Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
25 août 2013 7 25 /08 /août /2013 17:27

 

==============================================================================================================================================
Cette semaine,
C'est un peu le retour de vacances. Il y a quelques actualités.
  • D'abord, un bon article sur les drones et le fait que même les militaires oublient tout simplement que chiffrer les flux, c'est déjà un gage de sécurité. On s'aperçoit qu'on a beau être sensibilisé à la sécurité, on en oublie parfois les bases.
  • Un autre article qui m'a plu s'adresse aux CSO ou RSSI, c'est comme vous voulez. Il dit en substance qu'il faut arrêter de se plaindre en évoquant les menaces, et qu'il faut plutôt apporter des solutions.  C'est clair que pour convaincre un décideur, lui faire peur n'apporte pas de plus-value. Mais venir avec une solution à un problème, c'est mieux. Bon, c'est toujours plus facile à dire qu'à faire.
  • Une initiative à suivre de la part de Google et Mozilla : la limitation de la validité des certificats à 60 mois pour lutter contre les problèmes liés à des certificats frauduleux ou des problèmes de piratage d'autorité de certifications. C'est amusant de voir cela même si d'un autre côté Google impose des durées de validité de 25 ans pour les applications sur Google Play.
    • Lu sur : http://developer.android.com/tools/publishing/app-signing.html. "If you plan to publish your application(s) on Google Play, the key you use to sign the application(s) must have a validity period ending after 22 October 2033. Google Play enforces this requirement to ensure that users can seamlessly upgrade applications when new versions are available."
La NSA m'a bien fait rire après avoir admis avoir récolté « par erreur » des communications entre Américains. L'erreur est humaine ;-)
De même, le petit bug chez Goldman Sachs qui crée des perturbations sur le marché des options. La bourse est sensible aux bugs.

Sinon pour finir, beaucoup d'outils que je vous conseille dont certains on déjà été évoqués. Mon petit chouchou de la semaine "ferme ta session" => http://decovite.fr/..
Je vous invite à bookmarker et à finir vos sessions de surfe par ce site. L'idée d'une intégration dans les navigateurs du code est une très bonne idée je trouve.

Bonne lecture.
Tristan


==============================================================================================================================================


A LIRE SECURITE
---------------

Drones: comment lutter contre le risque de piratage?
http://m.slate.fr/story/76418/drone-france-piratage

Jigsaw Pen-Testing Tool Spotted in Attacks
http://threatpost.com/improved-jigsaw-hacking-tool-spotted-in-attacks/102016

7 IT security skills certifications on the rise
http://news.hitb.org/content/7-it-security-skills-certifications-rise
http://www.infoworld.com/t/it-jobs/7-it-security-skills-certifications-the-rise-225195

Près de la moitié des cyberattaques visent les sites marchands
http://pro.01net.com/editorial/601504/pres-de-la-moitie-des-cyberattaques-visent-les-sites-marchands/
48 % des attaques informatiques visent des cybermarchands, si l’on en croit l’étude Global Security Report réalisée en 2013 par Truswave, et 50 % des attaques se concentrent sur des structures de moins de 250 personnes d’après Symantec (Etude ISTR 2013)

Comment éviter les attaques DDoS
http://pro.01net.com/editorial/601205/comment-eviter-les-attaques-ddos/
http://www.csoonline.com/article/738483/csos-stop-flogging-the-threats-and-start-providing-solutions

CSOs: Stop flogging the threats and start providing solutions
http://news.hitb.org/content/csos-stop-flogging-threats-and-start-providing-solutions
I'll leave you with my version of Aesop's Fable "The Ant and the Grasshopper":
 The security ant was busy replacing old firewalls and IPS with advanced threat detection, checking web code for vulnerabilities before deploying and deploying whitelisting on all servers to prevent malware. The security grasshopper was busy singing the "Song o' Threats" and creating risk dashboards that he was sure would cause the Board of Directors to finally get it, and laughed at the toiling ant — until the attack hit that stole all the wheat the grasshopper had planned to eat later. The ant's firm survived the attack, made it through the winter and into a very prosperous spring. The grasshopper had to call in expensive incident response and public relations consultants, notify thousands of customer their personal information had been exposed and was spent all spring staring at compliance reports.

 Moral of the story: Be a industrious security ant, not a singing security grasshopper.

Une start-up américaine propose de « crowdsourcer » les tests de sécurité
http://pro.01net.com/editorial/601562/une-start-up-americaine-propose-de-crowdsourcer-les-tests-de-securite/

Mozilla 'Plug-n-Hack' project aims for tighter security tool integration
http://news.hitb.org/content/mozilla-plug-n-hack-project-aims-tighter-security-tool-integration

Google, Mozilla Considering Limiting Certificate Validity to 60 Months
http://threatpost.com/google-mozilla-considering-limiting-certificate-validity-to-60-months/102062
http://www.pcworld.com/article/2047300/mozilla-plugnhack-project-aims-for-tighter-security-tool-integration.html

DOSSIERS
--------

Acculés par l’affaire Snowden, les services secrets détruisent... des disques durs
http://www.01net.com/editorial/601458/accules-par-l-affaire-snowden-les-services-secrets-detruisent-des-disques-durs/

The NSA Can't Replace 90% of Its System Administrators
http://news.hitb.org/content/nsa-cant-replace-90-its-system-administrators
http://programming.oreilly.com/2013/08/automation-myths.html

La NSA reconnaît avoir récolté « par erreur » des communications entre Américains
http://www.01net.com/editorial/601588/la-nsa-reconnait-avoir-recolte-par-erreur-des-communications-entre-americains/

INSOLITE
--------

Un jeune diplômé échange un iPad contre un emploi sur leboncoin.fr
http://www.01net.com/editorial/601684/un-jeune-diplome-echange-un-ipad-contre-un-emploi-sur-leboncoin-fr/

How One Programmer Is Coding Faster By Voice Than Keyboard
http://news.hitb.org/content/how-one-programmer-coding-faster-voice-keyboard
http://www.i-programmer.info/news/99-professional/6263-code-by-voice-faster-than-keyboard.html

En Allemagne, le bitcoin devient une monnaie officielle
http://www.01net.com/editorial/601392/en-allemagne-le-bitcoin-devient-une-monnaie-officielle/
Le gouvernement allemand confère à la monnaie des hackers une existence juridique et fiscale. A ce titre, il veut aussi prélever des impôts sur les gains réalisés.

Un bug chez Goldman Sachs perturbe le marché des options
http://www.lesechos.fr/entreprises-secteurs/finance-marches/actu/0202959201594-un-bug-chez-goldman-sachs-perturbe-le-marche-des-options-596993.php

UN PETIT GESTE POUR LA PLANETE
------------------------------



FACEBOOK AND SOCIAL NETWORKS
----------------------------

Sécurité : il pirate le mur de Zuck pour prouver une faille sur Facebook
http://www.01net.com/editorial/601388/securite-il-pirate-le-mur-de-zuck-pour-prouver-une-faille-sur-facebook/

A BOOKMARKER
------------


SALONS / CONFERENCES / EVENEMENTS
---------------------------------


PRODUITS
--------

VMware, Citrix and Microsoft virtual desktops get encryption security
http://news.hitb.org/content/vmware-citrix-and-microsoft-virtual-desktops-get-encryption-security
http://www.computerworld.com/s/article/9241755/VMware_Citrix_and_Microsoft_virtual_desktops_get_encryption_security

Keyyo : Une box Internet alternative, dédiée aux professionnels
http://pro.01net.com/editorial/599709/une-box-internet-alternative-dediee-aux-professionnels/    

MIT Students Release Program To 3D-Print High Security Keys
http://www.forbes.com/sites/andygreenberg/2013/08/03/mit-students-release-program-to-3d-print-high-security-keys/

BON A SAVOIR
------------

L'État vante l'achat patriotique... mais favorise l'offre étrangère
http://pro.01net.com/editorial/599757/letat-vante-lachat-patriotique-and-8230-mais-favorise-loffre-etrangere/

SCIENCES
--------



CONSOMMATION
------------

Le clavier physique a encore de beaux jours devant lui
http://pro.01net.com/editorial/601468/le-clavier-physique-a-encore-de-beaux-jours-devant-lui/

RACHAT / UNION
--------------

IBM's security acquisition worth $1b [Rachat de Trusteer]
http://news.hitb.org/content/ibms-security-acquisition-worth-1b
http://www.stuff.co.nz/technology/digital-living/9059988/Security-acquisition-worth-1b

Cession d’Euriware : la piste Capgemini serait privilégiée
http://pro.01net.com/editorial/601492/cession-d-euriware-la-piste-capgemini-serait-privilegiee/

DROIT
-----


MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------

Nouvelle mission pour les SSII : vendre des centres de services
http://pro.01net.com/editorial/601199/nouvelle-mission-pour-les-ssii-vendre-des-centres-de-services/    

Secunia Terminates Vulnerability Coordination Reward Program
http://news.hitb.org/content/secunia-terminates-vulnerability-coordination-reward-program
http://news.softpedia.com/news/Secunia-Terminates-Vulnerability-Coordination-Reward-Program-376393.shtml

Une SSII offshore offre trois mois de prestation à ses clients
http://pro.01net.com/editorial/601446/une-ssii-offshore-offre-trois-mois-de-prestation-a-ses-clients/

Orange veut économiser 100 millions d’euros sur ses centres d’appel
http://pro.01net.com/editorial/601554/orange-veut-economiser-100-millions-d-euros-sur-ses-centres-d-appel/

CARRIERE
--------

IBM mutiplie les cursus universitaires de « data scientists »
http://pro.01net.com/editorial/601396/ibm-mutiplie-les-cursus-universitaires-de-data-scientists/

MICROSOFT
---------



GOOGLE
------

Google : une panne de 11 minutes fait chuter le trafic Web de 40 %
http://www.01net.com/editorial/601382/google-une-panne-de-11-minutes-fait-chuter-le-trafic-web-de-40-pour-cent/

20 services Google méconnus à découvrir
http://www.les-infostrateges.com/actu/13081671/20-services-google-meconnus-a-decouvrir
http://www.blogdumoderateur.com/services-google-meconnus/

Chrome 29 fait de meilleures suggestions pour naviguer le web
http://www.01net.com/editorial/601498/chrome-29-fait-de-meilleures-suggestions-pour-naviguer-le-web/

Google Street View emmène les internautes au zoo
http://www.01net.com/editorial/601646/google-street-view-emmene-les-internautes-au-zoo/

APPLE / IPHONE
--------------

Un brevet Apple pour reconnaître l’empreinte d’un doigt vivant
http://www.01net.com/editorial/601530/un-brevet-apple-pour-reconnaitre-l-empreinte-d-un-doigt-vivant/

PALM / PRE
----------

FREE
----

GEEK POWER
----------

LIBRE / OPEN SOURCE
-------------------


ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------

Jumping Out of IE’s Sandbox With One Click
http://threatpost.com/jumping-out-of-ies-sandbox-with-one-click/102054

Step into the BREACH: HTTPS encrypted web cracked in 30 seconds [Si vous l'avez raté]
http://www.theregister.co.uk/2013/08/02/breach_crypto_attack/

Chinese Hacking Team Caught Taking Over Decoy Water Plant
http://www.technologyreview.com/news/517786/chinese-hacking-team-caught-taking-over-decoy-water-plant/

MAUVAIS ŒIL – Un hacker pénètre la chambre d’une petite fille à travers son baby monitor
http://bigbrowser.blog.lemonde.fr/2013/08/14/maison-hantee-un-hacker-penetre-la-chambre-dune-petite-fille-a-travers-son-baby-monitor/

FAILLES
-------

Microsoft Reissues MS13-066 Windows Server Patch
http://threatpost.com/microsoft-reissues-ms13-066-windows-server-patch/102029

Twitter OAuth Data Leaked From Third-Party App
http://threatpost.com/twitter-oauth-data-leaked-from-third-party-app/102035

Google Chrome 29 Fixes 25 Vulnerabilities
http://threatpost.com/google-chrome-29-fixes-25-vulnerabilities/102038

Backdoors BMC éventuelles via une faille IPMI sur au moins 100 000 serveurs publics
http://www.secuobs.com/news/21082013-backdoor_bmc_ipmi_hp_dell.shtml

OUTILS
------

Freepto, a portable privacy-aware live operating system on encrypted USB drive.
http://bailey.st/blog/2013/07/31/freepto-a-portable-privacy-aware-live-operating-system-on-encrypted-usb-drive/

Scanning the Internet in 45 Minutes
http://threatpost.com/scanning-the-internet-in-45-minutes/102025

    ZMap scanne l'internet en 44 minutes et trouve 2,56 millions de cibles UPnP
    http://www.secuobs.com/news/21082013-zmap_scan_internet_44_minutes.shtml

    Here's what you find when you scan the entire Internet in an hour
    http://news.hitb.org/content/heres-what-you-find-when-you-scan-entire-internet-hour
    http://www.washingtonpost.com/blogs/the-switch/wp/2013/08/18/heres-what-you-find-when-you-scan-the-entire-internet-in-an-hour/

Five free apps that collect PC information
http://www.techrepublic.com/blog/five-apps/five-free-apps-that-collect-pc-information/?ftag=TRE684d531&s_cid=e101&tag=nl.e101&ttag=e101

Ferme ta session
http://www.zataz.com/news/23033/ferme_-session_-decovite.html
http://decovite.fr/

RiskRater: An IT-security test that no one fails
http://www.techrepublic.com/blog/it-security/riskrater-an-it-security-test-that-no-one-fails/?ftag=TRE684d531&s_cid=e101&tag=nl.e101&ttag=e101
https://riskrater.rapid7.com/

Jekyll, une application malicieuse contournant les détections de l'App Store d'Apple
http://www.secuobs.com/news/21082013-app_store_detection_flaw_jekyll.shtml

------------

01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml


       

Partager cet article

Repost 0
Published by pseudonyme
commenter cet article

commentaires

Présentation

  • : Veille
  • Veille
  • : Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.
  • Contact

Recherche

Liens