Télégrammes : Xavier perturbe Play Store, Un Sequana au Genci, Telegram résiste aux backdoors, Palo Alto Networks investit

Le malware Xavier infecte 800 applications du Play Store. Depuis 2016, Android Play est victime d’un malware, Xavier. Jusqu’alors fort discret, la bestiole a réussi à infecter pas moins de 800 applications du magasin applicatif de l’OS mobile de Google, rapporte Trend Micro. Certaines ont été téléchargées jusqu’à 500 000 fois. Il s’agit de « petits » utilitaire comme des lecteurs PDF, des optimiseurs de mémoire, des économiseurs de batterie, de la retouche photo… C’est sa diffusion à travers une API de code publicitaire qui expliquerait sa large diffusion. Xavier est capable de récupérer les informations personnelles des victimes comme les adresses e-mail, l’identifiant unique du téléphone, l’opérateur, les applications installées, etc. Autant de données ouvrant la voie à des campagnes de phishing. Mais surtout, Xavier serait capable de télécharger et installer du code sur le terminal de la victime afin d’en prendre le contrôle. Google a commencé le nettoyage. Mais seules 75 applications ont été retirées de son Store pour l’heure. Méfiance, donc.

Atos livre un supercalculateur Sequana au GENCI. La SSII annonce la signature d’un contrat avec le GENCI (Grand Équipement National de Calcul Intensif) pour livrer d’ici à la fin 2017 un supercalculateur Sequana. Cet équipement a été dévoilé en avril 2016 par Thierry Breton, PDG d’Atos et sous la bienveillance d’Emmanuel Macron, alors ministre de l’Economie. Le Sequana, livré au GENCI, revendique une puissance de 9 petaflops, soit 9 millions de milliards d’opérations par seconde. Ce nouveau supercalculateur sera mis à disposition des chercheurs français et européens pour les accompagner dans des domaines académiques et industriels nécessitant une très grande puissance de calcul et de traitement de données. Le Sequana est le vecteur d’Atos pour atteindre d’ici 2020 la puissance exaflopique.

Le fondateur de Telegram soudoyé pour installer des backdoors. Pavel Durov n’a pas la langue dans sa poche et vient d’expliquer sur Twitter sa mésaventure lors d’un voyage aux Etats-Unis l’année dernière. Des agences américaines ont approché des développeurs de la messagerie pour leur proposer de l’argent en échange de placer des portes dérobées dans la messagerie sécurisée. Il fait état également de pression du FBI à son encontre. Il en profite pour balancer sur son concurrent le plus direct, Signal, qui selon lui voit son chiffrement financé par les Etats-Unis. Pavel Durov prédit que dans les 5 prochaines années, on découvrira une backdoor dans le protocole de Signal, utilisé par ailleurs par WhatsApp et Facebook Messenger.

Palo Alto ouvre un fonds de capital-risque dédié à la sécurité. C’est bien connu, la sécurité n’a pas de prix. Ou plutôt si. Et il est de 20 millions de dollars chez Palo Alto Networks. C’est la somme qui constitue le fonds de capital-risque dédié à la sécurité que le spécialiste de la sécurisation des réseaux vient d’annoncer. Ce fonds permettra de donner un coup de pouce aux éditeurs de solution de sécurité en phase d’amorçage qui souhaitent déployer leurs solutions sur la plate-forme Cloud de Palo Alto et un nouveau framework applicatif. Cette plate-forme permet aux clients d’accéder plus rapidement à de nouvelles fonctionnalités de sécurité avant de les adopter mais aussi de les activer auprès des prestataires selon l’évolution de leurs besoins. Pour animer le fonds, Palo Alto prévoit de collaborer avec Greylock Partners et Sequoia Capital en vue de recenser et d’évaluer des applications de sécurité innovantes, susceptibles de faire l’objet d’un co-investissement.

Go to Source


bouton-devis

Avec Federated Learning, Google teste son IA depuis les smartphones

Tous les spécialistes de l’intelligence artificielle estiment que, sans données, il n’y a pas d’IA. Mais nous vivons aussi dans un monde où les questions de protection des données sont importantes. Les acteurs de l’intelligence artificielle doivent donc tenter de combiner ces deux exigences. Google vient d’apporter une solution originale à ce dilemme : le Federated Learning ou apprentissage fédéré.

Habituellement, pour entraîner les algorithmes de Google, les données du comportement des mobinautes sont basculées dans le Cloud. La firme de Mountain View veut décentraliser ce traitement des données personnelles directement sur le smartphone. Google explique le fonctionnement de cette technique dans un billet de blog : l’utilisateur télécharge une application dotée d’un module de Machine Learning (en l’occurrence une version légère du moeur Open Source TensorFlow), l’IA s’entraîne via l’usage de l’application etGoogle récupère les modifications de l’algorithme lors des mises à jour de l’application.

Le clavier Gboard en éclaireur

Google a commencé à tester cette technique d’apprentissage fédéré avec l’application Gboard, le clavier intelligent. « Quand Gboard affiche une requête suggérée, le téléphone stocke localement des informations sur le contexte actuel et sur la suggestion. La technique du Federated Learning se sert de cet historique sur le smartphone pour améliorer la réponse à une prochaine requête dans Gboard », explique Google.

gboard FL

Les équipes de Google soulignent que l’intégration de l’entraînement de l’IA au sein d’un smartphone Android n’est pas une chose aisée. Elle nécessite quelques efforts techniques. Ainsi, l’algorithme d’optimisation Stochastic Gradient Descent (SGD) fonctionne habituellement à partir de jeux de données homogènes partitionnés sur les serveurs du Cloud de Google. Avec le Federated Learning, les données sont éparpillées sur des millions de terminaux, disposant d’une bande passante et de temps de latence fluctuants. D’où l’idée de mettre à contribution le processeur du terminal et de communiquer avec les serveurs de manière limitée et de façon compressée. Google assure, par exemple, que les mises à jour se font pendant les périodes d’inactivité du smartphone et quand une connexion WiFi est disponible.

A lire aussi :

L’intelligence artificielle peut-elle échapper au sexisme ?

Intelligence artificielle et pensée humaine, à un algorithme près ?

Go to Source


bouton-devis

Télégrammes : Samsung lance Chromebook Pro, Ménage sur le Play Store, KasperskyOS dispo, SAP étoffe S4/HANA Cloud

Samsung lance le Chromebook Pro . Pour contrer les Surface de Microsoft, Samsung mise sur les Chromebook pour se refaire dans le domaine du PC. Avec le Chromebook Pro, Samsung accompagne aussi la tendance des PC fonctionnant sous ChromeOS mais en supportant les applications Android présentes sur le Play Store. Le Chromebook Pro s’apparente à un deux en un, avec un châssis en aluminium satiné (une grosse charnière permet de faire pivoter l’écran pour mettre le Chromebook en mode tablette). L’écran tactile de 12,3 pouces accueille une résolution de 2400 × 1600 pixels. Il est équipé d’un processeur Intel Core M3, épaulé par 4 Go de DDR3 de mémoire vive et une capacité de stockage de 32 Go. Le poids est de 1,1 kg. Son prix débute à partir de 449 dollars.

Grand ménage sur le Play Store. Google a décidé de donner un grand coup de balai sur les applications dans le Play Store à celles qui ne respecteront pas une politique de confidentialité valide. Surtout celles qui collectent et traitent des données personnelles. Elles devront avoir au minimum un lien pointant vers des conditions valides dans l’apps et sur la page de présentation sur le Play Store. Les développeurs sont ainsi visés et ont commencé à recevoir des avertissements de la part de Google. Les sanctions sont claires en cas de non-coopération : baisse du référencement dans le meilleur des cas ou éjection du Play Store dans le pire. Ils ont jusqu’au 15 mars pour réagir. Plusieurs millions d’applications sont concernées par ce grand balayage.

L’OS ultra sécurisé de Kaspersky est disponible. Kaspersky a annoncé la disponibilité commerciale de son OS que le fondateur, Eugene Kaspersky, avait présenté en novembre dernier. Tout simplement baptisé KasperskyOS, l’offre vise les systèmes embarqués qui nécessitent un niveau très élevé de sécurité. Il se destine principalement aux équipements réseaux (switchs, routeurs…) des opérateurs notamment, mais aussi aux systèmes industriels (Kaspersky évoque l’automobile) et toutes les infrastructures critiques. Entièrement développé au sein du Kaspesky Lab depuis plus de 15 ans sur la base d’un micro noyau maison (pas de Linux, donc), l’OS promet la « security by design » des environnements dès leur conception. Schématiquement l’OS autorise les programmes à n’exécuter que des opérations documentées. Ce qui impose une politique de sécurité stricte qui définit toutes les fonctionnalités documentées dans le développement des applications qui, selon l’éditeur, pourront se faire dans du code « traditionnel ». Une seule erreur dans le code des fonctionnalités bloquera l’exécution de l’application. Autrement dit, du code extérieur injecté dans l’OS sera inefficace. Un principe que les industriels auront désormais tout le loisir de pouvoir vérifier en pratique.

SAP amène l’IA dans son ERP pour le Cloud. Lors d’un événement organisé à New York, SAP a dévoilé une nouvelle version de son ERP dans le Cloud, S/4 Hana Cloud. Rappelons que cette génération d’applicatifs, également disponible sur site, fonctionne uniquement sur la base de données In-Memory du premier éditeur européen, Hana. La dernière livraison de Walldorf intègre notamment des fonctions d’IA, sans toutefois aller jusqu’au bot conversationnel (même si SAP intègre une fonction d’interrogation en langage naturel, appelée CoPilot). Les fonctions de Machine Learning permettront par exemple d’automatiser les fonctions et paramétrages à présenter à l’utilisateur, en fonction de ses actions.  Une tendance dans laquelle se pressent tous les autres grands noms de l’applicatif d’entreprise, d’Oracle à Salesforce en passant par Microsoft. Une prochaine mouture de S/4 Hana Cloud devrait également proposer une forme d’intégration de la Blockchain, sur laquelle SAP n’a guère donné de détails pour l’heure. La version Saas de S/4 est mise à jour tous les trimestres par son éditeur, là où son équivalent on-premise doit se contenter d’une montée de version par an.

Go to Source


bouton-devis

IoT : Google met Android au service des objets connectés

Google fait un nouveau pas dans l’Internet des objets (IoT). La firme vient d’annoncer deux initiatives en ce sens. La première vise à permettre aux développeurs de s’appuyer sur Android pour piloter des objets connectés. Mountain View vient de fournir une pré-version d’Android Things, la plate-forme de développement. « Désormais, tout développeur Android peut construire rapidement un périphérique intelligent à l’aide des API d’Android et des services Google, tout en restant hautement sécurisé avec les mises à jour directement assurées par Google », indique Wayne Perkaski, Developer Advocate pour l’IoT de l’entreprise californienne.

L’héritage de Brillo

Android Things hérite notamment des développements réalisés dans le cadre du projet Brillo, un OS IoT présenté en mai 2015. La plate-forme intégrera ainsi des outils comme Android Studio, le SDK, les services Google Play, ou encore Google Cloud Platform. Le projet s’enrichira dans les mois qui viennent de l’infrastructure nécessaire pour pousser des correctifs de l’OS et ceux des développeurs vers les objets.

Plusieurs d’entre eux sont déjà prêts à accueillir Android Things pour construire des solutions connectées opérationnelles. Il s’agit des pico ordinateurs Intel Edisson, NXP Pico et l’incontournable Raspberry Pi, troisième du nom en l’occurrence.

L’interopérabilité dans Weave

La seconde initiative est une mise à jour de la plate-forme Weave. Elle vise à permettre aux objets de communiquer entre eux et avec les services de Google à travers le Cloud. Une interopérabilité opérée dans le nuage qui évite de développer des protocoles d’échanges spécifiques entre chaque objet et des architectures de réseau relativement lourdes. La plate-forme intègre également un Device SDK dédié aux microcontrôleurs, et une console de gestion. Le kit de développement supporte déjà plusieurs schémas d’usages d’objets connectés autour des ampoules, de prises électriques, de commutateurs et de thermostats. La solution s’enrichira de nouveaux supports au fil des mois. Une API pour application mobile Android et iOS est programmée.

A terme, Google envisage de fusionner Weave et Nest Weave pour autoriser tous types de classes de terminaux à s’interconnecter de manière fiable et sécurisée. Les développeurs de Nest retrouveront donc leurs travaux dans une offre unifiée. Weave compte déjà plusieurs références. Philips Hue et Samsung SmartThings sont déjà utilisateurs. Belkin WeMo, LiFX, Honeywell, Wink, TP-Link, et First Alert l’implémentent. « Ce n’est que le début de l’écosystème IoT que nous voulons construire avec vous », conclut l’avocat de l’IoT de Mountain View.


Lire également
Google drague les assureurs avec sa casquette IoT
Google Home ou la fin de la vie privée ?
IoT : les objets connectés, futur cauchemar pour les réseaux d’entreprise ?

crédit photo :  Robpegoraro via Attribution Engine. Licensed under CC BY-NC-SA.

Go to Source


bouton-devis

Comment contourner un iPad verrouillé dans iCloud ?

C’est pour se sortir d’un mauvais pas qu’un chercheur en sécurité indien a trouvé comment contourner l’écran de verrouillage d’un iPad. Comme il l’explique, la tablette qu’il venait d’acheter sur eBay avait été verrouillée par le précédent utilisateur avec la fonction Localiser mon iPhone (Find My iPhone). Laquelle exige de saisir l’identifiant et le mot de passe enregistré dans iCloud pour débloquer l’appareil à son démarrage. Une mesure de sécurité qui prévient les risques d’accès au contenu du terminal lorsque celui-ci est perdu ou volé.

Planter le verrou d’iCloud

Hermanth Joseph, expert en sécurité pour Slash Secure, n’explique pas s’il a tenté ou non de contacter le vendeur pour qu’il désactive de son côté le verrouillage (ce qui laisse penser qu’il s’agissait d’un appareil volé) et a préféré trouver un moyen de contourner les mesures de sécurité d’iOS, en version 10.1 dans le cas présent. « Le verrou d’iCloud est une couche logiciel de sorte que si je peux le planter, il m’ouvrira l’écran d’accueil, reporte-t-il sur son blog. Alors, comment je peux le planter ? »

Pour y parvenir, le chercheur habitué à remonter des vulnérabilités critiques auprès de Google, Microsoft, Yahoo ou encore Twitter, a choisi de se connecter à partir d’un nouveau réseau Wifi que celui choisi initialement lors du démarrage de la machine pour se connecter à iCloud. Il a ensuite sélectionné le mode WPA2 Enterprise comme protocole de chiffrement. Ce qui ouvre la saisie sans limite de caractères dans les champs nom, utilisateur et mot de passe qui s’affichent alors. « Parfait pour créer un débordement de mémoire tampon », s’est réjouit l’expert en sécurité.

La Smart Cover déverrouilleur

Il s’est donc entêté à saturer la saisie des champs jusqu’à ce que l’iPad se bloque. A partir de là (et après plusieurs tentatives de redémarrage), il a utilisé le Smart Cover pour mettre en veille la tablette. Après 25 secondes d’attente, la tentative de connexion Wifi s’est éteinte avec pour résultat d’afficher l’écran d’accueil du système sans demander les identifiants de déverrouillage enregistrés dans Find My iPhone. Ou comment Hermanth Joseph a contourné la sécurité d’iOS.

Le chercheur précise avoir signalé la vulnérabilité à Apple le 4 novembre dernier. Après avoir demandé des éléments de démonstration supplémentaires, la firme de Cupertino a déclaré qu’elle apportera les correctifs nécessaires si elle considère la trouvaille du chercheur comme une véritable faille. Laquelle serait toujours présente sur iOS 10.1.1 selon la démonstration en vidéo qu’a faite Benjamin Kunz Mejri, chercheur allemand pour Vulnerability Lab de son état. Ce qui devrait d’autant plus pousser Apple à corriger au plus vite une vulnérabilité désormais publique.


Lire également
iOS et OS X, un piratage par de simples images
iOS 10 réduit l’autonomie des iPhone à néant
Fuites de données : les apps iOS plus percées que celles d’Android

crédit photo © www.BillionPhotos.com – shutterstock

Go to Source


bouton-devis