Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.
Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.
Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.
Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.
Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.
Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.
A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.
De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.
Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.
Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.
Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.
Ordinateurs portables impactés
En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.
Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.
Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.
Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.
Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.
Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.
Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.
Le président américain Joe Biden met en place la loi Quantum Computing Cybersecurity Preparedness Act. Elle est censée protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique.
Alors que des scientifiques chinois ont annoncé le crack de mots de passe (RSA) grâce au calcul quantique, les Etats-Unis se préparent à s’armer d’une loi pour se protéger ! La loi, baptisée Quantum Computing Cybersecurity Preparedness Act (QCCRA), est conçue pour protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique. Cette loi porte sur la migration des systèmes informatiques des agences exécutives vers la cryptographie post-quantique.
La cryptographie post-quantique est un chiffrement suffisamment puissant pour résister aux attaques des ordinateurs quantiques développés à l’avenir. La loi ne s’applique pas aux systèmes de sécurité nationale.
Une fois que les National Institutes of Standards and Technology (NIST) ont publié des normes de cryptographie post-quantique, l’OMB publiera des directives exigeant que chaque agence exécutive élabore un plan de migration des technologies de l’information de l’agence vers la cryptographie post-quantique.
Les ordinateurs quantiques peuvent casser les algorithmes cryptographiques existants. Les experts estiment que l’informatique quantique atteindra ce stade dans les 5 à 10 prochaines années, rendant potentiellement toutes les informations numériques vulnérables aux acteurs de la cybermenace avec les protocoles de cryptage existants.
La loi (H.R. 7535) oblige chaque agence de créer et de maintenir une liste à jour des technologies de l’information utilisées pouvant être vulnérables au déchiffrement par des ordinateurs quantiques. Elles doivent également créer un processus d’évaluation des progrès de la transition des systèmes informatiques vers la cryptographie post-quantique. Ces exigences doivent être remplies dans les six mois suivant l’adoption de la loi.
Des experts chinois cassent le cryptage RSA à l’aide d’ordinateurs quantiques
Un groupe de chercheurs chinois a surpris la communauté de la cybersécurité en affirmant qu’ils avaient réussi à casser le type de cryptage le plus répandu sur le Web, le RSA. Pour cela, les experts ont utilisé des ordinateurs quantiques, bien qu’il soit généralement admis qu’ils ne constituent pas actuellement une menace pour l’ algorithme RSA.
Le Financial Times écrit sur la percée des spécialistes chinois. Fin décembre, les chercheurs ont publié un article (PDF) détaillant une méthode de craquage de l’algorithme RSA à l’aide d’un ordinateur quantique équipé de seulement 372 qubits (bits quantiques).
Rappelons que RSA est au cœur d’une grande partie du chiffrement en ligne. Les rapports d’un piratage réussi ont alerté les spécialistes de la sécurité de l’information, car IBM a promis cette année de mettre à la disposition des clients l’ordinateur quantique le plus puissant, le système Osprey à 433 qubits.
Il n’est pas difficile d’imaginer ce qui attend RSA dans ce cas : il ne survivra tout simplement pas. Roger Grimes, l’un des vénérables experts dans le domaine de la cybersécurité, a noté qu’il s’agit d’un moment très important dans l’histoire de la sphère de la cybersécurité (si les affirmations des experts chinois s’avèrent vraies). « En fait, cela signifie que les autorités d’un pays pourront révéler les secrets d’autres pays. », souligne Grimes.
Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.
L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.
Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.
Identification à l’oreille !
L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.
La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.
Petites entreprises, grandes menaces : restez informés, restez protégés
