utilisateurs habitués à disposer de leurs extensions. Ces derniers, comptabilisés au nombre de 100 millions dans le monde, ne pouvaient en effet jusqu’à maintenant plus réactiver les extensions, ni en installer de nouvelles du fait de l’expiration de cette fameuse signature. A noter que le navigateur Tor, une dérivation basée sur Firefox qui s’appuie également sur le site Mozilla Add-ons pour les extensions, a également souffert de la désactivation d’une de ses extensions les plus importantes, affaiblissant de fait sa sécurité globale.

Les Autorités font tomber deux places de marché noir sur Tor

La police allemande et Europol ont officiellement annoncé l’arrestation du marché de Wall Street, tandis que les douanes finlandaises et Europol ont également annoncé l’arrêt d’un second marché noir, baptisé Valhalla. Selon Europol, les autorités allemandes ont arrêté trois suspects.

D’après les données officielles recueillies sur le marché, Wall Street comptait plus de 1,15 million d’utilisateurs enregistrés, dont 5 400 étaient des vendeurs de divers produits illicites. Les autorités finlandaises ont déclaré avoir saisi les serveurs du marché Valhalla et une quantité importante de Bitcoin, sans procéder à aucune arrestation.

La saisie du site intervient après deux semaines tumultueuses pour le Wall Street Market et ses utilisateurs, au cours desquelles les administrateurs du site se sont enfuis avec le contenu des portes-monnaies d’escrow – soit plus de 14,2 millions de dollars en cryptomonnaie provenant de comptes d’utilisateurs et de fournisseurs.

Windows veut permettre à 800 millions d’utilisateurs de se passer de mots de passe

Microsoft a franchi une nouvelle étape dans sa quête pour supprimer les mots de passe. La société a maintenant obtenu la certification officielle FIDO2 pour Windows Hello, le système d’authentification biométrique Windows 10. La certification s’applique à Windows 10 version 1903, la mise à jour de mai 2019, qui devrait être rendue publique fin mai. Cette certification signifie que Windows Hello a été approuvé en tant qu’authentificateur FIDO2. Windows Hello offre aux utilisateurs de Windows 10 la possibilité de déverrouiller leurs appareils à l’aide de capteurs d’empreintes digitales ou de reconnaissance faciale sur le PC, ainsi que de codes confidentiels.

« Personne n’aime les mots de passe (à l’exception des hackers) », a déclaré Yogesh Mehta, responsable de groupe pour l’équipe cryptographie, identité et authentification de Microsoft sous Azure Core OS. « Les gens n’aiment pas les mots de passe, car nous devons nous en souvenir. Par conséquent, nous créons souvent des mots de passe faciles à deviner, ce qui en fait la première cible des pirates informatiques tentant d’accéder à votre ordinateur ou à votre réseau au travail. » Les consommateurs peuvent s’attendre à voir apparaître les premiers logos certifiés FIDO sur les nouveaux PC Windows 10, et ils pourront se connecter à des comptes en ligne à l’aide de Windows Hello sur tous les ordinateurs mis à niveau vers la version 1903 à l’aide de la norme FIDO2.

Cette certification s’inscrit dans le cadre d’un mouvement plus large visant à généraliser l’authentification sans mot de passe à l’échelle de l’industrie. On peut le rapprocher de la norme WebAuthn ou Web Authentication WC3 prise en charge par Mozilla Firefox, Microsoft Edge et Google Chrome. La norme est également implémentée à titre de test par Apple Safari tandis que Chrome sur Android est officiellement certifié FIDO2.

Etes-vous vulnérables au phishing ? Faites le test !

Comme en moyenne 20 % des internautes vont ouvrir les courriels malveillants et ainsi infecter leurs machines et le système d’information, faire des tests de phishing réguliers s’impose pour vérifier la bonne santé de votre société. Le phishing (ou hameçonnage) existe certes dans le grand public pour inciter l’utilisateur peu vigilant à livrer ses informations confidentielles ou à infecter son appareil en l’envoyant vers un site corrompu à partir d’un faux mail officiel. Mais il existe également dans le monde professionnel, où il représente souvent la première étape pour que les cybercriminels puissent pénétrer le réseau d’entreprise.

Comment s’en prémunir ? En paramétrant correctement ses filtres de messageries et en appliquant les mêmes règles de bon sens que pour le grand public. Encore faut-il vous assurer que tous les salariés de l’entreprise et tous les prestataires, stagiaires et autres personnes amenées d’une façon ou d’une autre à se connecter à votre système d’information connaissent les règles.

L’une des façons de s’en assurer est de faire un test à l’échelle de votre entreprise. De nombreux prestataires de sécurité informatique peuvent le réaliser pour vous comme celui-ci ou celui-là, trouvés avec une simple recherche dans un moteur de recherche. Ou si vous avez l’infrastructure nécessaire, vous pouvez le réaliser vous-même. Au point de vue matériel, vous suffira de créer un ou deux mails pièges (renvoyant sur une fausse page Web), une adresse dédiée au signalement des courriers suspects et quelques adresses de courrier pour vos faux expéditeurs malveillants. Comme l’avait fait à l’automne 2017, le ministère de l’Économie et des Finances.

Quelle que soit la solution technique adoptée (prestataire ou opération interne), d’un point de vue organisationnel, tout ne se fait pas de façon aussi simple. Il y a des règles à suivre pour que les enseignements de ce test soient les plus complets possible. Tout d’abord, comme tous les tests sur la sécurité de votre système d’information, celui-ci devra être refait régulièrement. Pourquoi ? Parce que d’une part, le personnel de votre entreprise change et qu’il y a toujours de nouveaux arrivants et que d’autre part, le refaire régulièrement vous permettra de vérifier que les consignes de sécurité ont bien été intégrées.

De plus avant de faire le test, n’oubliez pas de vérifier les réglages de vos systèmes de messagerie aussi bien côté serveur que sur les postes utilisateurs en suivant par exemple les consignes de CERT-FR. Assurez-vous également que vos utilisateurs connaissent les consignes pour détecter les courriels malveillants. Aussi bien l’ANSSI que la DGCCRF donnent leurs conseils. Adaptez-les à votre entreprise, et n’oubliez pas de vérifier qui sont les différentes personnes autorisées à accéder à la messagerie des dirigeants, et quelles sont leurs autorisations sur votre système d’information.

Go to Source


bouton-devis

Firefox : Mozilla corrige un bug désactivant les extensions par défaut

Mozilla corrige le tir après un week-end noir. L’éditeur du navigateur Firefox a en effet publié une mise à jour de ce dernier afin de résoudre un bug désactivant par défaut dans un correctif temporaire la veille toutes les extensions de ses utilisateurs.

 

« Une version de Firefox a été poussée – version 66.0.4 sur Desktop et Android, et version 60.6.2 pour ESR. Cette version répare la chaîne de certificats pour réactiver les extensions Web, les thèmes, les moteurs de recherche et les paquets de langues qui ont été désactivés », a ainsi fait savoir Kev Needham, membre de l’équipe des modules complémentaires Firefox, dans un post de blog publié ce lundi. « Il reste des problèmes que nous travaillons activement à résoudre, mais nous voulions régler ce problème avant lundi afin de réduire l’impact des ajouts de personnes handicapées avant le début de la semaine », a ajouté ce dernier.

A noter que la direction de Mozilla a conseillé de « ne pas supprimer et/ou réinstaller d’add-ons pour tenter de résoudre le problème ». « La suppression d’un add-on supprime toutes les données qui lui sont associées, là où la désactivation et la réactivation ne le font pas », a ainsi fait savoir Kev Needham. Ce correctif temporaire utilise la fonction intégrée Firefox Studies pour envoyer une « étude » qui ajoute la prise en charge d’un nouveau certificat de signature. A souligner que cette solution temporaire n’a pas atteint les utilisateurs ayant désactivé « Firefox Studies » afin de ne pas renvoyer des données télémétriques à Mozilla.

100 millions d’utilisateurs impactés

Pour rappel, le certificat numérique que Mozilla utilisait pour signer les extensions de Firefox avait expiré suite à la publication d’un correctif temporaire dans la nuit de vendredi à samedi dernier. Mozilla utilisait ce certificat pour vérifier que les extensions installées dans les navigateurs de l’utilisateur sont les mêmes que celles hébergées sur le portail en ligne officiel du navigateur, Mozilla Add-ons. Une fois le certificat expiré, les navigateurs Firefox ont commencé à être dans l’impossibilité de vérifier l’authenticité des extensions installées localement et ont immédiatement désactivé par défaut tous les add-ons des navigateurs des utilisateurs.

Un sacré dysfonctionnement rendant d’office le navigateur difficile d’utilisation pour une grande partie de ses utilisateurs habitués à disposer de leurs extensions. Ces derniers, comptabilisés au nombre de 100 millions dans le monde, ne pouvaient en effet jusqu’à maintenant plus réactiver les extensions, ni en installer de nouvelles du fait de l’expiration de cette fameuse signature.

« Un certificat a expiré hier et a entraîné l’arrêt du fonctionnement ou l’échec de l’installation d’add-ons. Cela n’a rien à voir avec les changements de politique », indiquait à ce propos Caitlin Neiman, une autre responsable des correctifs de Firefox, ce samedi. A noter que le navigateur Tor, une dérivation basée sur Firefox qui s’appuie également sur le site Mozilla Add-ons pour les extensions, a également souffert de la désactivation d’une de ses extensions les plus importantes, affaiblissant de fait sa sécurité globale.

Go to Source


bouton-devis

Un ancien cadre de Mozilla accuse : Google a saboté Firefox pendant des années

Un ancien cadre de haut niveau de Mozilla accuse Google d’avoir saboté intentionnellement et systématiquement Firefox au cours de la dernière décennie afin d’encourager l’adoption de Chrome.

Il n’est pas le premier membre de l’équipe Firefox à porter de telles accusations ces derniers mois. Cependant, ses allégations vont bien au-delà des déclarations précédentes et accusent Google de mener à bien un plan coordonné qui impliquait l’introduction de petits bugs sur ses sites. De bugs qui ne se manifestent que pour les utilisateurs du navigateur Firefox.

Johnathan Nightingale
, ancien directeur général et vice-président de Firefox chez Mozilla, le dit tout net : « Quand j’ai commencé chez Mozilla en 2007, il n’y avait pas de Google Chrome, et la plupart des gens avec qui nous parlions à l’intérieur [de Google] étaient des fans de Firefox ».

« Quand Chrome a été lancé les choses se sont compliquées. Mais pas comme on pourrait s’y attendre. Ils avaient désormais un produit concurrent, mais ils n’ont pas coupé les liens, n’ont pas rompu notre accord de recherche – rien de tout cela. En fait, l’histoire que nous n’arrêtions pas d’entendre était la suivante : ‘Nous sommes du même côté. Nous voulons les mêmes choses' ».

« Je pense que nos amis de Google le croyaient vraiment. Au niveau individuel, leurs ingénieurs se souciaient de la plupart des mêmes choses que nous. Et nous avons appris en nous observant les uns les autres ».

« Mais Google dans son ensemble est très différent des googlers (employés de Google) » explique M. Nightingale. « Des publicités pour Google Chrome ont commencé à apparaitre à côté des termes de recherche Firefox. Gmail & [Google] Docs ont commencé à connaître des problèmes de performances et des bugs uniquement sur Firefox. Les sites de démonstration [de ces produits] bloquaient faussement Firefox comme étant ‘incompatible' » dit-il.

« Tout ça, ce sont des choses qu’on a le droit de faire pour être compétitif, bien sûr. Mais nous étions toujours partenaire de recherche, alors on se disait : « Hé, qu’est-ce qui se passe ? Et à chaque fois, ils disaient : ‘Oups. C’était accidentel. On le réparera dans deux semaines' ».

« Encore et encore. Oups. Un autre accident. On va arranger ça bientôt. Nous voulons les mêmes choses. On est dans la même équipe. Il y avait des douzaines de ‘oops’. Des centaines peut-être même ».

« Je ne suis pas pour attribuer à la malice ce qui peut s’expliquer par l’incompétence, mais je ne crois pas que Google soit aussi incompétent. On perdait des utilisateurs à chaque fois. Et nous avons dépensé tous nos efforts et étions très frustrés à chaque explication, nous avons fait cela au lieu d’améliorer notre produit. Nous avons été dépassés pendant un certain temps et lorsque nous avons commencé à appeler cette situation par son nom, beaucoup de dégâts avaient été faits » explique Johnathan Nightingale.

Ce ne sont pas les premières accusations

Johnathan Nightingale n’est pas le premier membre de l’équipe Firefox à porter de telles accusations. En juillet 2018, Chris Peterson, responsable du programme Mozilla, a accusé Google de ralentir intentionnellement les performances de YouTube sur Firefox.

Il a révélé que Firefox et Edge étaient tous deux supérieurs en matière de performance lors du chargement de contenu YouTube par rapport à Chrome. Et afin de contrer ce problème de performance, Google s’est mis à utiliser une bibliothèque JavaScript pour YouTube qu’ils savaient ne pas être supportée par Firefox.

« Le chargement des pages YouTube est 5x plus lent dans Firefox et Edge que dans Chrome car la refonte de YouTube Polymer repose sur l’API Shadow DOM v0 obsolète, implémentée uniquement dans Chrome. Vous pouvez restaurer la version pré Polymer de YouTube avec cette extension Firefox : https://t.co/F5uEn3iMLR » – Chris Peterson (@cpeterso) 24 juillet 2018

À ce stade, il est très difficile de ne pas croire ou de ne pas prendre les commentaires de Nightingale au sérieux. Lentement mais sûrement, Google devient le nouveau Microsoft, et Chrome se transforme lentement en nouvel IE. Une opinion que de plus en plus d’utilisateurs commencent à partager [1, 2, 3].

« Cela me rappelle la fois où Microsoft a utilisé des API privées pour améliorer IE. Google est le nouveau Microsoft » – Federico Ramirez (@gosukiwi) 24 juillet 2018

Source : « Former Mozilla exec: Google has sabotaged Firefox for years »

Go to Source


bouton-devis

Firefox bloquera par défaut des scripts cachés, dont le cryptomining

 

Une prochaine version de Firefox fournira aux utilisateurs la possibilité de bloquer deux pratiques de plus en plus répandues aujourd’hui sur le web : les scripts de fingerprinting et de cryptomining. Elles ont en commun d’être préjudiciables à l’internaute.

Le fingerprinting permet ainsi, aux acteurs de la publicité, de traquer les utilisateurs sur le Web. Quant aux scripts de cryptomining, ils détournent la puissance de calcul des visiteurs pour miner de la cryptomonnaie.

Protection à base de listes noires

Le cryptomining sur le Web a notamment décollé comme alternative à la monétisation par la publicité. Mais il a été rapidement adapté pour le ‘cryptojacking’, permettant, au travers d’un navigateur, d’exploiter le CPU pour générer de la cryptomonnaie.

Mozilla, désireux de rendre Firefox à nouveau pertinent dans un monde Chromium, a révélé mardi que Firefox Nightly 68 et Firefox Beta 67 incluront des protections contre ces deux menaces. Le navigateur s’appuiera sur une liste noire de sites Web connus pour utiliser des scripts de cette nature.

La liste noire a été compilée par Disconnect, un éditeur de VPN connu pour ses efforts anti-tracking. Mozilla précise les mécanismes de protection qu’il entend intégrer à Firefox. Et l’éditeur adopte donc une approche à plusieurs dimensions en matière de fingerprinting.

Letterboxing vise à contrecarrer une technique utilisée pour tagger un navigateur – par exemple, en mesurant la taille de la fenêtre d’un navigateur à un moment donné – pour un tracking constant sur les sites Web sans l’aide des cookies.

Le deuxième élément est une liste noire de sites connus pour utiliser des scripts de fingerprinting et de sites identifiés pour leur recours à des scripts de cryptomining.

La fonction de blocage de script fait désormais partie des paramètres de blocage de contenu de Firefox dans l’onglet « Confidentialité et sécurité » des Préférences. Dans ‘Blocage de contenu’, les utilisateurs de Firefox peuvent cocher des cases pour bloquer l’une ou l’autre ou les deux catégories de scripts.

« Une fois activé, Firefox bloquera tous les scripts qui ont été identifiés par Disconnect comme participant au cryptomining ou à la prise d’empreintes digitales » précise Arthur Edelstein de Mozilla, ajoutant que les protections seront activées par défaut dans Nightly « dans les semaines à venir ».

La sortie de Firefox 67 est prévue pour la mi-mai. D’ici-là, Mozilla recueillera des commentaires sur l’efficacité des nouvelles protections et ses possibles effets de bord. L’éditeur prévoit de « continuer à travailler avec Disconnect pour améliorer et étendre l’ensemble des domaines bloqués par Firefox. »

Go to Source


bouton-devis

Après Chrome, Firefox va prendre en charge le lazy loading (chargement différé)

Les ingénieurs de Mozilla prévoient d’ajouter la prise en charge du « chargement différé » – lazy loading, un mécanisme permettant de différer le chargement des images si elles ne sont pas visibles sur l’écran de l’utilisateur lorsqu’un site Web est chargé pour la première fois.

Le travail sur l’ajout de cette fonctionnalité dans Firefox a commencé le mois dernier. Google teste déjà un mécanisme identique dans Chrome depuis janvier 2018.

Comment fonctionne le chargement différé

Le chargement différé fait partie de l’actualité du développement Web depuis plus d’une décennie. Il a été initialement créé comme un concept pour les bibliothèques JavaScript.

Les développeurs ont compris qu’en retardant le chargement des images non visibles, ils pouvaient améliorer considérablement le temps de chargement des pages d’un site Web, un critère crucial d’optimisation pour les moteurs de recherche (SEO), et, par conséquent, obtenir une meilleure position dans les résultats de recherche Google.

Le concept s’est rapidement développé, et au début des années 2010, il y avait des centaines de bibliothèques et de plugins qui fournissaient des moyens faciles de mettre en œuvre un mécanisme de chargement différé sur les sites Web, indépendamment du langage de programmation sous-jacent ou du système de gestion de contenu (CMS).

Google a voulu mettre le chargement différé au niveau du navigateur

La première étape pour déplacer le chargement différé du niveau du site Web à celui au niveau du navigateur a été effectuée en Janvier 2018, lorsque Google a publié un document décrivant comment Chrome permettrait le chargement différé des images et des iframes qui positionnés en dehors de la section visible d’une page.

Des drapeaux Chrome ont été implémentés par la suite. Ils sont actuellement disponibles dans la version stable de Chrome, et que les utilisateurs peuvent activer pour charger plus rapidement les sites Web.

Avec l’appui de Google, la fonctionnalité est également devenue attrayante pour d’autres navigateurs, dont les développeurs ont réalisé les avantages qu’elle pourrait apporter à l’amélioration des temps de chargement des pages. Au cours de l’année dernière, les ingénieurs de Safari ont, eux aussi, exprimé leur intérêt pour le chargement différé.

L’appui de Firefox sur ce dossier signifie que tous les principaux moteurs de rendu de navigateurs supporteront bientôt le chargement différé — WebKit (Safari), Blink (tous les navigateurs Chromium), et Gecko (Firefox).

Source : « After Chrome, Firefox will also support off-screen image lazy loading »

Go to Source


bouton-devis