L'impressionnante liste des correctifs de sécurité dans macOS 12.4, iOS 15.5 et les autres mises à jour du soir

Mickaël Bazoge |

S'il n'y a pas beaucoup de grosses nouveautés dans les dernières versions des systèmes d'exploitation d'Apple (exception faite de l'app Podcasts et pour la webcam du Studio Display), par contre le constructeur a mis le paquet sur les correctifs de sécurité. Pour macOS 12.4, on en compte rien moins que 54, ce qui est vraiment très conséquent — et probablement du jamais vu de mémoire récente.

Le chercheur en sécurité Wojciech Regula se réjouit d'ailleurs de voir que six des failles macOS qu'il avait signalées à Apple ont été corrigées. Dont une qui touchait le pourtant innocent Photo Booth, permettant à un malandrin de prendre le contrôle de la webcam, du carnet d'adresses et du micro.

Il y a vraiment de tout dans ce paquet de correctifs, aussi bien pour Contacts (un plug-in pouvait hériter des permissions de l'app et accéder aux données de l'utilisateur) aux pilotes graphiques Intel (exécution de code arbitraire avec des privilèges du noyau), en passant par la navigation privée de Safari, dans laquelle un site malveillant pouvait tout de même suivre l'internaute. Et même pour les imprimantes : une app pouvait contourner les préférences de confidentialité.

Une partie de ces correctifs est également disponible dans les mises à jour de sécurité pour Catalina (2022-004) et Big Sur (macOS 11.6.6). Toujours sur le Mac, mais pour Xcode cette fois, la version 13.4 corrige deux failles de sécurité.

27 vulnérabilités ont été corrigées dans iOS 15.5 et iPadOS 15.5, 18 dans watchOS 8.6 et 20 dans tvOS 15.5. A priori, aucune de ces failles n'était « zero day » (activement exploitée), mais peut-être qu'on en apprendra davantage dans les prochains jours. Quoi qu'il en soit, on gagnera à mettre à jour aussi ses appareils aussi rapidement que possible.

Lire les commentaires →

Test du cadre photo numérique Aura Mason : un cadre très convivial

Stéphane Moussie |

À l'heure où tout le monde ou presque a un smartphone et où plus d'un foyer sur deux est équipé d'une tablette, les cadres photo numériques servent-ils encore à quelque chose ? Aura essaye de leur trouver un sens en tout cas. Fondée en 2016 par deux anciens ingénieurs de Twitter, la start-up commercialise ses cadres photo en France depuis peu.

En s'appuyant sur l'aspect connecté de ses produits, Aura entend innover avec du stockage illimité, du partage familial et d'autres fonctionnalités originales. Cela rend-il ses produits pertinents ? La réponse dans notre test du Mason, un cadre à écran 9" vendu 199 €.

Les versions finales de macOS 12.4 et du firmware 15.5 du Studio Display sont en ligne

Mickaël Bazoge |

Dans la foulée d'iOS 15.5 et consorts, Apple livre ce soir à tous les utilisateurs les versions finales de macOS 12.4 qui contient assez peu de nouveautés (en dehors de l'app Podcasts), et surtout du firmware 15.5 pour le Studio Display qui lui, est beaucoup plus intéressant. Ce logiciel apporte en effet des améliorations pour la webcam tant décriée de l'écran. Bon, ça reste des améliorations à la marge, mais c'est toujours (un peu) mieux qu'avant…

Studio Display : coup d

Studio Display : coup d'œil sur les améliorations de la webcam

Mise à jour — Apple propose également aux utilisateurs de Big Sur une mise à jour macOS 11.6.6 dont on sait encore peu de choses, mais qui contient des correctifs de sécurité. Il y a aussi une mise à jour de sécurité 2022-004 pour macOS Catalina.

macOS 12.4 : les notes de version

macOS Monterey 12.4 apporte des correctifs et des améliorations à Apple Podcasts :

  • Apple Podcasts inclut un nouveau réglage permettant de limiter le nombre d’épisodes stockés sur votre Mac et de supprimer automatiquement les épisodes plus anciens.
  • Prise en charge de la version 15.5 du programme interne du moniteur Studio Display en tant que mise à jour distincte, apportant des réglages plus précis de la caméra, notamment une réduction du bruit, des contrastes et un cadrage améliorés.

Lire les commentaires →

Abonnez-vous au Club iGen et écoutez « Sortie de veille », notre nouveau podcast quotidien !

Mickaël Bazoge |

Le Club iGen, c'est un site web sans publicité au confort de lecture inégalé, des tas d'options dans nos applications et des articles exclusifs bien sûr. Depuis ce matin, nous avons ajouté un nouveau contenu inédit et quotidien, le podcast « Sortie de veille » !

Comme son nom le laisser deviner, Sortie de veille a l'ambition de réveiller les abonnés du Club iGen chaque matin vers 6h ! On vous sert une bonne rasade d'actus à consommer serré, et en deuxième partie d'épisode un dossier, un test ou une interview pour creuser une info. Le tout en moins de dix minutes, ou un peu plus. Du lundi au vendredi, réveillez-vous en notre compagnie (en tout bien tout honneur) !

Le premier épisode est en ligne depuis ce matin pour les membres du Club iGen, et puisque c'est une première, vous pouvez l'écouter gratuitement ci-dessous pour vous faire une idée :

Les abonnés du Club peuvent écouter Sortie de veille et Kernel Panic dans leur application de podcasts préférée, grâce à un flux RSS dédié.

Ce podcast, c'est tout autant une grande aventure pour nous qu'un pari. Vous retrouverez Sortie de veille chaque jour de la semaine1 jusqu'au mois de juillet pour voir vos retours, ce que vous pensez du format, ce qu'il faudrait améliorer. En fonction de tout ça, Sortie de veille reviendra à la rentrée, ou pas. Personnellement, j'espère que ça vous plaira ! N'hésitez pas à nous dire ce que vous en pensez dans les commentaires.

Alors pour en profiter et aussi pour nous aider à continuer à produire ces nouveaux formats, abonnez-vous au Club iGen ! Deux formules sont à votre disposition : 4,99 € pour un mois ou 45 € (50 €) par an, franchement c'est le prix d'un café et demi (voire d'un café avec l'inflation…) 😁.

👉 Abonnez-vous au Club iGen


  1. Sauf imprévu évidemment !  ↩︎

Lire les commentaires →

Leaky Forms : des milliers de sites récupèrent les emails avant de valider un formulaire

Nicolas Furno |

Les formulaires web que l’on doit remplir pour créer un compte sur de nombreux sites peuvent être indiscrets et transmettre des informations sans notre accord. C’est ce que révèle l’enquête nommée « Leaky Forms » menée par quatre universitaires spécialistes en sécurité. Sur des milliers de sites web, l’adresse email est enregistrée dès qu’elle a été saisie par l’utilisateur, même s’il ne valide pas le formulaire. Dans quelques cas plus rares, le mot de passe d’un compte nouvellement créé peut même être transmis par erreur.

Sur cet exemple fourni par les chercheurs, le formulaire de création de compte de Gitlab.com (concurrent de GitHub) transmet l’adresse mail dès qu’elle a été saisie, même sans valider le formulaire. On voit distinctement l’adresse mail dans la console du navigateur, en bas, alors que le formulaire est toujours en train d’être rempli.

En théorie, les informations saisies dans un formulaire web ne sont transmises que lorsque l’utilisateur choisit de l’envoyer, en appuyant sur un bouton le plus souvent. Si l’internaute choisit de ne pas valider son inscription, il devrait pouvoir annuler l’opération en fermant la page web et tout ce qu’il aura saisi ne devrait pas avoir été enregistré par le site. En réalité, des milliers de sites web ne respectent pas cette bonne pratique et récupèrent les informations dès qu’elles sont saisies. Tous les navigateurs web, y compris Safari, sont touchés.

Cette méthode peu scrupuleuse permet aux sites web d’obtenir de nombreuses adresses mail même si les visiteurs ne s’abonnent pas à leur site. Ces adresses peuvent être utilisées à des fins de statistiques, ajoutées à une liste de diffusion ou même revendues à un tiers. Les chercheurs ont analysé automatiquement les 100 000 sites les plus populaires et découvert cette pratique pour 2950 aux États-Unis et encore 1 844 en Europe, malgré son irrespect total du RGPD.

Dans 52 cas, c’est même le mot de passe qui était transmis dès sa saisie dans le formulaire, mais c’était une erreur qui a été corrigée dès que les chercheurs ont envoyé l’information. Une erreur liée à l’utilisation de scripts « clés en mains » fournis aux sites web par les services spécialisés dans la publicité et le marketing en ligne. Ou par des entreprises comme Meta (ex-Facebook) et TikTok, qui peuvent récupérer des informations sur les formulaires des sites tiers qui utilisent leurs outils.

Le site canadien de la Croix Rouge transmet à TikTok, sans doute à son insu, les adresses mail saisies dans le formulaire dédié à sa liste de diffusion. L’adresse est ici « hachée » en SHA256, mais il est facile de la retrouver en clair de l’autre côté.

Les chercheurs ont contacté Meta et TikTok, ainsi que les services publicitaires impliqués par ces collectes pour leur remonter l’information, notamment sous l’angle du RGPD. Quand ils ont fait une nouvelle analyse en début d’année, ils ont noté une baisse significative du nombre de sites qui transmettaient les informations des formulaires dès leur saisie, du moins en Europe. Dans un grand nombre de cas, la transmission ne se faisait plus sans avoir validé au préalable le partage de données avec un pop-up initial. La baisse est toutefois nettement moins significative aux États-Unis, où la réglementation est plus souple.

Les résultats de la recherche sont disponibles dans cet article universitaire, mais on peut aussi consulter des listes des sites les plus populaires détectés sur cette page web plus accessible. Le code source de l’outil chargé d’analyser les sites est disponible sur GitHub et on peut aussi utiliser LeakInspector, une extension web qui avertit si un site est concerné. L’extension ne respecte pas les exigences de Chrome (elle doit accéder aux requêtes web effectuées par une page) et ne sera pas proposé directement pour le navigateur de Google, mais une version pour Firefox devrait être fournie par les chercheurs.

Lire les commentaires →

HP a présenté un moniteur avec le Cadre centré du Studio Display

Nicolas Furno |

HP a repris l’idée du Cadre centré pour un nouveau moniteur. Cette fonction d’Apple apparue sur les iPad est aussi présente dans le Studio Display et elle repose sur une caméra avant ultra-large qui est recadrée pour suivre le ou les visages et centrer l’image sur eux. Le Z24m reprend cette idée pour sa propre webcam de 5 mégapixels placée dans un bloc massif sur le dessus qui peut être rentré pour plus de discrétion et surtout pour l’éteindre.

D’après Ars Technica qui a pu tester l’écran, le suivi ressemble fort à celui d’Apple. La journaliste s’est tenue un petit peu en retrait de l’écran et elle s’est déplacée de droite à gauche, alors que l’image restait bien centrée sur son visage. Quand une deuxième personne est entrée dans le champ, le logiciel a correctement centré la vidéo sur les deux visages.

Par rapport à la solution d’Apple, la webcam peut être orientée à la main vers le bas ou vers le haut. HP n’a pas peur d’ajouter des réglages qui permettront d’ajuster la vitesse de suivi, mais aussi de régler la luminosité et l’exposition. Autant de paramètres qui sont gérés automatiquement par le Studio Display et son logiciel, avec des mises à jour gérées par Apple qui améliorent à la marge la qualité de l’image.

Studio Display : coup d

Studio Display : coup d'œil sur les améliorations de la webcam

Ars Technica n’a malheureusement pas pu tester la caméra utilisée par l’écran de HP, si ce n’est pour indiquer que la qualité semblait bonne. Le Z24m est équipé d’un port USB-C qui servira à la fois pour la dalle 1440p de 24 pouces (dalle LCD IPS avec 90 % des couleurs P3) et pour alimenter l’ordinateur en source, jusqu’à 100 W. De quoi envisager de l’utiliser avec un Mac, même si les fonctions avancées de sa caméra sont pensées pour Windows, avec notamment le déverrouillage de la session par ce biais et même le verrouillage automatique de l’ordinateur quand il n’y a personne devant l’écran.

Gros plan sur l’énorme bloc dédié à la webcam qui contient aussi un capteur infrarouge pour la fonction Windows Hello (image Ars Technica).

Le prix du Z24m est aussi une inconnue, mais HP promet une disponibilité dès le mois de juillet. On imagine qu’on sera bien en-dessous du Studio Display, qui bénéficie d’une dalle bien plus qualitative.

Lire les commentaires →

Promo : Affinity divise par deux le prix de ses apps

Nicolas Furno |

Affinity organise une promotion printanière avec, pendant une durée limitée, ses trois apps qui sont à 50 % de leur prix habituel. Si vous cherchez un éditeur d’images, un outil de mise en page ou un éditeur vectoriel, c’est le bon moment, car ces apps sont capables de concurrencer celles d’Adobe pour un prix réduit, surtout avec ces offres.

Voici les prix des trois apps principales d’Affinity pour le Mac :

Ces tarifs sont proposés autant sur le Mac App Store que sur le site de l’entreprise. Ils sont aussi valables pour les versions Windows des trois apps, sachant qu’une licence n’est proposée que pour une seule plateforme. Ajoutons que des versions de démonstration sont proposées sur le site d’Affinity, si vous voulez tester avant achat.

Même les deux versions iPad (Affinity Publisher n’est pas encore proposée sur iPadOS) ont droit à la promotion avec, là aussi, un prix divisé par plus de deux par rapport à la normale :

Cette offre va durer jusqu’à la fin du mois, vous avez jusqu’au 31 mai inclus pour en profiter avant le retour aux tarifs de base.

Lire les commentaires →

Pages