==============================================================================================================================================
Cette semaine beaucoup de documentations à lire et avec lesquelles se forger une politique de sécurité cohérente. Tout d'abord, un très bon guide de l'ANSSI sur les risques liés à l'externalisation. Non non, je ne focalise pas sur un sujet en particulier en ce moment ;-))
Un excellent document également vu sur SecurityVibes sur lesnouvelles méthodes d'authentification. A l'heure où tout le monde se plonge dans le cloud (et les administrations US surtout) et ouvre son réseau à l'extérieur se pose clairement de plus en plus de questions sur l'authentification. Reclamer une authentification forte est certes un must have, mais comment dans la pratique on gère. Comment je distribue mes tokens/certificats, en assure le support...?? Enfin quelqu'un s'est penché sur le sujet et sort un document utilisable assez rapidement. Les autres articles sont assez distrayants. Ils n'apportent pas grand chose en matière de sécurité mais constituent une bonne base de réflexion sur notre petit monde, son positionnement, et permettent de faire fonctionner le cerveau. Pour les développeurs Java, un petit tour sur Fabric permettra de sécuriser vos applications.
Mais l'actualité de la semaine, à moins que vous n'éleviez des pingouins aux iles Kerguelen (ce qui reste une activité très respectable), c'est l'affaire Wikileaks. Entre les rebondissements liés à la divulgation de documents confidentiels, les rebonds d'hébergeur en hébergeur, la personnalité étrange d'Assange, il y a de quoi s'intéresser au phénomène. En plus, si l'on en croit certains articles, le prochain domaine touché sera le domaine bancaire. Ca promet. En tout cas, cette histoire relativise un peu ce que l'on tente de nous faire croire sur la superbe sécurité de nos infrastructure de l'armée. Si un simple soldat peut sortir autant de documents des serveurs de l'armée jugée comme la plus puissante et la plus avancée technologiquement parlant, je commence à avoir quelques craintes sur la façon dont mes coordonnées bancaires sont stockées. En 5 mots, on peut résumer comme suit : "Nous sommes tous (potentiellement) vulnérables". Je rappelerai juste comme le soulignent les articles que le maillon faible de la sécurité, reste l'humain.
J'ajouterai que le maillon fort également c'est l'humain. Si les personnes sont sélectionnées à l'entrée, sensibilisées, motivées, impliquées, loyales....et surveillées (la confiance n'exclue pas le contrôle), cela ne doit pas arriver. Le nombre de statistiques que j'ai pu lire sur ce dont les "disgruntled employees" sont capables de faire, me le rappelle à chaque fois.
Sinon en vrac, ce qui a retenu mon attention :
- Les hacks de Kinect sont vraiment bluffants, j'apprécie plus particulièrement les versions Star Wars et le camouflage optique.
- Apple est vraiment un mauvais joueur (section INSOLITE)
- WWF qui crée un format PDF non imprimable (section UN PETIT GESTE POUR LA PLANETE)
- Les puces RFID pour repérer les canalisations PVC (section PRODUITS)
- Les souris qui vont vivre plus longtemps (sections SCIENCES)
- quelques nouveautés en matière de droit (section DROIT)
- la catalogue de 26 logiciels libres à usage des humains
- la section outils est utile pour les industriels soucieux qui ont un peu de temps à investir.
Bonne lecture
Tristan
PS : Merci à Yann Ga., Franck, Nicolas et Dominique A. pour leur participations
Petit clin d'Oeil pour Yann Ga. un must have je pense ;-))
L'AdS : Barbie informaticienne a un iPad
http://www.presence-pc.com/actualite/ads-barbie-41370/ ==============================================================================================================================================
A LIRE SECURITE
---------------
Un guide pour anticiper les risques liés à l'externalisation
http://pro.01net.com//pro.01net.com/editorial/524330/un-guide-pour-anticiper-les-risques-lies-a-lexternalisation http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf Nouvelles méthodes d'authentification : la présentation
http://www.securityvibes.com/docs/DOC-1163 et en plus à découvrir dans les annexes du document
http://www.syferlock.com/files/Gartner_Market_Overview_Authentication_2008.pdf Fabric, le langage qui sécurise Java de l’intérieur
http://pro.01net.com//pro.01net.com/editorial/524117/fabric-le-langage-qui-securise-java-de-l-interieur/?r=/rss/dossiersentreprise.xml http://www.cs.cornell.edu/andru/papers/fabric-sosp09.pdf Vers un DNS P2P pour échapper à la main-mise américaine sur Internet
http://www.reseaux-telecoms.net/actualites/lire-vers-un-dns-p2p-pour-echapper-a-la-main-mise-americaine-sur-internet-22824.html Quantum computing: Could your computer collapse into a black hole? [J'ai comme une impression de discussion déjà abordée un midi avec Mathieu G.]
http://www.silicon.com/technology/hardware/2010/11/24/quantum-computing-could-your-computer-collapse-into-a-black-hole-39746644/ Quantum computing: Beyond computing's final frontier
http://www.silicon.com/technology/hardware/2010/11/24/quantum-computing-beyond-computings-final-frontier-39746638/ Enterprises Riding A Tiger With Consumer Devices [Assez peu de réponses apportées, mais y en a-t-il?? Par contre, la problématique est bien expliquée]
http://threatpost.com/en_us/blogs/enterprises-riding-tiger-consumer-devices-120210 What is Information Security? [Une position intéressante]
http://threatpost.com/en_us/blogs/what-information-security-112910 FedRAMP Poised for Summer Release
http://blog.isc2.org/isc2_blog/2010/12/fedramp-poised-for-summer-release.html Les cybercafés sont mal sécurisés selon des experts
http://www.01net.com/www.01net.com/editorial/524121/les-cybercafes-sont-mal-securises-selon-des-experts/?r=/rss/actus.xml DOSSIERS
--------
Qui se cache derrière Wikileaks ?
http://www.01net.com/www.01net.com/editorial/524146/qui-se-cache-derriere-wikileaks/?r=/rss/actus.xml Mandat d'arrêt international contre le fondateur de Wikileaks
http://www.reseaux-telecoms.net/actualites/lire-mandat-d-arret-international-contre-le-fondateur-de-wikileaks-22832.html WikiLeaks Confirms China's Responsibility for Aurora Attacks
http://threatpost.com/en_us/blogs/wikileaks-confirms-chinas-responsibility-aurora-attacks-112910 Wikileaks Suffers Second DDoS Attack
http://threatpost.com/en_us/blogs/wikileaks-suffers-second-ddos-attack-113010 Wikileaks recourt au cloud pour résister aux attaques DOS
http://www.reseaux-telecoms.net/actualites/lire-wikileaks-recourt-au-cloud-pour-resister-aux-attaques-dos-22821.html Amazon n'héberge plus Wikileaks
http://www.reseaux-telecoms.net/actualites/lire-amazon-n-heberge-plus-wikileaks-22833.html Wikileaks désormais hébergé partiellement en France par OVH
http://www.01net.com/editorial/524312/wikileaks-desormais-heberge-partiellement-en-france-par-ovh/ Affaire Wikileaks : OVH demande à la justice de se prononcer
http://www.01net.com/www.01net.com/editorial/524342/affaire-wikileaks-ovh-demande-a-la-justice-de-se-prononcer Wikileaks chez OVH
http://www.zataz.com/communique-presse/20857/Wikileaks-chez-OVH.html Wikileaks.org est rayé du web (MAJ)
http://pro.01net.com//editorial/524320/wikileaks-org-est-raye-du-web-(maj) Attaqué et débranché, Wikileaks adopte une URL suisse
http://www.01net.com/www.01net.com/editorial/524321/attaque-et-debranche-wikileaks-adopte-une-url-suisse Urgent, première puissance mondiale recherche RSSI
http://pro.01net.com//pro.01net.com//editorial/524162/urgent-premiere-puissance-mondiale-recherche-rssi Comment les Etats Unis veulent éviter la réédition de l'affaire Wikileaks
http://www.reseaux-telecoms.net/actualites/lire-comment-les-etats-unis-veulent-eviter-la-reedition-de-l-affaire-wikileaks-22817.html Ce que rappelle l'affaire Wikileaks en matière de sécurité informatique
http://www.reseaux-telecoms.net/actualites/lire-ce-que-rappelle-l-affaire-wikileaks-en-matiere-de-securite-informatique-22815.html "cette affaire rappelle aux responsables d'entreprise ou de systèmes d'information, que le maillon faible de la sécurité, reste l'humain."
J'ajouterai que le maillon fort également c'est l'humain. Si les personnes sont sélectionnées à l'entrée, sensibilisées, motivées, impliquées, loyales et
surveillées, cela ne doit pas arriver.
Wikileaks va faire aussi trembler les banques
http://fortune.fdesouche.com/27717-wikileaks-va-faire-aussi-trembler-les-banques On WikiLeaks...
http://sid.rstack.org/blog/index.php/443-on-wikileaks Wikileaks Cablegate: Time to Blame the Victim?
http://threatpost.com/en_us/blogs/wikileaks-cablegate-time-blame-victim-120310 INSOLITE
--------
Apple aurait banni un magazine sur Android de son App Store [Mauvais joueur, comme d'habitude]
http://www.01net.com/www.01net.com/editorial/524138/apple-aurait-banni-un-magazine-sur-android-de-son-app-store Le 11 avril 1954, le jour le plus ennuyeux de l'histoire récente ?
http://www.01net.com/www.01net.com/editorial/524155/le-11-avril-1954-le-jour-le-plus-ennuyeux-de-lhistoire-recente http://www.trueknowledge.com/ Foot : le Japon en lice pour une Coupe du monde « révolutionnaire » [Au final ce ne sera pas le Japon, dommage]
http://www.01net.com/editorial/524295/foot-le-japon-en-lice-pour-une-coupe-du-monde-revolutionnaire/ UN PETIT GESTE POUR LA PLANETE
------------------------------
WWF invente le PDF non imprimable
http://www.01net.com/editorial/524291/wwf-invente-le-pdf-non-imprimable/ http://www.saveaswwf.com/en/ [Un seul reproche, seulement pour MacOS]
FACEBOOK
--------
Facebook's 'Like This' Button Is Tracking You
http://yro.slashdot.org/story/10/11/30/1734249/Facebooks-Like-This-Button-Is-Tracking-You?from=rss A BOOKMARKER
------------
http://www.pirate-moi.com/reglements-du-concours SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Pirate-moi.com : Un site pour tester la sécurité des applications web
http://blogs.orange-business.com/securite/2010/12/pirate-moicom-un-site-pour-tester-la-securite-des-applications-web.html http://www.pirate-moi.com/reglements-du-concours PRODUITS
--------
Le RFID pour repérer les canalisations PVC [Ca parait un peu con au départ, mais en y réfléchissant, c'est pas mal]
http://www.reseaux-telecoms.net/actualites/lire-le-rfid-au-service-de-la-premiere-canalisation-pvc-communicante-22820.html "Cette invention aura nécessité trois ans de recherche, de multiples fausses pistes, et 1 million d'euros d'investissement."
BON A SAVOIR
------------
Identité sur le NET : une question technique et politique - Chapitre 1 : Quelles sont les nouveautés ?
http://blogs.orange-business.com/securite/2010/12/identite-sur-le-net-une-question-technique-et-politique---chapitre-1-quelles-sont-les-nouveautes.html Security Worth Buying
http://threatpost.com/en_us/blogs/security-worth-buying-112310 SCIENCES
--------
Harvard Reverses Aging Process in Mice, Could Lead to Human Anti-Aging Treatments
http://www.popsci.com/science/article/2010-11/harvard-creates-mice-grow-younger-which-could-lead-human-anti-aging-treatments Citation de Dominique A. : "Je commençais à m’inquiéter mais enfin ces fainéants de scientifiques font des progrès … Nous allons pouvoir vivre quelques
siècles incessamment sous peu… Voir rajeunir !!!"
Réponse de Tristan : Non non, tu n'as pas compris, on va vers un monde dirigé par des souris mutantes immortelles
;-), pour l'heure seules les souris vivent
plus longtemps, nous pas encore. ca fout la trouille en fait.
CONSOMMATION
------------
Les Blu-ray pas forcément de meilleure qualité que les DVD
http://www.01net.com/www.01net.com/editorial/524134/les-blu-ray-pas-forcement-de-meilleure-qualite-que-les-dvd Five tips for getting a good price on a laptop
http://blogs.techrepublic.com.com/five-tips/?p=423&tag=nl.e101 Augmentation de la TVA : Orange dévoile ses nouveaux tarifs
http://www.01net.com/editorial/524205/augmentation-de-la-tva-orange-devoile-ses-nouveaux-tarifs Vivéole lance sa box satellite
http://www.01net.com/www.01net.com/editorial/524309/viveole-lance-sa-box-satellite/ RACHAT / UNION
--------------
Trend Micro investit (enfin) dans le chiffrement
http://pro.01net.com//editorial/524179/trend-micro-investit-(enfin)-dans-le-chiffrement Blackberry modernise son interface utilisateur [Les vidéos de démo sont assez bluffantes]
http://pro.01net.com//pro.01net.com/editorial/524314/blackberry-modernise-son-interface-utilisateur DROIT
-----
Les failles de sécurité face au droit des données à caractère personnel
http://pro.01net.com//pro.01net.com/editorial/524341/les-failles-de-securite-face-au-droit-des-donnees-a-caractere-personnel/?r=/rss/dossiersentreprise.xml Le Conseil de l'Europe adopte une recommandation sur le profilage et la protection des données
https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=PR892(2010) &Language=lanFrench&Ver=original&Site=COE&BackColorInternet=F5CA75&BackColorIntranet=F5CA75&BackColorLogged=A9BACE
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Sage finit l’année en beauté
http://pro.01net.com//pro.01net.com/editorial/524187/sage-finit-l-annee-en-beaute SAP lance une base en mémoire pour le transactionnel et le décisionnel
http://pro.01net.com//pro.01net.com/editorial/524180/sap-lance-une-base-en-memoire-pour-le-transactionnel-et-le-decisionnel Les prédictions high-tech de Gartner pour les cinq prochaines années
http://www.01net.com/www.01net.com/editorial/524302/les-predictions-high-tech-de-gartner-pour-les-cinq-prochaines-annees US government moves towards cloud computing
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38752 http://www.techeye.net/business/us-government-moves-towards-cloud-computing CARRIERE
--------
MICROSOFT
---------
Kinect : les meilleurs détournements en vidéo
http://www.01net.com/www.01net.com/editorial/524349/kinect-les-meilleurs-detournements-en-video/?r=/rss/actus.xml Silverlight 5 : allumez le feu !
http://pro.01net.com//pro.01net.com/editorial/524345/silverlight-5-allumez-le-feu GOOGLE
------
Première pub Google à la télévision, en clin d'œil aux Ch'tis
http://www.01net.com/www.01net.com/editorial/524124/premiere-pub-google-a-la-television-en-clin-doeil-aux-chtis Google Adds Flash Sandbox to Chrome Browser
http://threatpost.com/en_us/blogs/google-adds-flash-sandbox-chrome-browser-120110 Chrome sandboxes Flash Player in latest Dev channel release for Windows
http://www.engadget.com/2010/12/02/chrome-sandboxes-flash-player-in-latest-dev-channel-release-for/ Google poussé à agir pour protéger les droits d’auteur
http://www.01net.com/www.01net.com/editorial/524348/google-pousse-a-agir-pour-proteger-les-droits-d-auteur Google Chrome 8.0 est disponible en téléchargement
http://www.01net.com/www.01net.com/editorial/524353/google-chrome-8-0-est-disponible-en-telechargement APPLE / IPHONE
--------------
PALM / PRE
----------
FREE
----
60 chaînes payantes en clair sur la Freebox en décembre
http://www.01net.com/www.01net.com/editorial/524130/60-chaines-payantes-en-clair-sur-la-freebox-en-decembre GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
Un catalogue de 26 logiciels libres destiné au grand public
http://www.01net.com/www.01net.com/editorial/524325/un-catalogue-de-26-logiciels-libres-destine-au-grand-public ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Chinese DNS Tampering a Real Threat To Outsiders
http://yro.slashdot.org/story/10/11/29/1755230/Chinese-DNS-Tampering-a-Real-Threat-To-Outsiders?from=rss Mystery Surrounds Cyber Missile That Crippled Iran's Nuclear Weapons Ambitions
http://www.foxnews.com/scitech/2010/11/26/secret-agent-crippled-irans-nuclear-ambitions/ Scammers can hide fake URLs on the iPhone, says researcher
http://www.computerworld.com/s/article/9198380/Scammers_can_hide_fake_URLs_on_the_iPhone_says_researcher Attack of the Trojan Printers
http://hardware.slashdot.org/story/10/12/01/1821215/Attack-of-the-Trojan-Printers?from=rss FAILLES
-------
Cisco ASA IKE Responses Let Remote Users Determine Valid Groupnames
http://securitytracker.com/alerts/2010/Nov/1024800.html Researchers Bypass Internet Explorer Protected Mode
http://threatpost.com/en_us/blogs/researchers-bypass-internet-explorer-protected-mode-120310 OUTILS
------
Protecting SCADA Systems Through Honeypots
http://it.toolbox.com/blogs/securitymonkey/protecting-scada-systems-through-honeypots-42792?rss=1 ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml