🛡 #Cybersécurité – Mises à jour d’avril : et si vous profitiez d’un nouveau week-end confiné pour les faire ?

Pourquoi et comment bien gérer vos mises à jour ?

Tous nos conseils sur ce geste essentiel de cybersécurité : https://www.cybermalveillance.gouv.fr/…/bonnes…/mises-a-jour

🛡️ #Cybersécurité – Des centaines de #failles de #sécurité corrigées dans les mises à jour d’avril

⚠️ Certaines de ces failles sont critiques et utilisées par des criminels

➡️ Mettez à jour PC, #téléphones, serveurs… sans tarder !

👉 + infos avec le CERT-FR : https://cert.ssi.gouv.fr/avis/

Une faille zero-day découverte dans Internet Explorer permettrait à des hackers de subtiliser vos données même si vous n’avez jamais utilisé le navigateur. Alerté, Microsoft refuse de proposer un patch correctif.

L’existence d’Internet Explorer n’aura pas été de tout repos. Le navigateur Web de Microsoft, abandonné par l’entreprise, souffre d’une faille « zero day« , à savoir une vulnérabilité de première importance n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.   

La faille en question, relayée par ZDNet, a été découverte par le chercheur en sécurité John Page. En exploitant un certain type de fichiers (en .MHT), elle permet de dérober des documents sur des PC tournant sous Windows. D’après le chercheur, le problème vaut dès lors qu’Internet Explorer est installé par défaut sur son ordinateur, même sans jamais avoir été utilisé.

À lire : Microsoft conseille d’arrêter d’utiliser son navigateur Internet Explorer

Un abandon radical

En vrai laissé-pour-compte de Microsoft, Internet Explorer ne bénéficiera d’aucun correctif pour remédier à cette faille. Le navigateur, largement devancé par Google Chrome, est de moins en moins utilisé. Sa part de marché reste néanmoins équivalente à 9%, selon les données de Browser Market Share.  

Internet Explorer est perçu comme un poids pour Microsoft, qui s’en est délesté depuis de nombreux mois déjà. Le navigateur ne bénéficie plus de mises à jour depuis la sortie de Edge, en 2015. Mi-février, Microsoft recommandait purement et simplement d’arrêter de l’utiliser.

Dans un article au titre sans équivoque, « Les dangers d’utiliser Internet Explorer comme navigateur par défaut« , Chris Jackson, expert en cybersécurité de Windows, avait à l’époque listé les raisons pour lesquelles ce navigateur n’était plus adapté aux usages actuels. Play Video

La société SKILLS-IT est depuis l’ouverture du programme partenaire officiel de Cybermallvaillance.gouv.fr.

Aujourd’hui, nous avons reçu le logo officiel et nous vous le présentons.

Si vous avez un site internet, que ce soit un site sur lequel transitent des informations personnelles ou une simple vitrine statique, il est maintenant grand temps, si vous ne l’avez pas encore fait, de passer en HTTPS.

Alors oui, si vos internautes remplissent des champs ou s’identifient avec un mot de passe sur votre site, il est vital que ce dernier propose à minima une connexion HTTPS.

Mais si vous avez un site statique, qui n’est qu’une vitrine et qui ne présente aucun risque à être diffusé via le protocole HTTP uniquement, je vais vous donner 2 bonnes raisons de passer en HTTPS.

La première (et c’est déjà le cas) c’est que Google (et probablement d’autres moteurs de recherche) favorise dans leurs résultats les sites en HTTPS au détriment de ceux en HTTP. Donc si vous avez des besoins de positionnement dans les moteurs de recherche, vous n’avez pas d’autre choix que le HTTPS.

La seconde raison est celle qui va faire le plus mal. À partir de la version 59 de Firefox et de la version 68 de Chrome, TOUS les sites diffusés en HTTP seront marqués dans le navigateur comme « Not Secure » (Pas sécurisé). Même si techniquement l’impact d’un tel marquage est nul, celui en terme d’image auprès de vos internautes va être violent.

 

 

 

 

 

Ils seront très peu à savoir exactement de quoi il retourne et la plupart en voyant ce « Not Secure » prendront peur, passeront leur chemin, vous contacteront pour vous faire part du problème ou vous donneront de grandes leçons sur l’importance du chiffrement.

Et à service équivalent, entre choisir le joli petit cadenas vert ou l’alerte rouge « Not Secure« , je vous laisse deviner où vos internautes iront.

Vous n’avez donc plus le choix. Le HTTP c’est de l’histoire ancienne et vous allez devoir migrer tous vos sites même le plus basique et le moins à risque, en HTTPS, simplement pour préserver votre image

Si maintenant vous êtes motivé, sachez qu’il existe des tas de tutos sur le net qui expliquent comment faire.

Ce 29 janvier, Cisco a publié une alerte code rouge de la mort auprès de ses clients utilisant du matos ou des logiciels de la marque.

Tous les produits Cisco utilisant la fonctionnalité WebVPN qui permet de se connecter à un réseau d’entreprise sans avoir à passer par un client lourd, mais simplement en utilisant le navigateur sont vulnérables à une attaque web.

Cette attaque permet de contourner la sécurité, autorisant quelqu’un de mal intentionné à lancer des commandes sur les machines pour ensuite en prendre le contrôle total.

Celle-ci a atteint le merveilleux score CVSS de 10 (Common Vulnerability Scoring System), ce qui est le maximum en termes de « criticité » comme on dit dans le milieu ?

Un message XML spécialement forgé pour l’occasion et envoyé à l’interface WebVPN permet d’exécuter une commande libérant une adresse mémoire spécifique. Cela entraine alors une fuite mémoire qui permet à l’attaquant d’écrire des commandes ou des données directement dans la mémoire système. Ainsi, les commandes sont exécutées ou la mémoire corrompue, provoquant un crash de l’appareil.

Et ce qui est bien avec WebVPN, c’est qu’il permet de se connecter aux réseaux d’entreprise depuis n’importe où simplement avec une connexion au net et un navigateur (même pas besoin de certificat préalable).

Les produits Cisco impactés sont les suivants :

• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• Firepower Threat Defense Software (FTD)

Cisco recommande à tous de mettre à jour et si vous avez des outils Cisco sans contrat de maintenance, vous pouvez en vous rapprochant du support Cisco, obtenir quand même les mises à jour.

Source