==============================================================================================================================================
Cette semaine, c'est plutôt une semaine intéressante d'un point de vue Sécurité.
D'abord, il y a la faille OpenSSL. Cela nécessite certes un accès physique à la machine, mais c'est réalisable et on peut récupérer les clés privées.
Alors un administrateur peu scrupuleux ou un accès via une carte de type RSA II (
http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter) mal sécurisée (du genre avec un login et un mot de passe par défaut) et hop c'est dans la poche. Mais ce type de configuration n'existe pas n'est-ce pas ?
Il y a aussi les points de vue toujours pertinents de Beijtlich et de SID, quelques informations sur PCI-DSS et Google qui se fait tackler sur les attaques qu'il a subi. Cela serait le fait "d'amateurs". Peu importe si c'est juste de la provocation, une chose qui est vraie, c'est que les kits de hacks, les mallettes à malwares et autres logiciels d'exploits pullulent sur le Net.
Vous pourrez vous plongez abondamment dans la section OUTILS.
Côté Sciences, c'est plutôt bon aussi, on avance sur les ordinateurs quantiques, IBM revoient les connections internes des PCs et on trouve de l'eau sur la Lune.
Côté Droit, un hack "légal" de XBOX assez marrant, une bataille indirecte entre Apple et Google via HTC et toutes les mesures techniques en place dans la freebox pour appliquer Hadopi à la lettre.
Dans les produits sortis, il faut noter la nouvelle mouture d'Opera (à ce sujet, noter bien la Faille IE + F1), encore et toujours des tablettes.
Dans la section INSOLITE, une raison de plus de ne pas utiliser Facebook, quoique finalement il faut plutôt blâmer l'utilisateur dans ce cas que le service en lui-même. A propos de Facebook, je suis curieux de voir ce que va générer le dépôt de brevet sur la publication de fils d'actualités.
Ah oui, n'oubliez pas que lundi, jour où vous lisez très probablement la Veille, c'est la journée de la Femme. Alors faites en sorte que la vie de vos femmes se résume à un vrai conte de fée ......Fée le ménage , fée la vaisselle, fée à manger, féelation et fée pas chier!! Oh pétard, je vais avoir des problèmes moi ;-)) Bon allez vous l'aurez compris, c'est de l'humour, occupez vous de vos femmes comme il se doit et laissez la sécurité et les geekeries de côté au moins une journée.
Bonne lecture
PS : Merci à Anthony pour sa participation, un très bon article sur la faille dans l’implémentation RSA de OpenSSL.
PS : J'ai un nouveau fil d'infos RSS avec un nom à la Matrix [Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos]
==============================================================================================================================================
A LIRE SECURITE
---------------
Get the Divers Out of the Water [Je l'ai enfin lu cet article et vraiment, c'est plein de bon sens, c'est juste et ça appuie là où ça pêche en entreprise]
http://taosecurity.blogspot.com/2010/02/get-divers-out-of-water.html Une faille dans l’implémentation RSA de OpenSSL
http://www.secuobs.com/news/05032010-rsa-openssl.shtml http://www.eecs.umich.edu/~valeria/research/publications/DATE10RSA.pdf Researchers find way to zap RSA security scheme
http://www.networkworld.com/news/2010/030410-rsa-security-attack.html?hpg1=bn Nouveautés dans les attaques sur TKIP
http://sid.rstack.org/blog/index.php/329-nouveautes-dans-les-attaques-sur-tkip PCI: Using Microsoft Active Directory to Address Payment Card Industry (PCI) Data Security Standard Requirements in Heterogeneous Environments
http://www.infosecurity-magazine.com/download/174 Why 41 Percent of You Would Fail a PCI Audit
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35241 http://www.computerworld.com.au/article/337901/why_41_percent_would_fail_pci_audit/?fp=2&fpid=1 100 000 dollars pour le Pwn2own 2010
http://www.secuobs.com/news/02032010-pwn2own-cansecwest-2010.shtml BlackBerry Security: Five Tips to Keep Your Smartphone Safe
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35270 http://www.networkworld.com/news/2010/030210-blackberry-security-five-tips-to.html?hpg1=bn Experts Call Google Hackers 'Amateurs'
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35260 http://www.ibtimes.com/articles/20100302/experts-call-google-hackers-amateurs.htm Run a Background Check on Yourself with Free Online Tools
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35286 http://lifehacker.com/5484840/run-a-total-background-check-on-yourself-with-free-online-tools http://consumerist.com/2010/02/get-all-your-reports.html [Dommage US only]
SANS What Works In AppSec - Panel Notes...
http://www.communities.hp.com/securitysoftware/blogs/rafal/archive/2010/03/05/sans-what-works-in-appsec-panel-notes.aspx Study of BlackBerry Proof-of-Concept Malicious Applications
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35307 http://threatcenter.smobilesystems.com/?p=1752 http://threatcenter.smobilesystems.com/wp-content/uploads/2010/01/BB_Final2.pdf DOSSIERS
--------
E. Kaspersky : « La cyberguerre mondiale a déjà commencé »
http://www.01net.com/editorial/513032/e-kaspersky-la-cyberguerre-mondiale-a-deja-commence/ Symantec warns of cold war in the cyber world
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35249 INSOLITE
--------
Un commentaire sur Facebook compromet une opération militaire
http://www.01net.com/editorial/513388/un-commentaire-sur-facebook-compromet-une-operation-militaire/ North Korea develops its own OS
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35297 http://www.koreaherald.co.kr/NEWKHSITE/data/html_dir/2010/03/04/201003040036.asp Victime d'un cambriolage, il est délivré grâce à une webcam
http://www.01net.com/editorial/513023/victime-dun-cambriolage-il-est-delivre-grace-a-une-webcam/ Asmallworld, réseau social pour riche [Vieux mais concept à connaitre]
http://www.linformaticien.com/Actualités/tabid/58/newsid496/3424/asmallworld-reseau-social-pour-riche/Default.aspx UN PETIT GESTE POUR LA PLANETE
------------------------------
Bloom Energy, comment ça marche ?
http://pro.01net.com/editorial/513163/bloom-energy-comment-ca-marche/ FACEBOOK
--------
Facebook fait breveter son fil d’actualités
http://www.01net.com/editorial/513011/facebook-fait-breveter-son-fil-d-actualites/ Un commentaire sur Facebook compromet une opération militaire
http://www.01net.com/editorial/513388/un-commentaire-sur-facebook-compromet-une-operation-militaire/ Les données privées que Facebook possède sur ses utilisateurs
http://www.zataz.com/reportage-securite/19983/FACEBOOK-CONFIDENTIAL-AND-PROPRIETARY.html Les données privées que MySpace possède sur ses utilisateurs
http://www.zataz.com/reportage-securite/19982/Myspace-Law-Enforcement-Investigators-Guide.html Les données privées qu´eBay et Paypal possèdent sur leurs utilisateurs
http://www.zataz.com/reportage-securite/19981/eBay--PayPal-Law--Enforcement-Guide.html A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Le Cebit ouvre ses portes jusqu'au 6 mars
http://www.reseaux-telecoms.net/actualites/lire-le-cebit-ouvre-ses-portes-jusqu-au-6-mars-21651.html PRODUITS
--------
Opera 10.5 disponible en version finale pour Windows
http://www.01net.com/editorial/513155/opera-10-5-disponible-en-version-finale-pour-windows/ Opera 10.50 met la pression sur ses concurrents
http://www.01net.com/editorial/513170/opera-10-50-met-la-pression-sur-ses-concurrents/ Fortinet imbrique boîtier de sécurité et Wi-Fi
http://pro.01net.com/editorial/513158/fortinet-imbrique-boitier-de-securite-et-wi-fi/ G Data gère la sécurité par règles
http://pro.01net.com/editorial/513195/g-data-gere-la-securite-par-regles/ HP dévoile deux nouveaux ultraportables avec processeurs Core Intel i5 et i7
http://pro.01net.com/editorial/513015/hp-devoile-deux-nouveaux-ultraportables-avec-processeurs-core-intel-i5-et-i7/ eviGroup annonce Paddle. Multitouch. Interface 3D. Design
http://www.hypranet.org/nrnet/seline/blog/index.php?2010/03/01/735-evigroup-annonce-paddle-multitouch-interface-3d-design Paddle : la nouvelle tablette de eviGroup
http://www.journaldugeek.com/2010/03/01/paddle-la-nouvelle-tablette-de-evigroup/ Les Archos 7 et Archos 8 dévoilés
http://www.journaldugeek.com/2010/03/01/les-archos-7-et-archos-8-devoiles/ IBM enrichit ses serveurs x86 en mémoire
http://pro.01net.com/editorial/513205/ibm-enrichit-ses-serveurs-x86-en-memoire/ Sony préparerait des répliques à l’iPad et à l’iPhone
http://www.01net.com/editorial/513405/sony-preparerait-des-repliques-a-l-ipad-et-a-l-iphone/ CeBit : Asus présente son premier e-Book
http://www.reseaux-telecoms.net/actualites/lire-cebit-asus-presente-son-premier-e-book-21665.html BON A SAVOIR
------------
Mac OS X et Windows 7 progressent en France
http://www.01net.com/editorial/513041/mac-os-x-et-windows-7-progressent-en-france/ Le PMU réalise des tests en simulant la charge de ses 16 000 terminaux
http://www.reseaux-telecoms.net/actualites/lire-le-pmu-realise-des-tests-en-simulant-la-charge-de-ses-16-000-terminaux-21642.html Des nouvelles du traité secret ACTA
http://www.secuobs.com/news/01032010-acta.shtml Les FAI opposés au filtrage des sites pédopornographiques
http://www.01net.com/editorial/513207/les-fai-opposes-au-filtrage-des-sites-pedopornographiques/ Des documentaires en ligne, engagés et gratuits
http://www.01net.com/editorial/513045/des-documentaires-en-ligne-engages-et-gratuits/ SCIENCES
--------
Breakthrough Brings Quantum Computers Closer To Reality
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35234 http://www.redorbit.com/news/technology/1829227/breakthrough_brings_quantum_computers_closer_to_reality/index.html?source=r_technology IBM closer to chips with frickin' laser beams
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35294 Millions of Tons of Water Ice Found at Moon’s North Pole
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35265 CONSOMMATION
------------
Numericable « rabote » son forfait low cost (MAJ)
http://www.01net.com/editorial/513162/numericable-rabote-son-forfait-low-cost-(maj)/ Clé 3G+ : Bouygues Telecom présente un forfait week-end à 9,90 euros/mois
http://www.01net.com/editorial/513393/cle-3g-plus-bouygues-telecom-presente-un-forfait-week-end-a-9-90-euros-mois/ TNT : le bug du 5 mai 2010
http://www.presence-pc.com/actualite/tntn-5mai-2010-38313/ RACHAT / UNION
--------------
Nexus to deal with Nasa hackers
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35224 Google s'offre Picnik, service de retouche de photos en ligne
http://www.01net.com/editorial/513038/google-soffre-picnik-service-de-retouche-de-photos-en-ligne/ Novell menacé de rachat par un fonds vautour
http://pro.01net.com/editorial/513413/novell-menace-de-rachat-par-un-fonds-vautour/ RSA, VMware et Intel s'unissent pour un nuage d'acier
http://pro.01net.com/editorial/513164/rsa-vmware-et-intel-sunissent-pour-un-nuage-dacier/ DROIT
-----
Legal team hack Xbox memory for defence evidence
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35257 Apple poursuit le taïwanais HTC pour contrefaçon
http://www.reseaux-telecoms.net/actualites/lire-pffff-apple-poursuit-le-taiwanais-htc-pour-contrefacon-21659.html HTC, attaqué par Apple, mais soutenu par Google
http://www.01net.com/editorial/513222/htc-attaque-par-apple-mais-soutenu-par-google/ Un service d’archivage de contenu pour Facebook et Linkedin
http://pro.01net.com/editorial/513216/un-service-d-archivage-de-contenu-pour-facebook-et-linkedin/ MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
IBM aurait supprimé plus de 1 600 postes
http://pro.01net.com/editorial/513048/ibm-aurait-supprime-plus-de-1-600-postes/ 800 IBM jobs at risk
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35231 Les huit travaux du Munci pour 2010
Traquer les dérives de l’offshore, dresser la liste noire des SSII les moins attrayantes, suspendre l’immigration économique en temps de crise… L’association professionnelle repart au combat.
http://pro.01net.com/editorial/513027/les-huit-travaux-du-munci-pour-2010/ Olivier Campenon reprend la tête de BT France
http://www.reseaux-telecoms.net/actualites/lire-olivier-campenon-reprend-la-tete-de-bt-france-21646.html Le nouvel état-major de France Télécom passé au crible
http://pro.01net.com/editorial/513021/le-nouvel-etat-major-de-france-telecom-passe-au-crible/ Offshore : les raisons de sa faible pénétration dans les entreprises européennes
http://pro.01net.com/editorial/513157/offshore-les-raisons-de-sa-faible-penetration-dans-les-entreprises-europeennes/ Tata Communications encore peu intéressé par les entreprises occidentales
http://pro.01net.com/editorial/513669/tata-communications-encore-peu-interesse-par-les-entreprises-occidentales/ La France et l’Allemagne, premiers à rebondir après la crise
http://pro.01net.com/editorial/513203/la-france-et-l-allemagne-premiers-a-rebondir-apres-la-crise/ Télécom Italia pris dans la tourmente d'un scandale financier
http://www.reseaux-telecoms.net/actualites/lire-telecom-italia-pris-dans-la-tourmente-d-un-scandale-financier-21664.html Les opérateurs mobiles court-circuités par les fabricants de smartphones
http://www.reseaux-telecoms.net/actualites/lire-les-operateurs-mobiles-court-circuites-par-les-fabricants-de-smartphones-21662.html CARRIERE
--------
BT France engagé dans le recrutement de 150 collaborateurs
http://www.reseaux-telecoms.net/actualites/lire-bt-france-engage-dans-le-recrutement-de-150-collaborateurs-21654.html L’Inra va recruter cette année plus d’une vingtaine d’informaticiens
http://pro.01net.com/editorial/513210/l-inra-va-recruter-cette-annee-plus-d-une-vingtaine-d-informaticiens/ Les informaticiens peuvent comparer leur salaire en ligne
http://pro.01net.com/editorial/513022/les-informaticiens-peuvent-comparer-leur-salaire-en-ligne/ Vous avez un profil atypique ? Ne le cachez plus !
http://pro.01net.com/editorial/513209/vous-avez-un-profil-atypique-ne-le-cachez-plus/ MICROSOFT
---------
Microsoft to target other botnets with legal weapon
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35220 Microsoft s'interroge ouvertement sur les pratiques de Google
http://www.01net.com/editorial/513005/microsoft-sinterroge-ouvertement-sur-les-pratiques-de-google/ Une migration conflictuelle entre certaines plateformes Intel et Windows 7
http://www.reseaux-telecoms.net/actualites/lire-une-migration-conflictuelle-entre-certaines-plateformes-intel-et-windows-7-21647.html Microsoft Imposes “Very Specific” Hardware Requirements for Windows Phone 7
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35289 Piloter un Mac depuis Windows
http://pro.01net.com/editorial/513044/piloter-un-mac-depuis-windows/ Données privées : Microsoft ne bloque plus la diffusion d'un document
http://www.01net.com/editorial/513024/donnees-privees-microsoft-ne-bloque-plus-la-diffusion-dun-document/ Microsoft lance l'identification numérique à la carte
http://pro.01net.com/editorial/513191/microsoft-lance-lidentification-numerique-a-la-carte/ Microsoft annonce le lancement mondial de Windows MultiPoint Server 2010
http://www.zataz.com/communique-presse/19976/Windows-MultiPoint-Server-2010.html GOOGLE
------
6 Free Android Apps That Will Make You Drop Your iPhone
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35232 http://mashable.com/2010/02/28/android-apps-drop-iphone/ If you're avoiding iPhone or AT&T, the Nexus One is your answer
http://blogs.techrepublic.com.com/hiner/?p=3851&tag=nl.e101 Google s’allie à la Cloud Security Alliance
http://pro.01net.com/editorial/513008/google-s-allie-a-la-cloud-security-alliance/ Google autorisé à vendre de l'électricité
http://www.presence-pc.com/actualite/Google-electricite-38305/ Google travaille sur un protocole d’unification des conversations
http://pro.01net.com/editorial/513160/google-travaille-sur-un-protocole-d-unification-des-conversations/ KLM bascule les 11200 comptes de messagerie de ses navigants sur Google
http://www.reseaux-telecoms.net/actualites/lire-klm-bascule-les-11200-comptes-de-messagerie-de-ses-navigants-sur-google-21650.html Les Cnil européennes critiquent Google Street View
http://www.01net.com/editorial/513025/les-cnil-europeennes-critiquent-google-street-view/ Avec sa nouvelle bêta, Chrome 4.1 se met à la traduction
http://www.01net.com/editorial/513214/avec-sa-nouvelle-beta-chrome-4-1-se-met-a-la-traduction/ APPLE / IPHONE
--------------
Apple admits using child labour [j'adore l'argument : Apple said the child workers are now no longer being used, or are no longer underage]
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35228 Apple snags former Mozilla Security Chief - Window Snyder
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35258 Piloter un Mac depuis Windows
http://pro.01net.com/editorial/513044/piloter-un-mac-depuis-windows/ L'iPad débarquera en France fin avril
http://www.01net.com/editorial/513415/lipad-debarquera-en-france-fin-avril/ PALM / PRE
----------
FREE
----
La Freebox compatible Hadopi
http://www.presence-pc.com/actualite/freebox-hadopi-38297/ GEEK POWER
----------
Saeco Xelsis : la machine à café pour les geeks fortunés
http://www.journaldugeek.com/2010/03/01/saeco-xelsis-la-machine-a-cafe-pour-les-geeks-fortunes/ Votre mobile déjà aux couleurs de Windows Phone 7, c’est possible !
http://www.journaldugeek.com/2010/03/01/votre-mobile-deja-aux-couleurs-de-windows-phone-7-cest-possible/ LIBRE / OPEN SOURCE
-------------------
Encore une mise à jour pour Thunderbird
http://www.01net.com/editorial/513036/encore-une-mise-a-jour-pour-thunderbird/ Linux : Ubuntu s'offre un nouveau look
http://www.01net.com/editorial/513227/linux-ubuntu-soffre-un-nouveau-look/ ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Un botnet qui rapporte gros
http://www.secuobs.com/news/02032010-wiseguy-botnet.shtml FAILLES
-------
Un nouveau zero-day pour Internet Explorer. Microsoft le reconnaît en tout cas dans un billet sur son blog Technet. La vulnérabilité serait exploitable via l'affichage de la fenêtre d'aide du navigateur (en pressant la touche F1) depuis un site web piégé. Elle permettrait l'exécution de code arbitraire. Lire :
http://bit.ly/d20dEa http://www.securityvibes.com/cafe-piratage?entry_id=549 Internet Explorer victime de la faille de la touche F1
http://www.01net.com/editorial/513208/internet-explorer-victime-de-la-faille-de-la-touche-f1/ Une faille dans l’implémentation RSA de OpenSSL
http://www.secuobs.com/news/05032010-rsa-openssl.shtml http://www.eecs.umich.edu/~valeria/research/publications/DATE10RSA.pdf OUTILS
------
Qualys Offering Free Website Malware Scans
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35248 Webraider offre un reverse shell contre une simple injection SQL
http://www.secuobs.com/news/02032010-webraider_reverse_shell_sqli.shtml SET 0.4.1 - Social Engineering Toolkit - une plateforme de Social Engineering
http://www.secuobs.com/news/02032010-set_social_engineering_toolkit.shtml IPNetInfo v1.21 - Retrieves IP Address Information
http://nirsoft.net/utils/ipnetinfo.html [
http://technet.microsoft.com/fr-fr/magazine/ff394365.aspx]
Flint un scanner pour simuler, vérifier et nettoyer les règles de filtrage
http://www.secuobs.com/news/04032010-flint_firewall_scanner_matasano.shtml Backtrack on Steroids
http://www.hackinthebox.org/index.php?name=News&file=article&sid=35304 http://pcquest.ciol.com/content/topstories/2010/110030310.asp Ipredator : Clubic teste le VPN de The Pirate Bay !
http://www.clubic.com/article-326558-1-ipredator-clubic-teste-vpn-pirate-bay.html Imposter 0.9 une plateforme de phishing ciblant les navigateurs Web
http://www.secuobs.com/news/06032010-imposter_browser_phishing_framework.shtml ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos