Certains l'attendaient depuis longtemps et il commence à pointer le bout de son bec : le navigateur DuckDuckGo pour Windows est disponible en version beta pour tout le monde !

Dans le même esprit que le moteur de recherche DuckDuckGo, le navigateur pour Windows est livré avec un ensemble de mesures de protection activées par défaut. Son objectif est clair : DuckDuckGo veut protéger les utilisateurs (et leurs données) contre le tracking sur Internet, mais aussi contre les publicités ciblées, l'historisation des recherches ou encore le profilage.

Au sein de l'annonce officielle, DuckDuckGo met en avant plusieurs fonctionnalités :

• Duck Player : un lecteur YouTube qui vous permet de regarder des vidéos YouTube sans publicités portant atteinte à la vie privée et qui évite que les vidéos visionnées n'aient un impact sur vos recommandations.
• Blocage des traceurs : le blocage des traceurs va plus loin que ce qui est disponible dans Chrome et d'autres navigateurs. Notre protection contre le chargement de traceurs tiers, par exemple, bloque les traceurs cachés de sociétés telles que Google et Facebook qui se cachent sur d'autres sites web, avant même qu'ils n'aient une chance de se charger.
• Chiffrement intelligent : pour sécuriser votre navigation sur Internet
• Gestion automatique des fenêtres d'acceptation et refus de cookies : un outil qui sélectionne automatiquement les options les plus favorables à votre vie privée et masque les fenêtres contextuelles de consentement aux cookies.
• Le bouton "Fire", qui brûle les données de navigation récentes en un seul clic. En complément, il existe également une option "Fireproof" très pratique pour les sites sur lesquels vous souhaitez rester connecté.
• Protection des e-mails : fonction qui permet de masquer votre adresse électronique à l'aide d'adresses @duck.com uniques lorsque vous vous inscrivez en ligne.

Comme les autres navigateurs du marché, DuckDuckGo peut gérer vos mots de passe, et pour cela, il est possible d'importer votre coffre-fort existant : "Les nouveaux utilisateurs peuvent importer des favoris et des mots de passe d'autres navigateurs et gestionnaires de mots de passe."

Envie de tester ? Voici un lien de téléchargement direct depuis le site officiel :

• Télécharger DuckDuckGo (beta) pour Windows

N'oubliez pas que c'est une version beta donc vous êtes susceptible de rencontrer des bugs ou des problèmes de performances.

Source

The post Le navigateur DuckDuckGo pour Windows est disponible en version beta ! first appeared on IT-Connect.

Utilisateurs de VMware vCenter Server : vous allez devoir appliquer une mise à jour ! L'éditeur VMware a mis en ligne un correctif pour patcher plusieurs failles de sécurité sévères dans vCenter Server ! Faisons le point.

Bien connue des administrateurs d'infrastructures sous VMware, l'application vCenter Server est affectée par 4 failles de sécurité associées à une sévérité élevée : CVE-2023-20892, CVE-2023-20893, CVE-2023-20895 et CVE-2023-20894. À cela s'ajoute une faille de sécurité importante : CVE-2023-20896. Toutes ces vulnérabilités ont été découvertes par deux chercheurs en sécurité de chez Cisco Talos : Dimitrios Tatsis et Aleksandar Nikolic.

En exploitant ces vulnérabilités, un attaquant peut exécuter du code à distance sur le serveur ou bypasser l'authentification. Ces vulnérabilités ont été découvertes dans l'implémentation du protocole DCE/RPC au sein de VMware vCenter Server.

Les vulnérabilités CVE-2023-20892 et CVE-2023-20893 peuvent être exploitées à distance via le réseau par un attaquant non authentifié et mener à une exécution de code. Dans son bulletin de sécurité, VMware précise : "Un acteur malveillant disposant d'un accès réseau à vCenter Server peut exploiter ce problème pour exécuter du code arbitraire sur le système d'exploitation sous-jacent qui héberge vCenter Server."

Par ailleurs, sur un serveur VMware vCenter vulnérable, les attaquants sont susceptibles d'exploiter la faille de sécurité CVE-2023-20895. Elle correspond à une corruption de la mémoire et à la lecture d'informations "out-of-bounds", ce qui lui permet d'outrepasser l'authentification.

VMware recommande d'installer les mises à jour dès que possible. Il s'avère que plusieurs versions sont affectées :

• VMware vCenter Server 8.0, le correctif est inclus dans la version 8.0 U1b
• VMware vCenter Server 7.0, le correctif est inclus dans la version 7.0 U3m

Deux anciennes versions sont aussi affectées : VMware Cloud Foundation vCenter Server 5.X et VMware Cloud Foundation vCenter Server 4.X.

N'oubliez pas aussi que, récemment, il y a une mise à jour importante pour les VMware Tools qui a été publiée par VMware en réponse à certaines cyberattaques.

À vos patchs !

Source

The post Cette mise à jour pour VMware vCenter Server vous protège contre 5 failles de sécurité ! first appeared on IT-Connect.

Depuis lundi 19 juin 2023, il y a de nombreux administrateurs qui se plaignent sur Internet au sujet de problèmes avec les applications Microsoft 365, et plus particulièrement Outlook et Teams : que se passe-t-il ?

Depuis quelques jours, Microsoft Outlook donne du fil à retordre à de nombreux administrateurs système ! À en croire les signalements sur Reddit ou différents forums (comme ici), Outlook est affecté par plusieurs problèmes : il ne veut plus démarrer, il se bloque après l'ouverture, il met du temps à envoyer les e-mails, ou encore, il affiche que la licence est invalide.

Même si Microsoft Outlook semble être l'application la plus impactée par cet incident, d'autres applications sont affectées : Teams, Word et Excel. Avec à chaque fois le même résultat : l'application ne se lance pas, ou elle freeze complètement au démarrage.

À lire les témoignages, les situations sont nombreuses et variées, mais il y a clairement une vague d'incidents depuis le début de la semaine. Tous les tenants n'ont pas l'air affecté, et sur un même tenant, tous les utilisateurs ne sont pas impactés... Et ce qui n'arrange pas les choses, c'est que Microsoft n'a pas réagi en public : alors, que faire ?

Si l'on fait une compilation des solutions proposées sur Reddit, et qui fonctionnent pour certains administrateurs système, on obtient la liste suivante :

• S'assurer que les applications Outlook, SharePoint ou autres applications Microsoft 365 sont activées pour les utilisateurs dans le tenant Azure AD,
• Supprimer et réajouter les licences Microsoft 365 aux utilisateurs concernés,
• Désactiver le protocole IPv6 dans les propriétés de la carte réseau du poste de travail

Sinon, en attendant, il convient d'utiliser les applications en version Web pour permettre aux utilisateurs de travailler.

Lundi, Microsoft a tout de même mis en ligne une page de support intitulée "Outlook démarre lentement et se bloque sur l'écran d'accueil lorsque REST to MAPI est activé de manière inattendue", mais on ne sait pas s'il s'agit d'un autre problème ou s'il s'agit d'une réponse apportée aux nombreux incidents.

Êtes-vous confronté à ces dysfonctionnements sur Microsoft 365 ?

Source

The post Microsoft 365 : Outlook et Teams ne veulent plus démarrer, que se passe-t-il ? first appeared on IT-Connect.

Il y a quelques jours, une faille de sécurité a été identifiée dans KeePassXC, mais rapidement elle a été contestée par l'équipe de développement. Cela n'est pas sans rappeler l'affaire avec KeePass au début de l'année 2023. Pourquoi ? Faisons le point sur cette alerte.

Pour rappel, le logiciel open source KeePassXC est un fork du célèbre gestionnaire de mots de passe KeePass. D'ailleurs, ces deux solutions ont eu le droit à un article complet (et à une vidéo) il y a quelques mois sur IT-Connect : Découvrir KeePass et KeePassXC.

Associée à la référence CVE-2023–35866, cette vulnérabilité impacte toutes les versions de KeePassXC jusqu'à la version 2.7.5, qui est la dernière version à l'heure où cet article est écrit. En exploitant cette faille de sécurité, un attaquant en local avec un accès à l'ordinateur peut changer le mot de passe maître d'une base KeePassXC déverrouillée, et certains paramètres de sécurité (pour le MFA, par exemple), sans connaître le mot de passe maître actuel de la base.

Par ailleurs, pour exporter la base de données, il n'y a pas besoin de connaître le mot de passe maître non plus, et il n'est pas demandé de confirmation.

La vulnérabilité a été soumise, et c'est pour cette raison qu'elle a hérité de la référence CVE-2023-35866. Toutefois, sur le site du NIST on peut voir qu'elle est sur l'état "DISPUTED" car l'équipe de développement a effectué une demande de rejet de cette vulnérabilité. Dans un billet de blog mis en ligne sur le site officiel de KeePassXC, on peut lire : "Pour l'instant, nous ne prévoyons pas de modifier radicalement le programme pour répondre à cette demande." - Et aussi : "La solution la plus simple pour contrer ce vecteur de menace est de verrouiller votre base de données avant de quitter votre poste de travail."

Vulnérabilité ou pas, ce serait tout de même un plus qu'il y ait par défaut ces protections pour ajouter une couche de sécurité supplémentaire à la base KeePassXC. Mais, de toute façon, à partir du moment où la base est déverrouillée, un attaquant peut lire le contenu de la base et se servir... Car là, il est bien question d'une situation où la base KeePassXC est déjà déverrouillée.

Je sens qu'il va encore y avoir un débat avec des avis tranchés sur cette histoire...! Nous attendons vos avis en commentaires !

Source

The post Une « faille de sécurité » KeePassXC permet de changer le mot de passe maître : l’éditeur conteste ! first appeared on IT-Connect.

Les utilisateurs d'Apple vont pouvoir utiliser des passkeys pour s'authentifier, mettant fin à l'utilisation des mots de passe pour les comptes Apple ID.

Aaron, un utilisateur testeur d'iOS 17, a fait une découverte très intéressante : le compte Apple ID supporte les passkeys pour l'authentification. Ainsi, sur tous les sites où l'on peut s'authentifier avec son compte Apple ID, il devient possible de se connecter sans mots de passe. Ceci va aussi profiter aux systèmes d'exploitation de chez Apple, que ce soit iOS 17, iPadOS 17, macOS Sonoma.

Grâce à une passkey, il devient possible de s'authentifier sans mot de passe ! Comment ? Sur l'un de vos appareils Apple, que ce soit votre Mac, votre iPhone ou votre iPad, il faudra réaliser une configuration qui consiste à générer une paire de clés : une clé publique qui sera transmise à l'hébergeur du service, et une clé privée qui restera sur votre appareil. Toutefois, la clé privée sera ajoutée à votre trousseau et synchronisée avec les autres appareils où vous utilisez votre compte Apple ID.

Au moment de vous authentifier sur un site, c'est un composant local de votre appareil qui va permettre d'effectuer l'authentification : Touch ID et Face ID. Autrement dit, grâce à ce nouveau mécanisme, l'authentification sera effectuée par reconnaissance faciale ou par empreinte digitale. Généralement, le code PIN est aussi une méthode prise en charge. Dans la copie d'écran partagée par Aaron sur Twitter, on peut voir un bouton intitulé "Se connecter avec un iPhone" sur la fenêtre d'authentification.

Pour utiliser les passkeys avec son compte Apple ID, il ne serait pas obligatoire d'avoir un appareil Apple, mais il faut par contre une application qui supporte ce mode d'authentification (comme Google Chrome et Microsoft Edge). Mais bon, généralement si l'on a un compte Apple ID, c'est que l'on a au moins un iPhone ou un Mac, n'est-ce pas ?

Les passkeys sont adoptées progressivement par les géants d'Internet, notamment Google qui a fait cette annonce au début du mois de mai dernier. Ce mécanisme d'authentification est plus sécurisé que les mots de passe, notamment pour lutter contre les fuites de données et les attaques de type phishing.

Source

The post Mac, iPhone et iPad : les passkeys sont là, pour mettre fin aux mots de passe ! first appeared on IT-Connect.