==============================================================================================================================================
Cette semaine, il y a des choses à lire.
D'abord comme chaque année, le très attendu DBIR (Data Breach Investigation Report) de Verizon. Un must-read absolu pour tous. C'est la lecture qu'il vous faut avant d'entamer le mois de mai.
Vous y découvrirez plusieurs informations pertinentes qui vous permettront de mieux appréhender le monde hostile qui nous entoure tous.
Sinon, quelques articles sur :
- Les indicateurs de compromission (IOC en anglais), ça sent le buzzword des mois à venir dans les discours sécurité des éditeurs, intégrateurs, etc...
- Le patch pas sympathique du tout qui ne corrige pas vraiment une backdoor, mais la dissimule mieux. C'est encore un bout de la confiance qui s'effrite....
- ...........à ce sujet, un fork d'OpenSSL est en cours, c'est LibreSSL, en cours de rédaction par des équipes issues d'OpenBSD.
- La préparation d'un hacker avant un concours de hacks type Pwn2wn, c'est flippant le côté No Life
- Les vulnérabilités des communications satellites
- La sécurité des différents langages de programmation
- Une confirmation partielle que TrueCrypt a un code relativement sain
- La richesse d'Apple (effrayant)
- Les maisons imprimées en 3D (stupéfiant)
- Ubuntu 14.04 qui sort
- Heartbleed qui commence à être vraiment exploité
- Des rappels sur la nécessité de patcher vos systèmes (des failles à la pelle chez Oracle, Java, VMware)
- Des outils disponibles à tester
Bonne lecture
Tristan
==============================================================================================================================================
DBIR de Verizon
---------------
Les pirates informatiques deviennent de plus en plus rapides
http://www.01net.com/editorial/618472/les-pirates-informatiques-deviennent-de-plus-en-plus-rapides/
Verizon: Espionage hacking grows, with more from east Europe
http://news.hitb.org/content/verizon-espionage-hacking-grows-more-east-europe
http://www.reuters.com/article/2014/04/22/us-cybercrime-study-idUSBREA3L07220140422
DBIR: Poor Patching, Weak Credentials Open Door to Data Breaches
http://threatpost.com/dbir-poor-patching-weak-credentials-open-door-to-data-breaches/105619
DBIR: Point-of-Sale Breaches Trending Downward
http://threatpost.com/dbir-point-of-sale-breaches-trending-downward/105598
A LIRE SECURITE
---------------
IOC : le nouvel or noir des cyberdéfenseurs
http://pro.01net.com/editorial/618280/ioc-le-nouvel-or-noir-des-cyberdefenseurs/
Les entreprises trop lentes à détecter les attaques informatiques
http://pro.01net.com/editorial/618124/les-entreprises-trop-lentes-a-detecter-les-attaques-informatiques/
Quand le patch censé corriger la backdoor en ajoute une autre
http://magazine.qualys.fr/menaces-alertes/backdoor-sercomm-routeurs/
La dure vie de hacker de compétition
http://magazine.qualys.fr/carriere/dure-vie-hacker-competition/
Les systèmes de communication par satellite fortement vulnérables
http://magazine.qualys.fr/menaces-alertes/communications-satellite-vulnerables/
Personal data theft jumps from 11% to 18% in six months
http://news.hitb.org/content/personal-data-theft-jumps-11-18-six-months
http://www.cnet.com/news/personal-data-theft-jumps-from-11-to-18-percent-in-six-months/#ftag=CAD590a51e
So Far, So Good for TrueCrypt: Initial Audit Phase Turns Up No Backdoors
http://threatpost.com/so-far-so-good-for-truecrypt-initial-audit-phase-turns-up-no-backdoors/105433
TrueCrypt audit finds "no evidence of backdoors" or malicious code
http://news.hitb.org/content/truecrypt-audit-finds-no-evidence-backdoors-or-malicious-code
http://arstechnica.com/security/2014/04/truecrypt-audit-finds-no-evidence-of-backdoors-or-malicious-code/
Programming Language Security Examined
http://threatpost.com/security-begins-with-choice-of-programming-language/105441
The security of the most popular programming languages
http://news.hitb.org/content/security-most-popular-programming-languages
http://www.net-security.org/secworld.php?id=16694
Un séminaire consacré à la lutte contre la corruption
http://magazine.qualys.fr/conformite-organisation/conference-anti-corruption-2014/
Cybermenaces : un "choc systémique" comparable à la crise financière de 2008
http://www.01net.com/editorial/618540/cybermenaces-un-choc-systemique-comparable-a-la-crise-financiere-de-2008/
Executive Cyber Intelligence Report: April 22, 2014
http://www.tripwire.com/state-of-security/government/executive-cyber-intelligence-report-april-22-2014/
Security Slice: Encryption Equality Issues
http://www.tripwire.com/state-of-security/security-slice-podcast/security-slice-encryption-equality-issues/
DOSSIERS
--------
Pourquoi Edward Snowden a utilisé Tails Linux pour organiser sa fuite
http://www.01net.com/editorial/618336/pourquoi-edward-snowden-a-utilise-tails-linux-pour-organiser-sa-fuite/
NIST Abandons Cryptography Algorithm in Wake of NSA Backdoor Concerns
http://www.tripwire.com/state-of-security/top-security-stories/nist-abandons-cryptography-algorithm-in-wake-of-nsa-backdoor-concerns/
http://csrc.nist.gov/publications/drafts/800-90/sp800_90a_r1_draft.pdf
INSOLITE
--------
UN PETIT GESTE POUR LA PLANETE
------------------------------
Letmino : donner l’alerte en cas de danger avec son smartphone
http://www.01net.com/editorial/618596/letmino-donner-l-alerte-en-cas-de-danger-avec-son-smartphone/
FACEBOOK AND SOCIAL NETWORKS
----------------------------
Tutorial: Facebook 2-factor authentication, step-by-step
http://news.hitb.org/content/tutorial-facebook-2-factor-authentication-step-step
http://www.zdnet.com/tutorial-facebook-2-factor-authentication-step-by-step-7000028372/
Facebook voudrait se lancer dans le transfert d’argent
http://www.01net.com/editorial/618150/facebook-voudrait-se-lancer-dans-le-transfert-d-argent/
Axa s'allie à Facebook pour renforcer sa stratégie numérique
http://pro.01net.com/editorial/618102/axa-sallie-a-facebook-pour-renforcer-sa-strategie-numerique/
Twitter, un véritable outil d’informations et de veille pour les professionnels
http://pro.01net.com/editorial/618100/twitter-un-veritable-outil-d-informations-et-de-veille-pour-les-professionnels/
A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Microsoft highlights big-data, analytics projects at TechFair
http://news.hitb.org/content/microsoft-highlights-big-data-analytics-projects-techfair
http://www.zdnet.com/microsoft-highlights-big-data-analytics-projects-at-techfair-research-fair-7000028564/
PRODUITS
--------
Yuji domine Android
http://magazine.qualys.fr/produits-technologies/yuji-android/
BON A SAVOIR
------------
Apple possède plus de cash que les Etats-Unis, le Royaume-Uni et la France réunis
http://www.01net.com/editorial/618182/apple-possede-plus-de-cash-que-les-etats-unis-le-royaume-uni-et-la-france-reunis/
En Chine, 10 maisons bâties par jour en impression 3D
http://www.01net.com/editorial/618368/en-chine-10-maisons-baties-par-jour-en-impression-3d/
SEC to Examine Wall Street Cyber Security Policies
http://www.tripwire.com/state-of-security/top-security-stories/sec-to-examine-wall-street-cyber-security-policies/
Is the PRA dream of ripping and replacing banking IT feasible?
http://www.computerweekly.com/news/2240219064/Is-the-PRA-dream-of-ripping-and-replacing-banking-IT-feasible
SCIENCES
--------
Première mondiale : Dassault fait voler un drone de combat en patrouille
http://www.01net.com/editorial/618600/premiere-mondiale-dassault-fait-voler-un-drone-de-combat-en-patrouille/
CONSOMMATION
------------
RACHAT / UNION
--------------
Google rachète Titan Aerospace, le fabricant de drones courtisé par Facebook
http://www.01net.com/editorial/618184/google-rachete-titan-aerospace-le-fabricant-de-drones-courtise-par-facebook/
Le labo secret de Google a bel et bien cherché à développer un ascenseur orbital
http://www.01net.com/editorial/618298/le-labo-secret-de-google-a-bel-et-bien-cherche-a-developper-un-ascenseur-orbital/
DROIT
-----
Une loi pour limiter la biométrie ?
http://www.01net.com/editorial/618580/une-loi-pour-limiter-la-biometrie/
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Ces start-up françaises spécialistes de la sécurité
http://pro.01net.com/editorial/618446/ces-startups-francaises-specialistes-de-la-securite/
Investissements records par les fonds de capital-risque américains au premier semestre
http://pro.01net.com/editorial/618240/investissements-records-par-les-fonds-de-capital-risque-americains-au-premier-semestre/
CARRIERE
--------
Quand les RH huilent les rouages de la digitalisation de l’entreprise
http://pro.01net.com/editorial/618574/quand-les-rh-huilent-les-rouages-de-la-digitalisation-de-l-entreprise/
MICROSOFT
---------
Le fisc américain va payer Microsoft pour une extension du support de XP
http://www.01net.com/editorial/618122/le-fisc-americain-va-payer-microsoft-pour-une-extension-du-support-de-xp/
Microsoft brade son support XP personnalisé
http://pro.01net.com/editorial/618476/microsoft-brade-son-support-xp-personnalise/
GOOGLE
------
APPLE / IPHONE
--------------
Apple propose à tout le monde de tester la prochaine version de Mac OS X
http://www.01net.com/editorial/618552/apple-propose-a-tout-le-monde-de-tester-la-prochaine-version-de-mac-os-x/
PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
LibreSSL Sticks a Fork in OpenSSL
http://threatpost.com/libressl-sticks-a-fork-in-openssl/105653
Ubuntu 14.04, la distribution Linux qui veut séduire les utilisateurs d’XP
http://www.01net.com/editorial/618482/ubuntu-14-04-la-distribution-linux-qui-veut-seduire-les-utilisateurs-d-xp/
One Week Until Lubuntu 14.04: Lightweight, LTS, Tidy
http://news.hitb.org/content/one-week-until-lubuntu-1404-lightweight-lts-tidy
http://www.tuxarena.com/2014/04/one-week-until-lubuntu-14-04-lightweight-lts-tidy-overview-with-screenshots/
Logiciel Libre : donnons-nous les moyens de la confiance
http://magazine.qualys.fr/produits-technologies/logiciel-libre-confiance/
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Le site marchand de LaCie victime d’un pirate informatique
http://www.01net.com/editorial/618154/le-site-marchand-de-lacie-victime-d-un-pirate-informatique/
Ils ont trouvé une faille dans les machines à sous et récolté 10 millions d’euros
http://www.01net.com/editorial/618120/ils-ont-trouve-une-faille-dans-les-machines-a-sous-et-recolte-10-millions-d-euros/
Les premiers piratages basés sur Heartbleed se font jour
http://www.01net.com/editorial/618188/les-premiers-piratages-bases-sur-heartbleed-se-font-jour/
Vicious Heartbleed bug bites millions of Android phones, other devices
http://news.hitb.org/content/vicious-heartbleed-bug-bites-millions-android-phones-other-devices
http://arstechnica.com/security/2014/04/vicious-heartbleed-bug-bites-millions-of-android-phones-other-devices/
Heartbleed Saga Escalates With Real Attacks, Stolen Private Keys
http://threatpost.com/heartbleed-saga-escalates-with-real-attacks-stolen-private-keys/105436
Heartbleed Over-Hype
http://www.tripwire.com/state-of-security/security-awareness/heartbleed-over-hype/
HD Manufacturer LaCie Admits Yearlong Data Breach
http://threatpost.com/hd-manufacturer-lacie-admits-yearlong-data-breach/105447
Oracle Gives Heartbleed Update, Patches 14 Products
http://threatpost.com/oracle-gives-heartbleed-update-patches-14-products/105576
Active malware campaign steals Apple passwords from jailbroken iPhones
http://news.hitb.org/content/active-malware-campaign-steals-apple-passwords-jailbroken-iphones
http://arstechnica.com/security/2014/04/active-malware-campaign-steals-apple-passwords-from-jailbroken-iphones/
New iOS malware highlights threat to Apple mobile devices
http://www.computerweekly.com/news/2240219258/New-iOS-malware-highlights-threat-to-Apple-mobile-devices
FAILLES
-------
Fuite de données possible via une faille Adobe Reader Android
http://www.zataz.com/news/23363/faille_-adobe_-reader_-android.html
Tests confirm Heartbleed bug can expose server's private key
http://news.hitb.org/content/tests-confirm-heartbleed-bug-can-expose-servers-private-key
http://www.pcworld.com/article/2143080/tests-confirm-heartbleed-bug-can-expose-servers-private-key.html
VMware devrait fournir plus de 20 correctifs pour Heartbleed samedi
http://pro.01net.com/editorial/618276/vmware-devrait-fournir-plus-de-20-correctifs-pour-heartbleed-samedi/
Oracle Fixes 104 Security Vulnerabilities in Quarterly Patch Update
http://threatpost.com/oracle-fixes-104-security-vulnerabilities-in-quarterly-patch-update/105494
Critical Java Update Plugs 37 Security Holes
http://news.hitb.org/content/critical-java-update-plugs-37-security-holes
OUTILS
------
Microsoft Releases Updated Threat Modeling Tool 2014
http://threatpost.com/microsoft-releases-updated-threat-modeling-tool-2014/105467
http://msdn.microsoft.com/en-us/magazine/cc163519.aspx pour la description de la méthode
http://www.microsoft.com/en-us/download/details.aspx?id=42518 pour le download
Accéder à son ordinateur depuis un smartphone Android, avec Chrome Remote Desktop
http://www.01net.com/editorial/618364/acceder-a-son-ordinateur-depuis-un-smaartphone-android-avec-chrome-remote-desktop/
HTML5 tool components released as open source
http://news.hitb.org/content/html5-tool-components-released-open-source
http://www.computerworld.com/s/article/9247786/HTML5_tool_components_released_as_open_source
------------
01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml
/fdata%2F3623501%2Favatar-blog-1141323782-tmpphp3EdOiO.jpeg){kind=avatar}