De nouveaux TLD sont dispos, dont le .zip (!?) : les domaines "update.zip, setup.zip, attachment.zip, officeupdate.zip, backup.zip" etc. ont bien sûr déjà été enregistrés ! X)

Ça promet de bien belles attaques et incompréhensions.

Un nouveau moyen de trouver le master password de KeePass en dumpant la mémoire.

Le PoC: https://github.com/vdohney/keepass-password-dumper

Titre.

Les infos qui passent en clair sur le réseau alors qu'elles sont censées être chiffrées de bout en bout ? Pas bien Google, pas bien.

Edit: https://www.bleepingcomputer.com/news/google/google-will-add-end-to-end-encryption-to-google-authenticator/

C'est une petite bombe que lâche Microsoft à mon sens, dont le but probable est de pousser - encore plus - une migration vers les services 365. À surveiller de près.

Voir aussi https://www.it-connect.fr/exchange-online-va-bloquer-les-e-mails-en-provenance-de-serveurs-exchange-vulnerables/

Même s'il y a eu une volonté de renforcer Windows 11 (et de faire en sorte que les gens upgradent leur matériel surtout !), il y a forcément, toujours, des failles.

À lire.

Titre. L'outil a l'air assez puissant.

L'histoire fait froid dans le dos.

L'excellente IIS Crypto, qui est "a free tool that gives administrators the ability to enable or disable protocols, ciphers, hashes and key exchange algorithms" (flemme de traduire, tu te débrouilles) se met à jour.

voir https://liens.strak.ch/shaare/sm6k-Q

Coudé, ça m'évitera de me faire un tuto, car je le fais environ une fois par année.

LAPS va se mettre à jour pour s'intégrer avec Azure AD.
De manière générale c'est une solution qui marche out of the box et qui est un quick win pour sécuriser un parc de machines.

On commence à le savoir, l'idée selon laquelle la Gen z serait "forte en informatique" en se basant sur le fait qu'elle "maitrise" quelques apps sur smartphone est - évidemment - fausse.
Ce serait même plutôt le contraire malheureusement...

Le nouveau flux RSS dédié à la sécurité de Microsoft.

via https://msrc-blog.microsoft.com/2022/10/12/14921/

Eh beh ça fait flipper... ne cliquez pas n'importe où !!

Donc la solution de mitigation proposée par Microsoft peut finalement être facilement contournée, super...

Edit, la suite: https://www.bleepingcomputer.com/news/security/microsoft-updates-mitigation-for-proxynotshell-exchange-zero-days/

Edit 2, le tuto: https://www.alitajran.com/0-day-vulnerability-microsoft-exchange/#h-mitigate-cve-2022-41082

Quitte à connaitre votre mot de passe, autant que Windows vous prévienne que c'est une mauvaise pratique de réutiliser le même mot de passe à plusieurs endroits, rires dans la salle.
Rire jaune pour qui pratique l'informatique en entreprise, car vous n'imaginez pas combien de personnes écrivent leurs mot de passe en clair dans un fichier .txt ou .xlsx sur leur bureau.

Edit: ça n'a pas l'air de marcher pour le moment.

T'as beau être une banque, un organisme censé être au top de la sécurité, tu vas quand même harcoder des credentials dans ton appli.

On se souvient qu'en 2015 LastPass s'était déjà fait hacker: https://liens.strak.ch/shaare/XeMiew
Apparemment, ils n'ont pas appris de leurs erreurs. Installez KeePass !

Concernant la vulnérabilité "Broken owner" de Active Directory.