Faille zero day Windows, un patch attendu le 8 novembre

Microsoft a déclaré qu’un patch pour Windows arrivera la semaine prochaine après que Google ait publiquement révélé cette faille, 10 jours après l’avoir notifiée à l’éditeur de Redmond.

Pour répondre à Google qui a dévoilé une faille zero day dans Windows, Microsoft accélère la livraison d’un correctif le 8 novembre prochain.

Le couteau sous la gorge, Microsoft a été obligé d’intégrer plus rapidement un correctif pour une vulnérabilité zero day dans Windows (une élévation des privilèges dans le noyau de l’OS). Lundi dernier, soit 10 jours après l’avoir notifié à Microsoft (le 21 octobre donc), Google a dévoilé cette faille qui commençait à être exploitée par des cyberpirates.

« Toutes les versions de Windows sont maintenant testées … et nous prévoyons de publiquement publier [les correctifs] lors de la prochaine mise à jour mardi 8 novembre », a écrit Terry Myerson, le chef du groupe Windows et appareils, dans un post sur le blog TechNet de Microsoft. Des hackers russes du groupuscule Strontium ont toutefois déjà réussi à pénétrer le Democratic National Committee (DNC) – l’organisme politique américain chargé de diriger le Parti Démocrate – présidé par Donna Brazile.

Des failles exploitées de plus en plus rapidement

« Microsoft a attribué plus d’exploits [zéro day] à Strontium que tout autre groupe suivi en 2016 », a écrit M. Myerson. « Strontium utilise fréquemment des comptes de courrier électronique compromis d’une victime pour envoyer des courriels malveillants à une deuxième victime et poursuivra des objectifs spécifiques pendant des mois jusqu’à ce qu’ils réussissent à compromettre l’ordinateur des victimes ». Les autorités américaines ont accusé le mois dernier le gouvernement russe de la responsabilité ultime du hack de la DNC, affirmant que de hauts responsables russes étaient derrière cette opération.

Terry Myerson a également vivement critiqué la décision de Google de divulguer cette vulnérabilité Windows. « Nous croyons que la participation responsable de l’industrie des technologies place le client en premier et exige une divulgation coordonnée des vulnérabilités », a-t-il déclaré. « La décision de Google de divulguer ces vulnérabilités avant que les correctifs ne soient largement disponibles et testés est décevante, et soumet les clients à un risque accru. » Google s’est défendu en affirmant avoir simplement appliqué sa politique de divulgation des failles puisque des cyberpirates avaient commencé à l’exploiter. Les tensions entre les deux sociétés au sujet de la divulgation de failles zero day ont démarré en 2010, quand un ingénieur en sécurité de Google, Tavis Ormandy, avait révélé publiquement une vulnérabilité critique dans Windows cinq jours seulement après l’avoir notifiée à Microsoft. 

 

Mobilité

Microsoft officialise Teams, son alternative à Slack

https://cdn2.nextinpact.com/images/bd/wide-linked-media/13998.jpg

Microsoft a finalement présenté Teams, son alternative maison à des outils tels que Slack. Une préversion est disponible pour les entreprises disposant d’un abonnement Office 365, avec une mouture finale prévue pour le début d’année prochaine. Comme on pouvait s’y attendre, l’éditeur joue la carte de l’intégration.

Les rumeurs circulaient depuis plusieurs mois déjà. Microsoft a officialisé son concurrent de solutions telles que HipChat ou Slack, nommé Teams, au cours d’une conférence qui s’est tenue hier soir. Le principe est exactement le même : une messagerie conçue pour aider les équipes à avancer sur leurs projets ou simplement à s’organiser.

Une interface sans surprise particulière

Les fonctionnalités sont nombreuses mais pas vraiment surprenantes. La fonction centrale est de pouvoir discuter au sein d’une équipe avec ses collègues de travail. On retrouve donc une large zone à droite pour les conversations, et une colonne à gauche pour afficher les groupes. Ces derniers sont par défaut ceux auxquels l’utilisateur a droit, tels que définis par l’administrateur. Seuls les utilisateurs indiqués comme faisant partie de l’entreprise peuvent être ajoutés pour l’instant, l’accès Invité n’étant pas encore disponible.

La colonne de gauche est configurable. Les utilisateurs peuvent y épingler à peu près tout ce qu’ils souhaitent, y compris des documents sur lesquels ils doivent souvent intervenir. S’y créent également toutes les discussions privées, en tête à tête ou en groupe.

Des conversations en « threads », avec des outils classiques

Les conversations elles-mêmes sont affichés par défaut en threads. Cela signifie qu’il ne s’agit pas d’une enfilade sans fin de messages comme dans une discussion classique. Les sujets créent ainsi automatiquement des « branches » avec une indentation pour les réponses. Chacun peut donc voir directement qui répond à quoi. Teams opère une sélection sur les éléments qui semblent intéressants à afficher pour chaque utilisateur.

Ce dernier dispose également de toutes les fonctions classiques que l’on peut attendre d’une telle solution de messagerie. L’interface de rédaction comprend ainsi des outils standards de mise en forme, comme le gras, l’italique ou encore les listes à puces. Les messages lus peuvent être également marqués avec des drapeaux ou des « J’aime » pour les retrouver plus facilement par la suite.

Microsoft joue la carte de la cohésion avec ses services

Bien évidemment, la plus grande force de Teams se devine aisément : l’intégration. Il est disponible pour toutes les entreprises disposant d’un abonnement Office 365 de type Business ou Enterprise, le tout en 18 langues et dans 181 pays. Dans tous les cas, la suite Office est prise en charge, de même que Planner, PowerBI, SharePoint, OneNote et bien sûr Skype.

L’intégration de ce dernier est intéressante. Elle procure déjà à Teams des fonctionnalités de vidéoconférence depuis l’interface, sans effort supplémentaire. Un utilisateur peut également mettre en place une réunion dans le calendrier, et ajoutant des personnes à la volée. Les groupes disposent en outre d’une icône permettant de lancer un appel collectif sans préparation particulière. Il est même possible de mettre en place des conférences permanentes dans lesquelles les utilisateurs vont et viennent à leur guise.

Une ouverture obligatoire sur le monde extérieur

Pour le reste, l’intégration d’Office en général permet plusieurs éléments intéressants, dont le principal est de pouvoir travailler les documents compatibles directement dans teams. Quand c’est nécessaire, une partie des contrôles est ainsi déportée vers le logiciel pour par exemple faire des modifications rapides ou intégrer des commentaires.

Les développeurs pourront en outre tirer parti du Microsoft Graph et d’API permettant la création d’extensions. Microsoft prévoit en effet une ouverture de Teams à d’autres services, et il faudra voir s’ils seront plus au rendez-vous que pour l’intégration aux autres solutions Office. Car c’est sans doute là-dessus que tout va se jouer, la possibilité de se servir d’un outil de messagerie comme élément central grâce à des intégrations simples et diverses constituant la principale force de Slack à l’heure actuelle. Cela explique d’ailleurs en bonne partie son succès depuis quelques années.

Teams se veut malléable, en permettant par exemple la création d’onglets centrés sur d’autres services de type cloud, des canaux de conversation personnalisés, jusqu’à des « memes » maison si l’entreprise le souhaite. Microsoft a fait plusieurs démonstrations en ce sens pendant la conférence, notamment l’intégration de Twitter – exemple simple d’un compte affichant automatiquement les nouveaux tweets dans la conversation – et la mise en place rapide de sondages.

D’ici au lancement officiel de Teams, prévu pour début 2017 (sans plus de précision), Microsoft compte en fait proposer 150 intégrations, 70 connecteurs et 85 bots. Une ouverte vers l’extérieure sur laquelle il n’était pas question de faire l’impasse, à moins de proposer une solution tournée exclusivement vers l’intérieur.

L’intégration, une force autant qu’une faiblesse

C’est malheureusement un point auquel Microsoft devra faire face, en dépit de toutes ces portes. Contrairement à Slack, l’éditeur ne peut nier que Teams est avant tout conçu pour les abonnés Office 365. Or, même si ces formules affichent un succès croissant, de nombreuses entreprises n’en ont pas besoin.

Ce qui explique aussi en partie l’envolée d’un Slack qui est grimpé rapidement à quatre millions d’utilisateurs actifs sans appartenir à aucun géant du secteur, et en cultivant sa différence. Même dans les grosses entreprises, le combat ne sera pas simple, puisque des mastodontes comme eBay, EA, IBM ou encore TIME utilisent déjà Slack.

En attendant, la préversion de Teams est utilisable par toute entreprises abonnées à Office 365. Elle demande plusieurs étapes préparatoires, résumées sur la page consacrée à la nouvelle messagerie. Elle souffre pour le moment de quelques défauts de jeunesse, notamment au niveau de la traduction des emails. Mais gageons que cela évoluera rapidement.

 

Logiciel

Facebook bloque un assureur gallois espionnant ses clients

Via son application Firstcarquote, l’assureur britannique Admiral voulait s’appuyer sur les données de Facebook pour offrir de 5 à 15% de réduction sur ses tarifs aux jeunes conducteurs.

Au Royaume-Uni, la compagnie d’assurance Admiral ne pourra pas se servir des données de Facebook pour proposer aux jeunes conducteurs un tarif réduit. Le réseau social vient de s’y opposer en rappelant que ce type d’utilisation n’était pas conforme à sa politique de protection des données.

Alors que l’assureur britannique Admiral s’apprêtait à tester auprès des jeunes conducteurs son application Firstcarquote, conçue pour ajuster sa tarification en fonction de leur comportement sur la route, identifié via leurs posts Facebook, le réseau social a mis un coup d’arrêt à l’expérience. L’objectif était de proposer de 5 à 15% de réduction sur le tarif d’assurance automobile aux conducteurs dont la conduite était jugée plus sûre. L’association de protection des droits numériques Open Rights Group explique qu’Admiral pensait associer l’évaluation de la personnalité sur le réseau social à des données réelles de déclarations de sinistres, afin de mieux comprendre les conducteurs prenant le volant pour la première fois et prédire les risques avec plus de précision. 

Le jour prévu pour le lancement de la version bêta de Firstcarquote, le réseau social a prévenu Admiral qu’il serait possible de se connecter à son application à partir d’un compte Facebook mais, qu’en revanche, il n’autorisait pas l’assureur à s’appuyer sur les posts de ses utilisateurs pour établir ses tarifs réduits. « Nous espérions que notre produit serait prêt, mais il y a un pépin : nous devons régler quelques détails », s’est excusé Admiral. Le hic, c’est la politique de protection des données de Facebook qui mentionne à la section 3.15 de ne pas utiliser les données de son site pour « prendre des décisions sur l’admissibilité d’une personne, notamment concernant l’acception ou le refus d’une demande ou les intérêts à facturer pour un prêt », ainsi que l’a rappelé un porte-parole de Facebook à la BBC.

Pour Open Rights Group, cet incident montre à l’évidence « une mauvaise compréhension des risques et des responsabilité d’une partie des acteurs du secteur financier ». Admiral n’a pas été long à changer son fusil d’épaule. Sur son site, le groupe d’assurance propose maintenant un FAQ « Your questions answered » répondant aux questions que ses jeunes clients avertis de la polémique pourraient se poser. A la question « J’ai entendu dire que votre algorithme allait scanner mes posts et ma page Likes pour évaluer si je suis un conducteur prudent, afin de me donner une réduction plus importante à partir de cette analyse », l’assureur répond « Une précédente version de Firstcarquote vous permettait de partager des informations supplémentaires avec nous. Toutefois, l’actuelle version du produit ne dispose pas de cette fonctionnalité. Nous n’avons pas accès aux données Facebook des clients et n’avons jamais eu accès à quoi que ce soit que les clients n’ont pas volontairement partagé avec nous ».

 

Internet

L'Afnor lance un label « Testé et approuvé par les seniors »

https://cdn2.nextinpact.com/images/bd/wide-linked-media/13996.jpg

L’organisme de normalisation, l’Afnor, a mis en place un label pour identifier les produits facilement utilisables par les seniors. Sont notamment éligibles les produits technologiques et les applications, un bijou connecté de téléassistance faisant partie des premiers labellisés.

Les seniors ont leurs produits estampillés. Ceux qui représentent « 50 % des dépenses » selon l’Afnor intéressent de près les industriels, qui manquaient jusqu’ici d’un label officiel pour attirer leur regard. C’est désormais le cas avec « Testé et approuvé par les seniors », un nouveau logo à apposer sur les emballages, notices et sites web de produits validés par un laboratoire spécialisé.

Mis en place depuis octobre, il a pour le moment attiré des entreprises qui disposent déjà de produits à destination des personnes âgées, dont AJD, Assytel, Lapeyre, Legrand et Varicor. Ils sont jugés sur la simplicité de déballage, la facilité d’installation et d’usage, ainsi que la prise en main. Le label indique donc qu’ils sont adaptés, comme un lieu public peut l’être aux aux personnes à mobilité réduite ou un site être accessible aux déficients visuels.

Tous types de produits sont éligibles, y compris des meubles, mais aussi des téléphones et des applications. Seule contrainte : ils « ne doivent pas mettre en jeu leur sécurité ou porter atteinte à leur intégrité ». Les tests sont effectués par des personnes de plus de 60 ans et des ergonomes, dans un un appartement reconstitué. Le dispositif est concrètement géré par le laboratoire Calyxis, partenaire de l’Afnor sur cette opération. Les seniors jugent les produits sur 13 critères, avec une note sur 10. Ces évaluations sont ensuite pondérées avec cette attribuées par des experts.

L’organisme présentera d’ailleurs les premiers produits labellisés à la Silver Economy Expo à Paris, à la mi-novembre. L’évaluation, payante,  peut donc devenir une bonne affaire pour les fabricants ou concepteurs d’applications. Parmi les quelques produits déjà labellisés, figure notamment un bijou connecté de téléassistance (Framboise d’Assystel), qui doit donc ouvrir la voie à d’autres outils aux fonctions approchantes.

 

Matériel

Twitch part lui aussi à la chasse aux bloqueurs de publicités avec sa plateforme SureStream

https://cdn2.nextinpact.com/images/bd/wide-linked-media/4745.jpg

Twitch vient d’annoncer le lancement d’une plateforme maison pour la diffusion de publicités. Baptisée SureStream, elle doit notamment permettre de contourner les bloqueurs de publicité, mais également de résoudre certains problèmes récurrents.

La publicité est un enjeu important pour Twitch, qui tire une partie conséquente de ses revenus de cette activité. Parallèlement, les bloqueurs de publicités sont utilisés de plus en plus largement, ce qui peut causer quelques problèmes, même lorsque l’on dispose des ressources d’une maison-mère nommée Amazon

SureStream, une plateforme pour « améliorer l’expérience publicitaire »

C’est pourquoi Twitch a débuté hier la mise en place d’une nouvelle plateforme publicitaire baptisée SureStream. Celle-ci est entièrement gérée en interne par le géant du streaming, ce qui offrirait un certain nombre d’avantages pour les spectateurs et diffuseurs. 

L’entreprise explique par exemple que cette solution permet de corriger efficacement les problèmes de volume sonore souvent rencontrés sur Twitch. En effet, certaines publicités étaient lancées avec un volume nettement plus élevé que la diffusion qui les précédaient, ce qui était loin d’être idéal pour les utilisateurs de casques par exemple.

Twitch promet aussi que cette solution permet un lancement plus rapide, une lecture plus fluide et un retour quasi instantané au programme à la fin de la diffusion des spots. Enfin, on nous assure que les clips problématiques seront supprimés plus rapidement. On ne demande qu’à voir cela en pratique.

Bloqués

Le principal intérêt pour Twitch n’est cependant pas là. Il se cache dans une petite phrase, glissée dans le billet de blog annonçant son ouverture : « SureStream nous permet […] d’améliorer la livrabilité des publicités, en réduisant l’impact des services tiers qui contournent les publicités ». Utilisateurs d’AdBlock et autres solutions du même acabit, vous voilà prévenus. 

Là encore les bénéfices seraient multiples. Déjà du côté de Twitch qui pourrait ainsi écouler un inventaire plus important, et faire valoir aux annonceurs une audience plus large. Pour les diffuseurs, leurs revenus pourraient augmenter, notamment parce que la souscription payante (ou comprise avec Twitch Prime) à leur chaine retrouverait un intérêt en permettant de bloquer pour de bon les publicités.

Un dernier point reste à éclaircir. Actuellement Twitch s’appuie sur diverses régies publicitaires pour garnir son inventaire. En France, c’est TF1 qui occupe cette fonction depuis le mois de septembre. Il sera intéressant de voir si SureStream se cantonnera à n’être qu’un outil de diffusion ou bien si à terme, la filiale d’Amazon compte faire grossir les équipes autour de ce projet pour en faire une régie publicitaire à part entière.

 

Internet