Samsung Galaxy S24 et Sonos Era piratés à Pwn2Own Ireland - Actus du 24/10/2024
Découvrez les coulisses d'Unlock avec le doxing d'un journaliste de Numerama, les arnaques SNCF sur les cartes Avantage et le nouveau compte épargne Revolut qui défie le livret A. Ne manquez pas notre article pour être informé et vigilant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Ce soir dans Unlock, on doxe un journaliste de Numerama en direct
Numerama et Frandroid présentent une émission en direct sur la technologie et le futur, avec un focus sur l'empreinte numérique, qui englobe toutes les traces laissées sur le web. Ces données peuvent être exploitées par des individus malintentionnés pour des actes de chantage ou des arnaques ciblées. Par exemple, une simple photo de vacances peut révéler des informations personnelles sensibles. Pour aider à la protection des organisations, Mailinblack propose U-Cyber 360°, une solution qui inclut des gestionnaires de mots de passe, la sécurisation des e-mails, ainsi que des formations et simulations d'attaques. L'émission accueillera Baptiste Robert, hacker éthique et CEO de PredictaLab, qui réalisera une démonstration de doxing en direct, en cherchant des informations sur deux membres de la rédaction. Cette démonstration servira de point de départ pour discuter des bonnes pratiques en matière de cybersécurité. La prochaine émission aura lieu le 24 octobre à 17h sur la chaîne Twitch de Frandroid, avec des rediffusions sur X et YouTube. Les auditeurs peuvent suivre les actualités et les replays sur diverses plateformes sociales.
Sources :
Attention à cette fausse offre de la SNCF, il n’y a pas de promotion monstre sur les cartes Avantage
En période de vacances, les campagnes de phishing se multiplient, comme en témoigne une récente arnaque relayée par un compte proche de la SNCF sur le réseau social X. Ce message frauduleux, qui imite l'application SNCF Connect, prétend offrir une réduction sur la carte Avantage Jeune, affichant un prix erroné de 189 euros au lieu de 49 euros. Les cybercriminels utilisent ces techniques pour dérober des données bancaires, permettant ainsi des achats non autorisés. Pour se protéger, il est essentiel de vérifier l'adresse e-mail de l'expéditeur, d'examiner attentivement l'URL et le nom de domaine, et de ne pas cliquer sur des liens suspects. En cas d'achat effectué, il est recommandé de bloquer immédiatement sa carte pour prévenir d'éventuelles fraudes. La société Mailinblack propose des solutions de cybersécurité, comme U-Cyber 360°, qui incluent des outils de gestion des mots de passe, de sécurisation des e-mails et de formation continue pour sensibiliser les employés aux risques cyber. Ces mesures sont cruciales pour éviter de tomber dans le piège des arnaques en ligne, surtout en période de forte activité commerciale.
Sources :
Le nouveau compte épargne Revolut veut faire mieux que le livret A (ou presque)
Revolut lance un nouveau produit d’épargne, le « Livret d’Épargne », offrant un taux d'intérêt attractif de 3,25 % par an, avec des dépôts et retraits sans frais. Pour bénéficier de ce taux, un abonnement mensuel de 45 euros est requis, soit 540 euros par an, et un dépôt minimum de 16 615 euros est nécessaire pour rentabiliser cet abonnement. Ce taux est brut et soumis à une flat tax de 30 % sur les intérêts. L’ouverture du compte ne nécessite pas de montant minimum et est simplifiée via l’application Revolut. Cette offre est valable jusqu’au 30 novembre, garantissant le taux jusqu’en mars 2025. Revolut, qui compte déjà 3,5 millions de clients en France, cherche à concurrencer le livret A traditionnel, ayant déjà attiré plus de 700 millions d’euros d’investissements depuis le lancement de ses comptes flexibles. La néobanque vise 20 millions de clients d’ici 2029, soulignant l'importance stratégique du marché français. Avec cette initiative, Revolut continue de se positionner comme un acteur clé dans le secteur bancaire, en offrant des solutions innovantes et accessibles.
Sources :
Samsung Galaxy S24 et Sonos Era piratés lors de la deuxième journée de Pwn2Own Ireland
Lors de la deuxième journée de Pwn2Own Ireland 2024, les hackers éthiques ont révélé 51 vulnérabilités zero-day, remportant au total 358 625 $ en prix. Pwn2Own est un concours où des chercheurs en sécurité s'affrontent pour exploiter des logiciels et des appareils matériels, avec un prix total de 1 000 000 $ à la clé. L'équipe Viettel Cyber Security a dominé la compétition, avec des performances remarquables. Pham Tuan Son et ExLuck ont commencé la journée en exploitant une imprimante Canon, gagnant 10 000 $ et 2 points. Ken Gannon a réussi à exploiter le Samsung Galaxy S24 en enchaînant cinq bugs, ce qui lui a valu 50 000 $ et 5 points. Dungdm a pris le contrôle d'un haut-parleur Sonos Era 300 grâce à une vulnérabilité Use-After-Free, ajoutant 30 000 $ et 6 points à son équipe. D'autres équipes, comme Team Cluck, ont également réalisé des exploits, mais des collisions et des échecs ont eu lieu, entraînant des paiements réduits. À ce stade, 103 vulnérabilités ont été exploitées, avec 847 875 $ en prix distribués, alors que la compétition est loin d'être terminée.
Sources :
La vulnérabilité du kit de développement cloud AWS expose les utilisateurs à des risques potentiels de prise de contrôle de compte
Des chercheurs en cybersécurité ont révélé une vulnérabilité affectant le kit de développement cloud d'Amazon Web Services (AWS CDK), pouvant entraîner une prise de contrôle de compte dans certaines conditions. Selon Aqua, cette faille permettrait à un attaquant d'accéder administrativement à un compte AWS ciblé. Après une divulgation responsable le 27 juin 2024, AWS a corrigé le problème dans la version 2.149.0 du CDK, publiée en juillet. Le CDK est un cadre de développement open-source pour définir des ressources d'application cloud. La vulnérabilité s'appuie sur des découvertes antérieures concernant les ressources fantômes dans AWS et les conventions de nommage des buckets S3, qui pourraient être exploitées pour orchestrer des attaques de type "Bucket Monopoly". Les rôles IAM créés lors du processus de démarrage accordent des permissions pour télécharger et supprimer des actifs dans le bucket S3 associé. Si un utilisateur supprimait un bucket S3 par inadvertance, un attaquant pourrait créer un bucket avec le même nom, permettant ainsi d'injecter des rôles malveillants dans les modèles CloudFormation. AWS a confirmé qu'environ 1 % des utilisateurs du CDK étaient vulnérables. Les chercheurs recommandent de garder les identifiants de compte AWS secrets et d'utiliser des noms de buckets uniques pour éviter de telles attaques.
Sources :
Mandiant affirme qu'une nouvelle faille Fortinet est exploitée depuis juin
Mandiant a révélé qu'une nouvelle vulnérabilité de Fortinet, nommée "FortiJump" et identifiée comme CVE-2024-47575, est exploitée depuis juin 2024 dans des attaques zero-day sur plus de 50 serveurs. Fortinet a informé ses clients d'une faille d'authentification manquante dans l'API FGFM, permettant à des attaquants non authentifiés d'exécuter des commandes sur les serveurs FortiManager et les appareils FortiGate gérés. Les acteurs malveillants, identifiés comme UNC5820, ont pu enregistrer des dispositifs FortiManager non autorisés sur des serveurs exposés, accédant ainsi à des données de configuration sensibles. Mandiant a observé que ces attaquants ont exfiltré des informations détaillées sur les appareils FortiGate et les utilisateurs, y compris des mots de passe hachés. Bien qu'aucune activité malveillante supplémentaire n'ait été détectée après les premières attaques, Mandiant n'a pas pu déterminer les motivations des attaquants. Fortinet a publié des correctifs pour cette vulnérabilité et a recommandé des mesures d'atténuation, telles que la restriction des adresses IP autorisées à se connecter. Les clients sont encouragés à modifier leurs identifiants et à prendre des précautions supplémentaires.
Sources :
L’auto-école en ligne Ornikar victime d’une cyberattaque, des infos personnelles ont fuité
Ornikar, une auto-école en ligne leader du marché, a récemment subi une cyberattaque, confirmée le 24 octobre. Cette attaque a entraîné une fuite de données personnelles, incluant noms, prénoms, adresses e-mail et postales, touchant potentiellement 4,2 millions d'utilisateurs. Les cybercriminels, qui ont revendiqué l'attaque sur un forum de hackers, ont déjà mis en ligne un échantillon de ces données. Toutefois, les mots de passe et les informations bancaires ne seraient pas concernés. Face à cette situation, les utilisateurs doivent faire preuve de vigilance contre les tentatives de phishing et d'usurpation d'identité. Il est conseillé de vérifier attentivement les adresses e-mail et de ne pas cliquer sur des liens suspects. En cas de doute, il est préférable de contacter directement l'expéditeur présumé. Les utilisateurs doivent également se méfier des messages se faisant passer pour des services d'auto-école ou bancaires, surtout s'ils sont en quête de financement. Pour aider à prévenir de telles attaques, des solutions comme U-Cyber 360° de Mailinblack offrent des outils de protection et de formation en cybersécurité.
Sources :
Cisco publie un correctif urgent pour la vulnérabilité logicielle ASA et FTD soumise à une attaque active
Cisco a annoncé mercredi la publication de mises à jour pour corriger une vulnérabilité de sécurité activement exploitée dans son Adaptive Security Appliance (ASA), pouvant entraîner une condition de déni de service (DoS). Cette faille, identifiée sous le nom CVE-2024-20481 (score CVSS : 5.8), affecte le service VPN d'accès à distance (RAVPN) des appareils ASA et du logiciel Cisco Firepower Threat Defense (FTD). Elle permet à des attaquants distants non authentifiés d'envoyer un grand nombre de requêtes d'authentification VPN, entraînant une exhaustion des ressources et un DoS du service RAVPN. La restauration du service peut nécessiter un redémarrage de l'appareil. Bien qu'il n'existe pas de solutions de contournement directes, Cisco recommande d'activer la journalisation, de configurer la détection des menaces et de bloquer manuellement les tentatives de connexion non autorisées. Par ailleurs, Cisco a également publié des correctifs pour trois autres vulnérabilités critiques dans ses logiciels FTD et FMC. Avec l'augmentation des attaques par force brute ciblant les VPN et les services SSH, il est crucial que les utilisateurs appliquent rapidement les dernières mises à jour de sécurité.
Sources :
Pourquoi l'authentification multifacteur (MFA) résistante au phishing n'est plus une option : les risques cachés de l'authentification multifacteur traditionnelle
Selon le rapport "State of Ransomware 2024" de Sophos, la rançon moyenne a explosé, atteignant 2 millions de dollars, contre 400 000 l'année précédente. La principale vulnérabilité des organisations réside dans leur dépendance aux systèmes d'authentification multifactorielle (MFA) obsolètes, qui ne résistent plus aux menaces modernes. La montée en puissance de l'IA générative a transformé les cyberattaques, rendant les courriels de phishing plus convaincants et difficiles à détecter, même pour les utilisateurs les mieux formés. Les systèmes MFA traditionnels, tels que les mots de passe à usage unique par SMS, sont facilement contournés par des techniques comme le phishing et les attaques Man-in-the-Middle. Les outils nécessaires pour mener ces attaques sont désormais accessibles sur le dark web, permettant à des individus peu expérimentés de lancer des cyberattaques complexes. Pour contrer ces menaces, il est crucial d'adopter des solutions MFA de nouvelle génération, conformes à FIDO2 et intégrant l'authentification biométrique. Ces technologies offrent une protection renforcée contre le phishing et améliorent l'expérience utilisateur, réduisant ainsi les erreurs humaines. Face à l'évolution des techniques des cybercriminels, la transition vers des solutions MFA résistantes au phishing est essentielle pour protéger les organisations contre les attaques de ransomware et les violations de données.
Sources :
Avec l’essor de l’IA, toutes organisations devraient adopter ces cinq mesures pour se prémunir face aux risques cyber
L'intelligence artificielle (IA) présente des avantages indéniables, mais elle est également exploitée par des cybercriminels pour intensifier et rendre plus crédibles leurs attaques. Face à cette menace croissante, 62 % des dirigeants envisagent de rendre obligatoire la formation à la cybersécurité pour leur personnel. Derek Manky de Fortinet propose cinq mesures essentielles pour renforcer la cybersécurité en entreprise. Premièrement, il est crucial de sensibiliser tous les employés aux risques cybernétiques et à leur rôle dans la sécurité. Deuxièmement, les organisations doivent élaborer ou réévaluer leurs processus de cybersécurité, car les violations sont inévitables. Troisièmement, l'implémentation de l'authentification multifactorielle (MFA) et d'une approche Zero Trust Network Access (ZTNA) est primordiale pour sécuriser l'accès aux données sensibles. Quatrièmement, il est essentiel d'appliquer régulièrement des correctifs aux logiciels, car la négligence dans ce domaine est une cause majeure d'intrusions. Enfin, l'automatisation des mises à jour de sécurité par l'IA peut s'avérer bénéfique. En adoptant ces stratégies, les entreprises peuvent mieux se préparer à un paysage de menaces en constante évolution.
Sources :
Le groupe Lazarus exploite une vulnérabilité de Google Chrome pour contrôler les appareils infectés
Le groupe de menace nord-coréen connu sous le nom de Lazarus Group a été lié à l'exploitation d'une vulnérabilité zero-day dans Google Chrome, récemment corrigée, pour prendre le contrôle des appareils infectés. En mai 2024, Kaspersky a découvert une nouvelle chaîne d'attaque ciblant l'ordinateur personnel d'un citoyen russe, utilisant le backdoor Manuscrypt. L'attaque a été déclenchée par la visite d'un faux site de jeu, qui semblait légitime, incitant les utilisateurs à télécharger une version d'essai. Ce site contenait un script caché qui exploitait la vulnérabilité CVE-2024-4947, permettant aux attaquants d'accéder entièrement à l'ordinateur de la victime. Les chercheurs ont noté que cette méthode d'utilisation d'un jeu malveillant pour diffuser des malwares est également associée à un autre groupe nord-coréen, Moonstone Sleet. De plus, le groupe Lazarus a construit une présence sur les réseaux sociaux pour promouvoir son site malveillant, utilisant des contenus générés par IA. Ils auraient également volé le code source d'un jeu légitime, DeFiTankLand, pour avancer leurs objectifs. Kaspersky souligne que Lazarus est l'un des acteurs APT les plus actifs et sophistiqués, motivés par des gains financiers, et prédit une évolution continue de leurs tactiques d'ingénierie sociale.
Sources :
Le groupe APT Lazarus a exploité une vulnérabilité zero-day dans Chrome pour voler des crypto-monnaies
Les chercheurs du GReAT de Kaspersky ont révélé une campagne malveillante sophistiquée orchestrée par le groupe APT Lazarus, ciblant les investisseurs en crypto-monnaies. Présentée lors du Security Analyst Summit 2024 à Bali, cette campagne utilise le malware Manuscrypt, actif depuis 2013, et repose sur des techniques d’ingénierie sociale et d’IA générative. Lazarus a exploité deux vulnérabilités, dont une zero-day dans le moteur JavaScript V8, corrigée sous le nom de CVE-2024-4947 après notification à Google. Les attaquants ont créé un faux site de jeu, incitant les utilisateurs à participer à des compétitions de chars NFT, tout en rendant les offres promotionnelles très crédibles. Ils ont également utilisé des comptes sur les réseaux sociaux pour promouvoir le jeu, renforçant son apparence légitime avec des images générées par l’IA. Cette campagne se distingue par son approche innovante, intégrant un jeu fonctionnel pour masquer l’exploitation de la vulnérabilité. Les experts de Kaspersky mettent en garde contre les conséquences potentielles de telles attaques, qui pourraient compromettre des ordinateurs et des réseaux d’entreprise. Le rapport complet est disponible sur Securelist.
Sources :
Attention à ce faux mail de l’application France Identité, c’est une arnaque
Une nouvelle campagne de phishing cible les utilisateurs de l'application gouvernementale France Identité. Des courriels frauduleux, prétendument envoyés par [email protected], demandent aux victimes de fournir une copie de leur carte d'identité et un justificatif de domicile. Ces emails, bien que semblant légitimes, exploitent une faille de sécurité dans le système de France Identité, permettant aux cybercriminels de détourner le nom de domaine. En répondant à ces messages, les utilisateurs sont redirigés vers une fausse adresse, compromettant ainsi leurs informations personnelles. Les hackers peuvent utiliser ces documents pour ouvrir de faux comptes bancaires, entraînant des conséquences graves pour les victimes, comme des inscriptions sur liste rouge à la Banque de France. Pour se protéger, il est conseillé de ne pas répondre à ces courriels et de contacter France Identité via leurs canaux officiels. De plus, il est recommandé d'apposer un filigrane sur les documents d'identité avant de les envoyer, afin de prévenir leur réutilisation frauduleuse. Cette situation souligne l'importance de la cybersécurité et de la vigilance face aux tentatives d'escroquerie en ligne.
Sources :
Fortinet met en garde contre une vulnérabilité critique dans FortiManager en cours d'exploitation
Fortinet a confirmé une vulnérabilité critique, CVE-2024-47575, affectant FortiManager, qui est actuellement exploitée activement. Cette faille, notée 9.8 sur l'échelle CVSS, est liée au protocole FGFM et permet à un attaquant distant non authentifié d'exécuter du code arbitraire via des requêtes spécialement conçues. Les versions concernées incluent FortiManager 7.x et 6.x, ainsi que certains anciens modèles de FortiAnalyzer. Fortinet a proposé trois solutions de contournement selon la version de FortiManager : restreindre l'enregistrement des appareils inconnus, ajouter des politiques de filtrage IP, et utiliser un certificat personnalisé. Bien que l'exploitation nécessite un certificat valide d'appareil Fortinet, des scripts ont été utilisés pour exfiltrer des fichiers contenant des informations sensibles. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, demandant des correctifs d'ici le 13 novembre 2024. Mandiant a lié cette exploitation à un groupe de menaces nommé UNC5820, ayant identifié au moins 50 appareils compromis. Bien qu'aucune preuve d'utilisation malveillante des données exfiltrées n'ait été trouvée, la situation reste préoccupante pour la sécurité des entreprises.
Sources :
La mise à jour préliminaire de Windows 11 KB5044380 vous permet de remapper la touche Copilot
Microsoft a publié la mise à jour cumulative optionnelle KB5044380 pour Windows 11 versions 23H2 et 22H2, introduisant dix-sept modifications, dont la possibilité de remapper la touche Copilot. Cette mise à jour fait partie du programme de mises à jour préliminaires non sécuritaires de Microsoft, permettant aux administrateurs de tester les correctifs et fonctionnalités à venir avant le Patch Tuesday de novembre. Les utilisateurs peuvent installer cette mise à jour via les paramètres de Windows Update. Après installation, Windows 11 23H2 sera mis à jour vers la version 22631.4391 et 22H2 vers 22621.4391.
Parmi les nouvelles fonctionnalités, on trouve un nouveau clavier GamePad, une gestion améliorée des notifications, et des corrections de bugs concernant l'utilisation de la batterie et Microsoft Teams. La touche Copilot peut être configurée pour ouvrir différentes applications, à condition qu'elles soient dans un package MSIX. D'autres améliorations incluent un nouveau raccourci pour le Narrateur et des modifications dans le menu Démarrer. Microsoft n’a signalé aucun problème connu avec cette mise à jour. Les utilisateurs de Windows 11 24H2 devront patienter pour leur mise à jour préliminaire.
Sources :
WhatsApp crypte désormais les bases de données de contacts pour une synchronisation préservant la confidentialité
WhatsApp a lancé un nouveau système de stockage crypté, l'Identity Proof Linked Storage (IPLS), visant à améliorer la gestion des contacts tout en préservant la vie privée des utilisateurs. Ce système résout deux problèmes majeurs : la perte de listes de contacts lors de la perte d'un téléphone et la difficulté de synchronisation entre plusieurs appareils. Avec IPLS, les listes de contacts sont désormais liées au compte de l'utilisateur plutôt qu'à un appareil spécifique, facilitant ainsi leur gestion lors de changements d'appareils. De plus, IPLS permet de maintenir des listes de contacts distinctes pour plusieurs comptes sur un même appareil, chacune étant sécurisée et isolée.
La sécurité d'IPLS repose sur un ensemble de technologies, incluant le chiffrement, la transparence des clés et l'utilisation de modules de sécurité matériels (HSM). Les contacts sont chiffrés de bout en bout, garantissant que les données restent protégées tout au long de leur transit. WhatsApp collabore également avec Cloudflare pour des audits tiers de ses opérations cryptographiques. Avant le lancement, une audit de sécurité a révélé des vulnérabilités, qui ont été corrigées, assurant ainsi la fiabilité du système IPLS.
Sources :
Les pirates de Lazarus ont utilisé un faux jeu DeFi pour exploiter la faille zero-day de Google Chrome
Le groupe de hackers nord-coréen Lazarus a exploité une vulnérabilité zero-day de Google Chrome, identifiée comme CVE-2024-4947, à travers un faux jeu de finance décentralisée (DeFi) visant des individus dans le domaine des cryptomonnaies. Kaspersky a détecté cette campagne le 13 mai 2024, après avoir observé une nouvelle variante du malware "Manuscrypt" sur l'ordinateur d'un client en Russie. La campagne, lancée en février 2024, a utilisé un site web, "detankzone[.]com", qui promouvait un jeu en ligne basé sur des tanks, DeTankZone, en utilisant du code source volé d'un jeu légitime. Lazarus a intensément fait la promotion de ce jeu via des publicités sur les réseaux sociaux et des emails de phishing. L'exploitation de Chrome s'est produite sur le site, où un script caché a déclenché l'exploit CVE-2024-4947, permettant aux attaquants d'accéder à des informations sensibles telles que des cookies et des mots de passe. En utilisant une seconde faille dans le moteur JavaScript V8, Lazarus a pu exécuter du code à distance. Bien que Kaspersky n'ait pas pu analyser les étapes suivantes de l'attaque, l'objectif final semblait être le vol de cryptomonnaies.
Sources :
De nouvelles variantes du malware bancaire Grandoreiro émergent avec des tactiques avancées pour échapper à la détection
Kaspersky a récemment analysé l'évolution du malware Grandoreiro, qui continue d'attaquer des utilisateurs à l'échelle mondiale malgré l'arrestation de certains de ses membres. Actif depuis 2016, Grandoreiro a élargi son champ d'action vers l'Amérique latine et l'Europe, adoptant un modèle de malware-as-a-service (MaaS) réservé à des cybercriminels de confiance. Les nouvelles techniques incluent l'utilisation d'algorithmes de génération de domaines pour les communications C2, le vol de texte chiffré et le suivi des mouvements de souris. Les campagnes de 2023 exploitent des exécutables volumineux déguisés en pilotes de SSD pour contourner les systèmes de sécurité. Le malware cible principalement les clients bancaires au Mexique, avec des versions allégées spécifiquement conçues pour cette région. Il est distribué via des emails de phishing et des publicités malveillantes. Les fonctionnalités incluent la surveillance des applications de navigation et de messagerie, ainsi que des mises à jour automatiques. Après les arrestations, une fragmentation du code Delphi a été observée, avec des échantillons plus récents et d'autres plus anciens. Grandoreiro représente une menace croissante, comblant le vide laissé par des gangs européens, tandis que de nouvelles campagnes de malware, comme Gecko Assault, émergent également dans la région.
Sources :
La justice rappelle aux banques qu’il faut rembourser les victimes de faux conseiller
La Cour de cassation a rappelé, dans un arrêt du 23 octobre 2024, que les banques doivent protéger leurs clients contre les arnaques, notamment en remboursant les sommes perdues lors de virements frauduleux. Cette décision concerne le phénomène du spoofing, où des escrocs usurpent l'identité de conseillers bancaires pour tromper les victimes. Dans l'affaire examinée, un client a été dupé par un faux conseiller qui l'a convaincu de modifier ses bénéficiaires de virements, entraînant une perte financière. La banque a refusé de rembourser, malgré son obligation de protection selon le Code monétaire et financier. La loi Naegelen, adoptée en 2020, vise à lutter contre le spoofing en imposant de nouvelles règles aux opérateurs téléphoniques, avec un mécanisme d'authentification des numéros en place depuis le 1er octobre 2024. Cette décision souligne l'importance de la vigilance des banques face aux tentatives d'escroquerie, tout en rappelant que la négligence du client peut limiter la responsabilité de l'établissement. Les banques doivent donc renforcer leurs mesures de sécurité pour protéger leurs clients contre ces fraudes de plus en plus sophistiquées.
Sources :
Google va permettre aux entreprises de créer des Chrome Web Stores organisés pour les extensions
Google a annoncé qu'il permettra bientôt aux entreprises de créer leur propre "Enterprise Web Store" pour des extensions de navigateur Chrome et ChromeOS, visant à améliorer la productivité, la sécurité et la gestion au sein des organisations. Prévu pour entrer en phase de prévisualisation plus tard cette année, ce magasin dédié offrira un environnement curaté pour les extensions couramment utilisées, permettant aux entreprises de standardiser leurs outils tout en réduisant les risques de sécurité liés aux téléchargements non vérifiés. En outre, une télémétrie intégrée fournira aux administrateurs informatiques des informations en temps réel sur l'utilisation des extensions, facilitant ainsi la gestion des menaces potentielles grâce à une intégration approfondie avec Google SecOps. En parallèle, Google a introduit d'autres fonctionnalités pour Chrome Enterprise, telles que des outils d'IA pour résumer des documents et traduire en temps réel, ainsi que des politiques de contrôle de copie/collage et de protection des captures d'écran. Une nouvelle fonctionnalité de retour à la version précédente sur ChromeOS permettra de conserver tous les fichiers utilisateurs. Ces annonces s'inscrivent dans le cadre du lancement de nouveaux Chromebooks axés sur l'IA, offrant des expériences améliorées pour les entreprises.
