Vulnérabilités des logiciels libres et de Linux : comment être alerté ?

Régulièrement, des vulnérabilités sont mises à jour dans le noyau Linux et pour de nombreux logiciels libres et open source, qui compromettent la sécurité des systèmes d’exploitation, notamment des distributions Linux installées sur les serveurs et postes de travail. Comment rester au courant ?

Qui est CERT-FR ?

Le CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, est un organisme français qui participe à la mission d’autorité nationale de défense des systèmes d’information de l’ANSSI. Le centre est chargé d’une mission de veille et de réponse aux attaques informatiques.

Alertes de sécurité

Le site du CERT-FR publie plusieurs types d’alertes sur sa page d’accueil :
Alertes de sécurité : ces documents sont destinés à prévenir d’un danger immédiat (Flux RSS)
Menaces et incidents : ces rapports détaillent l’état des connaissances et les investigations de l’ANSSI en analyse de la menace et traitements d’incidents (Flux RSS)
Avis de sécurité : ces documents font état de vulnérabilités et des moyens de s’en prémunir (Flux RSS)

Bulletins hebdomadaires du CERT-FR

Très pratique : le CERT-FR publie sur son site web son bulletin d’actualité hebdomadaire. Il revient sur les vulnérabilités significatives de la semaine écoulée pour souligner leur criticité. Vous pouvez vous abonner au flux RSS suivant pour le suivre.

Source toolinux.com

Les clés matérielles U2F renforcent la sécurité de Tutanota

Le service de courrier électronique sécurisé Tutanota ajoute le support U2F (clés matérielles) aux options d’authentification à deux facteurs pour les clients de bureau Tutanota sous Linux, Windows et macOS.

Le service en ligne a, depuis longtemps, généralisé l’utilisation de l’authentification U2F. Le client webmail de Tutanota supporte depuis longtemps l’U2F. Aujourd’hui, vous pouvez sécuriser votre boîte aux lettres cryptée avec U2F sur tous les clients de bureau de Tutanota, notamment sous Linux. Le prochain objectif est le support U2F pour les applications mobiles sur Android et iOS.

« Bien que ce ne soit pas une obligation, nous vous recommandons fortement d’ajouter un second facteur à votre compte Tutanota pour protéger au maximum votre boîte aux lettres. Ainsi vous pouvez ajouter une couche de sécurité supplémentaire à vos identifiants de connexion pour empêcher le vol de votre mot de passe », peut-on lire sur le blog officiel.

Les avantages :
La clé privée est stockée localement sur le dispositif U2F
Garantit la protection contre les attaques MITM et le phishing
Nécessite un dispositif matériel (l’application Yubico fonctionnera comme jeton logiciel à l’avenir)
Aucune saisie manuelle requise.

Source toolinux.com

Certains fichiers seront bientôt bloqués par Firefox, pour votre sécurité

Comme Google Chrome, Firefox souhaite éviter les cas de figure où, sur une page web sécurisée, des fichiers qui ne le sont pas s’affichent à l’écran.

Au nom de la sécurité des internautes, Mozilla prévoit quelques changements dans son navigateur web. Sur BugZilla, qui est le système de suivi des bugs des logiciels qui sont promus par la fondation, comme Firefox, le site XDA Developers a repéré le 23 août que la prochaine version du navigateur web bloquera le téléchargement de certains fichiers, parce qu’ils ne sont pas correctement sécurisés.

Restreindre les fichiers non sécurisés sur les pages sécurisées

Concrètement, la mesure vise ce qu’on appelle les contenus mixtes : il s’agit d’éléments qui sont chargés du côté de l’internaute sans avoir été transmis via le protocole de chiffrement HTTPS, contrairement au reste de la page. Ce peut-être des vidéos, des documents, des sons, des images, des scripts ou autre. Si ces derniers sont délivrés en HTTP, c’est-à-dire sans chiffrement, ils ne seront pas affichés.

Si l’internaute se rend sur une page complètement en HTTP, aucun blocage de la part de Firefox ne sera censé avoir lieu : la mesure se concentre sur les fichiers qui n’ont pas le même niveau de sécurité que le reste de la page. Ce décalage peut déboucher sur des cas d’attaque informatique. C’est d’ailleurs pour cette raison que Google a fait de même avec Chrome plus tôt cette année.

Selon les visuels partagés par XDA Developers, il apparaît que le mécanisme imaginé par la société pourra être contourné : des encarts d’avertissement devraient présenter à l’écran des boutons d’action pour que l’internaute soit en mesure de télécharger quand même le fichier mis en cause. Dans ce cas, le particulier aura été mis en garde et ce sera à lui de prendre ses responsabilités.

Firefox 92, qui doit accueillir cette fonctionnalité, est attendu pour le 7 septembre.

Source numerama.com

Hier, c’était la journée internationale… des mots de passe !

La Journée mondiale du mot de passe avait lieu ce jeudi 6 mai. Face aux risques, les particuliers comme les entreprises sont encouragés à repenser leurs habitudes en matière de mots de passe, car un simple manque de rigueur peut causer de grandes menaces cyber.

La Journée mondiale du mot de passe ce 6 mai était l’occasion de réévaluer et de repenser nos habitudes liées à l’utilisation des mots de passe, car des mots de passe trop simples ou réutilisés peuvent avoir un lourd impact.

Malheureusement, le manque de rigueur des utilisateurs à mettre à jour régulièrement leurs mots de passe n’aide pas, car la majorité se contenteront de numéroter leurs mots de passe ou de les recycler avec des signes déjà utilisés.

Chaque semaine, les cas de violation de données font la une des médias, et les techniques de « credential stuffing » causent malheureusement d’importants dégâts dans les entreprises. Ce qui est d’autant plus vrai pour ce qui est de l’Active Directory, mais tout ceci n’entrave les cybercriminels que de manière relative.

Pour une sécurité fiable, former un individu aux meilleures pratiques est une chose. Il faut cependant trouver une solution pour éliminer l’erreur humaine de ce processus, et appliquer l’authentification multifactorielle.

La présence d’êtres humains dans les processus quotidiens et l’exploitation de leurs failles est toujours une menace latente. En outre, la mise en œuvre de ces mesures ne devrait pas incomber uniquement à l’individu : les entreprises doivent également être raisonnables et prendre la sécurité au sérieux en appliquant l’authentification multifactorielle de manière rigoureuse.

Nous constations plus d’engagements dans ce sens, notamment de la part des plateformes de réseaux sociaux, lorsqu’il s’agit de comptes d’influenceurs clés – mais ce n’est pas suffisant.

Regis Alix, Quest Software

Source toolinux.com

Tails 4.17 : quoi de neuf pour la distribution Linux sécurisée ?

Le système d’exploitation popularisé par Edward Snowden poursuit son évolution avec la sortie d’une version de maintenance fin mars.

Tails (The Amnesic Incognito Live System) est une distribution Linux sécuritaire basée sur Debian… La suite sur toolinux.com

Deux trous de sécurité dans OpenSSL comblés

La bibliothèque open source de chiffrement pour communiquer en SSL ou TLS OpenSSL a été corrigée de deux failles de niveau élevé.

Ces dernières permettent à des pirates de mettre à plat un grand nombre de serveurs… La suite sur lemondeinformatique.fr

SECURITE : Pourquoi les mises à jour sont importantes pour garantir la cybersécurité

Qu’on se le dise, les systèmes qui ne sont pas régulièrement mis à jour sont fortement exposés aux cyberattaques.

Dans ce contexte, le ransomware WannaCry fait figure d’illustration parfaite de la vulnérabilité des postes… La suite sur toolinux.com

SECURITE : Cybercriminalité et santé : L’Anssi et son homologue allemand s’inquiètent à retardement

L’Anssi s’alarme d’une recrudescence des cyberattaques et affirme sa vigilance à l’égard des attaques visant le système de la santé.

Une alerte qui intervient après plusieurs cas médiatisés d’attaques visant des entreprises travaillant sur les vaccins contre la Covid19…La suite sur zdnet.fr

SECURITE : Ransomware : ces logiciels malveillants ouvrent la voie aux attaquants

Si vous constatez que l’un de ces logiciels malveillants s’attaque aux réseaux de votre entreprise, arrêtez tout ce que vous faites et vérifiez tous les systèmes.

L’époque où les groupes de ransomware opéraient en lançant des campagnes de spam de masse par e-mail dans l’espoir d’infecter des utilisateurs aléatoires sur Internet est révolue… La suite sur zdnet.fr

SECURITE : Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c’est le désarroi)

Il y a des (mauvaises) habitudes qui ne changent pas.

Selon le classement annuel des mots de passe les plus utilisés, dressé par le gestionnaire NordPass, on retrouve sans surprise les sempiternels « 123456 » et « 123456789 » en haut du classement… comme c’est le cas depuis 2013… La suite sur clubic.com

SECURITE : CrowdSec : la cybersécurité collaborative, open source et gratuite pour Linux

CrowdSec est un nouveau projet de sécurité conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet.

 

Par certains aspects, c’est un descendant de Fail2Ban, projet né il y a seize ans. Cependant, il propose une approche plus moderne, collaborative et ses propres fondamentaux techniques afin de répondre aux contextes modernes…  La suite sur linuxfr.org

SECURITE : Le ransomware RansomEXX s’attaque maintenant aux systèmes Linux

Particulièrement actif depuis quelques mois, le ransomware RansomEXX a connu une évolution de son code permettant de compromettre désormais des systèmes Linux.

Comme on peut s’en rendre compte dans un dernier rapport du fournisseur en solutions de sécurité Kaspersky, RansomExx, une évolution de son code lui permet désormais de viser des systèmes Linux… La suite sur lemondeinformatique.fr

SECURITE : Un nouveau cyber-évangéliste vient de rejoindre Stormshield

La filiale d’Airbus Stormshield annonce la nomination de Sébastien VIOU au poste de cyber-évangéliste.

Il était en charge du pôle innovation, sécurité et cloud chez SFR Business…La suite sur toolinux.com

APPLE : Apple corrige 3 failles zero day sur iOS et macOS

Les chercheurs en sécurité de Project Zero de Google ont identifié trois failles zero day activement exploitées affectant les terminaux iOS et macOS d’Apple.

Les mise à jour sécurité 14.2 de ce système d’exploitation mobile et 10.15. pour Mac comblent ces vulnérabilités…La suite sur lemondeinformatique.fr