Alerte : Nouvelle faille importante non corrigée dans Windows et comment sécuriser un mot de passe

– I –

Transmis par lespheres notre informaticien maison cette alerte de sécurité pour les systèmes Windows 

En cause : Internet explorer 11 et Edge

Seront à la merci des pirates les systèmes Windows : 7 – 8.1 – 10

Songez qu’il n’y a pas que la NSA, dont majoritairement vous n’avez sans doute pas grand chose à faire, mais qu’une porte dans votre système permettrait de recueillir des infos que vous préféreriez garder pour vous : Mots de passe, données bancaires, liste et adresses de vos correspondants, et surtout de donner des ordres sans que vous puissiez contrôler quoi que ce soit.  Bref, tout ce qui pourrait intéresser des voyous.

Google révèle les détails d’une nouvelle faille dans Windows, avec prototype d’exploitation

Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février.

Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.

Troisième fois en moins d’un mois

Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps. Il faut en ajouter une troisième : après SMB et la GDI, place à Internet Explorer 11 et Edge.

Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.

La dangerosité de la faille n’est pas directement abordée, mais tout porte à croire qu’elle est élevée puisqu’il y aurait exécution d’instructions distantes, sans que l’utilisateur n’ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d’Ivan Fratric sont accompagnées d’un prototype d’exploitation.

Tous les utilisateurs sous Windows 7, 8.1 et 10

Microsoft n’a pour l’instant pas réagi à la publication de ces informations, mais le danger est concret. On ne sait pas si l’éditeur prépare un correctif ou l’a déjà, un problème technique ayant repoussé l’intégralité des bulletins de février à mars. Comme pour la faille précédente, la solution était peut-être prête, mais il faudra attendre dans tous les cas le 14 mars pour que les prochains pansements numériques soient appliqués.

Le danger est d’autant plus sérieux que durant cet intervalle, les pirates potentiellement intéressés par cette vulnérabilité disposent désormais de tous les détails et d’un code d’exploitation fonctionnel leur montrant la voie. En outre, toutes les versions 32 et 64 bits d’Internet Explorer 11 et Edge sont affectées. Autrement dit, tous les utilisateurs sous Windows 7, 8.1 et 10 sont touchés.

Le règlement est clair, mais…

Il est probable que Microsoft s’agace de cette situation, puisque c’est la troisième fois en moins de trois semaines que le Project Zero publie les détails de failles non-corrigées, donc 0-day. Cela étant, la politique de Google sur tout ce qui est trouvé par ce groupe est limpide. Dans le cas présent, la faille a été remontée à Microsoft le 25 novembre. Puisque aucun correctif n’était disponible le 25 février, la procédure a suivi son cours.

Il est probable que cette série de publications relance le débat sur la manière dont les failles sont divulguées aux éditeurs. Pour Microsoft, elle doit être systématiquement « responsable », c’est-à-dire privée, pour éviter qu’une attaque apparaisse avant le correctif (la faille peut être plus ou moins complexe à colmater). D’autres militent au contraire pour une transparence totale. Le Project Zero de Google se situe finalement entre les deux, mais sans explications supplémentaires de Microsoft, on ne saura pas pourquoi un tel silence dans le temps imparti.

En attendant, la solution pour les utilisateurs n’est guère complexe : utiliser un autre navigateur le temps que le problème soit résolu, et éviter de cliquer sur des liens externes provenant de sources « louches ».

Publiée le 27/02/2017 à 14:30

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d’exploitation. Ne se déplace jamais sans son épée.

 

Image à la Une : http://www.itespresso.fr

 

SÉCURITÉ DES MOTS DE PASSE

Par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) . Vous verrez que les deux exemples donnés en fin d’article sont vraiment épatants sur le plan mémotechnique qui est souvent l’obstacle pour beaucoup à des combinaisons complexes.

Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.

Voici quelques recommandations :

  • Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
  • Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
  • Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
  • Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Deux méthodes pour choisir vos mots de passe :

  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
  • La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

https://www.ssi.gouv.fr/guide/mot-de-passe/