Texte à méditer :  Devenir partenaire et avoir votre bannière ici avec lien vers votre site: Cliquer ICI   
Menu

Fermer A Propos

Fermer Partenaires

Fermer Vos Photos

Fermer Diaporamas

Fermer Tutoriels en Vidéo

Fermer Outils Web

Fermer Panorama

Fermer Articles

Fermer Cours Programmation

Fermer Vidéos

Fermer Informatique Débutants

Fermer Cours en vidéo

Logiciels gratuits

Fermer Bureautique

Fermer Dernières mises à jour

Fermer E-Mail

Fermer Multimédia

Fermer Réseaux

Fermer utilitaires

Ateliers
Créations Thoms87

Liste Privée


Pour s'inscrire vous devez être parrainé
Nouvelles des Amis
home.gifBienvenue sur Thoms87

Thoms 87




Votre site de partage entre Internautes débutants ou expérimentés. Que ce soit pour une toute première initiation ou pour découvrir de nouveaux logiciels, pour progresser ou pour se distraire.
Les principales techniques de l'informatique multimédia, communication, bureautique, photo numérique, vidéo, dépannage, discussion...

Et

Toutes les idées sur le numérique ...

Alors, inscrivez vous c'est Gratuit

S'Inscrire


Votre diaporama du mois





news.gifLes 6 dernières nouvelles


KRACK : plus de peur que de mal (pour l'instant) pour la faille WPA 2/WiFi - par Thoms le 18/10/2017 @ 10:17

KRACK : plus de peur que de mal (pour l'instant) pour la faille WPA 2/WiFi

Sécurité : La réponse coordonnée avec les chercheurs qui ont divulgués les failles de du protocole WPA2 de l'industrie laisse à penser que les dégâts seront limités, voire inexistants, pour les utilisateurs du Wi-Fi. Le point sur les actions en cours.

Par Guillaume Serries | Mardi 17 Octobre 2017

Mise à jour 17/10/2017 18h28 : Informations supplémentaires sur les produits Aerohive et Netgear.

Après la frayeur, la raison. Et le constat que finalement l'industrie réagit de manière raisonnable et proportionnée aux menaces de sécurité qui touchent régulièrement les systèmes informatiques. La divulgation des failles de sécurité sur le protocole WPA2 hier lundi, sous le vocable de KRACK Attack, laissaient craindre le pire pour les utilisateurs de ce réseau sans fil. 


Mais le travail coordonné de la communauté de la cybersécurité semble d'une certaine manière avoir plutôt bien fonctionné. Les chercheurs à l'origine de la découverte des failles de sécurité ont joué le jeu.

Avant de rendre publique les vulnérabilités, ils ont contacté par exemple l'ICASI (International Consortium for Advancement of Cybersecurity on the Internet), organisme qui rassemble des acteurs majeurs de l'industrie. Cet organisme mentionne avoir rapidement notifié ses membres et initié un travail coordonné pour trouver des solutions. Microsoft affirme par exemple avoir poussé un patch sur la question dès le 10 octobre dernier

Un paquet de bon élèves

Mikrotik, se félicite également de l'étanchéité du système maison RouterOS (v6.39.3, v6.40.4, v6.41rc). Pourquoi ? Parce que les chercheurs qui ont divulgué la faille ont contacté Mikrotik avant de la rendre publique. Conséquence : les développeurs de Mikrotik ont eu eux aussi le temps de pondre un patch et de le livrer la semaine dernière. Une saine démarche, à condition toutefois que les clients et les gestionnaires de réseau prennent la peine de télécharger ces dernières versions et de les installer.

Idem chez Aruba (HPE), de nombreuses versions d'ArubaOS et Aruba Instant sont touchées, tout comme des appareils de la marque (Aruba 501 et Aruba AirMesh MSR). Des patches sont disponibles dès à présent précise le fournisseur. D'autres ont été moins rapides mais sont sur la bonne voie.

Cisco reconnaît par exemple que de nombreux produits sans fil de la marque (en fait une quarantaine) sont touchés par ces vulnérabilité. Des patches sont en cours de distribution et la marque devrait contacter les clients rapidement pour les inciter à les déployer.


Netgear annonce de son côté avoir "déjà publié des correctifs pour certains équipements et continue à travailler pour mettre à disposition, au plus vite, les mises à jour pour le reste des produits". La liste des produits touchés est disponible sur cette page.

Juniper pour sa part concède que les vulnérabilités touchent Junos OS 12.1X46 et ScreenOS 6.3 ainsi que divers produits. Le fournisseur promet une mise à jour (MSS 9.2.1, 9.6.5) et encourage très fortement à physiquement déconnecter le Wi-Fi jusqu'au déploiement du patch.

Chez Intel, moins d'une dizaine de produits sont affectés par la vulnérabilité (famille de produits Intel Dual Band Wireless-AC). L'entreprise prévoit de publier une mise à jour "début novembre 2017 pour prendre en compte les vulnérabilités WPA2 identifiées". Jusqu'à cette date, l'entreprise recommande de configurer son Active Management Technology en mode TLS. Intel rajoute que les versions 2.x à 7.x de son outil ne recevront pas de mises à jour, car elle ne sont plus supportées.

De même du côté de Aerohive le dossier KRACK est toujours à l'étude et l'avis rendu ce jour sera complété avec "plus de détails" le 31 octobre prochain. Reste que des produits de la gamme sont affectés par les vulnérabilités. Le fournisseur recommande de mettre à jour les versions de HiveOS (8.1r2a, 6.5r9, et 6.7r4) "dès qu'elles seront disponibles", soit pas avant le 20 octobre prochain.

Une telle latence dans le traitement des vulnérabilités présentées hier comme cataclysmiques pour le Wi-Fi et l'Internet s'explique également par la difficulté à mener à bien une attaque de ce type. Le spécialiste en sécurité informatique Kevin Beaumont affirme que les conditions nécessaires pour réaliser une telle attaque en conditions réelles sont compliquées à réunir. "Vous avez besoin de compétences incroyablement élevées, et d'être à proximité d'une station de base Wi-Fi pour réaliser l'attaque" dit-il.


Le point de vue des CERT

Reste que les alertes des CERT sont toujours utiles à la prise de conscience des utilisateurs. Le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) a émis un bulletin d'alerte sur le sujet, basant son analyse sur les divulgués sur la page Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse.
"Il est possible lors de l'établissement d'une session de communication utilisant le protocole WPA/WPA2 d'interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges" mentionne le CERT-FR. "Lors de cette phase d'initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d'accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées". De quoi permettre à l'attaquant un accès aux données de la victime. (lire Faille majeure dans WPA2/Wi-Fi : que faire, qui est concerné ?)
Une page du CERT-US mentionne l'ensemble des systèmes touchés ou suspectés de l'être. Une saine lecture puisque l'on se rend compte qu'au de là des gros fournisseurs qui ont rapidement agi et communiqué, une foultitude d'autres sont encore en train d'inspecter leurs systèmes.
A noter également que du côté de l'opérateur Free, un responsable technique pour la partie logiciel de la Freebox, Maxime Bizon, assure que les produits Freebox Révolution et Mini4k et Crystal "ne sont pas affectés". La non activation du mode FT (802.11r) et l'utilisation d'un VPN "par dessus le wi-fi" semble protéger les clients de l'opérateur des risques de l'attaque KRACK.
Enfin, OpenBSD et Linux ont également sorti un patch en avance de phase. Les éditeurs des distributions Linux devraient rapidement distribuer leurs propres versions du patch.
De son côté le Wi-Fi Alliance, l'organisme en charge de la gestion de l'écosystème de ce protocole, assure que les principaux fournisseurs ont d'ors et déjà commencé à déployer des patches de sécurité en direction de leurs clients. Et il tente de calmer le jeu. "Les utilisateurs peuvent s'attendre à ce que leurs appareils Wi-Fi, qu'ils soient patchés ou non, continuent de fonctionner correctement" assure l'association, qui précise qu'il n'ya "pas de preuve que la vulnérabilité ait été exploitée de manière malhonnête" à ce stade.
Preuve de la dimension sociétale du problème, le Ministère de l'Intérieur à également souhaité alerter sur la dangerosité des failles, via un tweet.

... / ... Lire la suite


Faille majeure dans WPA2/Wi-Fi : que faire, qui est concerné ? [MAJ] - par Thoms le 17/10/2017 @ 11:48

Faille majeure dans WPA2/Wi-Fi : que faire, qui est concerné ? [MAJ]

Sécurité : Le trou béant dans ce qui était considéré comme la meilleure protection du Wi-Fi permet d'écouter le trafic, de prendre le contrôle de la connexion ou bien d'injecter du code malveillant.

Par La rédaction de ZDNet.fr | Lundi 16 Octobre 2017

Article mis à jour à 18h

La protection de nos connexions Wi-Fi n'est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d'intercepter le trafic Wi-Fi entre les ordinateurs et les points d'accès.



Le trou baptisée KRACK (pour Key Reinstallation Attacks) est non seulement béant et il n'est à ce jour pas comblé. Un vrai problème puisque les attaquants peuvent écouter le trafic Wi-Fi à proximité lorsqu'il passe entre les ordinateurs et les points d'accès. Cela pourrait également signifier qu'il est possible de créer de faux paramètres Dynamic Host Configuration Protocol (DHCP), ouvrant la porte aux hacks impliquant le service de nom de domaine (DNS) des utilisateurs.
Qui est concerné ?

« Votre niveau de vulnérabilité dépend de plusieurs facteurs comme le type d’appareils que vous utilisez, mais tous les internautes utilisant le Wi-Fi sans prendre de précautions sont une cible potentielle », explique Jarno Niemelä, Lead Researcher pour le Laboratoire F-Secure. Les problèmes de sécurité liés aux protocoles Wi-Fi sont déjà bien connus, mais ces nouvelles attaques viennent s’ajouter à la longue liste des défauts de conception des protocoles de sécurité réseau. Les internautes doivent en être informés. ».

Malheureusement quasiment tout ceux qui utilisent un routeur Wi-Fi à la maison ou de manière professionnelle. Comme l'explique le CERT-US : "L'impact de l'exploitation de ces vulnérabilités inclut le décryptage, la relecture de paquets, le piratage de connexion TCP, l'injection de contenu HTTP et autres. Notez qu'en tant que problèmes détectés au niveau du protocole, la plupart voire toutes les implémentations correctes de la norme sont affectées. Le CERT / CC et le chercheur de Ku Leuven, divulgueront publiquement ces vulnérabilités le 16 octobre 2017".
A quand les correctifs ? 

Du côté des fabricants de routeurs, Ars Technica indique que Aruba et Ubiquiti Networks auraient déjà mis à disposition des correctifs pour leurs points d'accès professionnels qui règlent tout ou partie des problèmes mais ces deux entreprises n'ont pas confirmé. Nous les avons sollicité pour plus de précisions. Netgear qui fabrique une importante part des box domestiques indique à ZDNet.fr : "Nos équipes techniques sont en train de travailler sur le dossier".

Cisco confirme qu'une grande partie de ses produits sont touchés (une enquête est en cours mais la firme considère que 40 sont vulnérables) et indique qu'il pousse actuellement différents correctifs, vague qui devrait poursuivre cette semaine.

Du côté des opérateurs, il va falloir au minimum communiquer autour de ce problème de sécurité qui touche directement le grand public et réaliser la mise à jour des box lorsque les patchs seront disponibles. S'ils le sont. Interrogés par nos soins, les fournisseurs français sont pour le moment en train d'enquêter. Orange nous indique par exemple qu'il donnera des éléments d'explications "au plus vite". Quand on sait que la grande majorité des box du parc français exploitent le Wi-Fi pour se connecter aux smartphones ou aux décodeurs TV des foyers...
Que faire en attendant les correctifs ?

La seule recommandation qu'il est possible d'effectuer à ce jour, c'est d'éviter d'utiliser le Wi-Fi autant que possible (et de repasser au bon vieux Ethernet filaire) ou d’employer un VPN. Lorsque le Wi-Fi est la seule option de connexion, les utilisateurs doivent utiliser HTTPS, STARTTLS, Secure Shell et d'autres protocoles fiables pour chiffrer le trafic Web et le courrier électronique entre les ordinateurs et les points d'accès.

Il est par contre inutile de basculer en WPA1 (trop faible et également impacté) et/ou de changer le mot de passe de son réseau Wi-Fi. On apprend également que la Wifi-Alliance à l’origine de WPA2 va mettre à jour son protocole et assister les fabricants afin de corriger la vulnérabilité. Une liste des équipements spécifiques devrait être prochainement disponible sur la base de données de CERT/CC.

Le site krackattacks.com propose un exposé déjà fort complet de l'attaque et des moyens de se protéger. Les textes sont dignés par Mathy Vanhoef et Frank Piessens de KU Leuven et imec-DistriNet, Maliheh Shirvanian et Nitesh Saxena de l'Université de l'Alabama (Birmingham), Yong Li de Huawei Technologies (Düsseldorf) et Sven Schäge de la Ruhr-Universität Bochum en Allemagne.

Une fois les correctifs disponibles, la mise à jour de vos équipements (smartphones, ordinateurs, objets connectés) et de vos routeurs sera à réaliser le plus rapidement possible.
A quand plus d'informations ?

A date, nous ne connaissons pas encore les détails techniques de la faille, ni les moyens pour l'exploiter. La description complète des vulnérabilités devrait être effectuée le 1er novembre prochain à la Conférence ACM (Dallas).
Nous mettrons à jour cet article au fur et à mesure des retours que nous feront les équipementiers et les opérateurs.


... / ... Lire la suite


Office 2007 et Outlook 2007 au bout du ruban - par Thoms le 12/10/2017 @ 09:38

Office 2007 et Outlook 2007 au bout du ruban

Technologie : Office 2007 et Outlook 2007 ne bénéficient désormais plus de support logiciel de la part de Microsoft. Différentes alternatives s'offrent aux utilisateurs, dont Office 365 pour ceux qui souhaitent conserver l'environnement Microsoft.

Par Christophe Auffray | Mercredi 11 Octobre 2017


Microsoft demande aux clients toujours accrochés à Outlook 2007 et Office 2007 de mettre à jour leurs logiciels, soit de changer de version de la suite. En effet, depuis mardi 10 octobre, ces outils de bureautique ne sont plus sous support.

Ils cessent par conséquent d'être éligibles à des correctifs de sécurité, de mises à jour fonctionnelles, du support ou des notes techniques, après donc une dizaine d'années de maintenance de la part de Microsoft.

Microsoft coupera le ruban le 31 octobre

Microsoft espère des utilisateurs d'Office 2007 qu'ils planifieront leur migration vers Office 365, pour le mode cloud, ou Office 2016 s'ils souhaitent maintenir un client lourd sur les postes.

Office 2007 est la version au cours de laquelle la firme de Redmond a introduit l'interface "ruban", fraîchement accueillie au départ, se décomposant en une série de barres d'outils réparties sur des onglets distincts, chacun contenant des options connexes.

Pour les clients déjà sous Office 365, tout en conservant Outlook 2007, il est important de procéder à une mise à niveau de leur logiciel de messagerie d'ici la fin du mois. Après octobre, le logiciel n'autorisera plus les utilisateurs à accéder aux boîtes Exchange Online via le portail Office 365.

"Les clients qui utilisent Office 365 remarqueront un changement dans les méthodes de connectivité client prises en charge. Outlook Anywhere est remplacé par MAPI/HTTP. Outlook 2007 ne supporte pas MAPI/HTTP et ne peut donc pas se connecter" souligne Microsoft dans une note relative au logiciel de messagerie.

Outlook : attention, ça va couper

 Passé le 31 octobre, Microsoft abandonnera le support du protocole RPC sur HTTP, également connu sous le nom d'Outlook Anywhere, pour accéder aux données de messagerie depuis Exchange Online. Le nouveau protocole, MAPI sur HTTP, est plus robuste et prend en charge l'authentification multi-facteurs pour Office 365, met en avant Microsoft.

Contrairement aux années précédentes, Microsoft n'offre pas de support étendu aux entreprises clientes d'Office 2007 via ses contrats de support personnalisé. La même règle s'applique aux différents produits Office, dont Exchange Server; SharePoint Server; Lync Server; Skype Entreprise Server; Project Server et Visio.

Selon l'éditeur américain, la demande en faveur de services de support personnalisé a diminué avec l'adoption croissante d'Office 365, sa plateforme bureautique en mode SaaS.

... / ... Lire la suite


Firefox abandonnera totalement Windows XP et Vista en juin 2018 - par Thoms le 05/10/2017 @ 10:12

Firefox abandonnera totalement Windows XP et Vista en juin 2018

Technologie : Mozilla a annoncé la fin du support technique et des mises à jour de sécurité pour la version Windows XP et Vista de Firefox à compter du mois de juin de l’année prochaine.

Par L'agence EP | Jeudi 05 Octobre 2017



Les utilisateurs de Firefox sur Windows XP et Vista ont encore 9 mois pour profiter de leur navigateur avant de lui dire définitivement adieu. Mozilla vient d’annoncer qu’il mettrait fin au support technique pour son navigateur à partir de juin 2018. D’ici là, les mises à jour de sécurité seront assurées indique l’éditeur qui encourage “fortement” ses utilisateurs à basculer vers “une version de Windows prise en charge par Microsoft”. Firefox pour XP et Vista était déjà passé en mode Extended Support Release (ESR), une variante conçue pour les déploiements en masse dans les écoles, universités et entreprises.

Avec la fin du support pour ce navigateur, les irréductibles qui continuent à utiliser ces deux versions de Windows (un peu plus de 6% selon Netmarketshare) n’ont plus beaucoup d’options. Google a déjà abandonné le support de Chrome sur XP et Vista depuis avril 2016. Et du côté de chez Microsoft, Internet Explorer 8 est le dernier navigateur disponible pour Windows XP tandis que Vista a droit à IE9. (Eureka Presse)

... / ... Lire la suite


Windows 10 : seulement 70 extensions pour Microsoft Edge - par Thoms le 03/10/2017 @ 12:17

Windows 10 : seulement 70 extensions pour Microsoft Edge

Application : Après une année complète, le navigateur Edge de Microsoft ne compte toujours guère plus que 70 extensions. Pourquoi si peu ? Selon l’éditeur, en raison de ses critères draconiens. Mais sans doute aussi du fait du faible nombre d’utilisateurs.

Par La rédaction de ZDNet.fr | Mardi 03 Octobre 2017

Pourquoi le navigateur intégré Edge de Windows 10 dispose-t-il de si peu d'extensions un an après l’activation de cette fonctionnalité ? Car les développeurs ne veulent pas investir dans des modules destinés à un navigateur peu utilisé par les internautes, serait-on enclin à penser.

Ce n’est cependant pas l’explication officielle. La faible croissance de leur nombre est due au fait que Microsoft privilégie un rythme d’activation de nouvelles extensions lent et stable. L’éditeur explique avoir fixé des critères élevés pour la qualité.
Lentement, mais sûrement

L’objectif pour la firme étant de s'assurer que la sécurité, les performances et la fiabilité de Edge ne soient pas compromises par des extensions inadaptées.

Donc, par conséquent, même si les utilisateurs de Windows 10 réclamaient plus d'extensions afin que Edge réponde à leurs besoins et en améliore l’expérience, Microsoft revendique une "approche volontairement mesurée" dans la construction d’un « écosystème bien organisé » d'extensions.

Un an après le lancement des extensions dans Edge, Microsoft compte aujourd’hui seulement 70 extensions pour son navigateur, notamment AdBlock, Adblock Plus, Amazon Assistant, Last Pass, Save to Pocket et Pinterest Save Button.

« Commencer avec un petit groupe d'extensions les plus demandées, nous a permis de faire mûrir notre écosystème en même temps que notre plateforme d'extension, ainsi que de créer au fil du temps une expérience d’intégration pour les développeurs » explique l'équipe Microsoft Edge.

Pour créer la confiance à l'égard des extensions Edge, Microsoft affirme vérifier manuellement chaque soumission d'extension avant d'autoriser sa distribution.

Les fonctions des extensions limitées

"Nous sommes extrêmement sensibles à l'impact potentiel des extensions sur votre expérience de navigation et nous voulons nous assurer que les extensions que nous autorisons sont de haute qualité et fiables. Nous voulons que Microsoft Edge soit votre navigateur préféré, avec les fondamentaux attendus - la vitesse , l'efficacité énergétique, la fiabilité, la sécurité " écrit l'équipe Edge.

"Les add-ons mal codés ou même malveillants pour les navigateurs restent une source potentielle de problèmes de confidentialité, de sécurité, de fiabilité et de performance, même aujourd'hui. Nous voulons que les utilisateurs soient convaincus de pouvoir faire confiance aux extensions de Microsoft pour fonctionner comme prévu. A cette fin, nous continuer à évaluer chaque soumission d'extension pour garantir qu'elle apportera de la valeur à nos utilisateurs et appuiera nos objectifs d'un écosystème sain"

Mais un autre paramètre freine aussi la croissance de cet écosystème : le support des fonctionnalités des extensions dans Edge. Microsoft a annoncé avoir activé au cours de l'année écoulée Native Messaging pour les extensions afin qu'elles puissent communiquer avec une application UWP installée sur Windows 10. L'éditeur a également activé les favoris et ajouté plus d'API à l'usage des extensions.

... / ... Lire la suite


Firefox Screenshots : donner libre cours à la frénésie de capture d'images - par Thoms le 02/10/2017 @ 10:59

Firefox Screenshots : donner libre cours à la frénésie de capture d'images

Technologie : Récupérer des images sur le Internet est une activité très présente chez les travailleurs du web. La fondation Mozilla l'a bien compris et met à disposition des utilisateurs une nouvelle fonctionnalité qui facilite ce travail.

Par La rédaction de ZDNet.fr | Vendredi 29 Septembre 2017

La nouvelle version du navigateur web intègre une fonctionnalité de prise d'image de l'écran (screenshots) qui s'avère utile aux travailleurs du web. Et représente une alternative intéressante à l'existant. 

Capture de l'outil de capture (quelle mise en abime !)

Car depuis quelques temps les produits de capture d'écran se multiplient sous Windows (outil Capture) mais aussi sous la forme de produits logiciels qui permettent d'aller bien plus loin que la touche "Impr écran" des bon vieux claviers physiques.

Et voici que la fondation Mozilla présente dans la nouvelle version de Firefox (la...56ème) un outil comparable, embarqué lui dans le navigateur. Cette fonctionnalité encore en Beta avait déjà été proposée à quelques testeurs dans la version 55 du logiciel. "Avec la fonction Firefox Screenshots, sauver et partager ce qu’on voit en ligne est simple comme un clic" promet la fondation Mozilla. Concrètement, l'outil permet de prendre, sauvegarder et partager des captures d’écran sans quitter son navigateur.

Les captures d'écran sont conservées sur le cloud de Mozilla pendant un temps qui peut être défini.

En cliquant sur un bouton de menu positionné en haut à droite de la fenêtre du navigateur, l'utilisateur se voit proposer de délimiter lui même la zone à capturer. Il peut également laisser le navigateur lui suggérer des zones de capture en fonction des images et blocs de texte affiché sur la page au passage de la souris. Les captures sont ensuite conservées en ligne pendant deux semaines. "Il est possible de modifier la date d’expiration ou de supprimer les captures à tout moment à partir de la bibliothèque en ligne" assure la fondation. Il est également aussi possible de partager les captures d’écran avec quelqu’un via un lien.

A l'essai depuis une semaine, et en usage intensif (concrètement plein d'onglets ouverts en même temps dans différentes fenêtres), nous avons pu constater quelques plantages (mais cela est assez fréquent malheureusement sur Firefox) de la fonctionnalité. Mais dans l'ensemble, elle fait le travail.

... / ... Lire la suite



cadeau.gifSpécial !

Thoms87 , le portail du partage entre Amis tongue


Connexion...
 Liste des membres Membres : 95

Votre pseudo :

Mot de passe :

[ Mot de passe perdu ? ]


  Membre en ligne :
  Anonymes en ligne : 5

Total visites Total visites: 459468  
Sondage
Que pensez-vous de Thoms87
 
Génial !
Bien
Moyen
Bof...
Résultats
Recherche



Calendrier
Devinette

Je peux lire dans vos pensées. Vous n'y croyez pas ? Essayez ! Vous n'en reviendrez pas...

^ Haut ^