Patch Tuesday novembre 2022 : des correctifs à installer d'urgence
Félix Marciano
09/11/22 17:10
Avec son dernier Patch Tuesday du 8 novembre 2022, Microsoft corrige de nombreuses failles de sécurité et des bugs dans Windows et ses autres logiciels. Installez ces correctifs sans attendre pour avoir un PC fonctionnel et protégé.

Si vous utilisez des logiciels Microsoft, notamment Windows, Office, Skype, Teams ou Edge, vous avez tout intérêt à installer sans attendre les mises à jour que l'éditeur propose. Et en particulier, le Patch Tuesday, ce fameux ensemble de correctifs, que l'éditeur publie traditionnellement le deuxième mardi de chaque mois, pour, non seulement réparer des bugs, mais aussi, et surtout, combler des failles de sécurité récemment identifiées et, souvent, déjà exploitées par des pirates. C'est le cas du dernier Patch Tuesday en date, diffusé le 8 novembre 2022, qui corrige 68 vulnérabilités ainsi que 6 failles zero-day activement mises à profit par les hackers.

Patch Tuesday : un ensemble de correctifs à installer sans attendre

Le mot d'ordre est simple et clair : n'attendez pas pour effectuer ces mises à jour de sécurité ! De fait, dans un copieux rapport de 114 pages – le Microsoft Digital Defense Report 2022, téléchargeable librement, mais hélas uniquement anglais – publié sur son site Microsoft Security, Microsoft dresse un bilan pour le moins alarmant sur la montée en puissance des cyberattaques. Surtout, l'éditeur signale que les hackers – privés ou étatiques – savent se ruer sur les failles découvertes pour les exploiter avant même que les utilisateurs installent les correctifs adaptés, en profitant justement de leur lenteur à réagir en soulignant la réduction du délai observé entre l'annonce d'une vulnérabilité et son exploitation. L'éditeur estime ainsi qu'une faille "dans la nature" reste exploitable en moyenne 14 jours après avoir été rendue publique, ce qui laisse beaucoup de temps aux pirates pour en tirer parti. En soulignant que certains États, comme la Chine, sont devenus "particulièrement compétent" pour dénicher et exploiter ces fameuses vulnérabilités dites zero-day… Bref, comme les pirates ont une belle longueur d'avance, il est essentiel d'installer des correctifs dès qu'ils sont disponibles.

Quelles sont les failles corrigées par le Patch Tuesday ?

Sur les 68 vulnérabilités corrigées par le Patch Tuesday de novembre 2022, 11 sont considérées comme critiques, car faisant courir différents risques sérieux (élévation de privilèges, exécution de code à distance, déni de service, etc.). Toutes ces failles sont référencées et documentées en détail par Microsoft sous des appellations normalisées : CVE-2022-39327, CVE-2022-41040, CVE-2022-41080, CVE-2022-38015, CVE-2022-37967, CVE-2022-37966, CVE-2022-41044, CVE-2022-41039, CVE-2022-41088, CVE-2022-41118 et CVE-2022-41128. La lecture des fiches de Microsoft n'a rien d'une sinécure : il faut surtout retenir que ces vulnérabilités concernent Windows 7, Windows Server 2008 et 2011, Windows 8.1, Windows 10 et Windows 11, y compris dans la version 22H2. Mais aussi d'autres produits Microsoft comme Office, Excel, Word, Visual Studio, BitLocker ou encore le noyau Linux utilisé par WSL2, qui fait notamment tourner les applications Android dans Windows 11. Bref, de nombreux trous dans la raquette qu'il convient de boucher au plus vite !

Aussi impressionnant soit-il, ce nombre de failles n'est pas un record. En avril 2022, Microsoft en avait corrigé 128 avec son Patch Tuesday. Et, en juin, c'était 55 donc la fameuse vulnérabilité Follina. Référencée officiellement sous l'appellation CVE-2022-30190, elle permettait d'infecter un PC via un document Word vérolé allant récupérer un fichier HTML contenant du code malveillant ensuite exécuté par une ligne de commande PowerShell en passant par l'outil de diagnostic du support de Windows. Un procédé astucieux, d'autant plus dangereux que la désactivation des macros ne suffisait pas pour se prémunir d'une attaque. La faille, qui avait d'ailleurs déjà été exploitée par des pirates pour cibler des agences gouvernementales américaines et européennes, avait ainsi servi à propager des spywares (logiciels espions), des chevaux de Troie bancaires (pour voler des informations) et des malwares capables de supprimer des données. Autant dire que l'affaire était grave…

Preuve que malgré tous ses efforts, Microsoft laisse toujours des failles dans ses logiciels. Mais, contrairement à ce que propagent les mauvaises langues, Apple est logé à la même enseigne : et l'éditeur à la pomme publie aussi très régulièrement des mises à jour de sécurité pour macOS et iOS, parfois à un rythme élevé…

Par ailleurs, notons que Microsoft profite du Patch Tuesday de novembre pour diffuser en parallèle diverses mises à jour fonctionnelles pour ses systèmes, notamment pour Windows 10 et Windows 11. Des versions aux vertus discrètes, mais réelles. Ainsi, dans certains cas, on peut enfin accéder au Gestionnaire des tâches de Windows 11 par un clic droit dans la barre des tâches – la fonction était revenue il y a quelques jours, dans une mise à jour de Windows 11 22H2, mais pas chez tout le monde ! Dans d'autres cas, les PC qui n'avaient mystérieusement pas droit au passage à Windows 11 22H2 – alors qu'ils étaient officiellement compatibles – se voient proposer l'option. Les voies de Microsoft sont insondables… Comment télécharger le Patch Tuesday de Microsoft ? Le Patch Tuesday – l'ensemble de correctifs que Microsoft prépare pour tous ses logiciels, et pas uniquement Windows – est publié le deuxième mardi de chaque mois (voir notre fiche pratique pour tout savoir sur les mises à jour, les builds de Windows et les correctifs KB). Pour en profiter, il suffit de passer par Windows Update en ouvrant les paramètres de Windows. Deux cas de figure se présentent alors : soit les mises à jour sont en mode automatique – l'option par défaut –, et il suffit d'attendre qu'elles soient téléchargées pour les installer après un redémarrage du PC ; soit elles sont en mode manuel, et il faut cliquer sur le bouton Rechercher des mises à jour pour forcer leur téléchargement avant de redémarrer l'ordinateur. D'une façon générale, mieux vaut avoir le réflexe de vérifier systématiquement la disponibilité de mises à jour et de correctifs au moins une fois par mois, le deuxième mercredi, par exemple, juste après la diffusion du Patch Tuesday.

En 2023, Mozilla Firefox abandonnera également Windows 7 et Windows 8.1

02/11/2022
À l'instar de Google Chrome, le navigateur Mozilla Firefox ne supportera plus Windows 7 et Windows 8.1 en 2023. Toutefois, aucune date précise n'est communiquée pour le moment.

Il y a quelques jours, on a appris que Google Chrome ne serait plus pris en charge sur Windows 7 et Windows 8.1 à partir du 7 février 2023. Aujourd'hui, il est question de Mozilla Firefox : l'équipe de développement hésite pour le moment, mais il y a deux hypothèses. Soit le support de Firefox sur les deux systèmes mentionnés précédemment pourrait s'arrêter au premier trimestre 2023, soit il pourrait être maintenu un peu plus longtemps : jusqu'en août 2023 (pour se caler sur la nouvelle version ESR - Extended Support Release).
Note : l'arrêt du support implique que Firefox ne recevra plus de mises à jour de sécurité, mais il reste utilisable.

L'équipe de développement de Firefox explique qu'elle gagnerait du temps à ne plus faire les tests sous Windows 7 à chaque fois qu'une nouvelle version est disponible. À l'inverse, elle indique également que ce n'est pas gênant de maintenir le support un peu plus longtemps, car Windows 7 reste un système très utilisé.
En effet, comme je l'évoquais dans un autre article en évoquant les chiffres du site StatCounter, Windows 7 est encore utilisé par 10,68% des ordinateurs à l'échelle mondiale. On ne peut pas en dire autant de Windows 8.1 qui a une part de marché nettement inférieure : seulement 2,7%. À titre de comparaison, la part de marché de Windows 11 au niveau mondial est de 13,56% !

Pour rappel, Windows 7 n'est plus sous support Microsoft depuis le 14 janvier 2020, tandis que Windows 8.1 ne sera plus pris en charge par Microsoft à partir du 10 février 2023. Avec l'arrêt de la prise en charge par les principaux navigateurs du marché, il est plus que jamais temps de passer sur un système plus récent ! Le fait d'utiliser un système non jour et un navigateur non à jour expose d'autant plus les utilisateurs.

Source
https://www.neowin.net/news/mozilla-is-considering-extending-firefox-support-on-windows-7-and-81/

Câbles et ports USB : enfin des appellations claires !

Félix Marciano
03/10/22 18:02

Les prises et les câbles USB vont abandonner leurs références complexes et mystérieuses au profit de dénominations beaucoup plus claires. De quoi simplifier la vie des consommateurs, pour l'achat comme pour l'utilisation.

Connaissez-vous toutes les caractéristiques de la norme USB 3.0 ? Et les différences entre l'USB 3.1 Gen 1 et l'USB 3.2 Gen 1 ? Les nouveautés de l'USB 4 Version 2 ? Ou les capacités de l'USB SuperSpeed ? Probablement pas. Car, à moins d'être expert es technologies, il est bien difficile de se retrouver dans la jungle des appellations et de décrypter les subtilités entre les références barbares qui se sont multipliées ces dernières années. La faute à l'USB Implementers Forum (USB IF), l'organisme international non lucratif qui gère la norme USB. De fait, si cette interface "universelle" est connue et utilisée de tous depuis sa création au milieu des années 1990, elle a énormément évolué au fil des progrès techniques depuis son apparition, l'USB 1.0 d'origine laissant place à de multiples déclinaisons – USB 2.0, USB 3.0, USB 3.1, etc. – sans disparaître pour autant. Au point de noyer les utilisateurs sous une foule de dénominations, alors que certains ont déjà du mal à différencier les formats physiques de prises – USB-A, microUSB, USB-C…     

Conscient de la confusion engendrée ces derniers temps, notamment avec les récentes USB 3.2 Gen 2 et USB 3.2 2x2, l'USB IF a décidé de revoir sa copie et d'abandonner les appellations actuelles au profit d'une nomenclature plus simple et plus claire. Exit donc les mystérieux USB 3.1 Gen 1 et autre USB 3.2 Gen 2 : désormais, les câbles et les ports USB seront tous estampillés avec un système très simple mettant en avant les deux caractéristiques techniques qui font la différence – et les seules qui intéressent réellement les utilisateurs – à savoir le débit maximum et la puissance électrique supportée. L'USB IF a ainsi adopté un principe assez simple indiquant uniquement la vitesse maximale de transfert possible, en Gbit/s (Gbps selon le système de référencement anglo-saxon) pour les prises et les câbles, et la puissance électrique admissible en watts (W) pour les câbles, comme on peut le voir dans les tableaux ci-dessous.



Comme on peut le constater, les nouveaux appellations ne font plus références aux noms techniques des normes : il n'est plus question d'uSB 3.1, d'USB 3.2 ni même d'USB 4.0, la toute nouvelle génération, en cours de finalisation. Seul le débit maximum est indiqué. De même, avec l'indication claire de la puissance électrique admissible, il ne sera plus nécessaire de décrypter les petits caractères au dos d'un emballage pour savoir si un câble supporte l'énergie nécessaire pour alimenter un appareil. De quoi éviter d'utiliser un câble 60 W pour recharger un ordinateur nécessitant 240 W…

Quelques remarques. D'abord, les nouvelles appellations seront progressivement adoptées par le nouveaux produits mis en vente sur le marché, les anciens, fabriqués avant, pouvant encore circuler dans le commerce le temps d'écouler les stocks. Ensuite, ces dénominations ne concernent que les câbles et les prises de type USB-C, la norme la plus "moderne" des connecteurs, que l'Europe a d'ailleurs décidé d'imposer à tous els produits électroniques d'ici à l'automne 2024 (voir notre article). Par ailleurs, ce nouveau système n'est pas parfait, car il fait l'impasse sur certains aspects techniques comme les définitions ou les taux de rafraîchissement d'un câble qui transporte un signal vidéo en DisplayPort. Enfin, la nouvelle nomenclature ne s'applique pas aux anciennes normes comme l'USB 1.0 ou l'USB 2.0, limité à un débit maximum de 480 Mbit/s et encore souvent qualifié de USB Hi-Speed, ce qui risque de maintenir une certaine confusion…    

Il n'empêche, en reprenant le modèle du Wi-Fi – qui a opté il y a quelques années pour des numéros du type Wi-Fi 5 ou Wi-Fi 6 au lieux des cryptiques 802.11ac et 8022.11ax –, il s'agit d'une excellente initiative qui devrait simplifier notablement la vie de tous les utilisateurs… si les fabricants et les commerçants jouent bien le jeu !

Windows 10 22H2 : la mise à jour d'octobre 2022 arrive !

Quelques jours après Windows 11, Windows 10 va recevoir sa grande mise à jour annuelle. Estampillée 22H2 ou October 2022 Update, cette version d'entretien ne devrait toutefois pas apporter de nouvelle fonction…

Bonne nouvelle si vous êtes toujours sous Windows 10 – comme la plupart des utilisateurs de PC : Microsoft va diffuser une nouvelle version de son système d'exploitation, à travers une mise à jour logiquement estampillée 22H2 – 22 pour l'année, H2 pour le second semestre – ou October 2022 Update. Conformément à la nouvelle stratégie de l'éditeur – qui a tout de même changé plusieurs fois de discours… –, ce sera la seule "grande" mise à jour de Windows 10 pour cette année : toutes les autres ne sont que des correctifs qui viennent généralement combler des failles de sécurité ou réparer des bugs, comme c'est le cas pour le traditionnel Patch Tuesday, un ensemble de "pansements" logiciels que Microsoft diffuse le deuxième mardi de chaque mois pour tous ses produits.
Windows 10 Mise à jour d'octobre 2022 : une version d'entretien sans véritable nouveauté

Comme la version 21H2 publiée en novembre 2021, Windows 10 22H2 constitue donc officellement une mise à jour importante. Toutefois, même si elle elle est présentée comme une nouvelle version "complète", avec son nom et son millésime, elle ne devrait pas apporter de nouveauté majeure. Et pour cause : d'une part, Microsoft se concentre désormais sur Windows 11, en réservant ses nouvelles fonctions et applications à ce système encore jeune ; de l'autre, Windows 10, qui est tout de même sorti en 2015, sera en principe abandonné en octobre 2025, probablement au moment où Windows 12 apparaîtra. La firme de Redmond, qui mise tout sur Windows 11 en moment en cherchant à accélérer son adoption, n'a donc aucune raison d''enrichir son "vieux" système d'exploitation, même s'il est beaucoup plus utilisé que le nouveau. Windows 10 22H2 – ou Windows 10 October 2022 Update – ne sera donc qu'une version d'entretien, probablement avec quelques améliorations, mais logiquement dépourvue de véritable nouveauté – même si l'on n'est jamais à l'abri d'une petite surprise. Quoi qu'il en soit, ce sera officiellement la seule – et la meilleure – version de Windows utilisable les PC incompatibles avec Windows 11, même s'il existe des astuces pour passer au nouveau système.

Microsoft, qui a promis une sortie pour le mois d'octobre, n'a pas donné de détails sur le contenu de cette version. Mais la mise à jour semble prête pour une diffusion imminente – quelques jours, quelques heures,… –, les fichiers ISO sont apparus sur les serveurs de l'éditeur, comme l'ont remarqué les experts de TechBench. Mais les liens ne sont pas encore actifs ! Il faudra donc patienter encore un peu avant de pouvoir télécharger, installer et analyser cette nouvelle version qui, à défaut d'innovation, devrait contribuer à renforcer la stabilité du système. Il suffira pour cela de surveiller les notifications de Windows 10 ou d'aller dans Windows Update pour voir quand la mise à jour d'octobre 2022 sera effectivement disponible. Last but no least, rappelons que, comme les précédentes, cette mise à jour sera gratuite !

Pentium et Celeron : Intel abandonne ses marques historiques


Félix Marciano
19/09/22 17:57
Adieu Pentium et Celeron, bonjour Intel Processor ! Pour moderniser sa famille de CPU d'entrée de gamme, le géant des processeurs pour ordinateur abandonne ses marques historiques au profit d'une appellation plus générique.

La nouvelle est passé quasiment inaperçue. Et pour cause : Intel s'est juste fendu d'un communiqué de presse laconique publié le 16 septembre 2022 pour annoncer l'abandon de deux appellations historiques : Pentium et Celeron. Deux marques de processeurs emblématiques qui ont équipé des centaines millions de PC depuis leur apparition. Mais s'ils ont marqué les esprits en leur temps, ces CPU ont perdu de leur superbe ces dernières années face à des successeurs beaucoup plus modernes, les fameux Core (i3, i5, i7 et i9, dans de multiples déclinaisons). Et Intel avait relégué ces vénérables appellations à ses puces d'entrée de gamme (comme le Pentium Gold 8505 ou le Celeron 7300). Il semblerait toutefois que, même ainsi "rabaissés", ces noms ne soient plus aussi séduisants qu'autrefois puisque le géant des puces pour ordinateur a décidé de les faire complètement disparaître de son catalogue au profit d'une appellation unique : Intel Processor. Un nom simple, mais particulièrement vague. Et, à partir de 2023, ce sera ce seul patronyme qui indiquera, sous la forme d'un auto-collant flanqué du célèbre Intel Inside, la présence d'un processeur Intel dans un PC portable d'entrée de gamme.


Intel Processor : une simplification discutable

Le discours officiel d'Intel pour justifier ce changement est assez fumeux : "Que ce soit pour le travail ou les loisirs, l'importance du PC n'est devenue que plus évidente à mesure que le rythme effréné du développement technologique continue de façonner le monde. Intel s'est engagé à stimuler l'innovation au profit des utilisateurs, et nos familles de processeurs d'entrée de gamme ont été cruciales pour élever la norme PC à tous les niveaux de prix. La nouvelle image de marque du processeur Intel simplifiera nos offres afin que les utilisateurs puissent se concentrer sur le choix du processeur adapté à leurs besoins", déclare ainsi Josh Newman, vice-président d'Intel dans le communiqué. L'idée serait donc de simplifier la vie des utilisateurs en optant pour un nom dépourvu de toute référence technique. Pas certain que cette simplification facilite effectivement leur choix. D'autant que dans le même temps, Intel pousse actuellement sa nouvelle appellation Intel EVO, pour désigner des PC "conformes" – un label de certification censé indiquer que tous les composants choisis par un fabricant fonctionnement parfaitement ensemble. Une stratégie marketing qui rappellera aux plus anciens la fameuse et mystérieuse appellation Intel Centrino, utilisée dans les années 2000 pour qualifier des PC portables équipés du Wi-Fi…
Pentium et Celeron : de vieilles technologies pour l'entrée de gamme
Ce qui est clair en revanche, c'est qu'Intel cherche à se défaire de l'image "bas de gamme" associée désormais aux Pentium et aux Celeron, tout en poussant ses fleurons de la famille Core. Un choix compréhensible, mais qui ne se traduira pas par une véritable transparence pour les consommateurs les plus curieux, contraints d'explorer les fiches techniques pour connaître les caractéristiques équipant un PC. C'est d'autant plus regrettable que les dernières génération de Pentium et de Celeron n'ont rien à voir avec leurs valeureux ancêtres. Car si le premier Pentium, qui date de 1993, était gravé en technologie 800 nm et tournait à la fréquence folle de 60 MHz, il n'en allait pas de même pour les dernières références de cette famille. Ainsi, à titre d'exemple, le Pentium Silver N6000 sorti début 2021, est gravé en 10 nm comme de nombreuses puces récentes d'Intel, et comporte quatre coeurs et 4 Mo de mémoire cache en atteignant 3,3 GHz en mode turbo. Et il en va de même pour les Celeron sortis ces dernières années – jusqu'en début 2022 ! De fait, contrairement à ce que leur nom "défraîchi" laisse entendre, ces puces d'entrée de gamme ne sont pas mauvaises : elles suffisent même pour la plupart des utilisations quotidiennes, comme nous avons déjà eu l'occasion de le vérifier à de multiples reprises (voir notre test du MiniAir 11 Geekom). Les Pentium et Celeron récents rivalisent sans problème avec les "vieux" Intel Core, bien plus poussifs, comme en témoignent les benchmarks les plus populaires comme PassMark. Simplement, ils utilisent des technologies et des architectures anciennes et éprouvées, ce qui avait un sens économique. Quoi qu'il en soit, on trouvera encore des Pentium et des Celeron dans des PC pendant plusieurs mois, le temps que les constructeurs et les revendeurs vident leur stock. L'occasion, sans doute, de réaliser de bonnes affaires pour qui ne cherche pas absolument la haute performance et le dernier cri.

Rubber Ducky : la clé USB de piratage revient en version 3.0

Maurine Briantais

25/08/22 -17:47

La célèbre clé USB Rubber Ducky, un des plus grands symboles du piratage informatique, revient dix ans après sa sortie dans une version 3.0 beaucoup plus puissante, pour le plus grand malheur de ses victimes. Lors de la Def Con Hacking Conference, un événement regroupant une partie de la communauté des hackers qui s'est déroulé du 11 au 14 août, le créateur du célèbre Rubber Ducky, Darren Kitten, a présenté la nouvelle version de son outil de piratage. Le Rubber Ducky est sorti il y a près de 10 ans et s'est rapidement imposé comme un incontournable du hacking. Il s'est d'ailleurs énormément popularisé grâce à son utilisation dans la série Mr Robot. Avec son apparence des plus basique et passe-partout, le Rubber Ducky est capable de simuler l'action d'un clavier pour que l'appareil ne se doute de rien. Il injecte ensuite n'importe quel type de commandes sans problème puisque ces commandes apparaissent comme étant émises par l'utilisateur de base. Un fonctionnement qui "tire donc parti du modèle de confiance intégré, grâce auquel les ordinateurs ont appris à faire confiance à un humain. Et un ordinateur sait qu'un humain communique généralement avec lui en cliquant et en tapant", explique Darren Kitten à The Verge. Le Rubber Ducky a connu bon nombre de mises à jour, mais la version 3.0 est un véritable bond en avant avec ses nouvelles fonctions, qui le rendent beaucoup plus flexible et puissant

Rubber Ducky : une flexibilité améliorée

Les précédentes versions du Rubber Ducky permettaient de lancer une fausse fenêtre contextuelle Windows afin de récolter les données de connexion de l'utilisateur de l'appareil, ou encore obliger le navigateur Chrome à envoyer tous les mots de passe enregistrés vers un serveur web pirate. Des actions qui peuvent avoir de grosses répercussions sur la victime ! Toutefois, le Rubber Ducky disposait d'un petit point faible, puisqu'il fallait soigneusement concevoir ses attaques pour des systèmes d'exploitation et des versions logicielles spécifiques. Bref, l'approche manquait de flexibilité pour pouvoir fonctionner sur toutes les plates-formes, et le pirate devait préparer son attaque en amont selon la cible choisie


La nouvelle version du Rubber Ducky vise à corriger ce problème – au grand dam des futures victimes. Désormais, il peut agir directement sur n'importe quel appareil ciblé, quelle que soit la version de son système d'exploitation. Il va ainsi exécuter un test pour voir s'il est branché sur une machine Windows ou Mac et exécuter sous certaines conditions le code. Il peut également générer des nombres pseudo-aléatoires et les utiliser pour ajouter un délai qui varie entre les frappes afin de simuler une action humaine – une personne ne peut rentrer tous les codes d'un coup, de façon régulière et sans jamais faire d'erreur. En plus, il peut maintenant dérober les données – dont les mots de passe – de sa cible en quelques secondes. Pour ça, il les code au format binaire et les transmet à la clé USB via les signaux destinés à indiquer au clavier quand les touches Ver Maj ou Num doivent s'allumer. Il y a toutefois une limite à sa puissance, puisque le Rubber Ducky doit être branché physiquement sur la machine pour fonctionner – ce qui n'est pas donné à n'importe quel hackeur. Il existe plusieurs packs d'achat pour la clé USB spécial piratage, qui commencent à 59,99 dollars pour le Rubber Ducky à l'unité. Les packs contiennent également une suite de développement en ligne, qui peut être utilisée dans le but d'écrire et compiler des charges utiles d'attaque, puis les charger sur la clé USB. Les utilisateurs peuvent même se connecter à une communauté plus large et ainsi partager facilement leurs créations et se donner des conseils. En espérant qu'ils en fassent bon usage…  

Un bug de Windows 11 pourrait endommager vos données sur des PC récents
Noëllie Mautaint
15 août 2022 à 12h00
Il y a un an, Microsoft était au cœur d’une polémique. L'entreprise avait annoncé que Windows 11 ne pourrait que tourner sur des ordinateurs compatibles TPM 2.0.

La firme de Redmond s’était défendue en affirmant que cela devait permettre de mieux sécuriser les données. Aujourd’hui, l'une de ces technologies, que l’on retrouve sur les processeurs récents, abrite un bug qui peut endommager les données d’un PC.
Un bug Windows 11 qui peut corrompre vos données

Microsoft ne l’avait sans doute pas vu venir. La technologie Vector Advanced Encryption Standard (VAES) est intégrée aux processeurs récents pour accélérer et sécuriser les opérations de chiffrement ou de déchiffrement. Cette fonctionnalité est donc essentielle pour assurer une meilleure sécurisation de notre vie privée. Sauf que cette même technologie est source d’un bug qui peut corrompre les données et faire perdre de précieux fichiers aux utilisateurs.

Ce problème épineux est apparu avec l’une des versions les plus récentes de Windows 11 et Windows Server 2022. Fort heureusement, Microsoft a été très réactif et a déjà déployé une mise à jour qui corrige ce bug. L’update prévient désormais toute perte de données à cause du VAES, mais cela se fait au détriment des performances. La firme de Redmond a en effet été contrainte de réduire le traitement des données en désactivant les instructions liées au bug. Il est donc fortement recommandé de mettre Windows 11 à jour de toute urgence, surtout si vous ne faites pas régulièrement des sauvegardes de votre PC sur le Cloud ou sur un disque dur externe.

20/07/22 17:22

La popularité du QR Code a inspiré les escrocs, qui utilisent le fameux code graphique pour entraîner leurs victimes vers des sites malveillants. La prudence s'impose pour éviter de tomber dans ce nouveau piège, très à la mode.

Longtemps réservé à quelques initiés, le QR Code a sensiblement gagné en popularité ces dernières années, notamment depuis l'apparition de la Covid-19, où il a été utilisé pour le fameux pass sanitaire, mais aussi sur les tables des restaurants, pour éviter que les clients touchent les cartes de menu, par exemple. Plus largement, ce code graphique numérique est largement utilisé désormais pour obtenir un code Wi-Fi, pour télécharger directement une application ou pour envoyer vers un site Web. Une démocratisation d'autant plus rapide que ce système est très simple d'utilisation, puisque tout se fait automatiquement, de façon transparente, sans manipulation complexe.

Malheureusement, comme à chaque fois qu'une nouvelle technologie gagne en popularité, les pirates s'en emparent. En effet, les victimes ne connaissant pas encore très bien le fonctionnement de ce système, il est plus facile de les leurrer. C'est pour ces raisons que des experts en cybersécurité alertent sur la multiplication de QR Codes frauduleux, capables de voler les données des utilisateurs ou d'installer un logiciel malveillant sur leurs appareils, comme Len Noe, chercheur en cybersécurité chez CyberArk, le raconte dans Le Parisien.
QR Code : un nouvelle technique d'hameçonnage peu connue

Le principe du QR Code est simple. Grâce à l'appareil photo ou une application de scan sur un smartphone, il renvoie l'utilisateur vers une page internet ou une application. Or il suffit simplement de coller un autocollant – sur un menu, une affiche ou un flyer, par exemple – pour que des milliers de personnes se fassent avoir sans s'en rendre compte. En le scannant, les victimes sont soit amenées à télécharger une application contenant un malware, soit redirigées vers une page ressemblant à l'original et qui va, d'une façon ou d'une autre, les inviter à rentrer leurs données personnelles et/ou bancaires.

Les campagnes de phishing sont de plus en plus ingénieuses, et il est plutôt difficile de déceler un faux QR Code, bien que certains détails puissent mettre la puce à l'oreille, comme un autocollant en surcouche ou une adresse Internet qui ne correspondrait pas. En plus, il est très facile, grâce à des sites internet, de générer rapidement un QR Code pour une adresse URL. "Il a fallu des années pour sensibiliser les gens à ne pas cliquer sur un lien douteux envoyé par e-mail, il faut tout recommencer avec ces QR Codes qui sont des campagnes d'hameçonnage sous une nouvelle forme physique", déplore un chercheur en cybersécurité au Parisien.


QR Code : une arnaque qui visent les touristes

Les faux QR Codes sont redoutables car, comme l'explique le spécialiste, "la cyberattaque passe par l'appareil photo et contourne ainsi les antivirus et les filtres de sécurité." Ce type de fraude a déjà été détecté en Asie, en Allemagne et aux États-Unis, ce qui a conduit le FBI à lancer des alertes. Il s'agit d'une cybercriminalité de proximité qui vise surtout des sites touristiques. Mais pas seulement.

Au Texas, dans la ville d'Austin, des automobilistes ont été victimes de phishing via des QR Codes collés sur des parcmètres. Mais au lieu d'être redirigés vers le site Web ou l'application officielle de la ville pour régler leur stationnement, les automobilistes ont atterri sur un faux site qui recueillait les informations relatives à leur carte de crédit. Une arnaque similaire a été recensée dans la ville de San Antonio. Ces QR Codes commencent également à apparaître dans des courriels de phishing et des publicités en ligne. Un moyen qui peut paraître étrange puisque pourquoi nous rediriger vers un site internet, alors que nous y sommes déjà ? Tout simplement parce qu'ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne plus de chances d'atteindre leurs cibles que les pièces jointes ou les liens dangereux. En plus, il est beaucoup plus rapide d'envoyer des milliers d'e-mails frauduleux que d'aller coller des QR Codes en ville.

Il faudra rester vigilant durant ces vacances, que ce soit en France ou à l'étranger. Bien qu'aucune victime n'ait été recensée en France, le site cybermalveillance.gouv.fr se tient à l'affût, surtout pendant les vacances d'été. Par précaution, il est recommandé un moteur de recherche ou un VPN lors d'une connexion à un réseau Wi-Fi public. De même, mieux vaut ne pas télécharger d'applications en dehors des stores officiels –le Play Store de Google et l'App Store d'Apple. Il faut garder à l'esprit que de nombreux QR Codes intégrés dans les e-mails sont  frauduleux, et que si un QR Code renvoie vers un site demandant des informations qui ne semblent pas nécessaires, mieux vaut ne pas les transmettre.

Google vient encore de publier en urgence une nouvelle version de son navigateur Web Chrome pour corriger une faille critique de sécurité. Installez la mise à jour sans attendre pour éviter tout risque de piratage !

Les failles de sécurité se succèdent à un rythme soutenu dans Chrome. Pour la quatrième fois depuis le début 2022, Google publie en urgence un correctif pour son navigateur Web vedette. En effet, comme il l'explique dans son billet de blog officiel, l'éditeur a identifié une faille critique de type zero-day (estampillée CVE-2022-2294) qui serait déjà activement exploitée par des hackers. L'entreprise donne peu de détails sur cette nouvelle vulnérabilité, mais selon Bleeping Computer, l'exploitation de cette faille permettrait de faire planter le navigateur, d'exécuter du code arbitraire ou encore de contourner des systèmes de sécurité pour accéder à des données personnelles. Google recommande donc d'installer sans attendre la nouvelle version de Chrome numérotée 103.0.5060.114 qui corrige au passage trois autres failles de sécurité.
Comment mettre Google Chrome à jour ?

La mise à jour de Chrome est très simple, sur ordinateur comme sur mobile.

► Si vous utilisez la version mobile de Chrome, connectez-vous à Internet (en 4G/5G ou en Wi-Fi), ouvrez le Play Store (sur Android) ou l'App Store (sur iOS), cherchez Chrome dans le moteur de recherche ou parmi les applications déjà installées sur votre appareil, puis appuyez sur le bouton Mettre à jour.

► Si vous utilisez la version pour ordinateur, ouvrez Chrome, cliquez sur les trois petits points verticaux, dans le bandeau en haut à droite. Dans le menu qui s'affiche, passez la souris sur Aide, en bas, afin de déployer un sous-menu, puis cliquez sur À propos de Chrome.

► Un nouvel onglet s'ouvre dans la fenêtre active. Chrome cherche alors automatiquement une mise à jour. S'il trouve une nouvelle version, il l'indique clairement dans un message et la télécharge aussitôt. Cliquez sur le bouton Relancer pour fermer le navigateur, appliquer la mise à jour et relancer Chrome.
Quelles sont les dernières nouveautés de Google Chrome ?

Chrome, le navigateur Web vedette de Google, est disponible en version 103 depuis le 22 juin 2022, quatre semaines après la précédente mise à jour. Principale amélioration, un système de prérendu des pages Web qui accélère notablement le chargement et donc la navigation sur Internet. Par ailleurs, Chrome prend désormais en charge les fichiers images au format Avif (plus efficace que le format Jpeg) dans le module de partage Web. Et la version 103 autorise les WebApps à accéder aux polices de caractères utilisées localement sur l'appareil.

Pour mémoire, Chrome était passé en version 10 fin mars 2022. Un millésime symbolique pour cette application phare, qui a profité de l'occasion pour changer très légèrement de logo. Le passage à une numérotation à trois chiffres avait soulevé quelques craintes quant à la compatibilité avec certains sites, mais il semblerait qu'elle n'ait pas eu de conséquences en pratique.

Si la version 100 corrige une trentaine failles de sécurités, essentiellement découverte par des chercheurs en sécurité indépendants, elle comporte quelques petites nouveautés qui ne sont pas visibles au premier coup d'œil. Ainsi, les sites Web peuvent désormais révoquer eux-mêmes leurs permissions d'accès à des périphériques (USB ou Bluetooth) lorsqu'ils n'en ont plus besoin.

Côté technique, Chrome 100 inaugure une nouvelle API – une interface de programmation destinée aux développeurs – dédiée à la gestion du placement des fenêtres sur une configuration disposant de plusieurs écrans – par exemple, pour les applications de création audio, photo ou vidéo qui multiplient les fenêtres secondaires, pour afficher un diaporama sur un écran secondaire avec les notes affichées sur l'écran d'un ordinateur portable, pour ouvrir des applications financières avec un tableau de bord composé de plusieurs fenêtres, pour ouvrir des images médicales (radio, IRM, scanner…) en haute définition sur un écran dédié, etc. Par ailleurs, Chrome 100 introduit l'API Digital Goods, qui autorisera les Web Apps issues du Play Store à prendre directement en charge des achats numériques, ce qui permettra d'installer du contenu supplémentaire depuis la boutique d'applications.

Signalons enfin que la version 100 de Chrome met fin à l'économiseur de données sur Android, une fonction permettant de réduire la quantité de données utilisées lors d'une connexion à Internet sur une réseau mobile (3G, 4G ou 5G), mais qui a perdu son intérept avec le volume de date désormais inclus dans les forfaits téléphoniques.

Publiée début mars 2022, la version 99 de Chrome apportait à la fois des nouveautés et des améliorations. Parmi les principaux changements, signalons l'arrivée d'une nouvelle icône qui apparaît dans la barre d'outils en haut à droite lors d'un téléchargement : elle s'affiche en bleu lorsque le téléchargement commence et passe au gris lorsque l'opération est terminée. Cette fonction est néanmoins désactivée par défaut, le temps que Google effectue quelques retouches. Par ailleurs, Chrome 99 introduisait Manifest V3, une API controversée qui risque de réduire fortement l'efficacité des bloqueurs de publicité. En effet, ces extensions anti-pub ne pourront filtrer que jusqu'à 30 000 sites au maximum contre 100 000 avec Manifest V2, la version actuellement utilisée. La transition sera cependant graduelle, puisque les adblockers déjà disponibles ne seront obligés de passer à Manifest V3 qu'à partir de 2023. Pour mémoire, Chrome 97, qui était sorti en janvier, corrigeait quelque 37 failles de sécurité. La plus important concerne les paramètres de confidentialité et de sécurité de Chrome. Il est maintenant possible d'effacer l'ensemble des données stockées par un site Web de manière individuelle, ce qui n'était pas le cas auparavant. Par ailleurs, le rendu des Web Apps installées à partir du navigateur a été amélioré, les rendant plus proches des applications classiques, dites "natives". Côté affichage, Chrome 97 sait prendre en charge le HDR, quand l'écran est compatible, et il est désormais possible de définir un zoom spécifique pour chaque sit visite, sur la version mobile uniquement. Enfin, une nouvelle option de l'API Keyboard permet aux sites de savoir quelles touches du clavier sont utilisées, ce qui pose un sérieux problème de sécurité et de confidentialité comme l'ont souligné Apple et la Fondation Mozilla. La version 96 de Chrome, sortie en novembre 2021, avait aussi apporté son lot de nouveautés. En premier lieu, la fonction HTTPS First. En clair, lors de l'accès à un site Web, Chrome 96 donne la priorité au protocole HTTPS (reconnaissable au petit cadenas à gauche de la barre d'adresse) pour établir une connexion sécurisée, et à défaut, bascule automatiquement en mode HTTP classique, non sécurisé. Par ailleurs, la version desktop (pour ordinateur) de Chrome 96 dispose de fonctions de partage mieux organisées et plus accessibles. En cliquant sur le Hub de partage directement à droite de la barre d’adresses, on peut choisir entre diverses actions (copier le lien, envoyer à des appareils, générer un Code QR, caster, enregistrer la page sous un nom) ou des options pour partager l’onglet actif sur Facebook, Twitter ou LinkedIn. Et comme à chaque fois, cette version corrige également des bugs et des failles de sécurité (une vingtaine).

AMD a commencé à dévoiler les principales caractéristiques des Ryzen 7000, ses prochains processeurs pour PC de bureau. Au programme, architecture Zen 4, gravure en 5 nm, PCIe 5.0 et DDR5 pour de hautes performances.

AMD est clairement revenu sur le devant de la scène informatique ces dernières années. Et entend bien le rester ! Ainsi, après une longue période de creux où elle s'est traînée loin derrière Intel avec des processeurs peu séduisants, la société américaine a su rebondir et même prendre la tête de la course technologique avec ses fameux Ryzen, des CPU au rapport performances/prix particulièrement avantageux qui connaissent un succès enviable, au point d'être devenus des références pour les joueurs, toujours friands de puissance de calcul. Et si Intel, frappé dans sa fierté, a su réduire l'écart par rapport à son éternel concurrent avec sa famille de Core 12e génération, dite Alder Lake (voir notre article), dont certains représentants s'octroient les meilleures places dans les benchmarks, AMD compte bien reprendre l'avantage avec sa nouvelle gamme Ryzen 7000 qui devrait arriver dès l'automne 2022.    

Ainsi, alors que les rumeurs et les fuites couraient bon train depuis plusieurs mois, AMD a profité de l'ouverture du salon Computex 2022 à Taiwan pour présenter officiellement ses futurs processeurs pour PC fixe. Des CPU nouvelle génération et résolument haut de gamme qui profiteront de plusieurs améliorations par rapport aux modèles actuels de la série Ryzen 5000, déjà très performants. Mais également par rapport aux puces de la récente famille Ryzen 6000 Mobile, destinée aux ordinateurs portables.  

Ryzen 7000 : des CPU nouvelle génération à architecture Zen 4

Sur le plan technique, les processeurs Ryzen 7000 – qui seront, comme tous les autres, déclinés en de multiples versions – inaugureront une nouvelle architecture, Zen 4, qui succédera à l'actuelle, Zen 3 en apportant plusieurs améliorations au niveau de l'organisation interne. Les Ryzen 7000, qui pourront compter jusqu'à 16 cœurs physiques et 32 cœurs logiques (pour les traitements parallèles, les threads), seront bâtis sur une structure hybride assez astucieuse comprenant deux chiplets identiques gravés en technologie 5 nm et un module d'entrées-sorties (I/O) fabriqué en technologie 6 nm, en bénéficiant des nouvelles techniques développées par TSMC, le grand spécialiste de circuits électroniques – qui réalise également les puces M1 d'Apple, entre beaucoup d'autres. En passant ainsi d'une gravure en 7 nm, utilisée pour l'architecture Zen 3 des meilleurs Ryzen 5000 actuels, à une finesse de 5 nm, AMD devrait pouvoir intégrer davantage de transistors dans ses unités de calculs tout en optimisant la consommation électrique. Un atout face à Intel qui utilise encore une technologie 10 nm dans ses Core de 12e génération – ce qui ne les empêche pas d'offrir d'excellentes performances –, mais pas par rapport à Apple qui est déjà passé au 5 nm dans ses puces M1.

En pratique, l'architecture Zen 4 permet d'augmenter le cache de niveau 1 de chaque cœur, qui passe de 512 Ko à 1 Mo sur un Ryzen 7000. Cela n'a l'air de rien, mais cette mémoire ultra rapide, située au sein même de la puce, permet d'accélérer notablement les traitements. Par ailleurs, sans donner de détails, AMD promet que les Ryzen 7000 dépasseront les 5 GHz en mode turbo, lors des calculs intensifs. Lors de sa présentation démo sur scène, Lisa Su, la patronne d'AMD, a fait la démonstration d'un modèle 16 cœurs Zen 4 dépassant les 5,5 GHz. Une fréquence impressionnante qui devrait permettre à ces nouveaux CPU d'offrir de très hautes performances. Difficile toutefois de savoir ce que ces améliorations donneront en situation réelle, car AMD est resté relativement flou sur ce point, en se contenant d'évoquer un gain relativement modeste de 15 % pour les opération sur un seul cœur (single thread), mais sans préciser le modèle de référence ni les conditions de mesures. Il faut espérer que les Ryzen 7000 marqueront davantage de différences en réalité, y compris dans les opérations utilisant plusieurs cœurs (multi threads) pour pouvoir justifier leur statut haut de gamme de nouvelle génération et prendre le pas sur les dernières puces Intel…


Ryzen 7000 : DDR 5 et PCIe 5.0 pour de hautes performances Bien entendu, les Ryzen 7000 apportent beaucoup d'autres nouveautés par rapport à la génération 5000. Au point qu'AMD a du changer le type de support (le socket) qui les accueillera sur les cartes mères. Ainsi, le format AM4 introduit en 2017 et utilisé sur les Ryzen actuel laissera sa place à l'AM5. Principale conséquence : l'obligation d'installer les Ryzen 7000 sur de nouvelles cartes mères, sans possibilité de récupérer les actuelles. En guise de consolation, AMD a fait en sorte que le capot métallique (le IHS) des Ryzen 7000 reste compatible avec les dispositifs de refroidissement conçus pour le socket AM4. À défaut d'économies – il faudra tout de même acheter un processeur, une carte mère et de la mémoire vive… –, cela permettra d'avoir du choix dès l'arrivée de ces CPU. Attention toutefois, car le TDP maximal (l'enveloppe thermique) passe de 105 W à 170 W. Il faut s'attendre à ce que les CPU montent sensiblement en température lors des opérations lourdes. Autre nouveauté notable : la mémoire vive. Les Ryzen 7000 gèrent en effet la DDR5, le nouvelle génération de Ram qui offrent des débits bien supérieurs à ceux de la DDR4 utilisée actuellement sur tous les PC actuels. Dans le même ordre d'idée, ils gèrent également la norme PCIe (PCI Express) 5.0 au lieu du PCIe 4.0, qui offre elle aussi des taux de transferts plus élevés, ce qui permettra de profiter pleinement de la nouvelle génération de SSD hautes performances. Qui dit nouveau support dit aussi nouveau chipset, le "jeu de composants" qui gère le processeur et les autres éléments sur les cartes mères. AMD a en a conçu trois nouveaux : le B650, le X670 et le lX670E, respectivement destinés aux PC d'entrée, de milieu et de haut de gamme. On devrait les voir arriver rapidement sur des cartes mères de spécialistes comme Asus ou MSI.

iGPU : du RDNA 2 en standard dans tous les Ryzen 7000 Par ailleurs, il semblerait que contrairement aux Ryzen 5000, tous les Ryzen 7000 soient dotés en standard d'un circuit graphique intégré (un iGPU comme on les appelle), ce qui évite l'emploi d'une carte graphique dédiée, sauf pour les joueurs les plus exigeants. Et ce ne sera pas une section au rabais puisque ce module sera de type RDNA 2, autrement dit la technologie que l'on retrouve dans les Ryzen 6000 mais aussi la console hybride Steam Deck ou encore les incontournables Xbox Series et la PS5, équipées en standard de puces AMD. Certes, faute de détails, on ignore encore le nombre et la fréquence des cœurs graphiques qui seront intégrés. Mais dans la mesure où un cœur RDNA 2 est jusqu'à deux fois plus performant qu'un cœurs Radeon Vega, on peut s'attendre à un très bon niveau de performances, sans parler de la consommation électrique réduite par rapport à une carte graphique séparée. De quoi suffire amplement pour la plupart des applications, y compris en 3D dans la plupart des jeux, ce qui n'est un moindre atout en ces temps de pénurie de composants… Pour le moment, on ne connaît ni la composition exacte de la famille Ryzen 7000, qui sera évidemment amenée à évoluer progressivement, comme toutes les autres gammes. On sait simplement qu'AMD prévoit de les sortir à l'automne 2022. Et on imagine bien que la marque distillera d'autres informations d'ici la date de lancement. Il faudra donc attendre encore un peu pour en savoir plus sur les autres aspects techniques, mais aussi, et surtout, sur les performances réelles et sur les prix. Et ce dernier point est particulièrement sensible quand on sait que TSMC a décidé d'augmenter ses tarifs. Rendez-vous dans quelques mois pour voir ce que valent vraiment les nouveaux champions d'AMD face à la concurrence, car on se doute qu'Intel ne restera pas inactif. Et qu'Apple prépare aussi de nouvelles puces à architecture ARM encore plus impressionnantes que les M1 actuels. Pas de doute, après quelques années de calme relatif, la guerre des processeurs est bien repartie !