[fr] Bulletin de sécurité Riseup
Comme vous l'avez probablement lu, il y a trois problèmes de sécurité majeurs avec les processeurs modernes. Ces vulnérabilités ont le potentiel de permettre à un programme malveillant de voler vos mots de passe, vos données sensibles et vos informations personnelles sur votre ordinateur, même si le programme n'est qu'un simple script javascript sur une page web que vous visistez. Ces failles sont très préoccupantes et vous devriez prendre tous les moyens nécessaires pour mettre à jour vos logiciels.
* La première faille, appelé « Meltdown, » touche presque tous les processeurs Intel et a été corrigé par les dernières mises à jour de la majorité des système d'exploitation.
* Les deux autres failles, appelé « Spectre, » touchent presque tous les processeurs construit dans les 20 dernières années et pas seulement ceux d'Intel. Cepenmdant, ces dernières sont plus difficile à exploiter. Il n'y a pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer.
Vous devriez effectuer les *deux* étapes suivantes pour tous vos appareils :
(1) Mettre à jour votre navigateur Web (voir plus bas). Ces correctifs rendent ces nouvelles attaques contre les processeurs beaucoup plus difficile à effectuer.
(2) Mettre a jour votre système d'exploitation. Il y a des mises à jour disponibles pour Windows, MacOS et GNU/Linux qui corrigent la vulnéralibité Metldown pour les processeurs Intel. De plus, les dernières versions de iOS et de Android pubilées réduisent la possibilité d'utiliser Spectre.
De meilleurs conrrectifs continuront d'être publiés dans les semaines et mois à venir afin de mieux protéger votre système d'exploitation et vos logiciels. S'il vous plait, gardez votre système à jour!
Navigateurs
-------------------------
En mettant à jour votre navigateur, vous pouvez rendre la tâche beaucoup plus difficile à une personne voulant voler vos données confidentiels à l'aide d'un script chargé sur une page web que vous consultez.
Les versions 57.0.1 et suivantes de Firefox intègrent des mesures d'atténuations de la faille Spectre [1].
Edge a été mis à jour pour inclure des mesures d'atténuations. Lorsque vous allez faire les mises à jour Windows, vous allez obtenir la dernière version de Edge.
Safari sera mis à jour très prochainement, selon Apple. Consultez le App Store pour les dernières mises à jour.
Google Chrome intègrera des mesures d'atténuations dès la version 64 qui sera publiée le 23 janvier prochain. D'ici là, vous pouvez changer votre configuration pour réduire les risques de la faille Spectre en activant « l'isolation des sites » https://support.google.com/chrome/answer/7623121?h...
De plus, veuillez consulter https://riseup.net/fr/security/network-security/be... pour plus d'instructions sur les bonnes pratiques de navigation en ligne (ces bonnes pratiques aideront aussi à réduire les risques d'attaques).
Windows
-------------------------
Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que votre ordinateur arrête de fonctionner peuvent se produirent [2].
Pour mettre à jour Windows 10 :
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à jour ».
C'est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu « choisissez comment les mises à jour sont installées » sélectionné « Automatiquement (Recommandé) ».
Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.
macOS
-------------------------
Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre Meltdown [3]. Si ce n'est pas le cas, mettez à jour OSX.
> Ouvrez l'App Store sur votre Mac et sélectionnez l'onglet « Mises à jour ». Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer les mises à jour disponibles.
C'est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur la pomme en haut à gauche et allez dans « Préférences systèmes... » > « App Store » et cocher la case « Recherche des mises à jour automatique »
Apple planifie publier une mise à jour du navigateur Safari qui intègrera des aténuations pour la faille Spectre.
iOS
-------------------------
Apple a confirmé que iOS était touché par Spectre et qu'une mise à jour avait été publié pour aténué les possibilités d'attaques. Si vous avez les versions 11.2 ou plus récente de iOS vous êtes correct. Si ce n'est pas le cas, mettez à jour votre appareil [3].
Android
-------------------------
La mauvaise nouvelle est qu'Android est vulnérable et qu'à moins d'avoir un cellulaire ayant directement les mises à jour de Google ou utilisant un firmware modifié, il est possible que vous n'ayez pas de mise à jour avant des mois voire que vous n'en ayez jamais. Cependant, le consensus chez les chercheurs en sécurité, en ce moment, est que l'attaque Spectre est assez difficile qu'il y a probablement des façons plus faciles de compromettre un appareil Android. Yeah?
Il y a une chose que vous pouvez faire pour rendre votre apareil Android plus sécuritaire face à ces attaques contre les processeurs :
* Activer « l'isolation des sites Web » dans Chrome : https://support.google.com/chrome/answer/7623121?h...
* Mettre à jour Chrome après le 23 janvier prochain.
* Ou utiliser Firefox for Android.
Debian/Ubuntu GNU/Linux
-------------------------
Ouvrez le « Centre de logiciel » ou le « Centre de mise à jour » et faites vos mises à jour.
Sinon, vous pouvez ouvrir un terminal et tapez les commandes suivantes :
sudo apt update
sudo apt upgrade
sudo reboot
Fedora GNU/Linux
------------------------
Ouvrez un terminal et taper les commandes suivantes :
sudo dnf --refresh update kernel
sudo reboot
Restez en sécurité, restez fort
Les oiseaux Riseup
[1] https://www.mozilla.org/en-US/security/advisories/...
[2] http://www.theregister.co.uk/2018/01/04/microsoft_...
[3] https://support.apple.com/en-us/HT208394
* La première faille, appelé « Meltdown, » touche presque tous les processeurs Intel et a été corrigé par les dernières mises à jour de la majorité des système d'exploitation.
* Les deux autres failles, appelé « Spectre, » touchent presque tous les processeurs construit dans les 20 dernières années et pas seulement ceux d'Intel. Cepenmdant, ces dernières sont plus difficile à exploiter. Il n'y a pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer.
Vous devriez effectuer les *deux* étapes suivantes pour tous vos appareils :
(1) Mettre à jour votre navigateur Web (voir plus bas). Ces correctifs rendent ces nouvelles attaques contre les processeurs beaucoup plus difficile à effectuer.
(2) Mettre a jour votre système d'exploitation. Il y a des mises à jour disponibles pour Windows, MacOS et GNU/Linux qui corrigent la vulnéralibité Metldown pour les processeurs Intel. De plus, les dernières versions de iOS et de Android pubilées réduisent la possibilité d'utiliser Spectre.
De meilleurs conrrectifs continuront d'être publiés dans les semaines et mois à venir afin de mieux protéger votre système d'exploitation et vos logiciels. S'il vous plait, gardez votre système à jour!
Navigateurs
-------------------------
En mettant à jour votre navigateur, vous pouvez rendre la tâche beaucoup plus difficile à une personne voulant voler vos données confidentiels à l'aide d'un script chargé sur une page web que vous consultez.
Les versions 57.0.1 et suivantes de Firefox intègrent des mesures d'atténuations de la faille Spectre [1].
Edge a été mis à jour pour inclure des mesures d'atténuations. Lorsque vous allez faire les mises à jour Windows, vous allez obtenir la dernière version de Edge.
Safari sera mis à jour très prochainement, selon Apple. Consultez le App Store pour les dernières mises à jour.
Google Chrome intègrera des mesures d'atténuations dès la version 64 qui sera publiée le 23 janvier prochain. D'ici là, vous pouvez changer votre configuration pour réduire les risques de la faille Spectre en activant « l'isolation des sites » https://support.google.com/chrome/answer/7623121?h...
De plus, veuillez consulter https://riseup.net/fr/security/network-security/be... pour plus d'instructions sur les bonnes pratiques de navigation en ligne (ces bonnes pratiques aideront aussi à réduire les risques d'attaques).
Windows
-------------------------
Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que votre ordinateur arrête de fonctionner peuvent se produirent [2].
Pour mettre à jour Windows 10 :
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à jour ».
C'est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu « choisissez comment les mises à jour sont installées » sélectionné « Automatiquement (Recommandé) ».
Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.
macOS
-------------------------
Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre Meltdown [3]. Si ce n'est pas le cas, mettez à jour OSX.
> Ouvrez l'App Store sur votre Mac et sélectionnez l'onglet « Mises à jour ». Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer les mises à jour disponibles.
C'est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur la pomme en haut à gauche et allez dans « Préférences systèmes... » > « App Store » et cocher la case « Recherche des mises à jour automatique »
Apple planifie publier une mise à jour du navigateur Safari qui intègrera des aténuations pour la faille Spectre.
iOS
-------------------------
Apple a confirmé que iOS était touché par Spectre et qu'une mise à jour avait été publié pour aténué les possibilités d'attaques. Si vous avez les versions 11.2 ou plus récente de iOS vous êtes correct. Si ce n'est pas le cas, mettez à jour votre appareil [3].
Android
-------------------------
La mauvaise nouvelle est qu'Android est vulnérable et qu'à moins d'avoir un cellulaire ayant directement les mises à jour de Google ou utilisant un firmware modifié, il est possible que vous n'ayez pas de mise à jour avant des mois voire que vous n'en ayez jamais. Cependant, le consensus chez les chercheurs en sécurité, en ce moment, est que l'attaque Spectre est assez difficile qu'il y a probablement des façons plus faciles de compromettre un appareil Android. Yeah?
Il y a une chose que vous pouvez faire pour rendre votre apareil Android plus sécuritaire face à ces attaques contre les processeurs :
* Activer « l'isolation des sites Web » dans Chrome : https://support.google.com/chrome/answer/7623121?h...
* Mettre à jour Chrome après le 23 janvier prochain.
* Ou utiliser Firefox for Android.
Debian/Ubuntu GNU/Linux
-------------------------
Ouvrez le « Centre de logiciel » ou le « Centre de mise à jour » et faites vos mises à jour.
Sinon, vous pouvez ouvrir un terminal et tapez les commandes suivantes :
sudo apt update
sudo apt upgrade
sudo reboot
Fedora GNU/Linux
------------------------
Ouvrez un terminal et taper les commandes suivantes :
sudo dnf --refresh update kernel
sudo reboot
Restez en sécurité, restez fort
Les oiseaux Riseup
[1] https://www.mozilla.org/en-US/security/advisories/...
[2] http://www.theregister.co.uk/2018/01/04/microsoft_...
[3] https://support.apple.com/en-us/HT208394
- 6 Janvier 2018 17:19
- |
3Personnes qui aiment ça
Robles Rodolphe
Une petite astuce pour ceux qui ont une debian 9 (strecht), la version stable de firefox n'est pas très à jour encore, mais il y a une bonne astuce (que j'utilise), ajouter le dépôt unstable de dans les sources et faire un pinning, pour mettre à jour firefox avec la version instable de Debian et pro...
Plus
- 8 Janvier 2018
- ·
-
