Flash : encore 11 failles corrigées par Adobe. Comme quasiment tous les jours, Adobe est contraint de proposer une mise à jour de Flash Player aux utilisateurs.
Cette fois, le plug-in le plus troué de l'histoire doit composer avec 11 nouvelles failles considérées comme critiques, permettant donc une prise de contrôle à distance. Autant dire que le correctif doit être installé sans attendre, d'autant plus qu'il concerne aussi bien Windows qu'OS X et Linux. Sous Windows OS X, Flash Player passe à la version 17.0.0.134, sous Linux, il passe à la 11.2.202.451.
Google Chrome et Internet Explorer 11 qui intègrent leur propre module Adobe Flash Player, ont également été mis à jour. Cette énième mise à jour apporte de l'eau au moulin des détracteurs de Flash, de plus en plus nombreux. Windows menacé par une vieille faille de plus de 15 ans ? Des experts en sécurité ont identifié une nouvelle variante d’une faille qui permettrait en théorie de dérober les identifiants et mots de passe de session de millions de PC, serveurs et tablettes sous Windows.
La vulnérabilité a été identifiée par des chercheurs de la société de sécurité Cylance. Elle affecte l’ensemble des versions du système d’exploitation, dont Windows 10. Et les origines de cette faille (« Redirect to SMB ») sont anciennes puisqu’elles remontent à une première faille découverte en 1997. Lors de l’accès à un serveur malveillant (accédé par l’intermédiaire d’un lien piégé ou par une attaque man-in-the-middle lancée depuis un programme Windows), les identifiants sont interceptés et peuvent ensuite être cassés par « brute-force ». C’est ce qu’avancent les chercheurs. A noter qu’outre Windows, différents logiciels sont eux aussi vulnérables, parmi lesquels des outils Adobe, Apple, Oracle et Box.com. La naïveté et la négligence des salariés souvent à l'origine des cyberattaques - rts.ch - Sciences-Tech. Les pirates informatiques sont souvent des experts qui disposent d'importants moyens financiers et technologiques.
Mais ces moyens n'expliquent pas à eux seuls le succès d'une opération de piratage. Souvent, ce sont les pratiques des employés qui rendent une société vulnérable. Qu'il s'agisse de salariés cliquant sur des liens ou des pièces jointes "infectées" dans un courrier électronique, ou de techniciens tardant à corriger les failles de certains logiciels ou à configurer correctement les systèmes, ces pratiques tendent à accroître la vulnérabilité des entreprises, conclut une étude de l'opérateur américain Verizon. Le "phishing" Plus de deux tiers des 290 cas d'espionnage électronique pris en compte dans cette étude en 2014 impliquaient ainsi la pratique du "phishing" ("hameçonnage"), c'est-à-dire l'utilisation de courriers électroniques frauduleux, porteurs d'un logiciel espion qui s'installe lors de l'ouverture d'une pièce jointe ou d'un lien.
Ou les "ransomwares" utilisés. Pwn2Own: découverte de failles sur Chrome, Internet Explorer, Firefox et Safari. ActualitésNewsPwn2Own: découverte de failles sur Chrome, Internet Explorer, Firefox et...
Comme tous les ans après la célèbre conférence sur la sécurité CanSecWest, s'est tenue la compétition Pwn2Own. Il s'agit d'une compétition pour hackers, lors de laquelle on peut découvrir de nouvelles failles ou de nouvelles méthodes pour exploiter des vulnérabilités. Cette version 2015 a mis une claque aux navigateurs Chrome, Internet Explorer, Firefox et Safari... De plus une étoile est née, un hacker a remporté la moitié des primes du Pwn2Own. Des failles béantes sur Chrome, Internet Explorer, Firefox et Safari... YouTube a échappé à une faille qui aurait pu le vider de toutes ses vidéos. OpenSSL corrige une sérieuse faille DDoS, plus 11 autres vulnérabilités. Les failles corrigées avec ce patch sont moins importantes que celle découverte avec Freak.
Tout le monde attendait un correctif pour la mystérieuse faille OpenSSL dont la sévérité était jugée élevée. Et même si finalement celle-ci n'est pas comparable à Heartbleed, elle reste sérieuse et l'OpenSSL Project conseille aux utilisateurs de faire la mise à jour. Plus tôt cette semaine, l’OpenSSL Project avait prévenu les utilisateurs que les correctifs publiés jeudi répareraient plusieurs failles de sécurité, dont l'une jugée très sérieuse. Cette annonce avait donné lieu à plusieurs spéculations, certaines personnes imaginant même le pire : que cette nouvelle vulnérabilité ait un impact aussi dramatique que la faille Heartbleed dévoilée en avril dernier, qui avait affecté les serveurs Web, le logiciel client, les apps mobiles et même les appliances matérielles.