Search for:
Une erreur embarrassante : un compte de test Microsoft piraté s’est vu accorder des privilèges d’administrateur.

Grosse faille : compte de test Microsoft piraté admin

Les hackers qui ont récemment infiltré le réseau de Microsoft et espionné les e-mails des hauts dirigeants pendant deux mois ont exploité un compte test obsolète doté de privilèges administratifs, selon un chercheur.

Les nouvelles informations ont été divulguées de manière assez floue dans un article publié par Microsoft jeudi dernier, et ont été étoffées par une divulgation ultérieure vendredi. Microsoft a indiqué que les hackers russes ont utilisé une méthode appelée pulvérisation de mot de passe pour exploiter un identifiant faible et accéder à un « ancien compte de locataire de test hors production », non sécurisé par une authentification multifactorielle. À partir de là, ils ont réussi à accéder aux comptes de messagerie des cadres supérieurs et des membres des équipes de sécurité et juridiques.

Dans un message aux clients jeudi, Microsoft a fourni plus de détails sur la façon dont les hackers ont réussi cet accès. Ils ont profité d’une faille dans le protocole d’autorisation OAuth pour obtenir un accès persistant aux comptes de messagerie privilégiés. Le groupe de hackers, baptisé Midnight Blizzard par Microsoft, a ensuite utilisé ce compte test compromis pour créer une application malveillante et lui octroyer des droits d’accès à chaque adresse e-mail du service de messagerie Office 365.

 

La configuration inadéquate du compte de test constitue une grave erreur de sécurité, brisant le principe du moindre privilège et exposant les comptes à des risques inutiles. Les administrateurs de Microsoft n’ont pas expliqué les raisons de cette configuration ni pourquoi elle a été maintenue malgré son statut obsolète.

La mise à jour de jeudi a révélé que d’autres organisations avaient été touchées par Midnight Blizzard, notamment Hewlett Packard Enterprises, victime d’une violation similaire en mai dernier, découverte seulement en décembre. Les hackers ont limité leurs tentatives d’accès en pulvérisant les mots de passe à un petit nombre de comptes, et ont réduit leur activité malveillante en utilisant des proxies résidentiels distribués pour brouiller les pistes.

Midnight Blizzard, également connu sous les noms APT29, the Dukes, Cloaked Ursa, UNC2452 et Dark Halo, est lié au service de renseignement russe SVR. Le groupe utilise depuis longtemps des proxies résidentiels pour masquer ses attaques, rendant leur détection difficile en raison du taux élevé de changement des adresses IP.

Facebook essuie une défaite cuisante lors d’un procès contre une entreprise de piratage de données

Facebook perd un procès contre une entreprise de collecte de données

Un an après que Meta ait poursuivi une entreprise de grattage de données, un juge fédéral a rejeté cette semaine la plainte pour rupture de contrat de Meta parce que le défendeur n’avait obtenu que des données publiques de Facebook et d’Instagram.

Meta a poursuivi Bright Data en janvier 2023, faisant valoir des allégations de rupture de contrat et d’interférence délictuelle avec le contrat. Bright Data est une société israélienne qui collecte des données sur divers sites Web et propose des produits connexes aux entreprises.

« Bright Data admet qu’elle était liée aux conditions de Meta alors qu’elle possédait des comptes Facebook et Instagram, et qu’elle vend des données collectées sur Facebook et Instagram », a écrit le juge de district américain Edward Chen dans une décision rendue mardi . « Cependant, même en examinant les preuves sous le jour le plus favorable à la partie non-animatrice (Meta)… les conditions de Facebook et d’Instagram n’interdisent pas le grattage de données publiques hors connexion ; elles n’interdisent pas nécessairement la vente de ces données publiques. Par conséquent, les Conditions ne peuvent pas interdire les activités de scraping déconnectées de Bright Data.

 

Meta a allégué que Bright Data avait violé les politiques de Facebook et d’Instagram en développant et en utilisant « un logiciel d’automatisation non autorisé pour extraire des données de Facebook et d’Instagram, y compris les informations de profil des utilisateurs, les abonnés et les publications que les utilisateurs ont partagées avec d’autres ». L’affaire est portée devant le tribunal de district américain du district nord de Californie.

Bright Data « n’a pas enfreint » les termes Meta Comme le note la décision de Chen, « Bright Data a demandé un jugement sommaire sur la réclamation pour rupture de contrat de Meta, affirmant que la récupération de données accessibles au public n’est pas interdite par les conditions de Meta, Facebook ou Instagram. » Chen a écrit que « les preuves incontestées établissent que Bright Data s’est uniquement engagé dans la récupération de données publiques sans rapport avec ses comptes avec Meta et n’a donc pas enfreint les conditions tant qu’il avait des comptes avec Facebook et Instagram ou après avoir résilié ses comptes. »

 

Chen a fait droit à la requête de Bright Data pour un jugement sommaire sur la réclamation pour rupture de contrat. Il a également rejeté la requête incidente de Meta pour un jugement sommaire partiel, qui affirmait « que les conditions de Meta créaient un contrat valide et exécutoire, et que Bright Data était lié et violait les conditions par ses activités de grattage ».

En raison de ces décisions, « la seule réclamation qui reste contre Bright Data est celle pour interférence délictuelle avec le contrat », a écrit Chen. Chen a programmé une conférence de mise en état le 5 mars pour discuter du litige concernant la réclamation restante.

La plainte pour ingérence délictuelle de Meta allègue que Bright Data a « incité » les utilisateurs de Facebook et d’Instagram à enfreindre les conditions des services en faisant la publicité des services de grattage de Bright Data aux utilisateurs connectés.

« Le défendeur est conscient que les clients auxquels il vend ses logiciels et services possèdent des comptes Facebook et Instagram et sont liés par les conditions d’utilisation de Facebook et d’Instagram », a allégué Meta dans sa plainte de janvier 2023. « En proposant des services et des outils conçus pour extraire des données de Facebook et Instagram en violation des conditions de Facebook et d’Instagram, le défendeur a provoqué une violation ou une perturbation des conditions de Facebook et d’Instagram par d’autres utilisateurs de Facebook et d’Instagram. »

Bright Data vend du proxy et du « Web Unlocker » Les produits de Bright Data incluent un service de réseau proxy qui permet aux clients de naviguer sur Internet de manière plus anonyme, et un outil « Web Unlocker » qui est « conçu pour empêcher les opérateurs de sites Web comme Meta d’utiliser diverses techniques pour mettre sur liste noire les membres du public » de accéder à des informations publiques sur Internet », indique la décision de cette semaine.

Bright Data vend également un environnement de développement intégré Web Scraper conçu pour aider les programmeurs à effectuer des recherches automatisées et vend des ensembles de données personnalisés basés sur les demandes de recherche spécifiques des clients.

Meta essaie de lutter contre le scraping avec un mécanisme de verrouillage qui redirige les utilisateurs vers un écran

Le nouveau ChatGPT-4 : Une avancée majeure dans la lutte contre la paresse de l’IA

OpenAI révolutionne l'IA : ChatGPT-4 confronte le défi de la 'paresse' avec une mise à jour majeure

Jeudi, OpenAI a dévoilé une série de mises à jour pour ses modèles d’IA qui alimentent le célèbre assistant ChatGPT. Au cœur de ces annonces, une attention particulière a été portée à un correctif envisagé pour résoudre le problème de « paresse » observé dans GPT-4 Turbo depuis son lancement en novembre dernier. En parallèle, la société a présenté un nouveau modèle GPT-3.5 Turbo, offrant un rapport qualité-prix attrayant, ainsi qu’un tout nouveau modèle d’intégration. De plus, une version améliorée du modèle de modération a été dévoilée, accompagnée d’une méthode innovante pour optimiser l’utilisation des API.

Aujourd’hui, OpenAI annonce avec enthousiasme le lancement du modèle d’aperçu GPT-4 Turbo mis à jour, baptisé gpt-4-0125-preview. Ce modèle se distingue par sa capacité à réaliser des tâches complexes, telles que la génération de code, avec une profondeur inégalée par rapport à ses prédécesseurs. Conçu spécifiquement pour contrer les cas de « paresse » où le modèle ne parvient pas à finaliser une tâche, ce nouvel ajout incarne l’engagement continu d’OpenAI envers l’innovation et l’amélioration constante de ses technologies.

 

Depuis le déploiement de GPT-4 Turbo, de nombreux utilisateurs de ChatGPT ont signalé une baisse de performance de l’assistant IA, notamment dans l’exécution de tâches complexes telles que le codage. Nous avons également observé cette tendance au fil de nos propres expériences avec ChatGPT au fil du temps.

Bien qu’OpenAI n’ait pas encore fourni d’explication officielle à ce changement de comportement, des membres du personnel ont admis sur les réseaux sociaux que le problème était bien réel. En décembre, le compte ChatGPT X a répondu aux préoccupations des utilisateurs en reconnaissant la situation et en exprimant la volonté de résoudre ce problème imprévu.

Dans la dernière mise à jour de son blog, OpenAI a dévoilé une nouvelle version de GPT-3.5 Turbo (gpt-3.5-turbo-0125), promettant diverses améliorations telles qu’une réponse plus précise aux formats demandés et la résolution d’un bug affectant l’encodage du texte dans les appels de fonctions dans des langues autres que l’anglais.

De plus, OpenAI annonce une réduction du coût de GPT-3.5 Turbo via son API, marquant ainsi la troisième baisse de prix de l’année. Les nouveaux tarifs affichent une réduction de 50 % pour les jetons d’entrée, désormais à 0,0005 $ pour 1 000 jetons, et une réduction de 25 % pour les jetons de sortie, maintenant à 0,0015 $ pour 1 000 jetons. Cette initiative vise à accompagner l’évolution de ses clients et à faciliter l’accès à cette technologie innovante.

La baisse des prix des jetons pour GPT-3.5 Turbo devrait rendre l’utilisation des robots tiers beaucoup plus abordable. Cependant, il est important de noter que le modèle GPT-3.5 est généralement plus enclin à fabuler que GPT-4 Turbo. Cela pourrait entraîner davantage de scénarios comme celui du robot de Quora, qui a affirmé que les œufs peuvent fondre. Bien que ce cas particulier ait utilisé un modèle GPT-3 obsolète appelé text-davinci-003, une réduction des prix de l’API GPT-4 Turbo pourrait éventuellement atténuer ces problèmes d’hallucination tiers.

En parallèle, OpenAI a annoncé de nouveaux modèles d’intégration, tels que text-embedding-3-small et text-embedding-3-large, qui facilitent la transformation du contenu en séquences numériques. Ces avancées sont précieuses pour des tâches d’apprentissage automatique telles que le clustering et la récupération. De plus, le modèle de modération mis à jour, text-moderation-007, permet aux développeurs d’identifier les textes potentiellement dangereux, renforçant ainsi la sécurité en ligne.

Enfin, OpenAI améliore sa plate-forme de développement avec de nouveaux outils de gestion des clés API et un tableau de bord amélioré pour suivre l’utilisation des API. Ces fonctionnalités permettent aux développeurs d’attribuer des autorisations spécifiques aux clés API, réduisant ainsi les risques de mauvaise utilisation. Le tableau de bord offre une visibilité accrue sur l’utilisation des API, ce qui facilite la gestion des ressources et la détection des abus potentiels.

Alors que les débats entourant OpenAI continuent de faire rage dans les médias, ces annonces témoignent de l’engagement continu de l’entreprise envers l’innovation. Malgré les défis rencontrés précédemment, il est clair que les équipes de développement d’OpenAI poursuivent leurs efforts avec régularité, offrant ainsi des mises à jour fréquentes et significatives à leur technologie.

L’inventeur du protocole NTP qui permet de connaître l’heure sur des milliards d’appareils est décédé à 85 ans

L'inventeur du protocole NTP est décédé à 85 ans

Jeudi, le pionnier de l’Internet Vint Cerf a annoncé que le Dr David L. Mills, l’inventeur du Network Time Protocol (NTP), est décédé paisiblement à l’âge de 85 ans le 17 janvier 2024. L’annonce a été publiée dans un message sur la liste de diffusion de l’Internet Society après Cerf a été informé de la mort de David par la fille de Mills, Leigh.

« Il était un élément emblématique des débuts d’Internet », a écrit Cerf.

Le Dr Mills a créé le Network Time Protocol (NTP) en 1985 pour relever un défi crucial dans le monde en ligne : la synchronisation de l’heure sur différents systèmes et réseaux informatiques. Dans un environnement numérique où les ordinateurs et les serveurs sont situés partout dans le monde, chacun avec sa propre horloge interne, il existe un besoin important d’un système de chronométrage standardisé et précis.

NTP fournit la solution en permettant aux horloges des ordinateurs d’un réseau de se synchroniser sur une source horaire commune. Cette synchronisation est vitale pour tout, de l’intégrité des données à la sécurité du réseau. Par exemple, NTP maintient les horodatages des transactions financières du réseau avec précision et garantit des horodatages précis et synchronisés pour la journalisation et la surveillance des activités du réseau.

Dans les années 1970, au cours de son mandat chez COMSAT et de son implication dans ARPANET (le précurseur d’Internet), Mills a identifié pour la première fois le besoin de synchronisation de l’heure sur les réseaux informatiques. Sa solution a aligné les ordinateurs en quelques dizaines de millisecondes près. NTP fonctionne désormais sur des milliards d’appareils dans le monde, coordonnant le temps sur tous les continents, et est devenu la pierre angulaire de l’infrastructure numérique moderne.

Comme détaillé dans un excellent profil du New Yorker 2022 par Nate Hopper, Mills a été confronté à des défis importants pour maintenir et faire évoluer le protocole, d’autant plus qu’Internet gagnait en ampleur et en complexité. Son travail a mis en évidence le rôle souvent sous-estimé des principaux développeurs de logiciels open source (un sujet assez bien exploré dans une bande dessinée xkcd de 2020 ). Mills est né avec un glaucome et a perdu la vue, pour finalement devenir complètement aveugle. En raison de problèmes de vue, Mills a confié le contrôle du protocole à Harlan Stenn dans les années 2000.

Outre son travail sur NTP, Mills a également inventé le premier  » routeur Fuzzball  » pour NSFNET (l’un des premiers routeurs modernes, basé sur l’ordinateur DEC PDP-11), créé l’une des premières implémentations de FTP, inspiré la création de  » ping « , et a joué un rôle clé dans l’architecture Internet en tant que premier président du groupe de travail sur l’architecture Internet.

Mills a été largement reconnu pour son travail, devenant membre de l’Association for Computing Machinery en 1999 et de l’Institute of Electrical and Electronics Engineers en 2002, et recevant le IEEE Internet Award en 2013 pour ses contributions aux protocoles réseau et au chronométrage du développement. d’Internet.

Mills a obtenu son doctorat en informatique et sciences de la communication de l’Université du Michigan en 1971. Au moment de sa mort, Mills était professeur émérite à l’Université du Delaware, après avoir pris sa retraite en 2008 après y avoir enseigné pendant 22 ans.

Google et AT&T investissent dans le rival de Starlink pour le service satellite vers smartphone

Google et AT&T investissent dans le rival de Starlink pour le service satellite vers smartphone

Google, AT&T et Vodafone investissent 206,5 millions de dollars dans AST SpaceMobile, un concurrent de Starlink qui prévoit d’offrir un service pour smartphone à partir de satellites en orbite terrestre basse.

Il s’agit du premier investissement de Google et d’AT&T dans AST SpaceMobile, alors que Vodafone avait déjà investi de l’argent dans la société de satellites. AST SpaceMobile a annoncé le financement dans un communiqué de presse jeudi et a annoncé une offre publique de 100 millions de dollars de ses actions le même jour.

« Vodafone et AT&T ont passé des commandes d’équipements de réseau auprès d’AST SpaceMobile pour soutenir le service commercial prévu », a indiqué la société de satellites. Google a entre-temps « accepté de collaborer sur les plans de développement, de test et de mise en œuvre de produits pour la connectivité réseau SpaceMobile sur Android et les appareils associés ». AST, qui dispose d’un très gros satellite de test en orbite, a déjà reçu des investissements de Rakuten, American Tower et Bell Canada.

Starlink, filiale de SpaceX, a conclu des accords avec T-Mobile aux États-Unis et plusieurs opérateurs dans d’autres pays pour le service satellite-smartphone. T-Mobile devrait proposer cette année une messagerie texte compatible Starlink, avec un service voix et données commençant dans le courant de 2025.

Bien qu’AT&T n’ait pas investi auparavant dans AST SpaceMobile, les sociétés travaillaient déjà ensemble. AT&T loue du spectre dans les bandes 700 MHz et 850 MHz à AST SpaceMobile. Ils prévoient « de fournir un haut débit mobile aux zones non desservies et mal desservies couvertes par le spectre loué », ont déclaré les sociétés à la Federal Communications Commission dans une demande l’année dernière.

Pour les zones difficiles d’accès

La technologie satellite-smartphone est généralement considérée comme un complément aux réseaux cellulaires dans les zones difficiles d’accès. « Étant donné que la technologie d’AST peut concentrer la couverture satellite sur des parties distinctes des zones autorisées, elle n’a pas besoin d’une bande nationale de spectre mobile terrestre qu’un opérateur de réseau mobile titulaire d’une licence a laissé en jachère. Plutôt que de déplacer les installations de réseau terrestre à l’échelle nationale, la couverture d’AST sera complémentaire à La vaste couverture du réseau terrestre d’AT&T », indique le dossier FCC des sociétés.

En avril 2023, les sociétés ont annoncé avoir réalisé les premiers appels vocaux bidirectionnels à l’aide du satellite de test d’AST SpaceMobile avec des téléphones mobiles standard. « Le premier appel vocal a été passé depuis la région de Midland, au Texas, vers Rakuten au Japon via le spectre AT&T à l’aide d’un smartphone Samsung Galaxy S22 », indique l’annonce.

En septembre 2023, AST SpaceMobile a déclaré avoir réalisé « la toute première connexion 5G pour la voix et les données entre un smartphone quotidien non modifié et un satellite dans l’espace » et avoir atteint un taux de téléchargement de 14 Mbps.

Cinq satellites devraient bientôt être lancés

Le prototype de satellite d’AST SpaceMobile a été lancé à partir d’une fusée SpaceX en septembre 2022. Les premiers plans d’AST détaillés en 2020 prévoyaient 243 satellites au total, et ses cinq premiers satellites destinés à des opérations commerciales devraient être lancés d’ici le 31 mars 2024. AST fabrique les satellites dans ses locaux. Installations du Texas.

Le prototype de satellite fournit des données sur des canaux de 5 MHz. « Pour les satellites opérationnels prévus par la société, les faisceaux sont conçus pour prendre en charge une capacité allant jusqu’à 40 MHz, permettant potentiellement des vitesses de transmission de données allant jusqu’à 120 Mbps », a indiqué la société.

Le réseau Microsoft piraté grâce à la pulvérisation de mots de passe par des pirates informatiques russes

Microsoft piraté grâce à la pulvérisation de mots de passe

Des pirates informatiques russes ont exploité un mot de passe faible pour compromettre le réseau d’entreprise de Microsoft et ont accédé aux e-mails et aux documents appartenant à des cadres supérieurs et à des employés travaillant dans des équipes de sécurité et juridiques, a déclaré Microsoft vendredi soir.

L’attaque, que Microsoft attribue à un groupe de piratage soutenu par le Kremlin et qu’il suit sous le nom de Midnight Blizzard, est au moins la deuxième fois en autant d’années que le non-respect des règles de sécurité de base entraîne une violation susceptible de nuire aux clients. Un paragraphe de la divulgation de vendredi , déposée auprès de la Securities and Exchange Commission, était ahurissant :

À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et nos employés dans nos fonctions de cybersécurité, juridiques et autres, et avons exfiltré certains e-mails et documents joints. L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. Nous sommes en train d’informer les employés dont l’e-mail a été consulté.

Traduction des 93 mots cités ci-dessus : Un appareil au sein du réseau Microsoft était protégé par un mot de passe faible sans aucune forme d’authentification à deux facteurs utilisée. Le groupe adverse russe a pu le deviner en le parsemant de mots de passe précédemment compromis ou couramment utilisés jusqu’à ce qu’il trouve finalement le bon. L’acteur menaçant a ensuite accédé au compte.

De plus, cet « ancien compte de locataire test hors production » a été configuré d’une manière ou d’une autre pour que Midnight Blizzard puisse pivoter et accéder à certains des comptes d’employés les plus expérimentés et les plus sensibles de l’entreprise.

Comme l’a écrit Steve Bellovin, professeur d’informatique et professeur de droit affilié à l’Université de Columbia avec des décennies d’expérience en cybersécurité, sur Mastodon :

Alors que Microsoft a déclaré qu’il n’avait connaissance d’aucune preuve que Midnight Blizzard avait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA, certains chercheurs ont exprimé des doutes, notamment quant à savoir si le service Microsoft 365 pourrait ou aurait été susceptible d’être utilisé. techniques d’attaque similaires. L’un des chercheurs était Kevin Beaumont, qui a eu une longue carrière en cybersécurité qui a notamment travaillé pour Microsoft. Sur LinkedIn, il a écrit :

Le personnel de Microsoft utilise Microsoft 365 pour la messagerie électronique. Les dépôts auprès de la SEC et les blogs sans détails vendredi soir sont excellents… mais ils devront être suivis avec des détails réels. L’époque où Microsoft faisait des tentes, des mots de code d’incident, des choses du CELA et prétendait que MSTIC voyait tout (les acteurs de la menace ont aussi des Mac) est révolue – ils doivent procéder à une transformation technique et culturelle radicale pour conserver la confiance.

Un représentant de Microsoft a déclaré que la société avait refusé de répondre aux questions, notamment sur le respect des pratiques de sécurité de base.

Cette violation n’est pas sans rappeler celle qui a frappé Microsoft l’année dernière lorsque des pirates informatiques chinois, identifiés sous le nom de Storm-0558, ont pénétré dans le réseau de Microsoft. Au cours du mois suivant, le groupe a accédé aux comptes Azure et Exchange de plusieurs clients, dont plusieurs appartenaient aux départements d’État et du commerce américains.

Hertz vend 20 000 véhicules électriques d’occasion en raison des coûts de réparation élevés

Hertz vend 20 000 véhicules électriques d'occasion en raison des coûts de réparation élevés

Si vous recherchez une bonne affaire en matière de voiture électrique et que vous êtes plus courageux que l’ours moyen, vous voudrez peut-être consulter Hertz, l’agence de location de voitures. Après avoir annoncé de grands projets d’achat de dizaines de milliers de véhicules électriques auprès de Tesla puis de Polestar, elle est en train de liquider un tiers de cette flotte, a déclaré la société aux investisseurs.

Après la faillite de Hertz au début de la pandémie, ses grandes ambitions en matière de véhicules électriques ont commencé en 2021, lorsque l’entreprise a révélé qu’elle souhaitait que plus de 20 % de sa flotte de location soit électrique d’ici 2022. À cette fin, elle a passé une commande de 100 000 véhicules électriques. Berlines Tesla Model 3 , puis enchaîné avec une commande de 65 000 Polestar 2 .

Début 2023, l’objectif ambitieux était encore loin d’être atteint , en grande partie à cause de l’incapacité de Tesla à honorer cette commande à temps, et les véhicules électriques ne représentent encore que 11 % du parc de location total de Hertz. Au total, la flotte Hertz EV compte environ 60 000 véhicules. Mais il n’est peut-être pas si contrarié d’avoir échoué : il s’avère que les voitures de location électriques n’ont pas été la panacée dont il avait besoin.

À la fin du troisième trimestre 2023, Hertz a déclaré aux investisseurs qu’une baisse significative des prix au cours de l’année avait « entraîné une baisse des valeurs résiduelles des véhicules électriques, une augmentation des dépenses d’amortissement des véhicules et un impact négatif sur les coûts de récupération ». De plus, ses véhicules électriques de location ont été endommagés ou se sont écrasés plus souvent, et le coût de réparation beaucoup plus élevé des véhicules Tesla – en moyenne environ 20 % plus élevé que celui des autres véhicules électriques – signifie que les Tesla de Hertz gagnent moins d’argent par véhicule que ses autres locations.

Par conséquent, 20 000 véhicules électriques ont été vendus au cours de cette année. Actuellement, la société compte plus de 700 véhicules électriques à vendre , dont 35 Chevrolet Bolt, quatre Kia EV6, une seule BMW i3 et Nissan Leaf, puis 673 Tesla, soit 552 Model 3 et 121 autres Model Y.

Certains véhicules électriques d’occasion sont plutôt abordables : le modèle 3 le moins cher ne coûte que 20 125 $. Un modèle Y à longue portée coûtera un peu plus cher que cela, même si, même ici, le modèle le plus cher vendu par Hertz ne coûte que 38 116 $. Pour rappel, il existe désormais un crédit d’impôt pouvant aller jusqu’à 4 000 $ à l’achat d’un véhicule électrique d’occasion qui coûte moins de 25 000 $ , en supposant que l’on respecte les plafonds de revenus.

Mais ce sont toutes d’anciennes voitures de location, ce qui signifie que la plupart de ces voitures ont eu une vie relativement difficile et ont maintenant beaucoup de kilomètres à parcourir – les modèles 3 les moins chers se rapprochent tous de 100 000 milles. Mais pas tous : à la Nouvelle-Orléans, il y a une Kia EV6 à vendre avec un peu moins de 5 000 milles.

Hertz affirme qu’une dépréciation de 245 millions de dollars pour ses actifs de véhicules électriques apparaîtra dans les résultats financiers du quatrième trimestre 2023. L’entreprise prévoit d’utiliser une partie du produit de la vente pour acheter davantage de voitures de location à essence.

Android 15 pourrait ramener les widgets d’écran de verrouillage

Android 15 pourrait ramener les widgets d’écran de verrouillage

Il semble bien qu’Android 15 aura des widgets d’écran de verrouillage. La version bêta d’Android 14 QPR2 est arrivée l’autre jour, et Mishaal Rahman d’ Android Authority a trouvé une fonctionnalité cachée inachevée qui ramène les widgets d’écran de verrouillage. Nous nous attendions à ce que cela se produise depuis la sortie du grand widget d’écran de verrouillage d’Apple avec iOS 16 .

Rahman a trouvé une nouvelle fonctionnalité d’espace « commun » qui ressemble aux widgets d’écran de verrouillage. Après avoir activé la fonctionnalité et fait glisser votre doigt depuis la droite de l’écran de verrouillage, une icône en forme de crayon apparaîtra. Appuyer sur l’icône ouvre une liste de widgets, vous permettant de déplacer certains widgets vers l’écran de verrouillage. À l’heure actuelle, dans cet état inachevé, l’horloge de l’écran de verrouillage par défaut et l’interface utilisateur du panneau de notification ne savent pas encore comment s’écarter, vous obtenez donc une pile de widgets avec l’interface utilisateur habituelle de l’écran de verrouillage en haut.

Chaque fois qu’un système d’exploitation de smartphone fait quelque chose, l’autre a tendance à le copier, et iOS a ajouté des widgets d’écran de verrouillage en 2022. Deux ans plus tard, Google a amplement le temps d’ajuster et de copier la fonctionnalité. 

Le fait est qu’Android a ajouté des widgets d’écran de verrouillage en 2012 avec Android 4.2. Google a supprimé la fonctionnalité deux ans plus tard dans Android 5.0, donc en réalité, il s’agit d’Android copiant iOS copiant Android. Une partie de ce code semble faire son retour, car tous les widgets disponibles sur l’écran de verrouillage étaient ceux qui avaient encore le drapeau « keyguard » vieux de 10 ans défini pour Android 4.2.

L’écran de verrouillage du widget a étrangement été nommé espace « commun », et Rahman suppose que cela pourrait être dû au fait que cette expérience d’interface utilisateur particulière était destinée aux tablettes en mode dock. « Communautaire » signifierait que tout le monde dans votre maison pourrait les voir, et peut-être serait-il bien de limiter la quantité de données personnelles affichées sans avoir besoin de passer l’écran de verrouillage. Il ne s’agit là que d’une des expériences de fonctionnalités qui ont réussi à s’échapper, et il est difficile d’imaginer que Google ne laisse pas les téléphones le faire également, alors qu’iOS le fait déjà.

Ivanti met en garde contre une vulnérabilité critique dans sa gamme populaire de logiciels de protection des points finaux

Ivanti met en garde contre une vulnérabilité critique dans sa gamme populaire de logiciels de protection des points finaux

L’éditeur de logiciels Ivanti exhorte les utilisateurs de son produit de sécurité des points finaux à corriger une vulnérabilité critique qui permet à des attaquants non authentifiés d’exécuter du code malveillant au sein des réseaux concernés.

La vulnérabilité, dans une classe connue sous le nom d’ injection SQL , réside dans toutes les versions prises en charge d’ Ivanti Endpoint Manager . Également connu sous le nom d’Ivanti EPM, le logiciel fonctionne sur diverses plates-formes, notamment Windows, macOS, Linux, Chrome OS et les appareils Internet des objets tels que les routeurs. Les vulnérabilités d’injection SQL proviennent d’un code défectueux qui interprète les entrées de l’utilisateur comme des commandes de base de données ou, en termes plus techniques, de la concaténation de données avec du code SQL sans citer les données conformément à la syntaxe SQL. CVE-2023-39336, lors du suivi de la vulnérabilité Ivanti, a un indice de gravité de 9,6 sur 10 possibles.

« S’il est exploité, un attaquant ayant accès au réseau interne peut exploiter une injection SQL non spécifiée pour exécuter des requêtes SQL arbitraires et récupérer le résultat sans avoir besoin d’authentification », ont écrit vendredi les responsables d’Ivanti dans un article annonçant la disponibilité du correctif. « Cela peut alors permettre à l’attaquant de contrôler les machines exécutant l’agent EPM. Lorsque le serveur principal est configuré pour utiliser SQL Express, cela peut conduire à un RCE sur le serveur principal.

RCE est l’abréviation de exécution de code à distance ou de la possibilité pour les attaquants hors site d’exécuter le code de leur choix. Actuellement, il n’existe aucune preuve connue que la vulnérabilité soit activement exploitée.

Ivanti a également publié une divulgation réservée uniquement aux utilisateurs enregistrés. Une copie obtenue par Ars indique qu’Ivanti a eu connaissance de la vulnérabilité en octobre. La divulgation privée dans son intégralité est :

On ne sait pas clairement ce que signifie « attaquant ayant accès au réseau interne ». Selon l’explication officielle du Common Vulnerability Scoring System , le code utilisé par Ivanti dans la divulgation, AV:A, est l’abréviation de « Attack Vector: Adjacent ».

Placer les appareils exécutant Ivanti EDM derrière un pare-feu est une bonne pratique et contribuera grandement à atténuer la gravité de CVE-2023-39336, mais cela ne fera probablement rien pour empêcher un attaquant ayant obtenu un accès limité au poste de travail d’un employé d’exploiter la vulnérabilité critique. Il n’est pas clair si la vulnérabilité fera l’objet d’une exploitation active, mais la meilleure solution consiste pour tous les utilisateurs d’Ivanti EDM à installer le correctif dès que possible.

Vous êtes indépendant ? Création Website !

Créez votre Website dès maintenant !

Faites-vous épauler pour votre site internet ! 

 

 

 

ITFacility soutien votre projet de A à Z !

Les avantages ?

  • Bénéficiez d’un support en ligne
  • Bénéficiez d’une sécurité accrue
  • Une sauvegarde automatique du site web
  • Hébégerment web sécurité (SFTP)
  • Optimisé pour le référencement
  • Mises à jour fréquentes
  • Monitoring de votre Website 
  • Accès utilisateur illimité sur la plateforme E-Tickets

Démarquez-vous en créant votre propre site internet !

Pourquoi nous ?

Réactivité

Notre support vous assistera en cas de besoin !

Flexibilité

Nous restons flexible sur les demandes de nos clients !

Fiabilité

Optez pour un partenaire fiable sur la durée !

Ecoute

Réalisation d'un cahier des développements WEB

N'attendez pas ! Créez votre Website maintenant !

Nos devis sont gratuits 

Besoin d'infos ? Complètez le formulaire

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Comment voulez-vous être contacter ?

Créez votre site Web dès maintenant avec le support en ligne d’ITFacility pour une sécurité renforcée, une sauvegarde automatique, un hébergement sécurisé avec SFTP, un référencement optimal, des mises à jour fréquentes, un monitoring continu, un accès utilisateur illimité via E-Tickets. Démarquez-vous, que vous soyez une entreprise indépendante, une micro-société, une PME ou une ASBL, grâce à notre réactivité, flexibilité, fiabilité et écoute. Obtenez dès maintenant votre devis gratuit.

 

Créez, Website, Support, Ligne, Sécurité, Sauvegarde, Automatique, Hébergement, Web, SFTP, Référencement, Mises à jour, Fréquentes, Monitoring, Accès, Utilisateur, E-Tickets, Démarquez-vous, Indépendant, Micro, Société, PME, ASBL, Réactivité, Flexibilité, Fiabilité, Écoute, Devis, Gratuits.