Le 21 mars 2017

Microsoft publie une très longue liste de correctifs

(Source : l'Informaticien)

Après le report des mises à jour de sécurité de février, Microsoft publie un énorme Patch Tuesday. Les 18 bulletins diffusés viennent corriger pas moins de 140 vulnérabilités dont plusieurs sont critiques.
Après un mystérieux report en février, Microsoft a renoué avec son traditionnel Patch Tuesday pour le mois de mars. Et comme on pouvait s’y attendre, il est conséquent : 17 bulletins pour 139 failles de sécurité.
Sur ces 17 bulletins, 8 ont un indice de gravité jugé « critique », c’est-à-dire que les vulnérabilités permettraient l’exécution de code à distance.

Les failles critiques concernent Internet Explorer, Edge, Windows Hyper-V, la bibliothèque PDF, le seveur SMB, Microsoft Uniscribe, les systèmes d’exploitation et Graphics. A cela s’ajout un bulletin pour Adobe Flash Player corrigeant une faille elle aussi critique.
Pour le chercheur en sécurité informatique de chez Qualys, Amol Sarwate, la priorité absolue revient au bulletin MS17-013 qui corrige les failles du composant Microsoft Graphics qui concernent toutes les versions de Windows à partir de Vista, Office 2007 et 2010, Skype Entreprise 2016, Lync 2013 et 2010 ainsi que Silverlight.

Une faille largement exploitée

« La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur visitait un site web spécialement conçu ou ouvrait un document spécialement conçu », notamment si l’utilisateur a des privilèges administrateur précise Microsoft.
Dans ce bulletin, on trouve la faille CVE-2017-0005 relative à Microsoft Graphics. Or, Microsoft précise qu’une exploitation de cette vulnérabilité a été détectée. La faille zero day « pourrait être incorporée bientôt dans un kit d’exploits utilisant Silverlight comme moyen d’attaque comme c’est déjà arrivé par le passé », souligne Amol Sarwate.
Tous les autres bulletins corrigent des failles signalées comme « importantes ». Enfin, pour Windows 10, une longue liste de correctifs ne touchant pas à la sécurité a été publiée. Les corrections ont surtout rapport avec la fiabilité des différents composants concernés.

Le 17 mars 2017

Les objets connectés vous connaissent bien, très bien...

L'iot est au cœur de la révolution du WEB 3.0. Si les objets connectés sont partout et nous facilitent la vie, ils nous connaissent aussi très bien, voir trop bien.

Parmi les objets connectés qui font sensation, les sextoys connectés représentent un segment important. Après le piratage d'un modèle de jouet pour adultes en 2016 par des chercheurs ayant pris le contrôle à distance, c'est aujourd'hui la collecte de données intimes par un fabricant qui fait polémique.

L'entreprise canadienne, Standard Innovation, a omis de respecter la vie privée de ses utilisateurs et a été condamnée à indemniser ses clients à hauteur de 3,5 millions de dollars, et à détruire les informations collectées.

En effet l'entreprise avait déclaré ne collecter "que certaines données limitées pour nous aider à améliorer nos produits et à des fins de diagnostic. En pratique, nous utilisons ces données sous une forme agrégée, non identifiable”. En outre l'oubli de l'entreprise de prévenir ses utilisateurs de la transmission d'informations, la plainte a révélé que d'autres données, identifiées par l'adresse mail de l'utilisateur, étaient collectées : date et heure de chaque utilisation et mode de vibration choisi. Une violation de la vie privée que l'entreprise ne risque pas d'oublier et qui nous rappelle que la gestion des données personnelles est un enjeu avec lequel on ne plaisante pas, quelqu'en soit la nature.

le 13 mars 2017


Si la découverte d'une vulnérabilité entraine un correctif et une mise à jour corrigeant cette dernière, le délai que celle-ci soit éditée laisse le temps à des personnes mal intentionnées d'en profiter.
Malgré la réactivité des développeurs d'Apache Struts pour patcher la faille récemment découverte, des pirates ont réussi à l'exploiter.