Le dernier Patch Tuesday de Microsoft contient un correctif pour une faille de sécurité importante présente dans le pilote Wi-Fi de Windows (CVE-2024-30078). Quels sont les risques ? Faisons le point !
Le mardi 11 juin 2024, Microsoft a publié son Patch Tuesday de juin 2024 dans le but de corriger 51 vulnérabilités et 1 faille zero-day. Dans cette liste de vulnérabilités, il y a la CVE-2024-30078 qui mérite une attention particulière. Associée à un score CVSS v3.1 de 8.8 sur 10, cette faille de sécurité présente dans le pilote Wi-Fi de Windows permet à un attaquant d'exécuter du code à distance sur une machine, sans avoir un accès physique direct.
Microsoft indique également que l'exploitation de cette vulnérabilité ne nécessite aucune interaction de la part de l'utilisateur ! Pour l'attaquant, il suffit d'être à portée de l'ordinateur cible afin de mener cette attaque qui repose sur le Wi-Fi : il n'y a pas de lien sur lequel l'utilisateur doit cliquer, ni même de fichier à ouvrir, etc. L'attaquant n'a pas non plus besoin de connaître un compte utilisateur sur l'ordinateur cible puisque cette vulnérabilité s'exploite sans authentification préalable : il suffit que la machine détecte le réseau malveillant.
Voici ce que l'on peut lire sur le site de Microsoft au sujet de la CVE-2024-30078 : "Un attaquant non authentifié pourrait envoyer un paquet réseau malveillant à un système adjacent qui utilise un adaptateur réseau Wi-Fi, ce qui pourrait permettre l'exécution de code à distance." - Dans ce cas, le code est exécuté sur l'appareil avec les privilèges SYSTEM sur Windows. Ainsi, l'attaquant peut prendre le contrôle de l'appareil.
Cette faille de sécurité pourrait être exploitée dans les gares, les aéroports ou encore les hôtels puisque ce sont des lieux où les attaquants peuvent être proches de nombreux appareils Windows, aussi des machines personnelles que professionnelles.
Dans la liste des versions de Windows et Windows Server affectées, nous retrouvons toutes les versions à partir de Windows Server 2008 et Windows 10. Pour vous protéger, vous l'aurez compris, il faut installer les mises à jour cumulatives de juin 2024 pour Windows.
La mise à jour de juin 2024 pour Windows 11 serait-elle liée à un bug rencontré par les utilisateurs de OneDrive ? Pour le moment, la question reste sans réponse officielle de la part de Microsoft. Voici ce que l'on sait sur ce problème.
Les utilisateurs de OneDrive sont confrontés à un problème plutôt gênant qui affecte directement la synchronisation des dossiers partagés. En effet, ceux-ci apparaissent sous la forme de raccourcis Internet au lieu des fichiers eux-mêmes. À cause de ce problème, les utilisateurs peuvent ne plus pouvoir accéder à certains fichiers.
Ce dysfonctionnement semble lié aux dossiers partagés OneDrive, lorsqu'un utilisateur partage un dossier avec un autre utilisateur. Dans le cas présent, l'ajout d'un dossier partagé à son OneDrive via l'option "Ajouter un raccourci à OneDrive" n'affiche plus les fichiers, mais des raccourcis inutilisables à la place.
Microsoft est au courant de ce problème, et l'entreprise américaine indique qu'elle a reçu de nombreux signalements de la part des utilisateurs. "Nous avons récemment reçu un grand nombre de rapports similaires au vôtre et avons confirmé que ce problème est lié à un bug dans la fonction de partage de dossier OneDrive. Pour l'instant, malheureusement, il n'y a pas encore de solution.", peut-on lire sur cette page du forum Microsoft.
Quelle est la source de ce problème ? Pour l'instant, il n'y a pas de certitude à ce sujet. Certains utilisateurs ont rencontré le problème sur Windows 11 22H2, tandis que d'autres affirment que ce problème s'est produit suite à l'installation de la KB5037853. Il s'agit d'une mise à jour pour Windows 11 qui donne un aperçu des changements intégrés à la mise à jour cumulative de juin 2024. Si c'est le cas, ce bug pourrait aussi impacter ceux qui ont installé la KB5039212.
Pour le moment, il est préférable d'attendre une solution de Microsoft. Si vous avez besoin d'accéder aux fichiers du dossier partagé, vous pouvez toujours passer l'interface de OneDrive pour accéder aux fichiers, et éventuellement les télécharger.
ASUS a publié une nouvelle mise à jour de firmware pour certains de ses routeurs dans le but de corriger une faille de sécurité critique. En l'exploitant, un attaquant peut accéder au routeur à distance, sans avoir besoin de s'authentifier. Faisons le point.
La faille de sécurité critique CVE-2024-3080, associée à un score CVSS v3.1 de 9.8 sur 10, est une vulnérabilité de contournement de l'authentification. Elle peut être exploitée par les cybercriminels pour prendre le contrôle de routeurs ASUS à distance, sans avoir besoin de se connecter avec des identifiants.
Tous les routeurs ASUS ne sont pas vulnérables puisque cette vulnérabilité affecte seulement 7 modèles de routeurs. Voici la liste :
XT8 (ZenWiFi AX XT8)
XT8_V2 (ZenWiFi AX XT8 V2)
RT-AX88U
RT-AX58U
RT-AX57
RT-AC86U
RT-AC68U
Comment se protéger de la CVE-2024-3080 ?
Pour se protéger de la CVE-2024-3080, il convient de mettre à jour son routeur vers la dernière version du firmware. Bien que le bulletin de sécurité d'ASUS date du 14 juin 2024, ces mises à jour sont disponibles depuis fin mars ou depuis la mi-avril, selon les modèles. Les mises à jour de firmware sont référencées sur cette page. De plus, consultez cette page de la FAQ pour obtenir de l'aide pour l'installation de la mise à jour.
Si vous ne pouvez pas effectuer la mise à jour du firmware dès maintenant, voici les conseils d'ASUS : "Si vous ne pouvez pas à mettre à jour le micrologiciel rapidement, assurez-vous que vos mots de passe de connexion et WiFi sont robustes. Il est recommandé de désactiver tous les services accessibles depuis l'internet, tels que l'accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ, et le déclenchement de port."
Par ailleurs, ASUS a publié une mise à jour pour son utilitaire de téléchargement Download Master, qui s'appuie également sur les routeurs pour télécharger des fichiers sur un périphérique de stockage connecté en USB. Vous devez utiliser la version 3.1.0.114 de Download Master puisqu'elle vous protège de 5 failles de sécurité.
Mozilla a introduit plusieurs nouveautés dans Firefox 127, la nouvelle version de son navigateur web. Désormais, les informations stockées dans le "Gestionnaire de mots de passe" de Firefox peuvent être protégées par un code PIN ou des informations biométriques.
À l'instar de Google Chrome, Microsoft Edge et consort, Mozilla Firefox intègre un "Gestionnaire de mots de passe" que l'utilisateur peut utiliser pour stocker ses identifiants d'accès à des sites et applications.
Mozilla a pris la décision de renforcer l'accès aux identifiants stockés dans ce gestionnaire de mots de passe. Désormais, l'utilisateur peut exiger une vérification de son identité lors d'un accès aux informations stockées sur son appareil.
Voici ce que précise Mozilla à ce sujet : "Pour une protection accrue sur MacOS et Windows, une connexion à l'appareil (par exemple, le mot de passe de votre système d'exploitation, l'empreinte digitale, la reconnaissance faciale ou vocale si elle est activée) peut être exigée lors de l'accès et du remplissage des mots de passe stockés dans la page about:logins du Gestionnaire de mots de passe de Firefox."
Comment activer cette fonctionnalité dans Firefox 127 ?
Cette nouvelle option nommée "Exiger la connexion à l’appareil pour renseigner et gérer les mots de passe" se situe dans la section "Vie privée et sécurité" des paramètres.
En activant cette option, l'utilisateur se protège contre les accès indésirables sur son ordinateur, que ce soit des accès physiques ou distants. Néanmoins, ceci ne permet pas de se protéger contre les malwares infostealers (logiciels malveillants voleurs d'informations). En effet, les identifiants sont stockés sur le disque dans un fichier qui n'est pas chiffré par défaut. Pour plus de sécurité et se protéger de ces malwares, vous devez définir un mot de passe principal robuste : il sert de clé pour déverrouiller et déchiffrer les identifiants stockés dans le gestionnaire de mots de passe de Firefox.
Cette nouveauté est disponible pour les utilisateurs de Firefox sur macOS et Windows. Nous vous invitons à consulter cette page pour en savoir plus sur les nouveautés et les changements inclus à Firefox 127. Enfin, sachez que Mozilla a corrigé 15 failles de sécurité dans Firefox 127. Cette nouvelle version est donc importante pour la sécurité de votre appareil.
Dans ce tutoriel, nous allons voir comment effectuer l'installation de Windows 11 24H2 sans compte Microsoft, c'est-à-dire via la création d'un compte local. Nous verrons comment effectuer cette manipulation sur deux éditions de Windows 11 : Pro et Famille, tout en sachant que ceci peut fonctionner aussi pour les autres éditions.
La version 24H2 de Windows 11, qui sera prochainement disponible, mais qu'il est possible de tester dès à présent, ne permet plus d'utiliser une astuce basée sur l'utilisation d'adresses bloquées par Microsoft. En effet, lors de l'utilisation d'une adresse e-mail telle que "a@a.com" ou encore "hello@example.com" avec un mot de passe aléatoire, cela faisait planter l'assistant d'installation. Résultat, la création d'un compte local était proposée. Mais, ça, c'était avant car désormais cette astuce ne fonctionne plus : comment faire alors ? C'est ce que nous allons voir.
Ce qui est évoqué dans cet article fonctionne avec l'ensemble des versions de Windows 11.
Le seul et unique prérequis, c'est de disposer d'un support d'installation de Windows 11. En général, une clé USB bootable est utilisée pour installer Windows 11 sur une machine physique. Ce média d'installation peut être créé avec Rufus ou l'outil Media Creation Tool de Microsoft.
Pour télécharger une image ISO de Windows 11, rendez-vous sur le site officiel de Microsoft :
III. Installation de Windows 11 sans compte Microsoft
Selon l'édition de Windows 11 24H2 que vous installez, la procédure n'est pas la même : il y a une porte de sortie directe pour les éditions Pro, Enterprise et Education que nous n'avons pas avec l'édition Famille.
Ci-dessous, la partie de l'installation qui est commune à toutes les versions... Pour les spécificités, référencez-vous à la sous-partie de cet article qui vous concerne.
Important, avant de commencez, sachez que :
Si vous envisagez d'installer Windows 11 Pro, la machine peut être connectée au réseau (mais ce n'est pas obligatoire). Ceci n'empêchera pas d'utiliser un compte local.
Si vous envisagez d'installer Windows 11 Famille, ne connectez pas la machine au réseau, sinon Windows se montrera plus insistant...
Démarrez votre PC et "bootez" sur votre support d'installation. Puis, l'assistant d'installation de Windows 11 va se lancer.
Choisissez la langue et poursuivez... Laissez-vous guider pour les premières étapes, selon vos besoins.
Choisissez l'option d'installation nommée "Installer Windows 11" puis cochez la case afin de pouvoir continuer.
Par la suite, sélectionnez l'image que vous souhaitez installer, c'est-à-dire l'édition de Windows 11. Ceci dépend en fait de la licence dont vous disposez, mais aussi du contexte d'installation (à la maison, en entreprise, etc.). Peu importe l'édition, il y a une solution pour effectuer une installation sans compte Microsoft.
Ensuite, sélectionnez le disque sur lequel vous souhaitez installer Windows 11 24H2.
Enfin, cliquez sur le bouton "Installer" et patientez...
Au bout d'un moment, la machine va redémarrer automatiquement. Un nouvel assistant va s'afficher pour vous permettre de finaliser l'installation.
D'abord, commencez par nommer votre futur appareil Windows 11.
Pour la suite des événements, référez-vous à la partie de l'article qui vous concerne, car la manipulation est différente selon l'édition. Enfin, ce n'est pas tout à fait vrai parce que l'astuce pour l'édition Famille fonctionne avec toutes les éditions..
A. Windows 11 Pro 24H2
Lors de l'installation de Windows 11 Pro, il y a une étape nommée "Comment souhaitez-vous configurer cet appareil ?". Si vous souhaitez installer Windows 11 avec un compte local, choisissez impérativement "Configurer pour le travail ou l'école", même si c'est pour une utilisation personnelle.
L'assistant vous demande alors un compte Microsoft. Cliquez sur "Options de connexion" puis continuez.
Puis, cliquez sur "Joindre le domaine à la place".
Et là, l'assistant vous demande un nom d'utilisateur : il s'agit du nom du futur compte local pour votre PC Windows 11 ! Donc, indiquez un nom d'utilisateur et cliquez sur le bouton "Suivant".
Par la suite, vous devrez définir un mot de passe, ainsi que 3 réponses pour 3 questions de sécurité. Ceci est utile si vous oubliez votre mot de passe.
Voilà, le tour est joué ! Il ne vous reste plus qu'à finaliser l'installation de Windows 11 ! Vous aurez accès à votre compte local !
D'abord, pour rappel, il est important de ne pas connecter la machine au réseau afin d'avoir accès à cet écran.
Sur votre clavier, appuyez sur la combinaison de touches "MAJ + F10" pour faire apparaître une console "cmd.exe".
Puis, dans cette console, saisissez la commande suivante et appuyez sur "Entrée". La machine va redémarrer immédiatement.
OOBE\BYPASSNRO
Une fois que la machine aura redémarré, vous pourrez retourner jusqu'à la même étape où l'assistant évoque un problème de réseau. Néanmoins, cette fois-ci, un bouton supplémentaire est disponible : "Je n'ai pas Internet". Cliquez dessus.
Vous serez invité à indiquer un nom d'utilisateur. Il s'agit du nom de votre futur compte local, ce qui signifie que vous n'aurez pas à utiliser de compte Microsoft en ligne, ni même à créer un compte Microsoft ! Ensuite, poursuivez en suivant l'assistant.
Une fenêtre dissuasive avec l'erreur "OOBESETTINGSMULTIPAGE" va s'afficher à l'écran. Pas de panique, cliquez simplement sur le bouton "Réessayer" et vous allez pouvoir passer à la suite de l'installation.
Finalisez l'installation... Les prochaines étapes correspondent au processus classique d'installation du système d'exploitation Windows 11.
Quelques minutes plus tard, vous voici sur votre machine Windows 11 24H2 avec un compte utilisateur local. L'image ci-dessous montre bien qu'un compte local est utilisé.
Installation de Windows 11 24H2 avec un compte local
IV. Conclusion
En suivant ce tutoriel pas-à-pas, vous devriez être en mesure de faire l'installation de Windows 11 sans utiliser de compte Microsoft en ligne. Même si Microsoft cherche à limiter les portes de sortie, et souhaite clairement que nous utilisons un compte Microsoft, nous avons toujours la possibilité d'utiliser un compte local à l'heure actuelle.
Si vous avez une question, vous pouvez poster un commentaire sur cet article.
