Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié le 29 août dernier deux notes techniques, l'une dédiée à la sécurisation d'un annuaire Active Directory et l'autre à celle du navigateur Microsoft Internet Explorer.
Stéphane NEREAU's insight:
ette note technique vise à sensibiliser le lecteur (administrateur, RSSI, DSI, utilisateur) aux enjeux de sécurité d’un navigateur Web. Elle doit le guider dans la mise en œuvre de stratégies de sécurité spécifiques à Microsoft Internet Explorer dans le cadre d’un télé-déploiement en environnement Active Directory.
Dans le cadre de ses travaux sur la sécurisation des navigateurs, l’ANSSI a déjà publié des recommandations de sécurité pour Chrome et en proposera prochainement pour Mozilla Firefox.
L'éditeur de Redmond reste ferme sur l'arrêt du support de Windows XP et refuse de corriger un bug dans Internet Explorer déjà exploité par les pirates.
Stéphane NEREAU's insight:
La vulnérabilité CVE- 2014-1815 est une vulnérabilité « drive-by » standard qui peut être déclenchée en incitant les utilisateurs d'IE à visiter un site web malveillant ou compromis. Si un utilisateur se connecte à un tel site avec une version non corrigée d'Internet Explorer, l'exploit entre en action : il prend immédiatement le contrôle du PC et copie un logiciel malveillant sur le disque dur. Étant donné que les versions IE6, IE7 et IE8 de Windows XP ne seront pas corrigées, les utilisateurs resteront vulnérables à ces attaques sournoises à perpétuité. La plupart des professionnels de la sécurité invitent vivement ceux qui veulent conserver XP à opter pour d'autres navigateurs toujours éligibles à des mises à jour, comme c'est le cas de Chrome, de Firefox et d'Opera. Selon une enquête réalisée par nos confrères de Computerworld, les utilisateurs de XP peuvent considérablement réduire leur risque en abandonnant IE.
Voici la marche à suivre pour déjouer, en entreprise, une attaque utilisant la première faille zero day du navigateur de Microsoft depuis la fin du support de Windows XP.
Stéphane NEREAU's insight:
Au final, l’action la plus importante à faire sera de mettre à jour l’ensemble des postes utilisateurs lorsque Microsoft fournira un patch pour cette faille. Mais l’éditeur pourrait très bien attendre la prochaine livraison de ses patches Tuesday prévue le 13 mai. Et « il faut avoir conscience que la faille est valide pour les versions 6 à 11 d’Internet Explorer. Des postes ont donc pu être corrompus depuis longtemps », conclut Jimmy Casse.
Vupen Security, une entreprise française controversée, a réalisé plusieurs hacks de bon niveau qui lui ont valu quatre récompenses. Elle promet un 0-day ravageur pour Chrome.
Stéphane NEREAU's insight:
Vupen a par exemple remporté 100 000 dollars pour la démonstration et l'exploitation d'une faille 0-day au sein d'IE 11. Elle lui a permis, en combinant plusieurs bugs et vulnérabilités, à contourner la sandbox d'IE sur une version patchée de Windows 8.1.
Et ce, même si le fondateur de Vupen, Chaouki Bekrar, confirme qu'il est devenu "plus difficile de casser les navigateurs, surtout sur Windows 8.1. L'exploitation est plus difficile et la recherche de failles 0-day plus compliquée."
Idem pour Firefox, que Vupen a fait tomber, visiblement non sans difficulté. Une faille 0-day qui a nécessité "60 millions de tests". Ce qui montre, selon Bekrar, que "Firefox a fait un bon travail en réparant ses failles, comme Chrome. Chrome a la sandbox la plus sécurisée, donc c'est encore plus difficile de créer des exploits."
La décision de Microsoft de terminer prématurément le soutien de versions du fureteur Internet Explorer aura des conséquences pour certaines organisations, souligne Computerworld.
Microsoft a distribué cette semaine un correctif de sécurité exceptionnel visant à combler une faille de sécurité affectant les principales versions de son navigateur Internet Explorer. Bien qu'il ne soit normalement plus couvert par le support, Windows XP est aussi concerné.
Stéphane NEREAU's insight:
La découverte a fait grand bruit : en début de semaine, Microsoft a signalé l'existence d'une faille de sécurité critique au sein des différentes versions de son navigateur, Internet Explorer. Exploitable par l'intermédiaire du lecteur Flash, celle-ci a même poussé le centre d'alerte aux attaques informatiques du département de la sécurité intérieure des Etats-Unis (US-CERT) à conseiller aux utilisateurs concernés de migrer vers un autre navigateur, le temps que la vulnérabilité soit comblée.
Microsoft a découvert, dans toutes les versions de son navigateur Internet Explorer, une nouvelle faille de sécurité activement exploitée. L’éditeur travaille sur un correctif d’urgence.
Stéphane NEREAU's insight:
La faille en question est déclenchée par l’ouverture d’une page Web malicieuse ou d’un e-mail piégé. Son exploitation peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.
To get content containing either thought or leadership enter:
To get content containing both thought and leadership enter:
To get content containing the expression thought leadership enter:
You can enter several keywords and you can refine them whenever you want. Our suggestion engine uses more signals but entering a few keywords here will rapidly give you great content to curate.
ette note technique vise à sensibiliser le lecteur (administrateur, RSSI, DSI, utilisateur) aux enjeux de sécurité d’un navigateur Web. Elle doit le guider dans la mise en œuvre de stratégies de sécurité spécifiques à Microsoft Internet Explorer dans le cadre d’un télé-déploiement en environnement Active Directory.
Dans le cadre de ses travaux sur la sécurisation des navigateurs, l’ANSSI a déjà publié des recommandations de sécurité pour Chrome et en proposera prochainement pour Mozilla Firefox.