Internet Explorer souffre d’une sévère faille de sécurité

Une faille zero-day découverte dans Internet Explorer permettrait à des hackers de subtiliser vos données même si vous n’avez jamais utilisé le navigateur. Alerté, Microsoft refuse de proposer un patch correctif.

L’existence d’Internet Explorer n’aura pas été de tout repos. Le navigateur Web de Microsoft, abandonné par l’entreprise, souffre d’une faille “zero day“, à savoir une vulnérabilité de première importance n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.   

La faille en question, relayée par ZDNet, a été découverte par le chercheur en sécurité John Page. En exploitant un certain type de fichiers (en .MHT), elle permet de dérober des documents sur des PC tournant sous Windows. D’après le chercheur, le problème vaut dès lors qu’Internet Explorer est installé par défaut sur son ordinateur, même sans jamais avoir été utilisé.

À lire : Microsoft conseille d’arrêter d’utiliser son navigateur Internet Explorer

Un abandon radical

En vrai laissé-pour-compte de Microsoft, Internet Explorer ne bénéficiera d’aucun correctif pour remédier à cette faille. Le navigateur, largement devancé par Google Chrome, est de moins en moins utilisé. Sa part de marché reste néanmoins équivalente à 9%, selon les données de Browser Market Share.  

Internet Explorer est perçu comme un poids pour Microsoft, qui s’en est délesté depuis de nombreux mois déjà. Le navigateur ne bénéficie plus de mises à jour depuis la sortie de Edge, en 2015. Mi-février, Microsoft recommandait purement et simplement d’arrêter de l’utiliser.

Dans un article au titre sans équivoque, “Les dangers d’utiliser Internet Explorer comme navigateur par défaut“, Chris Jackson, expert en cybersécurité de Windows, avait à l’époque listé les raisons pour lesquelles ce navigateur n’était plus adapté aux usages actuels. Play Video

Le HTTPS, au delà de la sécurité, c’est aussi une question d’image

Si vous avez un site internet, que ce soit un site sur lequel transitent des informations personnelles ou une simple vitrine statique, il est maintenant grand temps, si vous ne l’avez pas encore fait, de passer en HTTPS.

Alors oui, si vos internautes remplissent des champs ou s’identifient avec un mot de passe sur votre site, il est vital que ce dernier propose à minima une connexion HTTPS.

Mais si vous avez un site statique, qui n’est qu’une vitrine et qui ne présente aucun risque à être diffusé via le protocole HTTP uniquement, je vais vous donner 2 bonnes raisons de passer en HTTPS.

La première (et c’est déjà le cas) c’est que Google (et probablement d’autres moteurs de recherche) favorise dans leurs résultats les sites en HTTPS au détriment de ceux en HTTP. Donc si vous avez des besoins de positionnement dans les moteurs de recherche, vous n’avez pas d’autre choix que le HTTPS.

La seconde raison est celle qui va faire le plus mal. À partir de la version 59 de Firefox et de la version 68 de Chrome, TOUS les sites diffusés en HTTP seront marqués dans le navigateur comme “Not Secure” (Pas sécurisé). Même si techniquement l’impact d’un tel marquage est nul, celui en terme d’image auprès de vos internautes va être violent.

 

 

 

 

 

Ils seront très peu à savoir exactement de quoi il retourne et la plupart en voyant ce “Not Secure” prendront peur, passeront leur chemin, vous contacteront pour vous faire part du problème ou vous donneront de grandes leçons sur l’importance du chiffrement.

Et à service équivalent, entre choisir le joli petit cadenas vert ou l’alerte rouge “Not Secure“, je vous laisse deviner où vos internautes iront.

Vous n’avez donc plus le choix. Le HTTP c’est de l’histoire ancienne et vous allez devoir migrer tous vos sites même le plus basique et le moins à risque, en HTTPS, simplement pour préserver votre image

Si maintenant vous êtes motivé, sachez qu’il existe des tas de tutos sur le net qui expliquent comment faire.

Cisco WebVPN – Alerte Rouge !

Ce 29 janvier, Cisco a publié une alerte code rouge de la mort auprès de ses clients utilisant du matos ou des logiciels de la marque.

Tous les produits Cisco utilisant la fonctionnalité WebVPN qui permet de se connecter à un réseau d’entreprise sans avoir à passer par un client lourd, mais simplement en utilisant le navigateur sont vulnérables à une attaque web.

Cette attaque permet de contourner la sécurité, autorisant quelqu’un de mal intentionné à lancer des commandes sur les machines pour ensuite en prendre le contrôle total.

Celle-ci a atteint le merveilleux score CVSS de 10 (Common Vulnerability Scoring System), ce qui est le maximum en termes de “criticité” comme on dit dans le milieu ?

Un message XML spécialement forgé pour l’occasion et envoyé à l’interface WebVPN permet d’exécuter une commande libérant une adresse mémoire spécifique. Cela entraine alors une fuite mémoire qui permet à l’attaquant d’écrire des commandes ou des données directement dans la mémoire système. Ainsi, les commandes sont exécutées ou la mémoire corrompue, provoquant un crash de l’appareil.

Et ce qui est bien avec WebVPN, c’est qu’il permet de se connecter aux réseaux d’entreprise depuis n’importe où simplement avec une connexion au net et un navigateur (même pas besoin de certificat préalable).

Les produits Cisco impactés sont les suivants :

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

Cisco recommande à tous de mettre à jour et si vous avez des outils Cisco sans contrat de maintenance, vous pouvez en vous rapprochant du support Cisco, obtenir quand même les mises à jour.

Source

FIC 2018 à Lille

Le Forum International de la Cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité. Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est l’évènement européen de référence réunissant tous les acteurs de la confiance numérique.
Pour animer cette démarche, le FIC s’appuie sur :
  • Le Salon, pour communiquer, se valoriser, recruter, nouer & entretenir des contacts
  • Le Forum, pour échanger avec des experts, se perfectionner et partager les retours d’expérience
  • L’Observatoire pour poursuivre les échanges tout au long de l’année, approfondir les thématiques et faire vivre son réseau

 

S’y rendre

En train :

Gares TGV : Lille Europe ou Lille Flandres – Les horaires de trains sont consultables sur www.voyages-sncf.com

En métro :

Ligne 2 – station « Lille Grand Palais » ou « Mairie de Lille »

En bus :

Ligne Citadine – arrêt « Lille – Zénith »

En voiture :

  • En venant de Dunkerque, Bailleul, Calais, Boulogne (A25) : Prendre la sortie N°1 à Lille (attention, la sortie se fait vers la gauche). Ensuite voie 2A vers Lille Grand Palais.
  • En venant de Paris (A1), Tournai, Mons, Bruxelles (A27), Valenciennes (A23) : Sortie 2, puis voie 2A vers Lille Grand Palais.

Pour stationner :

  • Sortie N°2A : Parking souterrain payant
  • Sortie N°2B : Accès parking Exposants et Livraisons
Nullam fringilla ipsum felis quis et, commodo ut at libero. dolor.