5, Rue de Gutenberg - 15000 Aurillac

11, Avenue de Fondeyre - 31200 Toulouse

n'hésitez-plus

CARRY WEB est à votre écoute !

actualités

 

Retrouvez régulièrement des extraits de l'actualité du numérique selon plusieurs catégories de contenus. 

Réseaux sociaux

Liens utiles

 

Accueil > Actualités

"Le multimédia à portée de tous"

SUPPORT

11, Avenue de Fondeyre -
31200 Toulouse

5, Rue de Gutenberg -

15000 Aurillac

Rechercher un article

1 2 3 4 5 6 7 8 9 10 11 12 13 Blog Législations Réalisations Nouvelles Technologies Cyber Sécurité SEO Navigateur Web

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

05/07/2022

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

La moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.

 

C'est le verdict des chercheurs de l'équipe Google Project Zero, qui a recensé jusqu'à présent 18 failles "zero day" en 2022. Ces dernières affectent Windows (Microsoft), iOS et WebKit (Apple), Chromium et Pixel (Google), et le serveur Confluence (Atlassian).


C'est dans les vieilles failles qu'on fait les meilleurs exploits


Google Project Zero ne recueille des données que sur les failles de type "zero day" – des bugs exploités par des attaquants avant qu'un correctif ne soit disponible – dans les principaux logiciels, de sorte que le nombre annoncé n'englobe pas toutes les failles 0day découvertes dans les logiciels.

 

En outre, selon l'équipe de Google, il n'y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.

 

« Au moins la moitié des failles zero day que nous avons observées au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes de failles zero day de 2021. 12 mois à peine après la correction de la première 0day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre du groupe Project Zero, dans un billet de blog.

 

Elle ajoute qu'au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».


De plus en plus de zero day


Ce manque d'originalité va dans le sens d'une tendance que Maddie Stone et d'autres chercheurs de Google ont récemment mise en évidence.

 

Plus de failles zero day ont été trouvées en 2021 qu'au cours des cinq dernières années où Google Project Zero les a comptabilisés.

 

Plusieurs facteurs sont potentiellement en jeu. Tout d'abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu'auparavant. D'autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d'exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-in de navigateur comme Flash Player.


Les pratiques de l'industrie à revoir


Mais si la détection, la divulgation et l'application de correctifs s'améliorent dans l'ensemble de l'industrie, « nous ne rendons pas les 0day difficiles (à créer) », souligne Maddie Stone. Elle souhaite que l'industrie élimine des classes entières de failles de sécurité.

 

Par exemple, 67 % des 58 failles zero day étaient des vulnérabilités de corruption de mémoire.

 

L'équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l'énorme base de code du navigateur écrit en C++, mais les mesures d'atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.


Correctifs partiels


Maddie Stone souligne également que l'équipe Windows de Microsoft et l'équipe Chrome de Google ont fourni des correctifs partiels.

 

« Bon nombre des failles zero day de 2022 sont dues au fait que la vulnérabilité précédente n'a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d'exécution que les exploits visaient ont été corrigés, mais la cause première n'a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », raconte-t-elle.

 

« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »


Les failles exploitées cette année


Voici la liste des failles zero day exploitées en 2022 que Google Project Zero a suivies jusqu'au 15 juin :

  • Windows win32k : CVE-2022-21882, variante de la faille CVE-2021-1732 (2021) ;
  • iOS IOMobileFrameBuffer : CVE-2022-22587, variante de la faille CVE-2021-30983 (2021) ;
  • Windows : CVE-2022-30190 ("Follina"), variante de la faille CVE-2021-40444 (2021) ;
  • Chromium property access interceptors : CVE-2022-1096, variante des failles CVE-2016-5128, CVE-2021-30551 (2021) et CVE-2022-1232 ;
  • Chromium v8 : CVE-2022-1364, variante de la faille CVE-2021-21195 ;
  • WebKit : CVE-2022-22620 ("Zombie"), corrigée à l'origine en 2013, mais rétablie en 2016 ;
  • Google Pixel : CVE-2021-39793 (la CVE indique 2021, mais la faille a été divulguée et corrigée en 2022), variante d'une faille Linux similaire, dans un sous-système différent ;
  • Atlassian Confluence : CVE-2022-26134, variante de la CVE-2021-26084 ;
  • Windows : CVE-2022-26925 ("PetitPotam"), variante de la CVE-2021-36942 (patch régressé).

Comment optimiser son référencement : à faire et à ne pas faire !

27/06/2022

Comment optimiser son référencement : à faire et à ne pas faire !

Chaque année, les meilleures pratiques en référencement semblent changer notamment avec les mises à jour de l’algorithme de Google. Cela peut être déroutant, insaisissable, et le pire de tout, vous ne pouvez pas ignorer ces changements si vous souhaitez obtenir un bon classement sur les moteurs de recherche. Pour ne pas vous perdre, voici les bases à faire et à ne pas faire en SEO pour optimiser son référencement…

 


À faire pour optimiser son référencement (SEO)


Utiliser des mots-clés de longue traine

Les mots- clés sont bien évidemment essentiels pour un bon référencement. Mais lorsque vous incluez des mots-clés spécifiques dans votre contenu Web, ciblez des mots-clés de longue traine. Ils répondent à deux critères spécifiques : une faible concurrence et une pertinence élevée. En plus de contenir plus de mots, ce qui leur donne plus de spécificité, ils sont moins concurrentiels, car ils ont une intention de recherche plus claire. Ainsi, au lieu de cibler un mot-clé comme « podcast », essayez plutôt « comment lancer son premier podcast ».

 

Avoir un contenu frais et pertinent

Si vous avez constamment du nouveau contenu pour attirer régulièrement les visiteurs, qu’ils soient nouveaux ou pas, vous êtes sur la bonne voie. Google a tendance à indexer votre site quotidiennement, donc s’il voit du nouveau contenu ajouté régulièrement, alors vous devriez voir votre classement augmenter, bien évidemment à condition que ce contenu ait du sens sur votre site Web.Assurez-vous que le contenu est non seulement pertinent sur le marché dans lequel vous vous positionnez, mais également précieux pour que les utilisateurs puissent en faire bon usage.


Apporter de la cohérence avec la qualité et la fréquence du contenu

La création de liens et un contenu de haute qualité sont connus pour être les éléments les plus importants au moment où Google classe un site Web. Si vous voulez que cela fonctionne et attire plus d’audience, vous avez besoin d’un contenu cohérent et fréquent de haute qualité. Apprenez donc à créer du contenu de qualité et rapidement.

Publiez souvent et ne publiez que du bon contenu. Cela vous aidera à vous classer plus haut et à attirer plus d’audience.

 

Créer des liens

Avoir un site Web avec stratégie de backlink permet à coup sûr d’avoir un bon niveau de référencement. Plus il y a de sites externes liés à votre site, en particulier ceux qui ont une autorité de domaine importante, plus votre site sera consulté par des moteurs de recherche tels que Google. Certains de ces liens viendront naturellement, mais beaucoup devront être travaillés. Les stratégies pour obtenir des liens sur d’autres sites sont nombreuses comme :

 

  • Rédiger un article dans votre domaine d’expertise pour un autre site (guest blogging ou article invité) ;
  • Inclure un site sur une publication qui vante sa qualité ou son autorité, ce qui le rend susceptible de vouloir le partager ;
  • Publier une interview de personnalités intéressantes pour votre cible sur votre site, les rendant susceptibles de vouloir le partager ;
  • Partager des messages de valeur sur votre site ;
  • Ajouter votre entreprise à une liste d’annuaires pertinents

 

Analyser le trafic de votre site Web

Vous ne pouvez pas optimiser le référencement de votre site web si vous ne savez pas où vous en êtes actuellement. Un excellent point de départ est Google Analytics. En fonction de votre trafic, vous pouvez recueillir de précieuses informations sur la façon de structurer vos objectifs afin de pouvoir franchir les prochaines étapes pour les atteindre.

 

À ne pas faire pour optimiser son référencement (SEO)


Utiliser le bourrage des mots-clés

Les mots-clés étaient et restent importants pour l’optimisation des moteurs de recherche. Au cours de la dernière décennie, leur densité n’a pas été l’une des mesures les plus courantes, mais vous ne devriez toujours pas forcer les mots-clés à se classer plus haut dans les moteurs de recherche. Premièrement, vous ruinerez la qualité de votre contenu et avec lui, la satisfaction de l’utilisateur. Deuxièmement, une utilisation plus fréquente ne signifie pas nécessairement que les moteurs de recherche trouveront votre publication plus rapidement que les autres. N’arrêtez pas d’utiliser des mots-clés cibles dans votre contenu, mais essayez de vous en tenir à un objectif de mots-clés réaliste.

 

Laisser la vitesse de chargement du site très lente

Saviez-vous que 83 % des utilisateurs s’attendent à ce que les pages du site Web se chargent en trois secondes ou moins ? Si l’une de vos pages de contenu prend beaucoup de temps à se charger, vos visiteurs appuieront rapidement sur le bouton de retour. Lorsque beaucoup de gens font cela, Google supposera que votre contenu n’est pas pertinent et votre page descendra dans les classements. Pour accélérer la vitesse de chargement de votre site web, vous pouvez par exemple :

 

  • Compresser vos images ;
  • Minimiser votre code ;
  • Améliorer le temps de réponse de votre serveur ;
  • Limiter vos redirections.


Négliger vos métadonnées

Les métadonnées sont l’un des facteurs d’optimisation des moteurs de recherche. Les visiteurs ne les remarquent quasiment jamais, pourtant, elles font toute la différence pour classer votre site web sur les moteurs de recherche. Le fait de ne pas optimiser et d’inclure les métadonnées appropriées entraînera une diminution du classement. Assurez-vous donc d’optimiser la balise title, les descriptions et les images. Plus vos métadonnées sont optimisées de manière appropriée, meilleur sera votre classement.

 

Négliger le responsive design

Saviez-vous que 70 % de tout le temps passé sur Internet est passé sur le mobile ? Soyons donc clairs là-dessus : un site qui n’est pas optimisé pour les mobiles n’aura aucune chance d’être classé. Pour que votre site web apparaisse dans les résultats de recherche Google, il doit donc être adapté aussi bien pour les ordinateurs de bureau que pour les appareils mobiles.

 

Copier le contenu d’un autre site web

Les moteurs de recherche évoluent constamment et deviennent de jour en jour plus intelligents que jamais ! Ils peuvent facilement détecter le duplicate content, c’est-à-dire si vous avez copié du contenu à partir d’une autre source.

Ne l’oubliez pas, si vous avez un bon référencement, vous pouvez attirer plus de trafic et obtenir plus d’opportunités pour convertir des clients potentiels.

 

Source : www.webmarketing-com.com/

Date : 31/05/2022

Auteur : Rado Andria

Internet Explorer est mort

20/06/2022

Internet Explorer est mort

En d’autres termes, tout bug ou vulnérabilité découverts dans Internet Explorer à partir de maintenant ne sera pas corrigé, car Microsoft retire le navigateur et encourage les utilisateurs à passer à Microsoft Edge.

 

Cela n’a guère de sens de discuter de l’héritage d’Internet Explorer, mais il fut un temps où il était le navigateur numéro un dans le monde. Cependant, les navigateurs tiers ont évolué à un rythme très rapide, alors qu’Internet Explorer ne l’a pas fait, de sorte que l’application de Microsoft a lentement mais sûrement perdu la bataille.

 

Maintenant que Microsoft s’investit pleinement dans Microsoft Edge, l’entreprise espère que la transition d’Internet Explorer ne sera pas aussi douloureuse qu’il y paraît.

 

Microsoft propose un mode IE dédié dans Microsoft Edge, de sorte que les utilisateurs peuvent toujours charger certains sites Web dans ce mode de compatibilité.

 

Bon débarras


« Si vous êtes un consommateur utilisant Internet Explorer à la maison, nous vous recommandons de passer à Microsoft Edge avant le 15 juin 2022, pour commencer à profiter d’une expérience de navigation plus rapide, plus sécurisée et plus moderne », a déclaré Microsoft dans une précédente annonce. « La bonne nouvelle : vous l’avez probablement déjà sur votre appareil. Recherchez “Microsoft Edge” à l’aide de la boîte de recherche de Windows 10 ou cherchez l’icône. Si vous ne l’avez pas, vous pouvez facilement le télécharger ici. Nous avons également cherché à simplifier la mise à niveau vers Microsoft Edge. Une fois que vous avez choisi de passer à Microsoft Edge, il est facile de transférer vos mots de passe, vos favoris et autres données de navigation d’Internet Explorer en quelques clics. Et si vous tombez sur un site qui nécessite Internet Explorer pour s’ouvrir, Microsoft Edge intègre le mode Internet Explorer pour que vous puissiez toujours y accéder ».

 

Le temps est venu pour Internet Explorer, mais alors que c’était l’un des principaux navigateurs du monde à un moment donné, il est difficile de croire qu’il manquera à trop de gens de toute façon.

 

Source : www.blog-nouvelles-technologies.fr/

Date : 15/06/2022

Auteur : Yohann POIRON

Google Analytics et RGPD : la CNIL explique comment être en conformité

13/06/2022

Google Analytics et RGPD : la CNIL explique comment être en conformité

En février 2022, la CNIL annonçait des mises en demeure à l’encontre de sites web français qui utilisaient Google Analytics, estimant que l’usage de cet outil était une violation du RGPD, en raison de transferts de données vers les États-Unis.

 

Aujourd’hui, la CNIL fait le point sur la situation pour aider les acteurs du web à comprendre pourquoi certains paramétrages de l’outil ne sont pas suffisants pour être en conformité et propose une solution opérationnelle : l’utilisation d’un proxy.

 

La modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas pour être en conformité
À la suite de cette prise de position de la CNIL en février dernier, certains professionnels du web ont modifié leur paramétrage des conditions de traitement de l’adresse IP mais cela n’est pas suffisant selon l’autorité administrative française car les données continuent d’être transférées aux États-Unis.

 

Autre paramétrage qui ne suffit pas : le chiffrement de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site. La raison avancée par la CNIL : « cela n’apporte que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l’adresse IP par Google. »

 

Quel est le principal problème pour la CNIL ?


La problématique principale mise en avant par la CNIL : « le contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. »

 

Une solution complexe proposée : l’utilisation d’un proxy


La CNIL recommande d’utiliser un serveur mandataire (un proxy) pour rompre le contact direct entre le terminal de l’internaute et les serveurs de Google. L’idée est de garantir que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne.

 

Dans son blog post, la CNIL liste toutes les mesures nécessaires à mettre en place pour que la proxyfication soit valable et les conditions d’hébergement adéquates. Mais mettre en place un proxy correctement configuré ne se fait pas en un claquement de doigts, et la CNIL en a conscience : « La mise en œuvre des mesures décrites ci-dessous (ndlr : la proxyfication) peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels. » 

 

Le moment de changer d’outil de web analytics ?


Est-ce le moment de changer de solution de web analytics ? La question se pose. Dans son blog post, la CNIL invite d’ores et déjà les acteurs du web à se tourner vers d’autres solutions ne réalisant pas de transfert de données personnelles en dehors de l’Union européenne… Le début de la fin pour Google Analytics en France ?

 

La CNIL a publié une FAQ sur ses mises en demeure de la CNIL concernant l’utilisation de Google Analytics. Vous y retrouvez notamment une liste d’outils alternatifs de mesure d’audience.

 

Source : www.blogdumoderateur.com/

Date : 09/06/2022

Auteur : Estelle Raffin

Ex-Google CEO Eric Schmidt on why in-office work is better: ‘I don’t know how you build great ...

07/06/2022

Ex-Google CEO Eric Schmidt on why in-office work is better: ‘I don’t know how you build great ...

″[I]t’s important that these people be at the office, in my view,” Schmidt, 66, tells CNBC Make It, arguing that for decades, the in-office style has been proven effective. “I’m a traditionalist.”

 

Starting Monday, Google’s hybrid work arrangement kicked off, with most employees expected to be in the office at least three days per week. Schmidt, who served as Google’s CEO from 2001 to 2011, helped transform the then-young Silicon Valley start-up into today’s $1.9 trillion global tech behemoth — and credits in-office work for much of that growth.

“We spent decades having these conversations about people being close together ... the discussion at the coffee table and going to coffee,” Schmidt says. “Remember all of that? Was that all wrong?”

 

Schmidt says it’s not just a matter of nostalgia: There are practicalities to working together in person. For example, he says that conversations about professionalism — which might be particularly necessary at companies full of young employees — are much harder to have virtually.

 

When Schmidt started at Google, for example, the company had “an awful lot of college students who were behaving as though the workplace was like college,” he says. “And I used to say to them, ‘This is not college. This is a professional thing, you can’t do that. And, or, it might be illegal. So please stop, now.’”

 

Younger employees, particularly those between the ages of 25 and 35, can also use in-office settings to more effectively develop their management styles, Schmidt says. For him, that includes learning about meeting etiquette, presentation skills, workplace politics and dealing with competitors, both internally and externally.

 

“In terms of their age, that’s when they learn,” he says. “If you miss out [on that] because you are sitting at home on the sofa while you’re working, I don’t know how you build great management. I honestly don’t.”

 

There are exceptions, Schmidt notes: Some workers might have specialized roles that don’t require a lot of in-person communication, others might deeply dislike the office’s social nature and many probably aren’t looking forward to reintegrating lengthy commutes into their schedules.

 

Still, Schmidt says, a largescale movement to permanently work remotely would deny at least 30 to 40 years of workplace experience.

 

“I think there is a lot of evidence that humans are social,” he says. “And that the current virtual tools are not the same as the informal networks that occur within a corporation.”

 

Source : www.cnbc.com/

Date : 05/04/2022

Auteur : Jade Scipioni

services

réseaux sociaux