Greboca  

Suport technique et veille technologique

Suport technique et veille technologique

Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.

C’est alors la barrière de la prise en main qui fait peur, et pourtant...

Les logiciels libres

L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.

Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.

Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.

Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.

0rphn3  -  APT Update / l'Aperçu de la Presse Tech

 -  17 mars - 

Bonjour à tous, cette semaine on liste les principales vulnérabilités en cours !

L'agenda


Depuis le 15 mars et jusqu'au samedi 22 mars, les villes de Mourenx et Orthez (Pyrénées-Atlantiques) accueillent la semaine De(s)Connexions. Entrée libre et gratuite, réservation conseillée pour les spectacles et ateliers, programme et renseignements pratiques disponibles ici.

En ligne


Le 20 mars de 11h à 17h, le webjournal DarkReading organise Cybersecurity's Most Promising New and Emerging Technologies, une série de tables rondes en ligne. Gratuit sur inscription.

Opinion(s)


Tristan Nitot fait un peu de sémantique, et nous explique pourquoi il préfère l'autonomie stratégique à la souveraineté.

Justement, le Comptoir Open-Source énumère les raisons pour lesquelles les logiciels FOSS devraient devenir la norme dans l'éducation, et le développement de l'autonomie numérique n'y est pas pour rien.

Pannes et bugs


Google


Suite à un problème de certificat expiré, Google a publié en urgence un avertissement aux utilisateurs de Chromecast modèle H2A2 et H2B2, et Chromecast Audio modèle N0A6 : ne pas réinitialiser aux paramètres d'usine, sous peine de générer des problèmes d'authentification. Une résolution du problème est en cours.
La dernière mise à jour des téléphones Android Pixel 9 a causé chez certains utilisateurs l'arrêt du fonctionnement du scanner d'empreintes. Une solution provisoire consiste à éteindre le téléphone quelques secondes avant de le redémarrer.
De nombreux utilisateurs de Messages, l'appli d'échanges de messages SMS, MMS et RCS de Google, rencontrent des problèmes divers : chargement ralenti ou impossible, images floues, arrêt inopiné de l'appli… Google a publié un message à l'endroit des utilisateurs, demandant de faire remonter les détails à propos des incidents rencontrés.

Windows


Suite à la mise à jour optionnelle KB5050092 sur Windows 10 et 11, les utilisateurs d'imprimantes USB sont confrontés à un bug qui fait imprimer du texte aléatoire. Microsoft a identifié l'origine du problème, et promet une résolution complète dans une prochaine mise à jour.

X (ex-Twitter)


Après une attaque massive par déni de service distribué lundi dernier sur son réseau X, Elon Musk a donné une interview sur FoxNews pour accuser l'Ukraine d'être derrière l'attaque. Il s'est avéré ensuite que les vrais auteurs en étaient un groupe hacktiviste pro-palestinien du nom de Dark Storm Team, mais ce qui est réellement mis en lumière par cette affaire, c'est l'affaiblissement de la cybersécurité sur ce réseau après la réduction drastique des effectifs organisée par Musk. En effet, plusieurs des serveurs tombés lors de l'attaque n'étaient simplement pas protégés.

Failles de sécurité


Apple




Microsoft




En conclusion, n'oubliez pas de faire les mises à jour publiées mardi ! Elles contiennent 57 correctifs, et couvrent 6 zero-day.

Du côté des codeurs




Failles des solutions de sécurité


  • Bitdefender Box est affecté par deux vulnérabilités critiques sur sa v1. Il s'agit d'un risque de RCE et de MitM (CVE-2024-13871 et CVE-2024-13872).
  • Une faille critique d'une gravité de 9.9/10 a été découverte dans Kibana. Il s'agit d'une possibilité d'exécuter du code arbitraire par pollution de prototype. Seules les instances hébergées sur Elastic Cloud sont concernées. Un correctif est disponible, à appliquer rapidement (CVE-2025-25015).
  • La solution de reprise après sinistre de Veritas Arctera InfoScalesouffre d'une désérialisation insécure de données potentiellement non fiables, qui peut être exploité pour exécuter du code malveillant. Cette faille critique a été estimée à 9.8/10 (CVE-2025-27816).
  • Le logiciel SolarWinds Web Help Desk présente une faiblesse cryptographique qui peut mener au déchiffrement des bases de données par des attaquants. Cette faille a a été corrigée dans la version 12.8.5 (CVE-2024-28989).


Vulnérabilités d'applis web et de libs


  • Meta avertit de l'exploitation d'une faille de sécurité dans la librairie FreeType. Celle-ci pourrait causer une exécution de code arbitraire. Les versions après 2.13.0 ne sont pas concernées (CVE-2025-27363).
  • Dans ses versions de 11.9.0 à11.35.1, le framework Laravel comporte une vulnérabilité XSS lorsqu'il est utilisé en conditions de développement, ce qui peut mener à l'exécution de code JavaScript malveillant (CVE-2024-13918).
  • De nombreuses vulnérabilités ont été relevées sur les serveurs Apache cette semaine : des possibilités de RCE sur Tomcat et sur
le composant Camel, des identifiants mal protégés sur le système de traitement de données NiFi, un système d'authentification contournable surApache Pinot et diverses failles touchant Apache Traffic Server.

Faille dans la chaîne d'approvisionnement du système hospitalier britannique


L'entreprise Medefer est un fournisseur régulier du NHS (National Health System). Une de leurs API mal configurées laissait depuis au moins 6 ans la possibilité d'obtenir des données médicales sensibles sans autorisation particulière. L'enquête est en cours, mais les premiers résultats laissent entendre qu'il est peu probable que cette faille ait été exploitée.

Hygiène numérique


A l'occasion du Digital Cleanup Day qui a eu lieu cette semaine, Kingston, vendeur de solutions de stockage, propose quelques recommandations pour une gestion plus durable des données et une cybersécurité renforcée.

Les exigences de Google concernant la compatibilité des extensions à Manifest V3 pour rester disponibles dans Chrome ont pour conséquence de rendre indisponibles la plupart des adblockers, et notamment Ublock Origin, au profit d'une pâle copie bien moins efficace. C'est ballot…
Heureusement, il existe quelques contournements qui permettront, au moins pour un temps, de garder votre adblocker préféré. Pour rappel, il s'agit d'une protection efficace contre le malvertising.

Le débat contradictoire de la semaine : l'IA dans la cybersécurité


INE, un organisme de formation et de certification en cybersécurité, a lancé une initiative pour aider les organisations à repenser leur approche de la cybersécurité et la formation continue de leur équipe en fonction de l'IA. Il s'agit de tirer parti des avantages de l'IA en cyberdéfense sans se reposer excessivement sur l'automatisation dans un contexte où les cybermenaces seraient de plus en plus boostées à l'IA.

Or au même moment, la sortie du red report 2025 apporte un reality-check à la hype autour de l'usage de l'IA dans les attaques : aucune preuve n'a été apportée de nouveaux malwares à base d'IA en 2024, et si les attaquants utilisent l'IA pour automatiser et les tâches (comme c'est le cas en cyberdéfense), ils ne s'en sont pas servis pour révolutionner leurs tactiques. Au contraire, le top de leurs techniques sont restées d'origine humaine. Comme côté défense, l'IA est donc plus un gain d'efficacité qu'un game-changer.
Quant aux risques de failles de sécurité liés à des IA vulnérables, c'est à surveiller, mais reste marginal tandis que l'écrasante majorité des points d'entrée est encore d'une nature conventionnelle, comme un serveur non patché.

C'est tout pour cette semaine. Un grand bravo à celles et ceux qui sont parvenus jusqu'ici, la semaine des failles de sécurité, c'est toujours un peu aride. Même moi JPP :D
La semaine prochaine, on se penchera sur les cybermenaces les plus intéressantes du moment. D'ici là, prenez soin de vous...

par aht

0rphn3

Cybersécurité, informatique et trucs de geek

APT Update / l'Aperçu de la Presse Tech

 -  30 mars - 

Bonjour à tous,Cette semaine, on aborde les nouveautés du monde de la tech.Bonne lecture !L'agendaCette rubrique me sert habituellement à (...)


APT Update / l'Aperçu de la Presse Tech

 -  23 mars - 

Bonjourà tous,Cette semaine a vu une telle déferlante d'attaques en tous genre que j'ai décidé de ne traiter que les genres d'attaques qui (...)


APT Update / l'Aperçu de la Presse Tech

 -  14 mars - 

Bonjour à tous, cette semaine on plonge dans les enjeux du numérique. Bonne lecture !L'agendaDans le cadre de son événement annuel "La REF (...)


APT Update / l'Aperçu de la Presse Tech

 -  3 mars - 

Bonjour à tous, cette semaine on fait le tour de ce qui change et des nouveautés dans le monde de la tech. Bonne lecture !L'agendaMercredi 5 mars (...)


APT Update / l'Aperçu de la Presse Tech

 -  28 février - 

Bonjour à tous,C'est une revue de presse bien chargée cette semaine puisqu'il s'agit de notre spéciale cybermenaces !Bonne lecture...L'agenda (...)