Transmis par lespheres notre informaticien maison cette alerte de sécurité pour les systèmes Windows. En cause : Internet explorer 11 et Edge. Seront à la merci des pirates les systèmes Windows : 7 - 8.1 - 10. Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation
Google vient à nouveau de dévoiler les détails d'une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n'ayant pas réagi durant le délai de 90 jours. C'est la troisième fois depuis le début de février.
Le Project Zero de Google réunit un certain nombre d'employés de l'entreprise, dont la mission est débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu'assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d'un prototype d'exploitation.
Troisième fois en moins d'un mois
Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.
La dangerosité de la faille n'est pas directement abordée, mais tout porte à croire qu'elle est élevée puisqu'il y aurait exécution d'instructions distantes, sans que l'utilisateur n'ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d'Ivan Fratric sont accompagnées d'un prototype d'exploitation.
Tous les utilisateurs sous Windows 7, 8.1 et 10
Microsoft n'a pour l'instant pas réagi à la publication de ces informations, mais le danger est concret. On ne sait pas si l'éditeur prépare un correctif ou l'a déjà, un problème technique ayant repoussé l'intégralité des bulletins de février à mars. Comme pour la faille précédente, la solution était peut-être prête, mais il faudra attendre dans tous les cas le 14 mars pour que les prochains pansements numériques soient appliqués.
Le danger est d'autant plus sérieux que durant cet intervalle, les pirates potentiellement intéressés par cette vulnérabilité disposent désormais de tous les détails et d'un code d'exploitation fonctionnel leur montrant la voie. En outre, toutes les versions 32 et 64 bits d'Internet Explorer 11 et Edge sont affectées. Autrement dit, tous les utilisateurs sous Windows 7, 8.1 et 10 sont touchés.
Le règlement est clair, mais...
Il est probable que Microsoft s'agace de cette situation, puisque c'est la troisième fois en moins de trois semaines que le Project Zero publie les détails de failles non-corrigées, donc 0-day. Cela étant, la politique de Google sur tout ce qui est trouvé par ce groupe est limpide. Dans le cas présent, la faille a été remontée à Microsoft le 25 novembre. Puisque aucun correctif n'était disponible le 25 février, la procédure a suivi son cours.
Il est probable que cette série de publications relance le débat sur la manière dont les failles sont divulguées aux éditeurs. Pour Microsoft, elle doit être systématiquement « responsable », c'est-à-dire privée, pour éviter qu'une attaque apparaisse avant le correctif ( la faille peut être plus ou moins complexe à colmater ). D'autres militent au contraire pour une transparence totale. Le Project Zero de Google se situe finalement entre les deux, mais sans explications supplémentaires de Microsoft, on ne saura pas pourquoi un tel silence dans le temps imparti.
En attendant, la solution pour les utilisateurs n'est guère complexe : utiliser un autre navigateur le temps que le problème soit résolu, et éviter de cliquer sur des liens externes provenant de sources « louches ».
SÉCURITÉ DES MOTS DE PASSE
Par l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) . Vous verrez que les deux exemples donnés en fin d'article sont vraiment épatants sur le plan mémotechnique qui est souvent l'obstacle pour beaucoup à des combinaisons complexes.
Pour protéger vos informations, il est nécessaire de choisir et d'utiliser des mots de passe robustes, c'est-à-dire difficiles à retrouver à l'aide d'outils automatisés et à deviner par une tierce personne.
La robustesse d'un mot de passe dépend en général d'abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.
Si vous souhaitez une règle simple : choisissez des mots de passe d'au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).
Deux méthodes pour choisir vos mots de passe :
- La méthode phonétique : « J'ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
- La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A.
https://www.ssi.gouv.fr/guide/mot-de-passe/
Théo, oh Théo … délinquant et trafiquant de drogue
RépondreSupprimerle 1 mars 2017
L’affaire Théo montée en épingle par les médias dominées par les puissances de l’argent qui veulent diriger la France avec à sa tête une marionnette ….
Reçu ce soir dans ma boite mail d’un médecin connaisseur de ce genre de situation :
Théo cachait dans son rectum un genre de tube à essai en verre, contenant de la drogue, !
Ce qui est bizarre, dans l’affaire Théo, c’est que le dossier médical dans son entier est scellé, et que l’équipe qui a eu des informations médicales concernant l’intervention chirurgicale est tenue au secret absolu, avec de sérieuses menaces si fuites à la presse.
L’opération, suture de 10 cm de rectum, ce qui signifie coupure par objet tranchant et non contondant comme une matraque, n’est pas en faveur de l’intromission d’un objet mais bien d’une blessure par objet contenu …dans le rectum. Que contenait le rectum de Théo ? Probablement un contenant (tube de verre contenant coke, cachets d’ecstasie, etc..) qui s’est brisé pendant la lutte avec la police. Aucune des vidéos des caméras de vidéosurveillance (auxquelles le public n’a pas eu accès) ne montre un policier enfonçant une matraque dans le fondement de Théo (en fait les médias et le gouvernement l’appelle affectueusement Théo mais on peut parler de racaille car c’est lui qui est venu se battre avec les policiers). Donc on est fondé de penser que le dénommé Théo cachait dans son rectum un genre de tube à essai en verre, contenant de la drogue, et qu’il a été blessé durant la lutte avec la police. Et souvenez vous du début de l’affaire, il a bien été dit sur toutes les chaines qu’il avait refusé l’examen médical que lui proposaient les policiers. Conclusion, nous aimerions que le compte rendu opératoire de cette racaille soit divulgué (étant médecin je sais que la loi le protège), alors nous ne saurons jamais la vérité sauf que Hollande offrait à Léornarda de venir le rejoindre à L’Élysée et qu’il souhaite que Théo le livre en produit de qualité.
https://jacqueshenry.wordpress.com/2017/03/01/theo-oh-theo-delinquant-et-trafiquant-de-drogue/
Macron et les « colonialistes criminels de guerre »
RépondreSupprimerle 1 mars 2017
- voir sur site fac-similé de l'intégralité du texte -
Reçu d’un informateur privé. Ce texte n’a probablement pas paru dans la presse main-stream française en cette période électorale, presse que je ne m’abaisse plus à lire, et je le livre à mes fidèles lecteurs.
https://jacqueshenry.wordpress.com/2017/03/01/macron-et-les-colonialistes-criminels-de-guerre/