Proton s'intéresse à la surveillance du Dark Web pour détecter les éventuelles fuites de données impliquant les utilisateurs de la solution Proton Mail. Faisons le point sur cette nouveauté !
La solution Proton Mail s'enrichit d'une nouvelle fonctionnalité permettant de protéger encore un peu plus ses utilisateurs grâce à la détection et l'analyse des fuites de données présentes sur le Dark Web.
Si par malheur, votre adresse e-mail Proton Mail est identifiée dans une fuite de données, vous recevrez une alerte dans le Centre de sécurité Proton Mail de votre compte. Celle-ci vous indiquera précisément quelles sont les informations personnelles compromises et la source de la fuite de données.
En complément, des recommandations sur la manière dont les utilisateurs peuvent se protéger seront intégrées. Autrement dit, cela vous permettra d'être réactif et de procéder à un changement immédiat de votre mot de passe sur le service impacté (et les éventuels autres services où vous utilisez le même mot de passe...).
"La détection de fuites d’identifiants vient compléter le chiffrement de bout en bout éprouvé de Proton Mail et avertit les utilisateurs en cas de brèche d'un service tiers pour lequel ils auraient utilisé leur adresse Proton Mail pour s'inscrire.", peut-on lire dans le communiqué de presse officiel. Par exemple, si vous utilisez votre adresse Proton Mail pour vous inscrire sur le service "XYZ" et que ce dernier est victime d'une fuite de données publiée sur le Dark Web, vous en serez informé.
Grâce à cette nouveauté, Proton Mail souhaite protéger ses utilisateurs et leurs données, mais aussi limiter les pertes financières : "En identifiant en informant rapidement les utilisateurs des informations d'identification compromises, Proton peut aider à prévenir les pertes financières résultant du vol d'identité et de la fraude.", peut-on lire.
Précision importante : cette nouvelle fonctionnalité sera accessible à tous les utilisateurs qui ont un abonnement payant à Proton Mail. Si vous utilisez la version gratuite de Proton Mail, vous ne pourrez pas en bénéficier. Pour en savoir plus, vous pouvez consulter cette page du blog de Proton Mail.
Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.
L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.
Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.
Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).
Comment se protéger ?
Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.
Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.
En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.
Dans un monde où les comportements des consommateurs et les avancées technologiques se transforment à un rythme sans précédent, les stratégies de marketing numérique doivent également évoluer rapidement pour rester pertinentes.
En 2024, l'impératif pour les spécialistes du marketing est de se tenir informés des dernières tendances et d'embrasser des approches novatrices qui leur permettent de communiquer avec leur public cible de la manière la plus efficace possible.
Face à une concurrence toujours plus forte et à des consommateurs de plus en plus avertis, il devient crucial d'adopter des stratégies qui non seulement attirent l'attention mais aussi engagent et fidélisent les clients sur le long terme.
Voici les sept stratégies de marketing numérique primordiales à mettre en œuvre cette année pour assurer une présence en ligne dynamique et impactante.
Salle de travail marketing, Unsplash
1. Création d'un site internet optimisé
La création d'un site web est essentielle pour toute entreprise cherchant à établir une présence en ligne solide. Un site web bien conçu offre à votre entreprise une vitrine virtuelle où les clients potentiels peuvent en apprendre davantage sur vos produits et services.
Assurez-vous que votre site web est convivial, responsive et optimisé pour les moteurs de recherche afin d'attirer du trafic qualifié et de convertir les visiteurs en clients. L'une des premières étapes pour lancer votre présence en ligne consiste à apprendre comment créer un site internet.
2. Marketing d'influence
Les influenceurs jouent un rôle de plus en plus important dans la promotion des marques et des produits. En collaborant avec des personnes influentes dans leur domaine, les entreprises peuvent toucher un public plus large et gagner en crédibilité.
En 2024, les spécialistes du marketing devraient investir dans des partenariats stratégiques avec des influenceurs qui correspondent à leur marque et à leurs valeurs. Pour en savoir plus sur l'impact croissant du marketing d'influence, consultez cet article instructif de So Bang.
3. Optimisation pour la recherche vocale
Avec la popularité croissante des assistants vocaux tels que Siri et Alexa, l'optimisation pour la recherche vocale devient essentielle. Les entreprises doivent adapter leur stratégie de référencement pour inclure des mots-clés et des expressions utilisés dans les requêtes vocales.
Créer du contenu qui répond aux questions courantes posées par les utilisateurs de la recherche vocale peut aider à améliorer le classement dans les résultats de recherche. Découvrez comment optimiser votre stratégie de référencement vocal en lisant cet article approfondi de Digitad.
4. Expérience utilisateur améliorée
L'expérience utilisateur (UX) est un facteur déterminant dans la réussite du marketing numérique, où les sites Web et les applications conviviaux et réactifs jouent un rôle crucial en garantissant une interaction positive avec les utilisateurs.
En 2024, les spécialistes du marketing devraient se concentrer sur l'optimisation de l'UX pour offrir une expérience transparente et engageante à leurs clients potentiels, tout en intégrant des éléments de design innovants qui améliorent l'accessibilité et la navigation, renforçant ainsi l'engagement client.
5. Contenu vidéo interactif
Le contenu vidéo continue de dominer le paysage du marketing numérique, mais en 2024, la tendance est au contenu vidéo interactif. Les vidéos interactives permettent aux spectateurs de participer activement en répondant à des questions, en prenant des décisions, et en explorant le contenu de manière immersive.
Cette approche favorise l'engagement et la rétention des spectateurs, transformant le visionnage passif en une expérience dynamique et participative qui renforce la connexion entre la marque et son audience, amplifiant ainsi l'impact des messages véhiculés.
6. Marketing sur les réseaux sociaux
En 2024, l'importance des réseaux sociaux dans le domaine du marketing numérique est incontestable, représentant un canal essentiel pour les entreprises visant à augmenter leur visibilité et engagement en ligne.
Pour rester compétitifs, les spécialistes du marketing doivent élaborer des stratégies spécifiques pour chaque plateforme sociale, tenant compte de leurs particularités.
L'utilisation avancée d'outils d'analyse est indispensable pour comprendre les comportements des utilisateurs et mesurer l'efficacité des campagnes, favorisant ainsi l'ajustement des stratégies pour maximiser l'impact et le ROI.
7. Intelligence artificielle et automatisation
L'intelligence artificielle (IA) et l'automatisation révolutionnent la manière dont les spécialistes du marketing interagissent avec leur public.
En exploitant des algorithmes avancés et en déployant des chatbots sophistiqués, les entreprises peuvent automatiser de vastes processus de marketing, assurer un service client disponible 24/7, et personnaliser les interactions avec les clients à une échelle sans précédent.
Cette transformation permet une approche plus efficace et ciblée du marketing, offrant des expériences utilisateur améliorées tout en optimisant les ressources et en maximisant l'engagement des consommateurs.
Conclusion
En appliquant ces sept stratégies de marketing numérique, les entreprises améliorent leur compétitivité et atteignent leurs objectifs de croissance en 2024.
De l'optimisation web à l'utilisation de l'intelligence artificielle, ces méthodes essentielles favorisent l'atteinte du public cible, l'engagement accru, et une hausse des conversions. L'adaptabilité et l'innovation constante permettent de répondre aux attentes changeantes des consommateurs et de se distinguer.
Ainsi, ces stratégies facilitent la création de liens durables avec les clients, propulsant les entreprises vers le succès dans l'écosystème digital.
Un nouvel ensemble de vulnérabilités baptisé "CONTINUATION Flood" a été découvert dans le protocole HTTP/2 ! Dans certains cas, l'exploitation de ces vulnérabilités permet un déni de service sur le serveur web pris pour cible, à partir d'une seule connexion TCP. Voici ce qu'il faut savoir !
Le chercheur en sécurité Barket Nowotarski a fait la découverte des vulnérabilités "CONTINUATION Flood" présente dans HTTP/2, une version du protocole HTTP standardisée en 2015. S'il a choisi ce nom, ce n'est pas un hasard, car ces faiblesses sont liées à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Ces trames sont utilisées pour assembler le flux de données correspondant à différents blocs de messages du protocole HTTP/2, notamment pour l'en-tête.
Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter ces vulnérabilités en envoyant des trames extrêmement longues, sans définir l'indicateur "END_HEADERS", ce qui va permettre d'épuiser les ressources du serveur cible et engendrer un déni de service. Dans certains cas, une seule connexion TCP en HTTP/2 peut suffire pour saturer le serveur en mémoire vive et le faire planter.
"Les implémentations sans timeout pour les en-têtes ne nécessitaient qu'une seule connexion HTTP/2 pour faire planter le serveur.", peut-on lire dans le rapport de Barket Nowotarski.
Par ailleurs, il est important de préciser que le protocole HTTP/2 est encore largement utilisé. "Selon Cloudflare Radar, le trafic HTTP/2 représente environ 60 % de l'ensemble du trafic HTTP humain (données excluant les robots)", précise Barket Nowotarski, avec un graphe à l'appui.
Source : nowotarski.info
CONTINUATION Flood, un ensemble de 9 failles de sécurité
Le CERT/CC a également publié un rapport au sujet de l'ensemble de vulnérabilités CONTINUATION Flood. Il référence 9 failles de sécurité correspondantes à cette faiblesse dans différentes implémentations : la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy (version 1.29.2 ou antérieure), ainsi que le langage de programmation Go.
À la fin de l'article du CERT/CC, il y a un tableau récapitulatif, et nous pouvons voir que le statut est actuellement inconnu pour plusieurs dizaines d'implémentations. Voici un extrait :
Source : CERT/CC
Les CVE suivantes sont associées à CONTINUATION Flood : CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309, CVE-2024-30255.
Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316, correspondante à CONTINUATION Flood, a été corrigée dans Apache 2.4.59 publiée ce jeudi 4 avril 2024 (voir cette page).
Ceci n'est pas sans rappeler la faille de sécurité "Rapid Reset" présente dans le protocole HTTP/2 et révélée en octobre 2023. À l'époque, elle avait permis de déclencher des attaques DDoS records !
Google Chrome bénéficie d'une nouvelle mise à jour de sécurité pour combler une faille zero-day découverte à l'occasion de l'événement Pwn2Own 2024, ainsi que deux autres vulnérabilités importantes ! Faisons le point !
Si vous utilisez Google Chrome, oubliez les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux ! Google a mis en ligne de nouvelle version pour corriger 3 vulnérabilités, dont une faille de sécurité zero-day découverte et exploitée le 22 mars 2024 par Edouard Bochin et Tao Yan de Palo Alto Networks, à l'occasion de la compétition de hacking Pwn2Own 2024 de Vancouver.
Associée à la référence CVE-2024-3159, cette faille de sécurité élevée correspond à une faiblesse de type "out-of-bounds read" est présente dans le moteur JavaScript Chrome V8. Elle pourrait être exploitée à partir d'une page HTML dans le but d'accéder à des informations sensibles ou de déclencher un plantage sur l'ordinateur de la victime. Grâce à la découverte de cette vulnérabilité présente aussi dans Microsoft Edge, Edouard Bochin et Tao Yan ont été récompensés par une belle somme : 42 500 dollars.
Par ailleurs, Google a corrigé deux autres failles de sécurité importantes découvertes en mars dernier : CVE-2024-3156 et CVE-2024-3158. La première est également présente dans le moteur JavaScript Chrome V8 tandis que la seconde est présente dans le gestionnaire de favoris.
Comment se protéger ?
Google a publié de nouvelles versions stables pour son navigateur Chrome. Ainsi, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.105/.106/.107 pour Windows et Mac et 123.0.6312.105 pour Linux. Ces versions sont en cours de diffusion à l'échelle mondiale.
Pour rappel, mardi 26 mars 2024, Google avait déjà publié de nouvelles versions pour Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Donc, ces nouvelles versions vous permettent aussi de vous protéger contre ces vulnérabilités.
Si vous êtes un utilisateur d'Outlook.com et que vos e-mails à destination de comptes Gmail sont bloqués et considérés comme spam, sachez que vous n'êtes pas le seul ! Faisons le point !
Microsoft a mis en ligne un nouveau document de support pour évoquer un problème rencontré par les utilisateurs d'Outlook.com lors de l'envoi d'un e-mail vers un utilisateur de Gmail, la solution de messagerie de Google. Ceci affecterait uniquement les domaines Outlook.com spécifiques à chaque pays, c'est-à-dire "@outlook.fr" pour la France, "@outlook.de" pour l'Allemagne ou encore "@outlook.be" pour la Belgique. Au total, il y a une trentaine de domaines comme ceux-là.
Lorsque le problème est rencontré, l'e-mail n'est pas délivré dans la boite aux lettres du destinataire et l'utilisateur Outlook.com reçoit un message l'informant de ce rejet : "Remote server returned message detected as spam -> 550 5.7.1 [[ IPAddress]] Gmail has detected that this message;is likely suspicious due to the very low reputation of the sending;domain. To best protect our users from spam, the message has been blocked."
Ce message indique que l'e-mail en provenance d'Outlook.com est considéré comme spam, car il a été émis à partir d'un domaine avec une faible réputation.
Si ce problème est rencontré maintenant, ce n'est surement pas un hasard : depuis le début du mois d'avril, Google applique une politique plus stricte pour les "bulk senders" (envois en masse d'e-mails) afin de lutter contre les spams et l'usurpation de domaines de messagerie. Pour approfondir ce sujet de façon générale, vous pouvez lire ces deux articles :
Microsoft travaille sur une solution pour résoudre ce problème pour tous les utilisateurs, car c'est bien l'entreprise américaine qui a la gestion d'Outlook.com et des différents domaines de messagerie. En attendant, une solution temporaire est proposée.
Elle consiste à ajouter un alias "@outlook.com" à votre compte et à envoyer des e-mails aux utilisateurs de Gmail en utilisant cet alias, plutôt que l'adresse e-mail principale. Ce domaine n'étant pas affecté par ce problème, les e-mails devraient passer. Vous pouvez lire cette documentation pour apprendre à créer un alias.
Google a annoncé une nouvelle fonctionnalité de sécurité très intéressante pour son navigateur Google Chrome qui permettra à chaque cookie de session d'être lié à l'appareil, ce qui empêche un attaquant de compromettre un compte à partir d'un cookie volé. Faisons le point !
Lorsqu'un utilisateur se connecte à un site web ou un service en ligne, un cookie de session est déposé sur son appareil dès lors que l'authentification réussie. Ce cookie est présent que le compte soit protégé ou non par du MFA. C'est pour cette raison que les cybercriminels utilisent des logiciels malveillants, notamment des info-stealers, capables de voler les cookies de session, car ce précieux fichier permet d'usurper la session d'un utilisateur sans connaitre les identifiants.
Lorsque vous naviguez sur Internet, les cookies de sessions sont gérés par les navigateurs. Google Chrome, qui est le navigateur le plus utilisé au monde, pourrait être doté d'une nouvelle fonctionnalité baptisée Device Bound Session Credentials (DBSC). L'objectif est clair : empêcher qu'un cookie volé puisse être réutilisé.
Quand la fonctionnalité DBSC est activée dans Google Chrome, elle va s'appuyer sur la puce TPM pour générer une paire de clés privée/publique pour chiffrer chaque cookie d'authentification. Grâce à ce processus basé sur de la cryptographie à clé publique et au fait que les clés ne peuvent pas être exfiltrées, si un pirate vole un cookie de session, il ne pourra rien en faire ! Une paire de clés unique est utilisée pour chaque session.
Kristian Monsen, ingénieur logiciel chez Google, précise : "En liant les sessions d'authentification à l'appareil, DBSC vise à perturber l'industrie du vol de cookies puisque l'exfiltration de ces cookies n'aura plus aucune valeur." - Si cette fonctionnalité est aussi efficace que l'annonce Google, ce serait une excellente nouvelle !
Google explique que les puces TPM ont la réputation d'avoir un temps de latence élevé et des problèmes de fiabilité, mais que pour l'utilisation de DBSC, celui-ci est tout à fait acceptable. Google a réalisé différents tests, et les résultats sont satisfaisants : "Le taux d'erreur est très faible, de l'ordre de 0,001 % actuellement."
Comment activer cette fonctionnalité ?
La fonctionnalité Device Bound Session Credentials est actuellement en cours de développement, mais une première version expérimentale peut être activée dans les paramètres du navigateur Google Chrome. Vous devez accéder à "chrome://flags" afin d'activer la fonctionnalité "enable-bound-session-credentials".
Vous avez besoin d'un accès VPN pour naviguer sur Internet ? Sachez que l'association FDN (French Data Network) propose un VPN, en accès libre, ouvert à toutes et tous, et totalement gratuit. Voici ce qu'il faut savoir.
La FDN est un fournisseur d'accès à Internet associatif, créé en juin 1992. Elle s'appuie sur un réseau de bénévole pour fonctionner et mettre à disposition plusieurs centaines de lignes Internet (ADSL, VDSL et FTTH) ainsi qu'un accès VPN.
Le service gratuit présenté dans cet article n'est pas nouveau, mais il y a quelques jours, l'association FDN en a fait la promotion sur son site Internet. Si la FDN propose un accès VPN, c'est parce qu'elle défend un certain nombre de valeurs et de principes liés à la liberté et la protection de la vie privée en ligne. Elle veut aussi vous permettre de trouver des alternatives aux "grandes plateformes du numérique", pour reprendre l'expression utilisée sur le site fdn.fr.
En accédant au site vpn-public.fdn.fr, vous pourrez obtenir toutes les informations nécessaires quant à l'utilisation de ce VPN et à son fonctionnement. C'est sur ce même site que vous pourrez récupérer le fichier de configuration et le certificat permettant de s'authentifier auprès du serveur OpenVPN de l'association FDN.
Ce VPN vous permettra de contourner la censure ou les éventuelles limitations de votre fournisseur d'accès à Internet. Néanmoins, l'anonymat n'est pas garanti même si la connexion est sécurisée grâce au tunnel VPN au sein duquel les flux sont chiffrés. Ceci différencie le VPN de FDN en comparaison d'autres services comme CyberGhost VPN, NordVPN, Express VPN, etc... où c'est un argument commercial.
Source : FDN
"Le VPN public de FDN vous permet seulement de retrouver du réseau propre derrière une connexion potentiellement sale ou bridée (un FAI commercial peu fréquentable, un hotspot wifi dans une gare…) et de vous protéger d’éventuelles écoutes sur le réseau que vous utilisez pour vous connecter (votre FAI commercial, par exemple) en chiffrant les échanges entre votre machine et FDN.", peut-on lire sur le site officiel.
Il est à noter que vous ne pouvez pas bénéficier d'une adresse IP fixe, mais seulement une adresse IP dynamique. De plus, le débit maximal que peuvent atteindre les clients VPN connectés simultanément au VPN public de FDN est limité à 100 Mbps.
Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !
Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.
La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.
La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.
Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.
Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.
Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.
Grâce à l'entrée en vigueur du Digital Markets Act, Opera affiche une énorme croissance de 402% sur iPhone, en France ! Il s'agit d'une alternative à Safari qui semble séduire les utilisateurs de smartphones Apple.
Le 6 mars 2024, le Digital Markets Act (DMA) est entré en vigueur et les géants de la tech ont dû s'y préparer : que ce soit Google, Amazon, Microsoft ou encore Apple. D'ailleurs, sur les smartphones sous Android et iOS, Google et Apple doivent permettre à l'utilisateur de choisir facilement un navigateur tiers. Autrement dit, si nous prenons le cas de l'iPhone, Apple ne doit pas imposer Safari. Sur Android, il s'agit d'avoir le choix d'utiliser autre chose que Google Chrome. L'objectif étant d'offrir aux utilisateurs une certaine liberté, et surtout, de pouvoir faire ses choix de façon simple.
Bien que de nombreux utilisateurs d'iPhone aient pris la décision de poursuivre l'aventure avec Safari, d'autres, quant à eux, ont choisi d'utiliser un autre navigateur. En effet, il y a du choix : Brave, Mozilla Firefox, ou encore Opera. Au total, il y a une petite dizaine d'alternatives proposées.
Au mois de mars, le grand gagnant, c'est Opera : il affiche une croissance de 402% sur iOS, rien qu'en France. Chez nos voisins européens, il y a également une belle évolution pour Opera : +143% en Espagne, +68% en Pologne et +56% en Allemagne. Sur Android, Opera a également progressé : "Opera pour Android a également connu une croissance significative, en particulier en France, où le nombre de nouveaux utilisateurs a augmenté de 54 % le jour où le Ballot Screen a commencé à être introduit.", peut-on lire dans l'article de presse d'Opera.
De façon globale, sur desktop et mobile, Opera reste moins utilisé que certains navigateurs comme Google Chrome, Microsoft Edge et Safari, c'est un sérieux coup de pouce pour ce navigateur qui se démarque par certaines fonctionnalités intéressantes pour la confidentialité en ligne.
D'ailleurs, dans son article de presse, Opera en profite pour rappeler certaines de ces fonctionnalités disponibles sur mobiles : "Opera pour Android et Opera pour iOS sont des navigateurs puissants qui offrent une expérience rapide, sécurisée et centrée sur l'utilisateur. Tous deux proposent des fonctions de confidentialité avancées, telles qu'un VPN gratuit et sans connexion, ainsi qu'un bloqueur de publicités, un bloqueur de traqueurs et un bloqueur de fenêtres pop-up et de cookies intégrés."
Par ailleurs, certains utilisateurs ont pris la décision de s'orienter vers d'autres navigateurs. Du côté de Brave, le nombre d'installations quotidiennes est passé de 8 000 à 11 000 à partir du 9 mars 2024.
En ce moment, l'entreprise suisse Proton enchaine les annonces : le gestionnaire de mots de passe Proton Pass prend désormais en charge les Passkeys sur tous les appareils. Faisons le point sur cette annonce !
La méthode d'authentification basée sur une passkey continue de se démocratiser et d'être adoptée par les différents éditeurs de la tech. Pour rappel, le fait d'utiliser une passkey permet de s'authentifier sans mot de passe puisque cette méthode s'appuie sur des clés générées en local sur l'appareil et l'authentification s'effectue à l'aide d'un code PIN, du capteur d'empreinte biométrique ou de la reconnaissance faciale. De plus en plus de services et sites web supportent l'authentification via une passkey.
Dès maintenant, les utilisateurs de Proton Pass, le gestionnaire de mots de passe de chez Proton développé à partir du langage Rust, peuvent profiter de la prise en charge des Passkeys sur toutes les plateformes supportées par ce service, et pour tous les utilisateurs. Autrement dit, cette fonctionnalité est disponible pour tous les utilisateurs, gratuits et payants.
"C’est une première sur le marché des gestionnaires de mots de passe, établissant une nouvelle norme en matière d'accessibilité et de sécurité.", précise Proton dans son communiqué de presse, afin d'insister sur le fait que cette nouveauté est gratuite.
Proton Pass prend en charge les Passkeys de la même façon que les mots de passe, c'est-à-dire qu'ils peuvent être partagés directement et exportés vers un autre service. "Cette flexibilité fait partie de notre engagement à maintenir la commodité et l’interopérabilité", peut-on lire.
Cette nouveauté profite également aux utilisateurs de Proton Pass for Business. Grâce à la nouvelle fonctionnalité de partage et de collaboration via les Passkeys, cette technologie complémente les méthodes d'authentification en place, telles que les mots de passe classiques et les codes 2FA.
Firefox 124 a été publié par la fondation Mozilla ! Quelles sont les nouveautés de cette version ? Parlons-en, mais nous allons surtout nous intéresser à une faille de sécurité critique corrigée par les développeurs.
Ce mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox. Une nouvelle version associée à la publication d'une page qui regroupe toutes les nouveautés apportées à cette version.
Firefox 124 introduit de nouvelles options d'accessibilité, avec notamment la prise en charge du mode de navigation par curseur dans le lecteur PDF du navigateur. De plus, Firefox View est désormais capable de trier vos onglets par activité récente (par défaut) ou par ordre de tabulation. A noter également que la disponibilité de Qwant a été étendue à toutes les langues de la région France, ainsi qu'à la Belgique, l'Italie, les Pays-Bas, l'Espagne et la Suisse.
12 failles de sécurité corrigées par Firefox 124
Par ailleurs, et ce que nous allons évoquer maintenant, les développeurs ont corrigé 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. Associée à la référence CVE-2024-2615, cette vulnérabilité a été découverte par Paul Bone et les membres de Mozilla Fuzzing Team. Il s'agit d'un problème de sécurité dans la mémoire.
Le bulletin de sécurité de Mozilla est clair : cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.
La faille de sécurité CVE-2024-2615 affecte uniquement le navigateur Mozilla Firefox. Toutefois, Mozilla a corrigé plusieurs vulnérabilités dans la version Firefox ESR, ainsi que dans son client de messagerie Thunderbird.
Voici la liste des produits et versions affectés par différentes vulnérabilités :
Firefox versions antérieures à 124
Firefox ESR versions antérieures à 115.9
Thunderbird versions antérieures à 115.9
Le CERT-FR a publié un avis de sécurité au sujet de ces vulnérabilités présentes dans les produits de Mozilla : "Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.", peut-on lire.
Maintenant, c'est à vous de faire le nécessaire pour mettre à jour les applications Firefox et Thunderbird.
Le gang de ransomware ShadowSyndicate analyse les serveurs Web exposés sur Internet à la recherche de serveurs vulnérables à la CVE-2024-23334 présente dans une bibliothèque Python nommée "aiohttp". Faisons le point sur cette menace.
Aiohttp est une bibliothèque Python open-source capable de gérer de grandes quantités de requêtes HTTP en simultanés, de façon asynchrones. Elle est basée sur le framework d'E/S AsyncIO, lui aussi codé en Python. Cette bibliothèque est utilisée par les développeurs qui ont besoin de mettre en place des applications et des services web avec un niveau élevé de performances performance. Elle semble relativement populaire puisque la page du projet sur Pypi.org compte près de 14 500 Stars.
La faille de sécurité CVE-2024-23334 dans Aiohttp
Le 28 janvier 2024, les développeurs de la bibliothèque Aiohttp ont mis en ligne laversion 3.9.2 dans le but de corriger une faille de sécurité importante associée à la référence CVE-2024-23334. Toutes les versions avant la version 3.9.2 sont affectées par cette faille de sécurité. Depuis, la version 3.9.3 a été publiée, et il y a même une release candidate de la version 3.9.4.
La CVE-2024-23334 est une faiblesse de type "Path transversal" pouvant permettre à un attaquant non authentifié d'accéder à des données sensibles hébergées sur le serveur applicatif. Voici ce que l'on peut lire sur le site du NIST : "Cela peut conduire à des vulnérabilités de traversée de répertoire, entraînant un accès non autorisé à des fichiers arbitraires sur le système, même lorsque les liens symboliques ne sont pas présents."
Désormais, cette vulnérabilité est bien connue et il existe plusieurs ressources permettant de faciliter son exploitation, notamment un PoC sur GitHub relayé sur X (Twitter) le 27 février 2024, ou encore cette vidéo YouTube publiée début mars.
Des tentatives d'exploitation depuis le 29 février 2024
D'après les analystes de Cyble, il y a eu des premières tentatives d'exploitation dès le 29 février, et à présent les scans et les tentatives d'exploitation s'intensifient. Plusieurs adresses IP différentes sont à l'origine de ces tentatives, et précédemment, l'une de ces adresses IP a été associée au gang de ransomware ShadowSyndicate. Il s'agit d'un groupe de cybercriminels lancé en juillet 2022.
Voici les adresses IP malveillantes identifiées par Cyble :
81[.]19[.]136[.]251
157[.]230[.]143[.]100
170[.]64[.]174[.]95
103[.]151[.]172[.]28
143[.]244[.]188[.]172
Toujours d'après les informations fournies par Cyble, à l'aide du scanner ODIN (voir cette page), il y aurait actuellement plus de 44 500 serveurs exposés sur Internet où l'en-tête HTTP correspond à Aiohttp. Ceci ne veut pas dire que ces serveurs sont vulnérables, car tout dépend de la version utilisée.
Comme le montre le graphique ci-dessous, il y a environ 1 300 hôtes situés en France : ce sont des cibles potentielles.
Si vous utilisez la bibliothèque Aiohttp, vous devez passer sur la version 3.9.2 ou supérieure, dès que possible.
L'entreprise suisse Proton a annoncé deux nouvelles applications pour les utilisateurs de Windows et macOS. La version pour Linux est en bêta. Voici ce qu'il faut savoir sur ces nouveautés !
Dès aujourd'hui, une application de bureau est désormais disponible pour tous les utilisateurs Windows et macOS. Ces applications prennent en charge Proton Mail et Proton Calendar, c'est-à-dire le service de messagerie électronique et le service de calendrier de Proton. Afin de couvrir l'ensemble des plateformes principales, Proton travaille également sur une version pour Linux : elle sera bientôt disponible puisqu'elle est en version bêta.
Ces applications permettront aux utilisateurs de recevoir automatiquement les dernières mises à jour et fonctionnalités. Par exemple, Proton a amélioré la mise en cache des éléments, pour qu'un plus grand nombre d'e-mails soit mis en cache, pour un accès hors ligne simplifié.
Ce client de messagerie officiel développé par Proton évite d'installer Proton Mail Bridge couplé à Outlook ou Thunderbird pour profiter de ces e-mails dans un client de messagerie. Toutefois, sachez que ces nouvelles applications ne sont pas accessibles à tous les utilisateurs : vous devez disposer d’un abonnement payant pour en profiter.
Proton en profite pour mettre en avant le fait que ses solutions sont sécurisées et respectueuses de la vie privée des utilisateurs : "Le chiffrement de bout en bout de Proton Mail et Proton Calendar signifie que personne, pas même Proton, ne peut accéder aux données, aux e-mails et aux rendez-vous du calendrier des utilisateurs."
Un catalogue d'applications qui s'étoffe
Ce ne sont pas les premières applications de bureau proposées par Proton, puisque dernièrement, il y a déjà eu le lancement des applications Proton Drive et Proton Pass. Il s'agit du service de stockage en ligne et du gestionnaire de mots de passe de Proton.
"Cela fait suite au lancement réussi des applications desktop de Proton Drive et Proton Pass. Il s’agit d’une étape importante pour offrir aux utilisateurs le choix sur la manière dont ils souhaitent protéger leurs données, tout en leur permettant d’être aussi productif que possible.", peut-on lire dans le communiqué de presse officiel.
Dès aujourd'hui, vous pouvez utiliser la fonctionnalité d'alias "Hide-my-email" directement dans Proton Mail, et sans frais supplémentaire. À quoi sert cette fonctionnalité ? Faisons le point !
En 2022, Proton a fait l'acquisition du service open source SimpleLogin, dont l'objectif est de permettre aux utilisateurs de créer des alias d'e-mail très facilement. Dans un premier temps, Proton a profité de cette acquisition pour introduire la fonctionnalité "Hide-my-email" dans son gestionnaire de mots de passe Proton Pass. "Ce qui fait de Proton Pass, non seulement un gestionnaire de mots de passe, mais également un gestionnaire d’identité en ligne. Un différenciateur clé sur le marché des gestionnaires de mots de passe.", précise Proton.
Désormais, ce sont les utilisateurs de Proton Mail qui peuvent en bénéficier directement à partir de l'application web ou desktop. Ce service vous évite de communiquer systématiquement votre adresse e-mail lorsque vous vous inscrivez sur un service tiers, un site web ou à une newsletter. En effet, plutôt que de communiquer votre adresse e-mail Proton Mail (en @proton.me, par exemple), vous allez communiquer un alias qui renvoie vers votre adresse e-mail principale.
"Les alias Hide-my-email sont des adresses e-mails uniques, générées aléatoirement, que les utilisateurs peuvent utiliser pour masquer leur véritable adresse lorsqu'ils s'inscrivent à des applications, des sites web et bien plus encore.", peut-on lire dans le communiqué de presse de Proton.
Au-delà d'améliorer la confidentialité de votre adresse e-mail, puisque celle-ci est masquée par l'alias, cette fonctionnalité est avantageuse pour votre sécurité en ligne. En effet, en cas de fuite de données sur le service tiers, c'est votre alias qui sera impacté et pas votre adresse e-mail principale en elle-même. Ainsi, vous pouvez facilement le remplacer par un nouvel alias. De la même façon, si vous recevez trop de spams à partir d'un alias, vous pouvez le désactiver.
Comment utiliser la fonction Hide-my-email de Proton Mail ?
À partir de l'application Proton Mail, vous devez cliquer sur le bouton représentant un bouclier violet sur la droite de l'écran. Il permet d'accéder au Centre de sécurité et là, vous pourrez trouver un bouton intitulé "Créer un alias". Proton Mail va alors générer un alias aléatoire que vous pouvez nommer comme vous le souhaitez. Plusieurs domaines de messagerie sont utilisés pour les alias, notamment "passinbox.com" et "passmail.com".
Enfin, sachez que vous pouvez créer jusqu'à 10 alias hide-my-email avec la version gratuite de Proton Free. Si vous passez sur l'abonnement Proton Unlimited, vous pouvez en créer autant que vous le souhaitez.
Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.
LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.
La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.
Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.
Comment se protéger ?
Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.
Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.
À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.
Connexion
