Mise À Jour De Produit

Selon BleepingComputer, Bitwarden a annoncé la prise en charge de la connexion aux appareils Windows 11 en utilisant des passkeys stockées dans le coffre-fort du gestionnaire, afin d’activer une authentification résistante au phishing. 🔐 Fonctionnalité annoncée : prise en charge de la connexion à Windows 11 grâce à des passkeys conservées dans le coffre Bitwarden. 🎯 Objectif principal : proposer une authentification résistante au phishing, en s’appuyant sur des passkeys au lieu de mots de passe traditionnels. ...

Selon Ars Technica, Google dévoile un plan pour protéger la chaîne de certificats HTTPS contre les futures attaques quantiques, en s’appuyant sur des Merkle Tree Certificates (MTC) et des signatures post-quantiques (dont ML-DSA), déjà pris en charge dans Chrome, en partenariat avec Cloudflare. 🔐 Problème à résoudre: le matériel cryptographique post-quantique nécessaire pour publier les certificats TLS et leurs preuves de transparence est ~40× plus volumineux que l’existant. Une chaîne X.509 typique actuelle (~4 kB) comprend six signatures à courbes elliptiques et deux clés publiques EC (64 octets chacune), vulnérables à l’algorithme de Shor. Augmenter fortement la taille ralentirait le handshake TLS et dégraderait des « middle boxes ». ...

Selon le blog de Let’s Encrypt (Samantha Frank, 18 février 2026), l’autorité met en œuvre un nouveau type de défi ACME, DNS-PERSIST-01, basé sur un brouillon IETF et aligné avec le bulletin CA/B Forum SC-088v3 adopté en octobre 2025. DNS-01 exige une preuve de contrôle répétée à chaque émission/renouvellement via un enregistrement TXT temporaire sous _acme-challenge.<domaine>. Cela implique des délais de propagation DNS, des mises à jour fréquentes et la distribution de crédentiels d’écriture DNS dans les chaînes d’automatisation. ...

Selon BleepingComputer, Microsoft annonce qu’il désactivera par défaut le protocole d’authentification NTLM, âgé de 30 ans, dans les prochaines versions de Windows. Ce changement est motivé par des vulnérabilités de sécurité qui exposent les organisations à des cyberattaques. Points clés 📝 Protocole concerné : NTLM (30 ans) Changement : désactivation par défaut 🚫 Motif : vulnérabilités de sécurité exposant les organisations à des cyberattaques ⚠️ Périmètre : prochaines versions de Windows Cette décision vise à réduire l’exposition liée à NTLM, compte tenu de ses faiblesses historiques, en le retirant de la configuration par défaut des futures versions du système. ...

Selon Ars Technica, Microsoft a mis fin à une anomalie réseau où son service Autodiscover renvoyait, pour le domaine de test example.com (réservé par la RFC2606), des paramètres pointant vers des sous-domaines de Sumitomo Electric (sei.co.jp), au lieu de rester confinés à des adresses de l’IANA. Cette situation pouvait amener des utilisateurs à envoyer des identifiants de test en dehors des réseaux Microsoft lors de la configuration d’Outlook. Des tests via cURL et l’ajout d’un compte test@example.com dans Outlook affichaient une réponse JSON proposant des serveurs externes: imapgms.jnet.sei.co.jp (IMAPS 993 SSL) et smtpgms.jnet.sei.co.jp (SMTPS 465 SSL). Le trafic anormal provenait du point de terminaison Microsoft d’autodétection et ne concernait que la fonction d’autoconfiguration d’Outlook. ...

Contexte: annonce institutionnelle de l’ANSSI en collaboration avec Glimps (16 janvier 2026). ANSSI, avec la start-up bretonne Glimps, propose “JeCliqueOuPas” (JCOP), un service d’analyse automatisé de fichiers conçu pour détecter des fichiers malveillants. La plateforme permet aux agents publics de soumettre un fichier et d’obtenir un diagnostic sur son caractère malveillant, avec la garantie que les données ne sont pas réutilisées par des tiers. D’après la Dinum, le service traite environ 80 000 fichiers par jour. ...

Source: CA/Browser Forum — Le Forum annonce la fin de la période IPR pour le ballot CSC‑31 « Maximum Validity Reduction » sans exclusion de droits, l’adoption au 17 novembre 2025, et la publication des Code Signing Baseline Requirements v3.10.0. La mise à jour des « Baseline Requirements for the Issuance and Management of Publicly‑Trusted Code Signing Certificates » réduit la validité maximale des certificats de 39 mois à 460 jours, avec entrée en vigueur le 1er mars 2026. La redline et la version publiée sont disponibles (PDF et comparaison GitHub). ...

Source: Notepad++ (notepad-plus-plus.org) — Le 27 décembre 2025, le projet annonce Notepad++ 8.9, une version axée sur des améliorations de sécurité et des correctifs. 🔐 Signature de code: l’usage du certificat auto-signé est abandonné au profit d’un certificat légitime GlobalSign pour signer les binaires. Les utilisateurs ayant installé le certificat racine auto-signé précédemment sont fortement invités à le retirer. 📝 Journalisation sécurité des mises à jour: un journal d’erreurs de sécurité est désormais généré automatiquement durant la mise à jour. En cas d’échec lié à une signature ou à la vérification de certificat, le fichier «%LOCALAPPDATA%\Notepad++\log\securityError.log» permet d’identifier le problème et de le signaler au bug tracker de Notepad++. ...

Source: GitHub (HotCakeX/Harden-Windows-Security). Une page wiki mise à jour détaille AppControl Manager, une application moderne et gratuite pour gérer Windows App Control et Code Integrity sur postes locaux ou distants. L’outil fournit une interface graphique pour créer/éditer/déployer des politiques App Control, avec support de Windows 11 (22H2 à 25H2) et Windows Server 2025. Il est développé en C#/WinUI3/.NET (WinAppSDK), packagé en MSIX, sans dépendances tierces, sans télémétrie, avec exécution rapide, trimming et Native AOT, et prise en charge x64/ARM64. 🔧 ...

Selon BleepingComputer, Microsoft a annoncé que les administrateurs de sécurité pourront bientôt restreindre les interactions d’utilisateurs externes avec les membres de leur organisation dans Microsoft Teams. 🔒 La nouveauté permet de bloquer l’envoi de messages, les appels et les invitations de réunion émanant d’utilisateurs externes vers les collaborateurs d’une organisation. L’objectif est de donner aux équipes de sécurité un contrôle renforcé sur les communications entrantes. Le déploiement est annoncé comme « bientôt », sans autres détails opérationnels dans l’extrait fourni (périmètre exact, calendrier précis ou conditions d’activation non précisés ici). ...