Tag Archives: Sécurité

Les clés matérielles U2F renforcent la sécurité de Tutanota

Featured

Posted on by

Le service de courrier électronique sécurisé Tutanota ajoute le support U2F (clés matérielles) aux options d’authentification à deux facteurs pour les clients de bureau Tutanota sous Linux, Windows et macOS.

Le service en ligne a, depuis longtemps, généralisé l’utilisation de l’authentification U2F. Le client webmail de Tutanota supporte depuis longtemps l’U2F. Aujourd’hui, vous pouvez sécuriser votre boîte aux lettres cryptée avec U2F sur tous les clients de bureau de Tutanota, notamment sous Linux. Le prochain objectif est le support U2F pour les applications mobiles sur Android et iOS.

« Bien que ce ne soit pas une obligation, nous vous recommandons fortement d’ajouter un second facteur à votre compte Tutanota pour protéger au maximum votre boîte aux lettres. Ainsi vous pouvez ajouter une couche de sécurité supplémentaire à vos identifiants de connexion pour empêcher le vol de votre mot de passe », peut-on lire sur le blog officiel.

Les avantages :
La clé privée est stockée localement sur le dispositif U2F
Garantit la protection contre les attaques MITM et le phishing
Nécessite un dispositif matériel (l’application Yubico fonctionnera comme jeton logiciel à l’avenir)
Aucune saisie manuelle requise.

Source toolinux.com

Certains fichiers seront bientôt bloqués par Firefox, pour votre sécurité

Featured

Posted on by

Comme Google Chrome, Firefox souhaite éviter les cas de figure où, sur une page web sécurisée, des fichiers qui ne le sont pas s’affichent à l’écran.

Au nom de la sécurité des internautes, Mozilla prévoit quelques changements dans son navigateur web. Sur BugZilla, qui est le système de suivi des bugs des logiciels qui sont promus par la fondation, comme Firefox, le site XDA Developers a repéré le 23 août que la prochaine version du navigateur web bloquera le téléchargement de certains fichiers, parce qu’ils ne sont pas correctement sécurisés.

Restreindre les fichiers non sécurisés sur les pages sécurisées

Concrètement, la mesure vise ce qu’on appelle les contenus mixtes : il s’agit d’éléments qui sont chargés du côté de l’internaute sans avoir été transmis via le protocole de chiffrement HTTPS, contrairement au reste de la page. Ce peut-être des vidéos, des documents, des sons, des images, des scripts ou autre. Si ces derniers sont délivrés en HTTP, c’est-à-dire sans chiffrement, ils ne seront pas affichés.

Si l’internaute se rend sur une page complètement en HTTP, aucun blocage de la part de Firefox ne sera censé avoir lieu : la mesure se concentre sur les fichiers qui n’ont pas le même niveau de sécurité que le reste de la page. Ce décalage peut déboucher sur des cas d’attaque informatique. C’est d’ailleurs pour cette raison que Google a fait de même avec Chrome plus tôt cette année.

Selon les visuels partagés par XDA Developers, il apparaît que le mécanisme imaginé par la société pourra être contourné : des encarts d’avertissement devraient présenter à l’écran des boutons d’action pour que l’internaute soit en mesure de télécharger quand même le fichier mis en cause. Dans ce cas, le particulier aura été mis en garde et ce sera à lui de prendre ses responsabilités.

Firefox 92, qui doit accueillir cette fonctionnalité, est attendu pour le 7 septembre.

Source numerama.com

Hier, c’était la journée internationale… des mots de passe !

Featured

Posted on by

La Journée mondiale du mot de passe avait lieu ce jeudi 6 mai. Face aux risques, les particuliers comme les entreprises sont encouragés à repenser leurs habitudes en matière de mots de passe, car un simple manque de rigueur peut causer de grandes menaces cyber.

La Journée mondiale du mot de passe ce 6 mai était l’occasion de réévaluer et de repenser nos habitudes liées à l’utilisation des mots de passe, car des mots de passe trop simples ou réutilisés peuvent avoir un lourd impact.

Malheureusement, le manque de rigueur des utilisateurs à mettre à jour régulièrement leurs mots de passe n’aide pas, car la majorité se contenteront de numéroter leurs mots de passe ou de les recycler avec des signes déjà utilisés.

Chaque semaine, les cas de violation de données font la une des médias, et les techniques de « credential stuffing » causent malheureusement d’importants dégâts dans les entreprises. Ce qui est d’autant plus vrai pour ce qui est de l’Active Directory, mais tout ceci n’entrave les cybercriminels que de manière relative.

Pour une sécurité fiable, former un individu aux meilleures pratiques est une chose. Il faut cependant trouver une solution pour éliminer l’erreur humaine de ce processus, et appliquer l’authentification multifactorielle.

La présence d’êtres humains dans les processus quotidiens et l’exploitation de leurs failles est toujours une menace latente. En outre, la mise en œuvre de ces mesures ne devrait pas incomber uniquement à l’individu : les entreprises doivent également être raisonnables et prendre la sécurité au sérieux en appliquant l’authentification multifactorielle de manière rigoureuse.

Nous constations plus d’engagements dans ce sens, notamment de la part des plateformes de réseaux sociaux, lorsqu’il s’agit de comptes d’influenceurs clés – mais ce n’est pas suffisant.

Regis Alix, Quest Software

Source toolinux.com

Tails 4.17 : quoi de neuf pour la distribution Linux sécurisée ?

Featured

Posted on by

Le système d’exploitation popularisé par Edward Snowden poursuit son évolution avec la sortie d’une version de maintenance fin mars. Voici ce qu’il faut savoir sur Tails 4.17.

Après avoir publié sa feuille de route pour 2021, le projet Tails diffuse la troisième version de l’année, Tails 4.17.

C’est quoi, Tails ?

Tails (The Amnesic Incognito Live System) est une distribution Linux sécuritaire basée sur Debian. Elle entend préserver l’anonymat de ses utilisateurs en ne laissant aucune trace numérique sur la machine. Toutes les connexions réseau transitent via Tor ou sont bloquées.

L’OS peut être lancé via une clé USB depuis la plupart des ordinateurs (fabriqués durant la dernière décennie, Mac compris).

Comment ça marche ?

Pour utiliser Tails, vous éteignez l’ordinateur et le démarrez depuis votre clé USB Tails, à la place de Windows, macOS ou même… Linux. Quand Tails démarre, vous êtes face à une page blanche : tout ce que vous faites disparaît automatiquement lorsque vous éteignez Tails. Vous pouvez toutefois enregistrer des fichiers et certaines configurations dans un stockage persistant, mais il sera chiffré sur la clef USB

Quels logiciels dans Tails ?

Plusieurs logiciels sont inclus dans la distribution Tails :

Tor avec uBlock (navigateur sécurisé basé sur Firefox avec bloqueur de publicité)
Thunderbird (courriel chiffré)
KeePassXC (mots de passe forts)
LibreOffice
OnionShare (partage de fichier via Tor)

Tails 4.17 : les nouveautés

La version 4.17 de Tails apporte plusieurs nouveautés :

Amélioration de la fiabilité des mises à jour automatiques
Réparation automatique du système de fichiers utilisé pendant les mises à jour.
Reprise automatique lorsque le téléchargement d’une mise à jour a échoué.
Mise à jour du Navigateur Tor vers la version 10.0.14.
Mise à jour de Thunderbird vers la version 78.8.0.
Mise à jour de Tor vers la version 0.4.5.7.
Mise à jour de GRUB vers la version 2.04-16.
Améliorations diverses das le support de certaines interfaces Wi-Fi, en particulier celles de Intel, Broadcom, and Cypress.

La liste des changements est disponible à cette adresse.

La prochaine mise à jour – Tails 4.18 – est programmée le 20 avril 2021.

Comment installer Tails sur mon ordinateur ?

Trois options s’offrent à vous pour installer Tails : clé USB, DVD ou machine virtuelle.

Vous pouvez installer Tails en moins de 30 minutes en suivant les instructions sur cette page. Vous avez besoin pour cela d’une clé USB (8 Go min.) et allez rapatrier 1,2 GB de données depuis votre ordinateur (Linux, Windows, macOS).

Vous pouvez également graver Tails sur un support DVD ou utiliser Tails dans une machine virtuelle.

Où trouver de la documentation sur Tails ?

Une abondante documentation est disponible sur le site officiel, dont une grande partie est proposée en français.

Source toolinux.com

Mozilla Firefox renforce la protection de la vie privée des utilisateurs avec Firefox 87

Featured

Posted on by

A partir de Firefox 87, le navigateur contiendra des protections supplémentaires pour empêcher les fuites d’informations.

Mozilla Firefox inclura dans cette nouvelle version la protection des informations de ses utilisateurs. Firefox 87, dont la sortie est prévue le 23 mars, réduira les informations relatives au chemin et à la chaîne de requête dans les en-têtes de référence « pour empêcher les sites de divulguer accidentellement des données sensibles sur les utilisateurs ».

Dans un billet de blog publié lundi, le développeur Dimi Lee et le responsable de l’ingénierie de l’infrastructure de sécurité Christoph Kerschbaumer indiquent que la dernière version du navigateur comprendra une « politique par défaut plus stricte et plus respectueuse de la vie privée ».

Télécharger

Gratuit et open source, Mozilla Firefox est le navigateur web multiplateforme le plus populaire. Léger, rapide et personnalisable avec les nombreuses extensions disponibles, il se décline sur les ordinateurs et sur les smartphones et tablettes.

 

  • Téléchargements : 154
  • Date de sortie : 17/03/2021
  • Auteur : Mozilla Foundation
  • Licence : Logiciel Libre
  • Catégories : Internet
  • Système d’exploitation : Android – Linux – Windows Portable – XP/Vista/7/8/10 – Windows XP/Vista/7/8/10 – iOS iPhone / iPad – macOS

Les navigateurs envoient des en-têtes HTTP Referrer aux sites web pour indiquer quel emplacement a « référé » un utilisateur au serveur d’un site web. Les URL complètes des documents de référence sont souvent envoyées dans l’en-tête HTTP Referrer avec d’autres requêtes de sous-ressources, et bien qu’elles puissent contenir des informations utilisées à des fins notamment analytiques, des données privées sur les utilisateurs peuvent également être incluses.

« No-referrer-when-downgrade »

Les politiques de référence visent à protéger ces données, mais si aucune politique n’est définie par un site web, la valeur par défaut est souvent « no-referrer-when-downgrade », un élément qui, selon Firefox, réduit la référence lors de la navigation vers une ressource moins sécurisée, mais qui « envoie toujours l’URL complète, notamment le chemin et les informations de requête du document d’origine en tant que référence ».

« La politique « no-referrer-when-downgrade » est une relique du web du passé, quand on pensait que la navigation web se faisait sur des connexions HTTPS et qu’en tant que telle, elle ne devait pas fuir les informations dans les requêtes HTTP », explique l’équipe. « Le web d’aujourd’hui est bien différent : le web est en passe de devenir exclusivement HTTPS et les navigateurs prennent des mesures pour limiter les fuites d’informations entre les sites. Il est temps de modifier notre politique de référencement par défaut en fonction de ces nouveaux objectifs. »

Ainsi, Firefox 87 introduira « strict-origin-when-cross-origin » par défaut dans la politique de référence du navigateur, ce qui supprimera les informations sensibles de l’utilisateur – y compris le chemin d’accès et la chaîne de requête – accessibles dans les URL et dans les requêtes allant de HTTPS à HTTP ainsi que dans toutes les requêtes cross-origin.

« Firefox appliquera la nouvelle politique de référence par défaut à toutes les requêtes de navigation, les requêtes redirigées et les requêtes de sous-ressources (image, style, script), proposant ainsi une expérience de navigation nettement plus privée », indique Firefox.

Google Chrome a également introduit une politique de référencement par défaut plus stricte dans la version 85 du navigateur, ainsi que des améliorations de la vitesse et des aperçus d’onglets.

Source : zdnet.com

Firefox se dotera bientôt d’une sécurité contre le « drive-by download »

Featured

Posted on by

Firefox, le navigateur de Mozilla, se dotera d’une nouvelle fonction de sécurité sur Firefox en octobre. Celle-ci doit protéger ses utilisateurs contre le « drive-by download » et tous les désagréments qui en découlent.

Mozilla vient d’annoncer le lancement d’une nouvelle fonction de sécurité sur Firefox pour octobre. Celle-ci rendra plus difficile pour les pages web malveillantes de lancer des téléchargements automatiques et de placer des fichiers contenant des logiciels malveillants sur l’ordinateur d’un utilisateur. Appelé « drive-by download », ce type d’attaque existe depuis deux décennies et se produit généralement lorsque les utilisateurs visitent un site web qui contient un code malveillant placé là par un attaquant.

Le rôle du code malveillant est d’abuser des fonctionnalités légitimes des navigateurs et des normes web pour lancer un téléchargement automatique de fichiers ou une invite de téléchargement, dans l’espoir de tromper l’utilisateur et de l’amener à exécuter un fichier malveillant. Il existe de multiples formes de téléchargements « drive-by », selon la fonction du navigateur que les attaquants décident d’utiliser.

Les navigateurs tels que Chrome, Firefox et Internet Explorer ont, au fil des ans, progressivement déployé diverses formes de protection contre les téléchargements automatiques, mais une protection à 100 % ne peut pas être totalement réalisée, parce que les fabricants des navigateurs ne peuvent pas bloquer totalement les fonctionnalités web légitimes, et aussi en raison du paysage changeant des cyberattaques, les attaquants trouvant toujours un nouveau trou à percer.

Source : zdnet.com

Sécurité de Linux : une enquête de la Linux Foundation

Featured

Posted on by

Les logiciels open source et Linux sont à présent partout dans le monde IT. L’occasion pour Harvard et la Linux Foundation de lancer une grande enquête sur la sécurité des FOSS.

Pour David A. Wheeler, responsable de la sécurité de Linux Foundation, « nous devons aujourd’hui avoir une meilleure compréhension des enjeux pour rendre l’open source plus sécurisé encore ».

En 2020, vu la prolifération de Linux et des logiciels libres, l’Université de Harvard et la Fondation lancent une grande enquête auprès des DSI, des contributeurs et des développeurs. Objectif : identifier comment améliorer la sécurité et la pérennité de l’écosystème libre.

Le questionnaire a été élaboré et mis en place par la Core Infrastructure Initiative de la Linux Foundation, en collaboration avec le Laboratory for Innovation Science de Harvard. La participation se fait en anglais et prend entre 15 et 20 minutes. Vous avez jusqu’au début du mois d’août pour apporter votre son de cloche et vos impressions aux équipes en charge. En participant, vous aurez la possibilité de recevoir les conclusions de l’enquête lors de leur publication, avant l’automne.

Le questionnaire (en anglais).

Source toolinux.com