Archives de catégorie : Patch

Cybersécurité, Mise à jour, Patch, Wordpress

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Cybersécurité, Patch

Espionnage : Apple décide de modifier ses AirTag

Le géant américain Apple va modifier ses traceurs AirTag afin d’empêcher les possibilités de cyber espionnage.

Fin novembre 2021, des cas de cybersurveillances avait été découverts au Canada. Des voleurs avaient détourné des AirTags d’Apple pour suivre à la trace des voitures qu’ils souhaitaient voler.

En décembre de la même année, la police locale s’était retrouvée à gérer cinq cas de vol dont le dispositif de repérage d’Apple avait été exploité pour suivre des véhicules. Bref, les pirates n’ont pas perdu de temps avec ce matériel sorti au printemps 2021.

La grosse pomme vient d’annoncer l’actualisation de son traceur AirTag. Mission annoncée, rendre l’object connecté plus sûre.

Dorénavant, les utilisateurs recevront une notification si un AirTag se trouve dans leur entourage depuis un certains temps. Le son du gadget sera aussi augmenté histoire de le repérer plus facilement.

A noter que les autorités peuvent demander à Apple l’identité du propriétaire d’un tracker Apple découvert.

Mise à jour, Patch

83 vulnérabilités dont 10 critiques, une vulnérabilité Zero Day et correctifs Adobe

Le premier Patch Tuesday de l’année permet de résoudre 50 vulnérabilités. Les 10 vulnérabilités critiques concernent les codecs Windows, Office, des extensions vidéo HEVC, le runtime RPC ainsi que les postes de travail. Pour sa part, Adobe a publié des correctifs pour Photoshop, Campaign Classic, InCopy, Illustrator, Captivate, Bridge et Animate.

Correctifs pour les postes de travail

Le déploiement de patches pour Office et Edge est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Zero Day par exécution de code à distance dans Microsoft Defender

Microsoft corrige la vulnérabilité par exécution de code à distance (CVE-2021-1647) dans Defender en publiant un correctif pour Microsoft Malware Protection Engine. Microsoft a déclaré que cette vulnérabilité était exploitée avant que des correctifs ne soient disponibles. Ce correctif doit être déployé en priorité.

Élévation de privilèges avec le processus splwow64

Même si Microsoft précise que ce problème (CVE-2021-1648) concerne une vulnérabilité par élévation de privilèges, cette faille peut être exploitée pour divulguer des informations et plus particulièrement de la mémoire non initialisée. Microsoft a déclaré que cette vulnérabilité n’a pas été exploitée en mode aveugle, même si les détails la concernant sont disponibles publiquement.

Adobe

Adobe publie des correctifs pour de nombreuses vulnérabilités dans Adobe PhotoshopIllustratorAnimate, Campaign, InCopy, Captivate et Bridge. Les correctifs pour Adobe Campaign sont de Priorité 2 tandis que les autres patches sont de Priorité 3Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys)

Mise à jour, Patch

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Cybersécurité, Linux, Mise à jour, Patch, Securite informatique

Patch Tuesday Linux et Adobe

Déni de service via TCP SACK vers le noyau Linux

Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.

Patch Tuesday version Adobe

Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.

Cybersécurité, Mise à jour, Patch, Securite informatique

Microsoft – Patch Tuesday juillet 2019

Ce mois-ci Microsoft résout 77 vulnérabilités dont 15 classées comme critiques. Parmi ces dernières, 11 affectent les moteurs de scripts et les navigateurs tandis que les quatre autres concernent le serveur DHCP, GDI+, l’infrastructure .NET et l’ensemble des outils de développement logiciel Azure DevOps Server (anciennement Team Foundation Server).

En outre, Microsoft a publié des correctifs importants pour deux vulnérabilités activement exploitées facilitant une élévation de privilèges, ainsi que pour une exécution de code à distance sur SQL Server. Microsoft a également diffusé deux avis de sécurité concernant des vulnérabilités affectant Outlook sur le web et le noyau Linux. Concernant Adobe, l’éditeur vient tout juste de publier des correctifs pour Bridge CC, Experience Manager et Dreamweaver.

Correctifs pour postes de travail

Déployer des patches pour les moteurs de script, les navigateurs, GDI+ et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs utilisés comme postes de travail distants.

Exécution de code RCE sur le serveur DHCP

Une vulnérabilité par exécution de code à distance (RCE) (CVE-2019-0785) est présente sur le serveur DHCP de Microsoft lorsque ce dernier est configuré pour une reprise après incident. Un attaquant ayant un accès depuis le réseau au serveur DHCP dédié à la reprise après incident pourrait ainsi exécuter du code de manière arbitraire. Ce correctif doit donc être déployé en priorité sur tous les systèmes exécutant un serveur DHCP en mode Reprise après incident.

Attaques actives sur l’élévation de privilèges

Microsoft a publié des patches pour deux vulnérabilités facilitant une élévation de privilèges (CVE-2019-1132 et CVE-2019-0880) dans Win32k et splwow64 et qui ont été exploitées en aveugle. Même s’ils sont classés comme Importants, ces correctifs sont en fait prioritaires car une association avec d’autres vulnérabilités pourrait fournir un accès complet au système à un cyberattaquant.

Exécution de code RCE sur le serveur SQL

Le Patch Tuesday de ce mois-ci résout également une vulnérabilité par exécution de code à distance (CVE-2019-1068) au sein du serveur Microsoft SQL Server. Classée comme Importante, cette vulnérabilité exige une authentification. Cependant, si elle est associée à une injection de code SQL, un cyberattaquant risque de compromettre complètement le serveur.

Azure DevOps Server (anciennement Team Foundation Server)

L’ensemble d’outils de développement logiciel Azure DevOps Server (ex-Team Foundation Server – TFS) est affecté par une vulnérabilité par exécution de code à distance (CVE-2019-1072) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Sont également concernés les utilisateurs anonymes si le serveur est configuré pour accepter ces derniers. Ce correctif est donc une priorité pour toutes les installations Azure DevOps ou TFS.

Script XSS dans Outlook sur le web

Microsoft a publié un avis de sécurité pour une vulnérabilité à base de scripts intersite (XSS) dans Outlook sur le web (anciennement OWA). Cette vulnérabilité permet à un attaquant d’envoyer un fichier SVG malveillant, même si l’utilisateur ciblé doit ouvrir ce fichier d’image vectorielle directement en le glissant vers un nouvel onglet ou en copiant l’URL dans un nouvel onglet. Même si ce scénario d’attaque reste improbable, Microsoft recommande de bloquer les fichiers au format SVG. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Communiqué de presse, Cybersécurité, Mise à jour, Patch

Les accès à privilèges, clés de l’attaque chinoise contre les télécoms

L’opération récente de la Chine contre des sociétés de téléphonie cellulaire – appelée « opération Soft Cell » – fait partie d’une campagne d’espionnage qui exploite les accès aux comptes à privilèges. La compromission des identifiants reste en effet l’arme de choix des cyber-attaquants et est un modèle d’attaque récurrent.

Ce phénomène a débuté lorsque Edward Snowden a révélé l’opération Socialist, une campagne de la CIA et du Global Communication Headquarters (GCHQ) britannique, qui aurait tenté de prendre le contrôle d’un réseau majeur : Belgacom, société de télécommunications belge. Cet accès aurait permis aux agences de renseignements d’obtenir les métadonnées nécessaires pour suivre à la trace des individus spécifiques.

Pour Lavi Lazarovitz, responsable de l’équipe de recherche en sécurité du CyberArk Labs, Soft Cell trouve son origine ailleurs – l’APT 10, un groupe de cyber-espionnage chinois – mais son modèle d’exécution est très similaire : « L’opération Socialist, à l’instar de Soft Cell, a exploité les accès à privilèges pour prendre le contrôle des systèmes de télécommunications, en restant dans l’ombre. Aucune de ces attaques n’a eu besoin d’exploiter des vulnérabilités, ou d’utiliser des outils sophistiqués et agressifs, chers à développer. Dans les deux cas, les groupes ont compromis des accès à privilèges de l’organisation, c’est-à-dire les comptes d’administrateurs de domaine disposant de droits sur un domaine entier, ce qui les rend extrêmement pertinents pour les attaquants.«

Comptes administrateurs, accès à privilège et pirates

Les comptes d’administrateurs de domaine, et autres accès à privilèges bien connus, sont généralement contrôlés et surveillés de près. Cependant, il reste bien souvent des vulnérabilités exploitables. Les attaquants ont probablement visé des « administrateurs fantômes », c’est-à-dire des accès à privilèges qui ne sont pas répertoriés dans l’Active Directory, les rendant invisibles et donc ignorés par les équipes de sécurité des organisations. Ces types de comptes disposent de privilèges particuliers, qui permettent à un attaquant de contrôler des réseaux complets, sans être associés à un groupe de privilèges. En conséquence, l’attaque laisse peu de traces, tout en offrant de la souplesse au hacker. Lors de l’opération Soft Cell, les cybercriminels ont lancé un service VPN pour obtenir un accès fantôme au réseau, potentiellement basé sur des comptes d’administrateurs fantômes.

Cela démontre une fois encore l’efficacité d’un VPN pour se protéger et éviter les erreurs.

Le recours à ces derniers n’est pas le seul raccourci utilisé par les assaillants des opérations Soft Cell et Socialist. Dans ces deux cas, les attaques contre les sociétés de télécommunications ont visé la chaîne logistique. En effet, tout comme les usines de fabrication de hardwares, les éditeurs de logiciels qui fournissent des mises à jour de produits, ou des serveurs de réseau de trafic internet, sont vulnérables aux attaques de la chaîne logistique.

Jérôme Robert de la société Alsid, commente « On ne peut qu’être consterné devant l’ampleur de cette brèche, mais il faut bien admettre que l’avènement d’un incident de cette nature était inéluctable. Notre industrie, dans son ensemble, a investi des centaines de milliards d’euros dans la protection des postes, des réseaux, et des données tout en restant résolument aveugle au danger que représente l’insécurité d’Active Directory. Ce douloureux rappel à l’ordre doit alerter les entreprises et les industries qui doivent sortir la tête du sable et prendre cette menace à bras le corps ! C’est une cyber-bombe à retardement, et le minuteur touche à sa fin« .

Cette stratégie d’attaque est même devenue courante. De nombreux cybercriminels redirigent leurs efforts : au lieu de cibler directement des organisations bien sécurisées, ils visent désormais leurs chaînes logistiques qui le sont moins. Les hackers, souhaitant accéder discrètement et en continu aux données et à l’IP d’une entreprise, n’envoient plus massivement des emails de phishing et préfèrent compromettre le matériel de la société. Les pirates qui souhaitent accéder aux métadonnées, à la localisation et aux appels d’un individu pendant une période plus longue peuvent alors remplacer l’exposition coûteuse d’une vulnérabilité de WhatsApp par la compromission du téléphone d’un individu spécifique.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Patch, RGPD, Sécurité, Securite informatique

Microsoft obtient la certification FIDO2 pour Windows Hello

Un commentaire

FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs

L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.

FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.

FIDO2

« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe, confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10 ».

Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.

Windows 10 prend en compte FIDO

La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.

« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»

FIDO2 et les navigateurs

En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.

Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.