Archives d’Auteur : Stephane Sabbague

Lorsque l’anti-malware est utilisé comme malware…

La société SafeBreach, a récemment publié un POC montrant comment les solutions anti-malware peuvent être détournées pour effacer ou supprimer définitivement des fichiers inoffensifs sur votre PC. Le POC s’appelle « Aikido » et s’inspire de l’art martial japonais qui est utilisé pour retourner les mouvements des adversaires contre eux.

Yair, le chercher en sécurité de SafeBreach explique queAikido est basé sur ce que l’on appelle la vulnérabilité TOCTOU (time-of-check to time-of-use). Une solution antivirus détecte et détermine d’abord un fichier comme étant malveillant, puis le supprime. Aïkido utilisant TOCTOU insére un chemin alternatif après la détection du malware pour ensuite conduire à la suppression d’un fichier légitime au lieu de ce fichier malveillant par l’antivirus lui-même. Même les fichiers système peuvent être supprimés à l’aide de cette méthode…

Microsoft a déjà reconnu l’exploit dans Defender et bon élève, a corrigé immédiatement la vulnérabilité. D’autres grands éditeurs de logiciels anti-malware comme Avast, AVG et TrendMicro ont également été confrontés à cette faille. En revanche d’autre éditeurs populaires comme McAfee et BitDefender se serait pas touchées. Fait intéressant, dans le cas de Defender et Defender for Endpoint, Yair a remarqué que Defender ne supprimait pas les fichiers, mais les dossiers à la place.

Vous trouverez plus de détails sur Akido Wiper et l’exploit sur le site officiel de SafeBreach. Le POC Akido a été présenté lors de la récente conférence sur la sécurité Black Hat Europe 2022.

#CES2023 : 200 startups françaises de retour à Las Vegas

Le CES qui commence dans moins de 4 semaines maintenant va bien faire le plein, premier CES dans des conditions à priori normale, mis à part l’absence des chinois (les assouplissements récents étant décidés trop tard).

On apprend aujourd’hui que les startups accompagnées par Business France vont encore se distingués par leur nombre sur cette édition 2023. On entendra largement parler français dans les allées de l’Eureka Park (le salon dans le salon consacré au Startutps). La délégation française sera aussi représentée au « Pavillon des véhicules » au LVCC cette fois. 16 entreprises françaises seront ainsi dans le secteur du véhicule autonome et intelligent. Nous avions à ce propos appris que la Keynote d’ouverture du CES sera faite par le Carlos Tavares, le patron de Stellantis.

La France risque bien de reprendre sa seconde place (derrière les USA bien sûr) en sociétés représentées. Nous vous dirons tout cela lors de nos visites 🙂

Business France indique que les sociétés françaises seront particulièrement représentées dans les domaines tels que la santé, le bien-être, la mobilité, la GreenTech, l’IA, la robotique, la SportTech, la SmartHome, la cybersécurité et le Metaverse.

Des temps forts rythmeront les 4 jours du salon avec 3 événements et la traditionnelle soirée spéciale French Tech (à laquelle se presse habituellement les politiques… depuis qu’un certain Emmanuel M. avait inauguré cette pratique…)

Honnêtement c’est pas forcément l’évènement le plus interessant (des discours très convenus et très formel des différents « sponsors »), et notre présence dépendra des autres sollicitations presse.

  • Le Jeudi 5 janvier sera dédiée à la Consumer Tech, la HealthTech et l’Industrie 4.0. Cette journée se terminant par la soirée French Tech .
  • Le vendredi 6 janvier : un focus sur l’Intelligence Artificielle, les GreenTech, les smart cities, la mobilité et le tourisme.
  • Le samedi 7 janvier : des discussions autour de la place des femmes dans la tech mais aussi du Web3 / Metaverse.

Nous ne manquerons pas de publier sur le blog les moments marquants.

En attendant les annonces du CES2023…Le bureau ultime arrive ?

C’est en général les choses que l’on découvre au CES, d’autant plus que cette année il y a un nouvel espace « Environnement de Travail » dans le salon. Mais en attendant, le fournisseur Cooler Master, connu plutôt pour ses boitiers de PC, ses claviers, et historiquement pour ses systèmes de refroidissement de CPU, propose le le bureau utltime. ,pour les « Professionnels » et les « Gamers ». Je vous laisse juge en visionnant cette petite vidéo de présentation :

Je pense que nous en verrons d’autres lors du prochain CES… C’est d’ailleurs là ou nous avions vu il y a plus de 6 ans les premiers bureaux « assis-debout » ou encore les siège en boule, ou les fameux tapis de course sous le bureau… On vous tient au jus 🙂

Signature Electronique Qualifiée : Enfin une solution plus simple

Lorsque vous avez à prouver votre identité via une signature électronique, vous le savez, le plus haut niveau demandé est la Signature Qualifié. Vous en avez besoin si per exemple vous répondez à un Appel d’Offre Européen par exemple, mais pas que, c’est le standard nécessaire partout en Europe et les domaines d’applications sont très nombreux : des contrats divers, aux achats en passant pas les RH.

Il existe de très nombreux services agrées disponibles, et nous avions l’habitude chez Calipia d’utiliser ceux de Certinomis, cette filiale de La Poste offrant une souplesse interessante pour s’assurer que le demandeur est le bon : utiliser le réseau de bureaux de postes et responsables de ces bureaux. Oui mais, les délais demandés (plus de 20 jours en « service express »…) et une mauvaise expérience durant le confinement avec 40 jours de délais, pour finalement ne pas aboutir avec qui plus est un service client aux abonnés absent nous a emmené à nous pencher une fois les certificats arrivés à échéance à regarder d’autres alternatives. Et autant le dire tout de suite : ce n’est pas très évident, c’est le moins que l’on puisse dire…

Et puis je suis tombé un peu par hasard sur la Startup Suédoise, Zealid, qui propose d’offrir cette prestation avec une mise à disposition de la précieuse « Signature Qualifiée » en quelques minutes ! Alors comment fait-elle ? Intéressé, par l’expérience utilisateur proposé et la sécurité associée, j’ai tenté l’expérience. Et voici mon retour utilisateur : c’est pas mal du tout. Enfin un peu de neuf dans ce monde où paradoxalement le numérique avait du mal à ce faire une place (il suffit de voir les procédures papiers des Certinomis et autres compères pour s’en convaincre… ainsi que les délais de réponses, d’un autre âge).

Parlons expérience utilisateur

Si vous êtes papier « à l’ancienne » avec photocopies à faire en deux exemplaires de tous vos documents, impressions de dossiers de 30 pages, à envoyer par la Poste et attendre sagement 15 jours pour la prise en compte sans information (pour s’apercevoir que la photocopie de votre Carte d’identité n’est pas suffisamment lisible… retour à la case départ et compteur remis à zéro), passez votre chemin, Zealid est pas fait pour vous 🙂

Zealid sur le modèle de l’authentification faite par les Neobanques type Revolut ou N26, utilise Face ou Touch ID, pour valider les comptes et cela change tout pour la validation du dossier qui se fait non pas en quelques minutes mais en moins de 24 h lorsque la validation est manuelle ce qui est déjà un énorme progrès.

Pour ce qui est ensuite de la signature des documents, la solution utilise là aussi l’authentification forte du Smartphone + secret local pour signer les docs avec de simple QR code à flasher pour passer du PC au Smartphone : pas bête du tout même si les traduction en français sont parfois trompeuse. Un sacré progrès là encore par rapport aux autres solutions nécessitant en général une applet Java (si si cela existe encore !) avec les bon niveaux de soft coté Oracle, d’une part et une clé USB avec le certificat en local en croisant des doigts pour que le pilote de cette dernière soit bien reconnu…

Associé à cela un support très réactif. Chapeau. Donc voilà, je pense qu’une solution ingénieuse comme celle-ci, d’une société qui a su obtenir toutes les certifications européenne dans le maquis des normes en la matière mérite bien un petit coup de projecteur sur notre blog 🙂 Et je précise si besoin était que ce n’est pas un post sponsorisé (jamais le style de la maison).

ZealiD est un prestataire de services de confiance qualifié par l’UE et notifié à la liste de confiance de l’UE. ZealiD respecte une politique de sécurité de l’information basée sur les services de confiance qualifiés eIDAS, les normes ETSI désignées eIDAS et la réglementation européenne de pointe sur l’identification à distance. ZealiD est autorisé par et sous la supervision de l’autorité suédoise des postes et télécommunications et de l’autorité suédoise de protection de l’intégrité. Les services de confiance sont hébergés dans l’UE. La conformité avec la réglementation, les normes et la politique est évaluée chaque année par les principaux organismes d’évaluation de la conformité eIDAS accrédités SRC Security GmbH.

Le siège social de la société est en Suède, elle dispose de bureaux en Lituanie et en Allemagne et les contacts se font en français 🙂

Et enfin, cerise sur le gâteau, ils disposent d’APÏ pour l’intégration de la solution dans les processus existants : https://developer.zealid.com/docs/hermes-interface

Vous cherchez une alternative à Twitter ? Moi aussi ! Et pourquoi pas Post.News ?

Depuis la reprise de Twitter par Elon Musk, et face à l’avenir incertain de ce dernier (si vous avez une idée, n’hésitez pas à la partager avec @elonmusk, je pense qu’il serait preneur visiblement…), de nombreuses personnes regardent du côté de Mastodon, Animo, Gab, GoHost, CounterSocial, Raftr sans compter sur les Insta ou Discord bien entendu.

Mais pourquoi pas Post News ?

Jamais entendu parlé ? ou vous avez l’impression que Post News a été lancé du jour au lendemain le mois dernier ? Et bien vous avez raison ! Contrairement à Mastodon, CounterSocial, etc. qui ont immédiatement surfés sur les difficultés de Twitter et ont accumulés des milliers de nouveaux transfuges de réseau à l’oiseau bleu en quelques jours, Post News est apparu il y a trois semaines. La plate-forme fait l’objet d’une version bêta , car son équipe souhaitait rendre disponible sa solution au moment le plus propice : à savoir quand le chaos allait se répandre chez Twitter. Force est de constater qu’Elon les a bien aidé ! Bien joué.

Autre approche de Post News pour sortir du lot des concurrents : cibler les journalistes. La plateforme se définit comme le lieu :

« Où l’on peut accéder à un contenu d’actualité de qualité sans abonnement ni publicité ».

Alors pour éviter la tentation publicitaire, dès le départ ils proposent d’accéder à du contenu payant. Contenus qui seront postés par des journalistes, des écrivains indépendants encouragés à partager leurs articles sur Post News sous un « mur payant ». Cela permettrait aux utilisateurs de payer pour des articles individuels provenant d’une variété de sources d’information. On est assez proche de la nouvelle ligne éditorial je trouve de TheVerge. Il s’agit d’une alternative, ou d’un complément, au paiement d’abonnements individuels à des sources d’information elles spécifiques. Pas si bête même si les regroupement d’abonnement à des journaux semble poursuivre de plus en plus le même but.

Post News a des fonctions de base similaires à celles de Twitter : vous créez des messages, vous aimez et repostez les messages d’autres personnes, vous suivez des comptes intéressants. Pourtant, dans sa phase bêta, il lui manque encore des fonctions de base comme les message en direct et des fonctions d’accessibilité comme l’ajout de texte alt aux images (une obligation pour la conformité RGAA end France pour les organisation publiques).

Mais alors pourquoi s’intéresser plus à Post News que tous les autres ?

Vous l’avez compris ce n’est sans doute pas parce qu’il compte actuellement plus d’utilisateurs : à l’heure où j’écris ce billet il n’y aurait que 70 000 comptes (dont votre serviteur) et… 350 000 personnes en liste d’attente, on est loin des chiffres de Twitter, de Mastodon, et des autres en général. Les utilisateurs sont admis lentement afin de ne pas surcharger les opérations et les capacités de modération de la plateforme, une bonne chose de ce poser ces questions en amont…

Post News a été fondé par Noam Bardin, si ce nom ne vous dit pas grand chose, sachez que c’est le fondateur de Waze… et sa revente à Google lui a fait empoché une belle somme. Mais la plateforme aurait a déjà obtenu un financement d’un montant non divulgué du célèbre fond Andreessen Horowitz (a16z), une référence. Alors oui c’est peut-être du FOMO, mais cela vaut tout de même le coup de regarder ceci de plus près. Cet investissement est d’autant plus curieux, que le fond de capital-risque a contribué à hauteur de 400 millions de dollars à l’acquisition de Twitter par Musk. Sriram Krishnan, un investisseur en crypto-monnaie chez a16z, a également travaillé en étroite collaboration avec Musk au siège même de Twitter. Mais Noam Bardin a déclaré qu’il a choisi de travailler avec a16z simplement parce qu’ils étaient l’investisseur le plus rapide à prendre une décision… Et à ne pas mettre tous leurs oeufs dans le même panier donc…

Dans une récente interview à TechCrunch, Noam Bardin donnait ses objectifs :

« Les objectifs de Post News sont ambitieux. Non seulement la plateforme tente de concurrencer un pilier de longue date des médias sociaux, mais son modèle économique repose sur les éditeurs de nouvelles numériques qui optent pour son modèle de facturation des lecteurs par article, plutôt que par abonnement. En outre, la plateforme connaît une croissance rapide alors qu’elle est encore en train de mettre en place des dispositifs de sécurité clés, ce qui rend les choses un peu précaires. »

Pour en savoir plus allez faire un tour sur Post.News et attendez donc votre tour pour créer votre compte 🙂

PS: pour ceux qui me pose se pose la question (je les entends déjà, si, si) sur un choix d’utiliser plutôt Mastodon, très séduisant sur le papier car ouvre, open source, décentralisé, etc. Autant d’éléments politiquement correct lorsque l’on envisage une bonne alternative au grand-méchant-loup-twitter-Musk :

  • Je dirais que du fait sa structure décentralisé, lorsque l’on choisi une instance Mastodon sur la toile on dépend de l’ admin-tout-puissant de cette instance et rien ne nous garanti qu’il n’est pas un Musk en puissance ou pire encore sans aucun contrôle possible (ni vis à vis de sanctions financières).
  • L’autre solution qui constituerai de mettre en place sa propre instance Mastodon (un Calipia Mastodon, c’est sympa non ?) et de demander sa fédération sur le Fediverse donc. l’idée est effectivement séduisante, mais honnêtement pour avoir regardé le truc, et le web regorge de tutos pour cela : Mastodon porte bien son nom : sacrée usine à gaz tout de même. Donc construire ou utiliser, les deux sont interessants, c’est pas moi qui va vous dire le contraire, mais il faut choisir…

#CES2023 : Amazon multiplie sa présence

Amazon fait non seulement son retour au prochain CES en présentiel (comme Calipia 🙂 ), mais aussi multiplie sa présence. Avec des thèmes distincts correspondant à autant de « petits salons » :

  • Les services AWS évidemment qui seront comme les années 2019 et 2020 au Venetian dans un très grand espace (Ballrooms G et H), la partie IA et Alexa sera de la partie avec pas mal de démos, mais aussi visiblement la partie robotique.
  • Les nouveaux services Amazon for Auto (réponse à Android Auto et Apple Car) se retrouverons dans le salon principal dans la zone dédiée au véhicules (sorte de salon de l’auto-connectée ou la plupart des constructeurs auto seront) : Las Vegas Convention Center West Hall – Booth #4001
  • Leur société de voiture autonome : Zoox, elle aussi dans le grand espace automobile : Las Vegas Convention Center West Hall – Booth #52321
  • La partie IoT sera elle présente au Venetian Expo Hall avec les nouveaux produits de la gamme Ring. On attend de ce coté pas mal d’annonces autour de la compatibilité Matter 🙂

Nous repartons cette année au CES avec des clients, du 2 au 8 janvier, nous ne manquerons pas de publier des infos sur nos découvertes dans le Blog et la Lettre Calipia 🙂

Fin de support des Surface Hub première version

2015 Microsoft lançait après de reports successif de livraisons ses premières Surface Hub avec deux variantes : – Surface Hub 55 et Surface Hub 84 (qui différaient par les tailles d’écran en pouces et le poids !). Ces appareils géants ont été conçus pour servir d’outils de collaboration numérique pour les entreprises et les écoles. Depuis hier, le 30 novembre 2022, Microsoft met fin au support de ces deux machines. L’entreprise n’expédiera plus de nouveaux firmwares et pilotes, laissant les appareils uniquement avec des mises à jour du système d’exploitation.

A l’époque la machine était vraiment très innovante sur le marché en proposant des caractéristiques intéressantes, comme un écran tactile multipoint de 100 points et la prise en charge de trois entrées simultanées avec le Surface Pen. Il fonctionnait avec des processeurs Intel Core i7 / i5 de quatrième génération (donc pas besoin de le dire, ne comptez pas passer à Windows 11 sur ces machines 🙂 ) L’éditeur proposait pour équiper la bête, et une version spécifique de Windows 10 appelée Windows 10 Team. La version 84 pouces disposait d’un écran 4K 120Hz (pas mal du tout pour l’époque), tandis que le modèle plus petit de 55 pouces offrait du Full HD 120Hz. La ou les choses piquaient un peu plus c’est au niveau du prix proposé : 24 000 € à l’époque…

Mais malgré des prix élevés et plusieurs retards, [a demande pour le Surface Hub original avait dépassé les attentes de l’entreprise avec de grosses commandes. Finalement, il faudra attendre beaucoup plus tard, en 2020 pour l’entreprise renouvelle la gamme avec les Surface Hub 2S, beaucoup plus élégantes. Entre temps pas mal de nouveaux produits avait été développés par des concurrents / Partenaires, comme la solution française Kickle à l’époque.

La Surface Hub originale n’est pas le seul appareil Surface que Microsoft a cessé de prendre en charge le mois dernier. Il y a quelques jours, la Surface Go de première génération avec 4G faisait parti de cette liste. Le 27 décembre prochain se sera le tour de la Surface Laptop 2.

Microsoft Whiteboard s’enrichi une nouvelle fois

Whiteboard de Microsoft va bénéficier d’une prise en charge du copier/coller des composants Microsoft Loop de quoi marcher de plus en plus sur les plates bandes de Klaxoon, Miro etc. et tout ceci sans surcout par rapport à l’offre M365. Sans surprise cela risque de faire de l’ombre à ces sociétés même si le spectre fonctionnel est (encore, mais pour combien de temps) plus riche de leur coté, avec il est vrai une intégration plus perfectible à l’environnement Microsoft, mais cela on s’en doute…

Selon la feuille de route Microsoft 365 donc, la société ajouterait une nouvelle fonctionnalité à plusieurs clients Whiteboard, à savoir le Whiteboard pour le Web, l’application Whiteboard dans Teams et le Whiteboard pour Windows. Cette fonctionnalité, (la num 98161), permettra aux utilisateurs de copier/coller des composants loop en direct à partir d’autres applications Microsoft 365. De quoi par exemple faire un sondage directement dans Whiteboard, de disposer des listes, des tableaux, etc.

Microsoft avait déjà ajouté des composants Loop dans les conversation Teams, nous vous en parlions sur le blog et dans cette petite vidéo.

Selon l’éditeur :

« La fonctionnalité est conçue pour offrir aux utilisateurs un moyen unique de réfléchir, de planifier et de créer ensemble, quel que soit l’endroit où ils se trouvent, en particulier avec l’augmentation du travail hybride ».

Cette fonctionnalité devrait commencer à être déployée début décembre et atteindre la disponibilité générale fin décembre. Toutefois, si vous utilisez Whiteboard sur mobiles pas encore de possibilité visualiser et modifier les composants Loop. Microsoft a toutefois indiqué qu’elle ajoutera ceci dans une prochaine mise à jour, sans plus de précisions.

Avec le développement de Whiteboard, Microsoft étend de plus en plus les fonctions des outils type Klaxoon, Miro, Mural, etc. tout ceci couplé à une intégration à Teams plus fine. Ajoutez à cela la « gratuité », si les choses continuent de progresser (ce qui semble bien être le cas au vu des différentes annonces), il va être très délicat pour les autres solutions de résister au rouleau compresseur M365…

Nous revenons sur ces fonctions lors du prochain Briefing Calipia (aujourd’hui à Lyon). Il reste des places pour les autres sessions, n’hésitez pas à vous y inscrire !

Intel passe aux « achats intégrés »…

On pensait la chose réservée aux applications, en particulier les apps mobiles, et bien non ! Intel va proposer ce type de fonctions pour ses processeurs !

Avec les nouveaux processeur Xeon prévu pour 2023 (la série Sapphire Rapids) Intel annonce qu’il mettra en oeuvre un nouveau service : Intel On Demand qui permettra de débloquer à protériori par choix de l’utilisateur (en soft donc) certaines fonctionnalités comme : Software Guard Extensions, ou SGX, Quick Assist Technology, Dynamic Load Balancer, Data Streaming Accelerator, ou encore In-Memory Analytics Accelerator) en payant donc un supplément.

C’est une pratique courante sur le logiciel, popularisé par les apps mobile, un peu moins sur du matériel, même si il y a quelques années Tesla avec expérimenté la choses sur les batterie de ses véhicules : on pouvait « débloqué » la capacité supplémentaire de 15 Kw quandd même par le simple achat d’une option… Il ya quelques temps certains constructeurs de boitiers photos/Vidéos avaient fait de même en débloquant des limites d’enregistrement ou de nouveaux formats moyennant finance, mais c’était en général lié à des royalties supplémentaires que devait s’acquitter le constructeur.

Pour justifier une telle pratique le discours est toujours le même : « ne faire payer que pour des fonctionnalités que l’on utilise réellement », Mais c’est vrai que c’est plus délicat lorsque l’on se dit, pour un processeur, que nous avons déjà acheté le matériel et qu’en plus il faut payer un suppléments pour utiliser toutes les fonctionnalités…

Cette idée de fonctionnalités optionnelles pour les puces est pour le moment limitée aux Xeon, mais pourquoi ne pas la généraliser demain pour les PC, les cartes graphiques, le nombres de coeurs, etc… Espérons que cela ne donne pas des idées aussi dans d’autres produits plus grands public 🙂

Faut-il se réjouir des progrès technologiques…

Ce n’est pas de la science fiction : on apprenait hier que Le département de la police de San Francisco (SFPD) envisageait de déployer des robots pour tuer les suspects qu’il considère comme une menace sérieuse pour le public ou les policiers.

Ils viennent sérieusement de déposer une proposition en faveur de cette politique (vous pouvez accéder à cette dernière en suivant ce lien en PDF) auprès du conseil des superviseurs de San Francisco.

Ce conseil des superviseurs a d’abord tenté de restreindre l’autorité du SFPD à l’utilisation des robots comme simple objet d’intimidation, ce qui pouvait être suffisant, mais pas pour la police de San Francisco qui a finalement précisé saa demande initiale d’armer purement et simplement les robots les robots par :

« Utiliser une option de force mortelle lorsque le risque de perte de vie pour les membres du public ou les officiers est imminent et l’emporte sur toute autre option de force ».

Et la demande a finalement été approuvée par ce comité… car :

« il pourrait y avoir des scénarios où le déploiement de la force létale était la seule option. »

Sans surprise, le projet a été critiqué par les défenseurs des droits de l’homme et Tafanei Moyer, l’avocat principal du « Committee for Civil Rights of the San Francisco Bay Area », opposé à ce projet, a déclaré :

« Nous vivons dans un avenir dystopique, où nous débattons de la question de savoir si la police peut utiliser des robots pour exécuter des citoyens sans procès, sans jury et sans juge ». « Ce n’est pas normal. Aucun professionnel du droit ou résident ordinaire ne devrait continuer comme si c’était normal ».

Du bon sens mais bon… même si les choses sont loin d’être faite, à suivre d’autant que ces mêmes robots (non armés) sont déjà les fidèles compagnons de la Police de San Francisco : Le SFPD dispose actuellement de 17 robots dans son arsenal, dont 12 sont pleinement fonctionnels. Les robots sont télécommandés et sont généralement utilisés pour des enquêtes et des tâches telles que le désamorçage de bombes potentielles, la surveillance de zones qui pourraient être dangereuses pour les offres de la police.

Après demain, n’en doutons pas, certains jugerons qu’il faudrait aussi accompagner les instituteurs de robots tueurs pour éviter les tueries de masse dans les établissements scolaire ?

« Entrées précédentes Derniers articles »