Auteur Sujet: Expliquer l'utilité des mises à jour de sécurité à son entourage (Lu 9010 fois)

vivien · « **le:** 27 janvier 2015 à 08:02:17 »

Expliquer l'utilité des mises à jour de sécurité à son entourage

Si on vous demande, dans votre entourage, a quoi servent les mise à jour qu'il faut faire en permanence, voici un article du Monde informatique qui montre l’intérêt d'être toujours à jour :

Adobe corrige une 2ème faille zero-day dans Flash

En quelques jours, Adobe corrige une 2ème faille zero-day sur son lecteur Flash. Les navigateurs web mis à jour automatiquement ont commencé à installer sa mise à jour ce week-end. L'éditeur a confirmé que la faille référencée CVE-2015-0311 a déjà été exploitée par des attaquants.

Adobe a commencé à diffuser un correctif critique pour Flash Player vers les utilisateurs qui ont activé la mise à jour automatique du logiciel. Ce patch corrige une faille qui est exploitée depuis une semaine par des attaquants. Le kit Angler utilisé par les cybercriminels comporte effectivement un outil pour le faire et lancer des attaques de type « drive-by-download ». Celles-ci se font principalement par téléchargement de publicités malveillantes apparaissant sur des sites web légitimes. Suivie sous la référence CVE-2015-0311, la faille touche des utilisateurs recourant à Flash Player dans les navigateurs web Mozilla et Internet Explorer (toutes versions). Le plug-in associé à Chrome comporte aussi cette vulnérabilité, mais le mécanisme de sécurité sandbox du navigateur de Google empêche son exploitation.

Dans un bulletin d'alerte publié le 22 janvier, Adobe explique que la faille en question se trouve dans la version 16.0.0.287 de Flash Player et dans les précédentes versions pour Windows et Macintosh. Elle permet potentiellement à un attaquant de prendre le contrôle du système affecté. L'éditeur confirme que des attaquants l'exploitent dans des attaques « drive-by-download ». Depuis samedi dernier, 24 janvier, il a commencé à pousser sa mise à jour 10.0.0.296 du runtime de Flash Player pour les postes de travail. Celle-ci est également disponible au téléchargement, sur son site distribution.

Activer la fonction « click-to-play » pour se protéger

Ce correctif arrive alors qu'Adobe est déjà intervenu sur Flash Player la semaine dernière pour résoudre un autre problème zero-day, référencé CVE-2015-0310. Les attaques « drive-by-download » installent sans bruit des malwares sur les ordinateurs lorsque ceux-ci visitent un site compromis ou consultent des publicités malveillantes que les attaquants réussissent à publier sur les réseaux publicitaires en se faisant passer pour des annonceurs.

Lorsqu'elles exploitent des failles zero-day, il est difficile de se protéger de ce type d'attaques, puissantes et largement diffusées. L'Internet Storm Center de l'Institute SANS a relevé il y a quelques jours le niveau de menace de ces attaques. Une façon de s'en prémunir consiste à activer la fonction « click-to-play » (cliquer pour visionner) dans les navigateurs afin d'empêcher que les plug-ins comme Flash d'exécuter automatiquement un contenu (afficher une vidéo) sans le consentement de l'utilisateur.

Source : Le Monde Informatique, le 26 janvier 2015 par Lucian Constantin.

Le bulletin d'alerte d'Adobe sur la faille CVE-2015-0311

corrector · « **Réponse #1 le:** 27 janvier 2015 à 08:46:15 »

Pour montrer l'utilité des MàJ, bof...

J'y vois la démonstration de l'utilité de :
- bloquer les pubs
- bloquer Flash par défaut
- utiliser Google Chrome

Breizh 29 · « **Réponse #2 le:** 27 janvier 2015 à 18:35:54 »

Firefox est très très bien et je pense qu'il respect plus la vie privée que chrome

corrector · « **Réponse #3 le:** 27 janvier 2015 à 18:42:04 »

Firefox a eu combien de failles exploitables?

Firefox a quelle défense en profondeur?

En quoi Firefox "respecte la vie privée" plus que Chrome?

vivien · « **Réponse #4 le:** 27 janvier 2015 à 18:43:31 »

Firefox est un excellent navigateur, meilleur que Chrome sur certains points, mais là il faut reconnaître que la sandbox est arrivé bien plus rapidement chez Chrome. Elle est prévue chez Firefox, mais cela entraîne des complications et elle est donc retardée.

Je cite IBM, qui préconise Firefox :
« Alors que les autres navigateurs sont apparus et repartis, Firefox fait figure de modèle de référence pour désigner ce qu'un navigateur ouvert, sûr, et conforme aux standards devrait être,» poursuit-il. « Nous allons continuer à voir tel ou tel navigateur devenir plus rapide ou arriver avec de nouvelles fonctionnalités, un autre le suivra et sera peut-être mieux encore, mais Firefox sera toujours là. »

Breizh 29 · « **Réponse #5 le:** 27 janvier 2015 à 18:51:39 »

Citation de: corrector le 27 janvier 2015 à 18:42:04

Firefox a eu combien de failles exploitables?

Firefox a quelle défense en profondeur?

En quoi Firefox "respecte la vie privée" plus que Chrome?

Failles très rapidement corrigées (impossible de ne pas avoir de failles)
Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.
Si tu fais confiance à Google pour ta vie privé

C'est Firefox qui a été le 1er à vraiment respecter les standard du web, les autres ont beaucoup copier.
Les onglets, les addon, ... C'est Firefox.

jack · « **Réponse #6 le:** 27 janvier 2015 à 18:55:18 »

Pareil pour Chromium.

Paulo31 · « **Réponse #7 le:** 27 janvier 2015 à 19:19:52 »

Citation de: Breizh 29 le 27 janvier 2015 à 18:51:39

Failles très rapidement corrigées (impossible de ne pas avoir de failles)
Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.
Si tu fais confiance à Google pour ta vie privé
C'est Firefox qui a été le 1er à vraiment respecter les standard du web, les autres ont beaucoup copier.
Les onglets, les addon, ... C'est Firefox.

les onglets, c'est opera le 1er !
les addons, je serais tenté de dire IE, avec tous les désastres que ça a engendré en barres de pub & co

corrector · « **Réponse #8 le:** 27 janvier 2015 à 19:43:46 »

Citation de: Breizh 29 le 27 janvier 2015 à 18:51:39

Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.

Tu peux répéter ça sans rire?

Qui arrive à contribuer à ces machines?

Et dans bash, combien de personnes avaient vu qu'il y avait un truc pas net sur l'importation de fonctions?

Breizh 29 · « **Réponse #9 le:** 27 janvier 2015 à 19:49:28 »

Citation de: corrector le 27 janvier 2015 à 19:43:46

Tu peux répéter ça sans rire?

Qui arrive à contribuer à ces machines?

Et dans bash, combien de personnes avaient vu qu'il y avait un truc pas net sur l'importation de fonctions?

Ben il faut qd même savoir coder, après ils voient. C'est comme partout ça évite la merde.
C'est comme pour GNULinux il y a des contributeurs, mais ceux pour le noyaux ne sont pas si nombreux il faut le niveau

Si tu crois qu'il y beaucoup de débugueur.
Va demander les codes sources de IE si tu pense pouvoir le débuguer, tu seras bien reçu.

buddy · « **Réponse #10 le:** 27 janvier 2015 à 19:55:20 »

il te parle des failles qu'il y a eu dans bash et que personne n'a vu (shellshock)

il y a aussi heartbleed (suite à un débug ...) et Ghost (aucune idée c'est trop récent ) ..

jack · « **Réponse #11 le:** 27 janvier 2015 à 20:13:48 »

Et des trucs sérieux .. non ?

Le seul récent sérieux, c'est sur Openssl, qui est et reste la meilleure "bibliothèque cryptographique".