Archive pour 17 décembre 2019

Mozilla oblige ses développeurs d’extension à passer à la double authentification

Mardi 17 décembre 2019

Cette nouvelle règle entrera en vigueur à partir de l’année prochaine, en 2020 et vise à sécuriser l’écosystème d’extensions de Firefox.

Mozilla a annoncé cette semaine que tous les développeurs de modules complémentaires Firefox devront activer une solution d’authentification à deux facteurs (2FA) pour leur compte.

« À partir du début de 2020, les développeurs d’extensions devront activer l’authentification à double facteur sur AMO [addons.mozilla.org, le portail d’extensions de Mozilla] », a déclaré Caitlin Neiman, Community Manager des modules complémentaires de Mozilla.

« Cette mesure est destinée à empêcher les acteurs malveillants de prendre le contrôle des modules complémentaires légitimes et de leurs utilisateurs », a ajouté Neiman.

Lorsque cela se produit, les pirates peuvent utiliser les comptes compromis des développeurs pour envoyer des mises à jour corrompues aux utilisateurs de Firefox au travers des extensions.

Étant donné que les modules complémentaires de Firefox ont une position assez privilégiée dans le navigateur, un attaquant peut utiliser un module complémentaire compromis pour voler des mots de passe, des cookies d’authentification/session, espionner les habitudes de navigation d’un utilisateur ou rediriger les utilisateurs vers des pages de phishing ou des sites de téléchargement de logiciels malveillants.

Ces types d’incidents sont généralement appelés attaques sur la chaîne d’approvisionnement.

Lorsqu’elles se produisent, les utilisateurs finaux n’ont aucun moyen de détecter si une mise à jour complémentaire est malveillante ou non, en particulier lorsqu’une mise à jour corrompue provient du store Mozilla AMO officiel – une source considérée comme sécurisée par tous les utilisateurs de Firefox.

Mieux vaut prévenir que guérir

La décision de Mozilla est la meilleure mesure que le fabricant de navigateurs aurait pu prendre pour éviter de futurs incidents de ce type.

Bien qu’il n’y ait eu aucun cas connu de détournements de compte AMO pour les modules complémentaires de Firefox ces dernières années, de nombreux cas ont été constatés sur Chrome.

Les développeurs d’extensions Chrome sont soumis à un flot constant d’e-mails de phishing via lesquels les pirates tentent d’accéder à leurs comptes Chrome Web Store. ZDNet a documenté une de ces campagnes de phishing de masse contre les développeurs d’extensions Chrome l’année dernière, mais elles se poursuivent encore aujourd’hui.

Ces attaques ciblent principalement les développeurs d’extensions Chrome en raison de la part de marché du navigateur Chrome, actuellement évaluée entre 65 % et 70 %. Firefox, avec seulement 10%, est très probablement une cible moins attrayante pour les groupes criminels. Il est cependant louable de voir Mozilla prendre des mesures préventives.

Source : ZDNet.com

KDEConnect pour Android, mais aussi pour les smartphones Linux

Mardi 17 décembre 2019

La nouvelle version de KDEConnect n’est plus limitée à Android. Elle permet de communiquer avec un smartphone Linux.

C’est quoi KDE Connect ?

KDE Connect est une application KDE permettant de créer une connexion entre un smartphone et un bureau Linux doté de KDE, sans câble. L’application
KDE Connect permet de créer une connexion entre votre smartphone et votre bureau Linux, le tout sans fil.

Ses fonctions principales :
Recevoir les notifications de son smartphone sur l’écran de l’ordinateur ;
Partager des adresses internet (URL) ;
Transférer des fichiers ;
Répondre aux messages ;
Contrôler la musique de son ordinateur ou le niveau sonore depuis le téléphone ;
Utiliser le smartphone comme télécommande pour l’ordinateur de bureau ;
Vérifier le niveau de la batterie ;
Savoir où se trouve son téléphone (sonnerie) ;
Partager des fichiers avec d’autres appareils ;
Parcourir le contenu du téléphone depuis un ordinateur ;
Lancer un certain nombre de commandes.

KDE Connect : Android et Linux

Une application de messagerie SMS

La dernière version estampillée « décembre 2019 » permet de bénéficier d’une interface propre aux SMS. On y retrouve l’historique des conversations. Il est ainsi possible de recevoir et de lire les messages, mais aussi d’y répondre. À l’image de ce que propose Apple avec Message sur macOS.

Compatibilité avec les smartphones Linux

C’est bien naturel, mais il fallait créer les conditions pour le faire. Les ordinateurs et smartphones Linux – comme les Librem 5 et PinePhone – peuvent désormais communiquer, grâce à une nouvelle interface basée sur Kirigami.

Tout comme pour Android, les fonctions vont du contrôle média à la télécommande en passant par le transfert de fichiers, les commandes Linux et la possibilité de faire sonner son téléphone s’il est égaré.

Liens

La page KDEConnect
L’application Android (et sur F-Droid).

Source toolinux.com