+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    356
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 356
    Points : 8 624
    Points
    8 624

    Par défaut Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA

    Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA
    Mais est-elle suffisante pour assurer la sécurité des utilisateurs ?

    Après la publication de milliers de documents provenant des serveurs internes de la CIA, les développeurs et éditeurs tentent tant bien que mal de corriger les failles révélées par la fuite Vault 7 (nom choisi par Wikileaks pour parler de la cascade de documents confidentiels provenant des archives de la CIA) malgré l’absence de publication du code source des vulnérabilités, ce qui fait que l’élaboration de correctifs est complexe. Cette fuite a fait réagir plusieurs géants comme Google, Microsoft ou encore Samsung. Il a été révélé également que l’agence mythique d’espionnage américaine s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage.

    Parmi ces programmes, figure le très populaire éditeur de code source Notepad++. Ce dernier a eu droit à une mise à jour visant à corriger la faille “Vault 7” exploitée par la CIA. Sur le site officiel de l’éditeur, il explique comment sur un PC compromis, la CIA a détourné le fichier DLL scilexer.dll (nécessaire à Notepad++) pour le remplacer par une DLL scilexer.dll modifiée et conçue par la CIA. Lorsque Notepad++ est lancé, la DLL scilexer.dll modifiée est chargée à la place de la DLL originale. Tout comme pour VLC, la CIA cherche à exfiltrer des données lorsque l’utilisateur est en train d’utiliser le logiciel de façon anodine.

    Pour remédier à cette situation, la nouvelle version (v7.3.3) aura tendance à vérifier la conformité du certificat de la DLL avant de la charger. Si le certificat est manquant ou invalide, il ne sera pas chargé et Notepad++ ne sera pas lancé.

    L’éditeur du code a tenu à rappeler que la vérification des certificats des DLL renforce la sécurité, mais si votre PC est compromis, les pirates seront en mesure de faire ce qu’ils veulent avec votre machine. La solution présentée avec cette mise à jour vise seulement à éviter que Notepad++ charge une DLL conçue par la CIA. Elle ne permet malheureusement pas d’éviter que le fichier Notepad++.exe original soit remplacé par une version modifiée quand la CIA contrôle déjà votre PC. Autrement dit, s’ils sont capables de remplacer la DLL dans votre machine, ils seront en mesure de remplacer le fichier .exe et désactiver la vérification des certificats.

    « C’est comme lorsque je sais que verrouiller la porte est inutile pour les personnes qui veulent entrer dans ma maison, mais je continue à fermer la porte à clé chaque matin lorsque je quitte ma demeure. C’est malheureusement le monde dans lequel nous vivons aujourd’hui. » Wikileaks n’a pas indiqué si la CIA utilise ses outils pour espionner des citoyens américains, une démarche qui serait illégale et contraire à la déclaration de droits américaine.

    Cette mise à jour apporte également un lot d’améliorations et de corrections de bogues, elle fixe le plantage de la molette de la souris dans la liste de tâches et corrige un problème de scintillement lors du basculement après modification ou suppression d'un document de l'extérieur. La liste complète des changements est à consulter ici.

    Télécharger Notepad++ v7.3.3

    Source : Notepad++

    Et vous ?

    Que pensez-vous des agissements et méthodes de la CIA ?

    Voir aussi :

    Vault 7 : Apple et Google considèrent leurs produits assez protégés, Microsoft et Samsung examinent les failles révélées, Mozilla et l'EFF accusent
    La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    652
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 652
    Points : 2 341
    Points
    2 341

    Par défaut

    Est-ce que la dernière mise à jour de Notepad++ (ou de n'importe quel logiciel) est suffisante pour assurer la sécurité des utilisateurs ?

    Mais que voilà une bonne question qui ne sert strictement à rien: Aucun système, aucun logiciel ne peut être réellement protégé à 100%

    1. Les technologies utilisées comportent toutes des failles

    2. Lorsqu'un éditeur de logiciel va demander à un développeur d'en améliorer la sécurité, CIA, NSA et autres "James Bond en herbe" de tous les pays pourront aligner des milliers de développeurs et la communauté d'internet des millions pour trouver la faille

    Dernier commentaire: Toi, lecteur de ces lignes... Je ne veux pas te décevoir, mais je pense que ta vie et tes activités sont bien trop insignifiantes pour que la CIA passe du temps à t'espionner

    Alors n'hésite pas à utiliser Notepad++ qui est un outil absolument génial...

  3. #3
    Membre actif Avatar de Cpt Anderson
    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2005
    Messages
    224
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2005
    Messages : 224
    Points : 218
    Points
    218

    Par défaut

    Dernier commentaire: Toi, lecteur de ces lignes... Je ne veux pas te décevoir, mais je pense que ta vie et tes activités sont bien trop insignifiantes pour que la CIA passe du temps à t'espionner
    C'est là ou le raisonnement n'est pas bon. Effectivement la CIA n'en a strictement rien à faire pour 99.9% des gens mais le principe des agences de renseignements est de récupérer toutes les données de tout le monde et de cibler les 0.1% qui ont, ou auront, un intérêt (opposant politique, terroriste, etc) pour recueillir ses données personnelles. C'est la manière du bourrin de tout récolter pour ensuite trier, alors que la méthode à l'ancienne avec des agents de renseignement de terrain disparait peu à peu car trop chère.
    Voici la méthode de mon chef:

    copy (DateTimeToStr(Now),7,4)+
    copy (DateTimeToStr(Now),4,2)+copy (DateTimeToStr(Now),1,2)+copy (DateTimeToStr(Now),12,2)+
    copy (DateTimeToStr(Now),15,2)+copy (DateTimeToStr(Now),18,2)

    Je lui ai dit que FormatDateTime irait surement mieux


  4. #4
    Membre expérimenté
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 006
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 006
    Points : 1 560
    Points
    1 560

    Par défaut

    Prudence avec toutes les mises à jour qui crient au loup de la CIA...
    Cette correction pourrait ouvrir d'autres portes.
    Si la réponse vous a aidé, pensez à cliquer sur +1

  5. #5
    tlt
    tlt est déconnecté
    Membre habitué Avatar de tlt
    Homme Profil pro
    Chef de projet, Developpeur Unity 3D, API Designer
    Inscrit en
    juillet 2004
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Chef de projet, Developpeur Unity 3D, API Designer
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2004
    Messages : 94
    Points : 169
    Points
    169

    Par défaut

    je suis curieux de savoir si la cia a mis directement ce "trojan dll" dans les fichiers d'installation ou bien par le biais d'autre chose

  6. #6
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    21 554
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 21 554
    Points : 144 264
    Points
    144 264
    Billets dans le blog
    5

    Par défaut

    Bonjour,

    Je tiens à rappeler que Notepad++ est un projet open source et que le code est sur GitHub. Il suffit donc de regarder les quatre commit accompagnant la 7.3.3 (daté du 8 Mars) pour avoir un meilleur avis sur la correction :

    (plus précisément)
    Avant le chargement de la bibliothèque SciLexer.dll, le certificat va être vérifié.
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  7. #7
    Expert confirmé

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    1 738
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 65
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 1 738
    Points : 4 820
    Points
    4 820
    Billets dans le blog
    2

    Par défaut

    Citation Envoyé par NSKis Voir le message
    ...Dernier commentaire: Toi, lecteur de ces lignes... Je ne veux pas te décevoir, mais je pense que ta vie et tes activités sont bien trop insignifiantes pour que la CIA passe du temps à t'espionner ...
    Et moi, au contraire, j'espère bien qu'ils perdent leur temps a m'espionner à chaque fois que j'utilise Notepad++ (tous les jours). Pendant qu'ils font ça, ils ont moins de temps pour faire des conneries ailleurs.
    Pierre GIRARD

  8. #8
    Nouveau membre du Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    février 2010
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2010
    Messages : 38
    Points : 32
    Points
    32

    Par défaut faille sous WINDAUBE ? MDR

    Un éditeur syntaxique c'est fait pour éditer du code, pas pour envoyer des voeux à Bin Laden (qui d'ailleurs est employé par la CIA).

    Sur une machine windows, la faille de sécurité c'est windows !
    On ne peut pas faire confiance à Word, Outlook ou NTFS dont le code n'est pas public.
    Cela me semble beaucoup plus risqué que d'utiliser NP++ ;-)

    Je bosse pour EDF, avec la dernière version d'Outlook, on arrive même plus à lire nos propres emails ;-) j'espère au moins que la CIA y arrive ;-)

  9. #9
    Membre du Club
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 25
    Points : 65
    Points
    65

    Par défaut

    Est-ce que la dernière mise à jour de Notepad++ (ou de n'importe quel logiciel) est suffisante pour assurer la sécurité des utilisateurs ?

    Mais que voilà une bonne question qui ne sert strictement à rien: Aucun système, aucun logiciel ne peut être réellement protégé à 100%
    Si des lecteurs se posent la question son existence est justifiée.

    Toi, lecteur de ces lignes... Je ne veux pas te décevoir, mais je pense que ta vie et tes activités sont bien trop insignifiantes pour que la CIA passe du temps à t'espionner
    Comme le précise Cpt Anderson, que tes activités soit insignifiantes ne signifie pas que des données ne transitent pas chez eux vu qu'il s'agit de récolte de masse, après tu ne sais pas ce que les données recueillies vont devenir. Personnellement je n'aime pas que des inconnus puissent fouiller dans ma vie privée, discrètement qui plus est.

    Un éditeur syntaxique c'est fait pour éditer du code, pas pour envoyer des voeux à Bin Laden (qui d'ailleurs est employé par la CIA).
    Tu as des preuves de sources relativement sûres à partager ? Sinon merci d'arrêter de dégrader le web qui contient déjà suffisamment d'âneries comme ça.

Discussions similaires

  1. Réponses: 7
    Dernier message: 12/09/2009, 13h30
  2. Réponses: 0
    Dernier message: 04/09/2009, 03h30
  3. Réponses: 0
    Dernier message: 03/01/2009, 11h41
  4. Réponses: 3
    Dernier message: 28/05/2008, 19h08
  5. Réponses: 6
    Dernier message: 15/05/2006, 17h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo