Les vulnérabilités exploitées de Microsoft SharePoint, qui font grand bruit depuis quelques jours, proviennent d’un correctif défaillant qui remonte à 2020. L’expert en cybersécurité Kaspersky évoque une négligence du géant américain.
Microsoft négligeant ? Non, c’est pas possible.
Je n’y crois pas. 
4 « J'aime »
L’ironie agréable est quand mêmê qu’ils annoncentvirer des milliers de personnes, remplacés par l’IA.
Et « oh bha zut, » une énorme faille de sécurité, peut être la pire.
2 « J'aime »
Trouvez-vous aussi SharePoint abominable en entreprise? Horriblement lent, liens qui finissent par être obsolètes, pages introuvables…
Espérons que ces failles enterreront le truc !
1 « J'aime »
Sharepoint est une horreur à utiliser @kroman et j’espere que ca servira pour à changer de cremerie donc je suis d’accord avec toi
2 « J'aime »
Kaspersky, la société russe , c 'est cela ? 
Je n’ai pas l’impression que cette vulnérabilité fasse « grand bruit » en dehors de quelques sites. Rien au JT
Tout ce que l’on utilise est vulnérable. Il n’y a qu’à voir les mises à jour régulières dites de sécurité de la plus part des OS qui démontrent qu’avant ces MAJ, on utilise forcément et en permanence des systèmes troués. C’est la même choses pour les softs.
Je me demande comment le marketing des commerçants de tous poils peuvent de nos jours écrire : « faites nous confiances, vos données seront sécurisées chez nous » ???
@Clubic, il est grand temps que vous vous muscliez en peu plus en sécurité. Comme de nombreux autres de vos article sécurité, celui-ci contient de grandes déclarations fracassantes (Revelation: Microsoft a bâclé…) et quasiment aucune information.
Les problèmes:
- vous reprenez telle quelle une information publicitaire de Kaspersky. Ils ont retro engeenire le patch de Microsoft pour faire de la pub a leur fonction behavior content de Kapersky next.
- vous fournissez une copie d’écran de l’exploit avec zéro explication de ce qui se passe
- vous déclarez que Microsoft a bâclé le patch sans expliquez quel est le problème initial, comment il a été corrige et quel est le problème secondaire qui rend le patch ineffectif.
- vous reprenez une déclaration « Nous nous attendons à ce que ToolShell suive le même schéma » sans expliquer que ce point se rapporte au manque d’application des patchs de sécurité et n’est pas spécifique a la faille SharePoint.
Il y avait pourtant matière à faire un article de fond. Plusieurs thèmes que vous auriez pu aborder:
- Ce que sont les désérialisations et pourquoi c’est intrinsèquement a risque
- Le danger de faire une mitigation plutôt qu’une root cause solving. Comment cela expose à des risques secondaires (ce qui s’est passe ici), et pourquoi pour des raisons de temps et de retro compatibilité cette solution est adopte
- Ce qui aurait pu être fait pour éviter ce souci. Comment l’industrie pourrait sortir du cycle incessant des fix urgents et faire du post mortem sur le fond.
- etc.
Un article avec des déclarations fracassantes (Microsoft a failli sur…) et une analyse de fond supportant ces déclarations aurait été très intéressant. Un article superficiel comme celui-ci sans le sensationnalisme aurait été acceptable. Mais faire des accusations sans avoir la matière derrière pour les justifier n’est pas du journalisme.
Le problème est que cela devient une habitude. J’en prend pour preuve l’article récent sur les VPNs (VPN partout, vie privée nulle part : pourquoi les internautes font n'importe quoi) qui est un ramassis de contresens.
3 « J'aime »
Merci pour ce message qui rejoint celui que j’ai mis concernant Naval Group et l’attaque annoncée par Clubic, alors qu’il s’agit potentiellement d’une attaque réputationnelle, ce qui rend Clubic un peu complice sans correction.
1 « J'aime »