L'environnement de bureau GNOME est affecté par une faille de sécurité importante présente dans une bibliothèque qu'il utilise. En exploitant cette vulnérabilité, un attaquant peut exécuter du code arbitraire sur la machine Linux. Faisons le point.
GNOME est un environnement de bureau populaire pour les distributions Linux, et c'est une alternative à XFCE, KDE, etc... Il est utilisé (ou proposé) au sein de distributions Linux populaires comme Ubuntu, Debian ou encore Red Hat Enterprise Linux.
La faille de sécurité qui impacte GNOME est présente dans la bibliothèque "libcue" intégrée à l'outil d'indexation de métadonnées de fichiers Tracker Miners. Ce dernier est intégré dans les dernières versions de GNOME. En fait, libcue sert à analyser les fichiers de type "cue sheets" qui contiennent les métadonnées d'un CD ou d'un DVD (nom de la piste, durée de la piste, artiste, etc.).
La faille de sécurité CVE-2023-43641 est de type "1-click RCE" c'est-à-dire qu'elle permet une exécution de code en un seul clic puisqu'il suffit que l'utilisateur clique sur un lien malveillant pour que du code soit exécuté sur la machine Linux.
Kevin Backhouse, qui a fait la découverte de cette vulnérabilité, a mis en ligne de nombreux détails techniques sur son GitHub. Il précise : "Parfois, une vulnérabilité dans une bibliothèque apparemment inoffensive peut avoir un impact important." - Dans une démonstration, on voit qu'il clique sur un lien Web correspondant à un fichier ".cue" et le code est exécuté dès la fin du téléchargement du fichier, car le fichier est immédiatement indexé par Tracker Miners. D'autres formats sont pris en charge par cet indexeur : HTML, JPEG, PDF, etc...
Il y a un réel risque vis-à-vis de cette vulnérabilité et Kevin Backhouse est clair : "Si vous utilisez GNOME, mettez à jour dès aujourd'hui !". Actuellement son exploit PoC complet n'est pas accessible publiquement, mais il sera mis en ligne par la suite.
La semaine dernière, une autre vulnérabilité baptisée Looney Tunables a été découverte dans Linux. Elle permet de devenir "root" sur une machine locale.
L'Honor 90 Lite est le modèle le plus abordable de la nouvelle série 90 du fabricant Honor. Pour moins de 250 euros, ce smartphone est plutôt complet, avec une configuration unique basée sur 8 Go de RAM et 256 Go de stockage, même si vous avez tout de même le choix du coloris. Ce modèle mise également sur son capteur photo principal de 100 Mpx. Intéressant sur le papier. Qu'en est-il en pratique ? La réponse dans ce test !
Voici les caractéristiques principales de cet appareil :
Ecran : LTPS LCD de 6.7 pouces / Résolution 2388 x 1080 px / Taux de rafraichissement 90 Hz
Partons à la découverte de ce modèle d'entrée de gamme bien protégée dans la boite estampillée "Honor 90" complétée par la mention "Lite". A l'intérieur, nous avons le smartphone dont l'écran est protégé, ainsi qu'un câble USB-A vers USB-C, un outil pour accéder aux slots des cartes SIM, et un peu de paperasse. Le déballage nous permet de constater que le smartphone est livré sans chargeur.
Le smartphone est assez grand puisqu'il intègre un écran de 6.7 pouces. Toutefois, il est relativement léger et agréable à tenir en main : 179 grammes. Même si le bord inférieur est plus épais, l'écran occupe une bonne partie de la surface. Honor précise qu'il s'agit de bords fins avec un ratio de 93,6%. Un film protecteur est préinstallé sur l'écran, ce qui est un bon point. Cependant, certaines personnes pourront lui préférer une protection en verre trempé. Enfin, le capteur frontal dédié aux selfies est directement intégré à l'écran sous la forme d'un poinçon central.
Ce modèle, dont le châssis est en plastique, bénéficie de tranches plates et de coins arrondis, ce qui me fait penser au design de certains iPhone. Sur le côté droit, nous retrouvons le bouton principal permettant de gérer le volume (+/-), ainsi qu'un bouton d'alimentation, moins en relief, qui intègre le lecteur d'empreinte.
Le smartphone a deux micros : un sur la tranche supérieure et un sur la tranche inférieure, tandis qu'il n'y a qu'un seul haut-parleur positionné à côté du port USB-C. L'Honor 90 Lite bénéficie d'un dos en plastique mat, où l'on peut voir l'imposant module photo au design soigné et original, découpé en deux parties, et qui rassemble les différents capteurs, dont celui de 100 mpx.
III. Qualité des photos
Pour un appareil d'entrée de gamme, l'Honor 90 Lite est bien équipé au niveau des capteurs photo ! Nous avons le droit à un triple appareil photo arrière avec un capteur principal de 100 mpx (f/1.9), un capteur ultra grand angle et de profondeur de champ de 5 mpx (f/2.2), ainsi qu'un capteur macro de 2 mpx (f/2.4). Au niveau du zoom, nous avons le droit à un zoom numérique jusqu'à 10X. Sinon, sachez que vous pourrez prendre des selfies avec un capteur de 16 mpx (f/2.45).
Pour les vidéos, le smartphone prend en charge la résolution 1080p (Full HD), que ce soit à l'avant ou à l'arrière.
Dans l'ensemble, le capteur principal de 100 mégapixels est bon dans toutes les situations (attention tout de même la nuit !), ce qui n'est pas le cas des autres capteurs. Il y a une différence dans la gestion des couleurs entre le capteur principal et les autres capteurs, notamment l'ultra grand-angle (surexposition).
Ultra grand angleZoom x1 (normal)Zoom x2
Le zoom numérique X10 n'a pas de réel intérêt quand on voit le résultat final : il y a une perte de qualité très importante, mais c'est un problème fréquent sur les smartphones surtout dans cette gamme. Le capteur principal me semble plus efficace que le capteur macro lui-même pour faire une prise de vue macro, comme le montre les deux photos de droits ci-dessous. Avec le capteur macro, l'image est très pâle, en plus d'être un peu flou, alors que le capteur principal nous donne un résultat satisfaisant.
Zoom numérique X10Capteur principalCapteur macro
Le capteur principal de 100 mpx est le seul qui a réellement de l'intérêt sur le module arrière. Heureusement, c'est celui que l'on utilise le plus. Avec le capteur frontal de 16 mpx, vos selfies devraient être plutôt réussis grâce à un bon équilibrage général dans la gestion des couleurs et l'exposition.
L'application Caméra intégrée à la surcouche MagicOS intègre de nombreux modes, notamment les plus classiques (panorama, super macro, ralenti, pro, time-lapse, etc.) mais aussi des modes supplémentaires comme "Scanner un document" dont le nom est évocateur et le mode "Multi-vidéo" qui permet de prendre une vidéo avec l'image de plusieurs capteurs en même temps. Par exemple, une vidéo avec le capteur principal de 100 mpx en ayant l'image du capteur frontal incrustée dans un coin.
IV. Autonomie
L'autonomie de ce smartphone est un point fort ! Prenons un exemple : en streaming vidéo sur YouTube, il a tenu environ 10h20 en lecture non-stop avec une vidéo (testé sur une vidéo de 24h, donc ce n'est pas une vidéo qui tourne en boucle) en résolution maximale et le volume du smartphone à 50%. De quoi tenir une journée !
En ce qui concerne la recharge de la batterie, le fabricant annonce la prise en charge d'Honor SuperCharge permettant de récupérer 55% de batterie en moins de 30 minutes. Ceci doit dépendre du chargeur que l'on utilise, car dans mon cas, en 30 minutes, j'ai pu récupérer 45% de batterie (en partant d'une batterie totalement vide). En 1h de charge, l'appareil a récupéré 76% de sa batterie. Comptez environ 1h20 pour une charge complète de 0% à 100%.
V. Performances, affichage et système
Partons à la découverte du système et mettons à l'épreuve l'Honor 90 Lite pour voir comment il réagit au quotidien !
Commençons par évoquer l'affichage de ce smartphone : Honor a fait l'impasse sur l'OLED puisque ce modèle a un écran LCD IPS avec une résolution FHD+. Forcément, il y a des limites à cette technologie et ce n'est pas le plus bel écran. Cependant, il y a une belle gamme de couleurs et la luminosité est suffisante, car même en extérieur, l'écran reste relativement bien visible. On pourrait lui reprocher d'avoir un taux de rafraichissement à 90 Hz plutôt que 120 Hz, mais par rapport aux performances offertes par sa puce Dimensity, il y a une certaine cohérence !
Ce smartphone est livré sous MagicOS 7.1 basé sur Android 13. Honor devrait proposer une mise à niveau vers Android 14 par la suite et assurer un suivi des correctifs de sécurité d'Android pendant 3 ans.
Avec ses icônes d'applications et ses dossiers arrondis, ainsi que par les couleurs choisies, cette interface me fait penser un peu à iOS. Cette impression s'arrête là, car c'est bien un système Android, et on est très loin de l'expérience iOS. Néanmoins, l'interface est soignée visuellement.
Par contre, nous pouvons regretter la présence d'applications tierces préinstallées : Netflix, Facebook, Booking.com, TikTok, Trip.com, WPS Office ou encore Lords Mobile. Au-delà des applications et services de Google, nous avons aussi les applications développées par Honor. Finalement, bien que l'interface soit agréable visuellement, elle est encombrée.
L'accès rapide contient énormément de raccourcis, tandis que nous retrouvons les paramètres de configuration Android habituels. Ce smartphone a une capacité de stockage interne de 256 Go, et nous pouvons voir qu'il y a 237 Go disponibles, soit 19 Go de stockage utilisé sur un appareil qui sort de l'usine.
Pour ceux qui s'intéressent aux fonctions liées à la sécurité, sachez qu'il est possible de verrouiller les applications (authentification via votre code avant ouverture de certaines applications) et créer un coffre-fort pour chiffrer certaines données. Pour déverrouiller l'appareil, vous avez accès aux méthodes traditionnelles : code PIN, schéma, mais également par lecture de votre empreinte grâce au lecteur présent sur le côté droit de l'appareil ainsi que par reconnaissance faciale 2D.
Pour l'avoir utilisé pour naviguer sur Internet, les réseaux sociaux, regarder des vidéos, mais aussi pour jouer, sachez que ce n'est pas un smartphone pour les gamers ! Il s'en sort bien pour l'utilisation générale et la majorité des applications populaires, ainsi que quelques jeux légers, mais son SoC est trop léger pour être stable avec des jeux plus gourmands. Dès que la puce graphique est trop sollicitée, les ralentissements sont bien présents : d'un côté, ceci reflète son positionnement sur le marché.
Pour le multitâche, le smartphone peut pourtant compter sur la technologie Honor RAM Turbo qui permet à l'appareil d'avoir 13 Go de RAM à sa disposition : 8 Go avec la mémoire vive physique et 5 Go de RAM virtuelle (sur la mémoire flash).
VI. Conclusion
Sur le marché de l'entrée de gamme, l'Honor 90 Lite est un sérieux concurrent pour d'autres modèles, notamment du côté de chez Xiaomi. Il a des atouts intéressants : son autonomie, son espace de stockage confortable et son capteur photo principal de 100 mpx sont des points positifs.
À l'inverse, nous avons la mauvaise surprise de ne pas avoir de chargeur lorsqu'on ouvre la boite pour la première fois (si l'on n’a pas fait attention au moment de l'acheter) et son interface est surchargée par des applications tierces et des services Honor qui ne sont pas indispensables (il y a déjà une bonne dose de Google nativement).
Mais bon, il ne faut pas oublier que c'est un modèle qui est proposé à moins de 250 euros : à ce prix, franchement, c'est une bonne affaire pour s'équiper sans se ruiner avec un smartphone qui est à peu près bon dans tous les domaines.
Pour acheter ce modèle et profiter d'une remise à l'occasion de l'événement Amazon Prime Day du 10 et 11 octobre 2023, vous pouvez utiliser ces liens :
Si vous utilisez Microsoft 365 pour envoyer des e-mails en masse, vous devez impérativement vérifier la configuration Exchange Online de votre environnement, sous peine d'être considéré comme spam par les utilisateurs de chez Google. Voici ce qu'il faut savoir !
À juste titre, Microsoft encourage ses utilisateurs à configurer leur domaine de messagerie correctement à l'aide d'enregistrements SPF, DKIM et DMARC, notamment pour éviter d'être considéré comme spams par le serveur de messagerie distant qui réceptionne votre e-mail : "En configurant l'authentification des courriels pour votre domaine, vous pouvez vous assurer que vos messages sont moins susceptibles d'être rejetés ou marqués comme spam par des fournisseurs de messagerie tels que Gmail, Yahoo, AOL, Outlook.com."
Ces enregistrements permettent d'authentifier les e-mails, ce qui permet de réduire la quantité de messages malveillants, et de lutter contre l'usurpation d'identité et le phishing. Ils ne sont pas nouveaux, mais ils sont encore trop peu adoptés par les entreprises, et cela devient un vrai problème notamment lorsqu'un géant comme Google s'apprête à déployer des règles plus strictes pour la gestion des e-mails entrants.
Google va se montrer plus strict à partir de 2024
Un article mis en ligne il y a quelques jours sur le blog de Gmail précise : "À partir de 2024, nous exigerons des expéditeurs à l'origine d'envois en masse qu'ils authentifient leurs courriels, qu'ils permettent une désinscription facile et qu'ils restent en deçà d'un seuil de spam signalé." - Plus précisément, ce sera effectif à partir de février 2024.
Google estime stopper plus de 99.9% du spam et bloquer environ 15 milliards d'e-mails par jour, mais l'entreprise américaine veut aller plus loin en bloquant certains e-mails non authentifiés : "C'est pourquoi nous introduisons aujourd'hui de nouvelles exigences pour les expéditeurs en masse (ceux qui envoient plus de 5 000 messages à des adresses Gmail en une journée), afin que votre boîte de réception soit encore plus sûre et exempte de spam."
Microsoft rappelle que Microsoft 365 n'est pas conçu pour envoyer des e-mails en masse (préférez un service tiers spécialisé dans ce domaine !), et qu'il y a des restrictions dans Exchange Online Protection. Si malgré tout vous avez ce besoin, vous devez lire les recommandations de Microsoft décrites sur cette page.
Pour vous préparer à ce changement, vous pouvez lire cette documentation de Google, ainsi que le tutoriel IT-Connect et la documentation Microsoft (liens ci-dessus). De manière générale, il est important de mettre en place SPF/DKIM/DMARC : ceci va petit à petit devenir inévitable. Anticipez et penchez-vous sur le sujet dès maintenant.
Dans ce tutoriel, nous allons apprendre à configurer un message d'absence sur Gmail, ce qui est utile lorsque vous êtes absents pendant plusieurs jours, notamment pendant vos vacances ! Le service de messagerie Gmail de Google pouvant être utilisé à titre personnel et professionnel, cette astuce peut s'avérer très utile ! Alors si vous partez prochainement en vacances et que vous souhaitez configurer un message d'absence sous la forme d'une réponse automatique, suivez ce tutoriel !
II. Activer la réponse automatique sur Gmail
Tout d'abord, connectez-vous à l'interface de Gmail avec votre navigateur préféré. Pour cela, il suffit de cliquer sur le bouton "Gmail" sur la page d'accueil de Google ou d'utiliser le lien ci-dessous :
Voilà, vous êtes sur la page d'accueil de Gmail et vous avez un aperçu sur votre magnifique boite de réception.
Cliquez sur l'icône paramètres en haut à droite (la "roue crantée") afin de cliquer sur "Voir tous les paramètres".
Une fois sur la page des paramètres, restez sur l'onglet "Général".
Descendez dans la page des paramètres jusqu'à trouver l'option "Réponse automatique". Il s'agit du dernier paramètre sur la page.
Il ne vous reste plus qu'à cocher l'option "Réponse automatique activée" et à configurer la fonctionnalité. Vous pouvez définir une date de début, et éventuellement une date de fin, ce qui est pratique puisqu'en principe vous connaissez vos dates de congés. Et surtout, n'oubliez pas de définir un objet et un message : il sera envoyé automatiquement aux personnes qui vous écriront pendant votre absence.
Remarque : la réponse automatique s'activera à minuit pile à la date de début et se désactivera à 23h59 à la date de fin. Bien sûr, vous gardez le contrôle et pouvez désactiver la réponse automatique à tout moment.
Quand la configuration est effectuée, cliquez sur le bouton "Enregistrer les modifications" sinon vos paramètres seront effacés.
À partir du moment où la réponse automatique est activée, un bandeau jaune s'affiche dans le haut de l'interface de Gmail afin de vous avertir. L'objet de l'e-mail est précisé et il y a un lien nommé "Arrêter maintenant" qui permet de désactiver la réponse automatique en un clic.
Dans le cas où un contact vous envoie plusieurs e-mails pendant votre absence, il ne recevra pas une réponse automatique à chaque fois. Il recevra cet e-mail la première fois, et ensuite ce sera 1 fois tous les 4 jours maximum.
III. Conclusion
Simple et rapide : quelques clics suffisent pour configurer un message d'absence sur Gmail ! Sachez qu'à partir de l'application Gmail sur mobile, vous pouvez également gérer cette fonctionnalité ! Le principe est le même, il faut accéder aux paramètres et vous pourrez localiser la même option.
Le géant de Las Vegas MGM Resorts a révélé la somme que lui a coûtée l'importante cyberattaque subie le mois dernier : 100 millions de dollars ! Les pirates sont parvenus à voler les données personnelles des utilisateurs.
En septembre 2023, le groupe de loisirs américains MGM Resorts, propriétaire des plus prestigieux casinos de Las Vegas, a subi une très importante cyberattaque attribuée à Scattered Spider, un groupe affilié au gang de ransomware BlackCat. Les cybercriminels étaient parvenus à infiltrer l'infrastructure informatique de MGM Resorts et à mettre totalement KO le système d'information : ils sont parvenus à chiffrer les machines virtuelles de plus de 100 hyperviseurs VMWare ESXi grâce à leur ransomware.
Dans ce formulaire 8-K complété par MGM Resorts, et qui a pour objectif d'informer les actionnaires d'un événement marquant, on peut lire que "[MGM] estime que le problème de cybersécurité survenu en septembre aura un impact négatif d'environ 100 millions de dollars sur l'EBITDAR ajusté pour les complexes du Strip de Las Vegas et les opérations régionales, collectivement."
En fait, il faut comprendre que MGM Resorts a fait une croix sur 100 millions de dollars de bénéfice à cause de cette cyberattaque. À cela s'ajoutent moins de 10 millions de dollars de frais liés à cet incident, notamment pour les frais juridiques, les interventions des experts en cybersécurité et les mesures prises suite à cet incident. MGM Resorts espère que l'ensemble de ces frais seront pris en charge par leur assurance cybersécurité.
Malgré tout, MGM Resorts se montre confiant pour la suite et cet incident, bien qu'il soit associé à des chiffres importants, ne devrait pas avoir d'impact significatif sur le bilan comptable annuel du groupe. Preuve qu'il y a énormément d'argent à Las Vegas...
Des données personnelles volées par les cybercriminels
Cette cyberattaque n'est pas seulement une question d'argent. Les cybercriminels sont parvenus à voler des données personnelles sur les clients de MGM qui ont effectué des transactions avant mars 2019. Voici les données personnelles récupérées par les pirates :
Nom et prénom
Numéro de téléphone
Adresse e-mail
Adresse postale
Genre
Date de naissance
Informations sur le permis de conduire
Numéro de sécurité sociale
Numéro de passeport
MGM demande aux personnes impactées d'être vigilante : "Nous vous recommandons de rester vigilant quant aux incidents de fraude et d'usurpation d'identité en examinant vos relevés de compte et en surveillant vos rapports de crédit." - MGM n'a pas précisé le nombre de personnes impactées par cette fuite de données.
