Il a été révélé récemment que le CMS WordPress avait certaines failles critiques qui permettaient de compromettre tous les sites sous WordPress. Face à cela, les développeurs de WordPress ont réagi et ont rendu disponible une mise à jour de sécurité, connue sous la version 4.1.2.

Cette mise à jour critique est donc censée corriger une faille importante du CMs en lui-même, car les versions antérieures étaient « affectées par une vulnérabilité critique cross-site scripting (XSS) », qui permettait à des utilisateurs mal intentionnés de nuire à un site.

Cette faille concernait une ambiguïté dans la documentation, permettant aux développeurs de plugins d’utiliser les fonctions add_query_arg() et remove_query_arg() pour injecter des contenus malveillants ou inappropriés. Le CMS WordPress domine largement dans le domaine de la gestion de contenus web. Il est donc logiquement la victime de nombreux hackers, étant donné l’impact d’une attaque réussie sur les nombreux sites WordPress dans le monde.

Par ailleurs, cette mise à jour permet également de se protéger contre les éventuelles injections SQL via certains plugins par XSS. Contrairement à la croyance populaire, WordPress n’est pas un mauvais CMS, c’est souvent la faute des gestionnaires de sites, qui tardent à mettre à jour les CMS et les plugins. Afin d’éviter tout problème ultérieur,  les gestionnaire de sites WordPress sont donc fortement invités à mettre à jour WordPress.

Source: Programmez!

The post WordPress 4.1.2 : une mise à jour de sécurité critique appeared first on Mistra Blog.

Bonjour à tous,

La sécurité a toujours été une priorité chez Mistra. Nous protégeons les données de tous nos clients, que ce soit au niveau des documents administratifs, les rapports ou encore les projets que nous développons puis hébergeons pour eux.

Aujourd’hui, Mistra a décidé d’aller plus loin et, à partir d’aujourd’hui, vos historiques de navigation sur les sites mistra.fr et blog.mistra.fr seront 100% sécurisés HTTPS. 

Notre équipe de test s’est assurée que toutes les fonctionnalités de nos sites étaient opérationnelles, mais si vous trouvez une anomalie, n’hésitez pas à nous en faire part.

Nous vous souhaitons à tous d’excellentes vacances d’été

L’équipe Mistra Formation

The post Mistra passe à l’heure du HTTPS appeared first on Mistra Blog.

Google annonce l’arrivée de son fork baptisé BoringSSL. La firme de Mountain View a cependant précisé que cette nouvelle implémentation sera essentiellement destinée à un usage interne.

Utilisé en interne

Alors qu’OpenSSL vient d’être la victime d’une faille sans précédent, Google, qui l’utilise depuis plusieurs années, a annoncé la mise en place d’un fork maison baptisé provisoirement BoringSSL. Cette décision n’est cependant pas liée à ce problème de vulnérabilité de la bibliothèque de chiffrement Open Source, mais à la complexité de la gestion des patchs que la firme de Mountain View applique à chacune des nouvelles moutures d’OpenSSL.

Adam Langley, ingénieur logiciel chez le géant du Web, explique que Google utilisait son propre lot de correctifs à chaque mise à jour de la bibliothèque de chiffrement dans le but d’en optimiser le fonctionnement ou de l’adapter à ses produits. Le problème est que seule une partie de ces patchs peuvent être reversés dans le code d’OpenSSL, le reste ne cadrant pas avec les garanties de stabilité des API et ABI ou étant trop expérimental.

Selon Adam Langley, la décision de « forker » la bibliothèque de chiffrement s’impose d’elle-même, car le maintien des patchs (au nombre de 70 pour Android et Chrome) et la vérification de compatibilité sont devenus trop lourds. Google change donc de modèle et va désormais porter ses patchs sur BoringSSL pour sécuriser les transactions SSL/TLS au sein de ses produits. L’ingénieur précise cependant que l’entreprise n’a pas l’intention de concurrencer OpenSSL, dont elle en importera les nouveautés qui l’intéresseront. Google continuera par ailleurs à envoyer ses correctifs au projet Open Source initial.

Communication avec LibreSSL

Adam Langley ajoute dans son billet que Google va collaborer avec l’autre version libre d’OpenSSL, LibreSSL. Les contributions importantes apportées dans le fork d’OpenBSD Foundation seront ainsi intégrées dans BoringSSL et vice-versa. Google va également continuer à soutenir l’initiative Core Infrastructure, initiative lancée fin mai par la Linux Foundation, qui réunit de grands noms de l’informatique dont comme Apple, Intel, Amazon, Dell et Facebook.

Ce projet a été mis en place à la suite de l’identification de la faille dans OpenSSL pour financer les efforts de sécurisation des protocoles les plus utilisés dont OpenSSL, OpenSSH et NTP.

Pour rappel, la faille de sécurité identifiée dans la bibliothèque de chiffrement le 7 avril dernier est considérée comme l’une des plus importantes qu’Internet a connu. En effet OpenSSL, symbolisé par le petit cadenas en haut du navigateur, est un outil Open Source largement utilisé pour sécuriser les communications entre un PC et un serveur.

C’est notamment un gage de sécurité dans le paiement en ligne. La faille touche précisément l’extension Heartbeat d’OpenSSL qui crée une communication longue durée entre un PC et un serveur. Baptisée Heartbleed, elle permet de récupérer à distance le contenu de la mémoire d’un serveur vulnérable qui renvoie plus de données qu’il n’en faut aux clients. Or dans ces données en trop, il peut y avoir des données sensibles comme des mots de passe.

The post BoringSSL : le fork d’OpenSSL signé Google appeared first on Mistra Blog.

Microsoft Account choisit une authentification à deux facteurs pour sécuriser les comptes des utilisateurs.

C’est le liste liveside.net qui l’annonce en avant-première. Après Paypal, Facebook, Google, et Apple, c’est désormais Microsoft qui adopte une identification à deux facteurs, afin de sécuriser les comptes des utilisateurs.

Cette authentification à deux facteurs devrait être paramétrée dans les options de compte Microsoft. Il s’agira d’un code de sécurité qui sera demandé en complément du mot de passe. Ce code de sécurité sera généré par « Authentificator ». L’application « Authenticator » génère des codes de sécurité utilisables pour aider à conserver le compte Microsoft de façon sécurisée. Il est déjà possible d’ajouter son compte Microsoft à l’application en scannant un code-barres ou en entrant manuellement une clef secrète. L’application met alors en œuvre une génération de code de sécurité, utilisant les standards de industrie, et peut également travailler avec d’autres services et des fournisseurs. D’autres informations sur la génération du code sont disponible sur le site.

Toutefois, cette fonction d’authentification en deux étapes a ses limites. Elle pourrait ne pas fonctionner avec des comptes liés, et certains périphériques qui utilisent Microsoft Account pourrait ne pas supporter la validation en deux étapes, par exemple des applications de messagerie sur certains téléphones mobiles. Microsoft aurait trouvé la parade avec la génération d’un  mot de passe sur le site Microsoft Account…

Les utilisateurs soucieux de la sécurité de leurs données attendent avec impatience la sortie de cette nouvelle fonctionnalité. Microsoft n’a pas encore communiqué sur la date de disponibilité de cette authentification en deux étapes.

The post Sécurité : deux facteurs pour Microsoft appeared first on Mistra Blog.

Adobe vient de mettre à disposition une troisième mise à jour (depuis début février) pour Flash Player.

Ce correctif à pour but de corriger trois vulnérabilités dont deux jugées critiques et déjà exploitées pour attaquer le navigateur Firefox.

Cette mise à jour s’applique à Flash Player 11.6.602.168 (et plus ancien) pour Windows et aux versions 11.6.602.167 et inférieures pour OS X.

Pour télécharger la dernière version c’est ici

The post Flash Player, jamais deux sans trois appeared first on Mistra Blog.

Le réseau social Twitter vient d’être la cible de hackers. Le site de microblogging annonce avoir été victime d’une attaque sophistiquée  et que les pirates auraient pu avoir accès aux identifiants et mots de passe  d’environ 250 000 utilisateurs.

Bob Lord, directeur de la sécurité de Twitter, annonce dans un blog que l’attaque a été stoppée et que les hackers n’ont eu qu’un accès limité aux informations personnelles. Il semblerait toutefois qu’environ 250 000 utilisateurs soient concernés. Les noms d’utilisateurs, les adresses électroniques, les sessions, et les versions cryptées des mots de passe pourraient avoir été compromis. Une attaque qui ne serait ni l’œuvre d’amateurs ni un incident isolé, selon la société de San Francisco ; les sites du New York Times et du Wall Street Journal auraient également été pris pour cible.

La riposte de Twitter a été rapide. Le site a réinitialisé les mots de passe et a demandé aux utilisateurs de vérifier la solidité de leurs mots de passe sur le réseau social et plus globalement sur Internet. Twitter recommande d’utiliser des mots de passe contenant au moins 10 caractères, de mélanger lettres majuscules et minuscules, ainsi que des chiffres et des symboles. La société rappelle aussi qu’utiliser le même mot de passe pour plusieurs comptes en ligne augmente considérablement les risques de se faire voler ses informations personnelles.

En plus de ces réactions et d’une action en justice afin de poursuivre les auteurs de l’attaque, Twitter cherche à introduire une nouvelle mesure de sécurité. Il s’agirait de la « double authentification ». Ce système, déjà utilisé par Google pour Gmail, bloque l’accès d’un compte dès que l’utilisateur se connecte depuis un ordinateur, un smartphone, une tablette ou un endroit non reconnu, même si l’utilisateur utilise un mot de passe correct.

The post Twitter fait face aux hackers appeared first on Mistra Blog.

L’équipe de sécurité de Google travaille sur un projet de suppression de mot de passe au profit d’un identifiant unique supporté par une clef USB. Grâce à une mini-carte glissée dans le port USB de l’ordinateur, il serait bientôt possible d’assurer une connexion sécurisée et d’automatiser d’autres services en ligne.

C’est le site Wired qui a annoncé cette information. Google réfléchit à un processus qui enverrait définitivement aux oubliettes les mots de passe, et l’inévitable casse-tête qui les accompagne.

Il est vrai que l’année 2012 a été marquée par des vagues de piratage informatique qui ont touché de nombreux sites, et ont été largement relayées par la presse. De quoi alerter les utilisateurs et les rendre attentifs aux solutions présentées.

Si l’objectif avancé par Google est l’amélioration de la sécurité en évitant le vol des mots de passe, il semblerait que la firme de Mountain View ait également d’autres motivations. En effet, pour que la fonctionnalité soit active, il faudra que Google dispose d’un navigateur performant. La version actuelle de Google Chrome pourrait ne pas être suffisante et serait améliorée ; de quoi assurer une nouvelle promotion du navigateur. Sans compter, le prix de vente de ces futures clefs USB dont on ne sait pas encore si elles prendraient la forme d’une simple clef ou d’un smart-ring.

Quoi qu’il en soit, ces clefs ne devraient pas être gratuites, et leur prix est encore inconnu ! Enfin, cette solution aura-t-elle l’effet escompté en cas de vol de la clef ? Rien n’est moins sûr.

The post Google déclare la guerre aux mots de passe appeared first on Mistra Blog.

Java faisait à nouveau parler de lui avec une nouvelle faille : la brèche 0-Day. Bonne nouvelle Oracle, éditeur de la technologie Java, vient de corriger cette brèche !

La nouvelle mise à jour de la sécurité répare plusieurs bugs dont 0-Day qui avait pour inconvénient majeur de permettre à un utilisateur malveillant le lancement d’un programme à distance et le piratage de l’ordinateur visé. Ce bug concernant près de 20% de la population mondiale, plus d’un milliard d’ordinateurs, 3 milliards de téléphones et tous les lecteurs Blue-ray, Oracle a choisi de réagir rapidement.

Le site d’Oracle (http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html#PatchTable) propose plusieurs documents. L’un concerne la faille CVE-2012-4681, qui est double. Oracle adjoint trois autres correctifs destinés à Java 6. En effet, les failles CVE-2012-4681 ne concernaient que Java 7 (ou 1.7), alors que les autres correctifs touchent également Java 6.

De très nombreuses machines doivent donc être mises à jour très rapidement.

Si vous travaillez sur Windows ou un autre OS, il est conseillé de récupérer directement l’exécutable correspondant à votre version sur le site d’Oracle. L’idéal étant de faire les mises à jour directement via le site d’Oracle ou de récupérer la dernière mouture de Java 7 (Update 7). Si votre ordinateur ne vous propose pas automatiquement la mise à jour, vous pourrez télécharger la versionJava SE Runtime Environment 7 ici. (http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html)

Enfin, sachez que vous pouvez également supprimer Java si vous ne l’utilisez pas. La plupart des sites qui s’en servent exclusivement sont assez rares ; cette technologie étant surtout employée dans le cadre de la mobilité ou pour certains jeux.

En conclusion, pour tous les utilisateurs prudents, et on les espère très nombreux, il est conseillé de désinstaller les composants de Java non utilisés, pour réduire les risques.

The post Revenons sur la faille Java appeared first on Mistra Blog.

Alors qu’Oracle vient tout juste de publier un Mise à jour pour Java 7 (Update11), afin de combler une vulnérabilité qui a fait grand bruit.  Une nouvelle vulnérabilité 0-day aurait été trouvée.

Les experts en sécurité  (notament l’US-CERT) renouvellent leur recommandation de n’activer Java dans votre navigateur qu’en cas de nécessité!

Trend Micro alarme aussi sur le fait qu’un Malware se faisant passer pour l’update 11 de Java circule actuellement!

Pour limiter les risques, il est préférable d’utiliser le site officiel d’Oracle pour télécharger les mises à jour.

The post Une nouvelle vulnérabilité pour Java appeared first on Mistra Blog.

Nous vous l’annoncions il y a quelques jours, une faille présente dans les versions 7 à 9 d’Internet Explorer a été publiquement exposée sur les différents sites de sécurité. Pas de solutions temporaires pour éviter le problème, il fallait donc attendre une réponse de Microsoft.

La réponse est arrivée vendredi, forçant nos administrateurs système à reporter leurs weekend (on ne leur a pas dit qu’on ne fait jamais de mise en prod le vendredi ?). Toutes les informations sont disponibles ici : http://technet.microsoft.com/en-us/security/bulletin/ms12-063 . On y découvre que la faille vient d’une mauvaise utilisation de la mémoire.

La nouvelle presque réconfortante, c’est que la faille présente dans Internet Explorer ne permettait pas de prendre les droits administrateurs, mais uniquement, depuis un site web, d’avoir les droits de l’utilisateur courant. Pour les entreprises importantes ayant des utilisateurs très limités, c’est déjà une bonne nouvelle.

Pour résumer, une solution: lancer Windows Update et laisser la magie s’opérer.

(Merci à Ben pour l’information)

The post Microsoft corrige la faille des Internet Explorer appeared first on Mistra Blog.