==============================================================================================================================================
Cette semaine,
C'est un peu le retour de vacances. Il y a quelques actualités.
- D'abord, un bon article sur les drones et le fait que même les militaires oublient tout simplement que chiffrer les flux, c'est déjà un gage de sécurité. On s'aperçoit qu'on a beau être sensibilisé à la sécurité, on en oublie parfois les bases.
- Un autre article qui m'a plu s'adresse aux CSO ou RSSI, c'est comme vous voulez. Il dit en substance qu'il faut arrêter de se plaindre en évoquant les menaces, et qu'il faut plutôt apporter des solutions. C'est clair que pour convaincre un décideur, lui faire peur n'apporte pas de plus-value. Mais venir avec une solution à un problème, c'est mieux. Bon, c'est toujours plus facile à dire qu'à faire.
- Une initiative à suivre de la part de Google et Mozilla : la limitation de la validité des certificats à 60 mois pour lutter contre les problèmes liés à des certificats frauduleux ou des problèmes de piratage d'autorité de certifications. C'est amusant de voir cela même si d'un autre côté Google impose des durées de validité de 25 ans pour les applications sur Google Play.
- Lu sur : http://developer.android.com/tools/publishing/app-signing.html. "If you plan to publish your application(s) on Google Play, the key you use to sign the application(s) must have a validity period ending after 22 October 2033. Google Play enforces this requirement to ensure that users can seamlessly upgrade applications when new versions are available."
La NSA m'a bien fait rire après avoir admis avoir récolté « par erreur » des communications entre Américains. L'erreur est humaine ;-)
De même, le petit bug chez Goldman Sachs qui crée des perturbations sur le marché des options. La bourse est sensible aux bugs.
Sinon pour finir, beaucoup d'outils que je vous conseille dont certains on déjà été évoqués. Mon petit chouchou de la semaine "ferme ta session" =>
http://decovite.fr/..
Je vous invite à bookmarker et à finir vos sessions de surfe par ce site. L'idée d'une intégration dans les navigateurs du code est une très bonne idée je trouve.
Bonne lecture.
Tristan
==============================================================================================================================================
A LIRE SECURITE
---------------
Drones: comment lutter contre le risque de piratage?
http://m.slate.fr/story/76418/drone-france-piratage Jigsaw Pen-Testing Tool Spotted in Attacks
http://threatpost.com/improved-jigsaw-hacking-tool-spotted-in-attacks/102016 7 IT security skills certifications on the rise
http://news.hitb.org/content/7-it-security-skills-certifications-rise http://www.infoworld.com/t/it-jobs/7-it-security-skills-certifications-the-rise-225195 Près de la moitié des cyberattaques visent les sites marchands
http://pro.01net.com/editorial/601504/pres-de-la-moitie-des-cyberattaques-visent-les-sites-marchands/ 48 % des attaques informatiques visent des cybermarchands, si l’on en croit l’étude Global Security Report réalisée en 2013 par Truswave, et 50 % des attaques se concentrent sur des structures de moins de 250 personnes d’après Symantec (Etude ISTR 2013)
Comment éviter les attaques DDoS
http://pro.01net.com/editorial/601205/comment-eviter-les-attaques-ddos/ http://www.csoonline.com/article/738483/csos-stop-flogging-the-threats-and-start-providing-solutions CSOs: Stop flogging the threats and start providing solutions
http://news.hitb.org/content/csos-stop-flogging-threats-and-start-providing-solutions I'll leave you with my version of Aesop's Fable "The Ant and the Grasshopper":
The security ant was busy replacing old firewalls and IPS with advanced threat detection, checking web code for vulnerabilities before deploying and deploying whitelisting on all servers to prevent malware. The security grasshopper was busy singing the "Song o' Threats" and creating risk dashboards that he was sure would cause the Board of Directors to finally get it, and laughed at the toiling ant — until the attack hit that stole all the wheat the grasshopper had planned to eat later. The ant's firm survived the attack, made it through the winter and into a very prosperous spring. The grasshopper had to call in expensive incident response and public relations consultants, notify thousands of customer their personal information had been exposed and was spent all spring staring at compliance reports.
Moral of the story: Be a industrious security ant, not a singing security grasshopper.
Une start-up américaine propose de « crowdsourcer » les tests de sécurité
http://pro.01net.com/editorial/601562/une-start-up-americaine-propose-de-crowdsourcer-les-tests-de-securite/ Mozilla 'Plug-n-Hack' project aims for tighter security tool integration
http://news.hitb.org/content/mozilla-plug-n-hack-project-aims-tighter-security-tool-integration Google, Mozilla Considering Limiting Certificate Validity to 60 Months
http://threatpost.com/google-mozilla-considering-limiting-certificate-validity-to-60-months/102062 http://www.pcworld.com/article/2047300/mozilla-plugnhack-project-aims-for-tighter-security-tool-integration.html DOSSIERS
--------
Acculés par l’affaire Snowden, les services secrets détruisent... des disques durs
http://www.01net.com/editorial/601458/accules-par-l-affaire-snowden-les-services-secrets-detruisent-des-disques-durs/ The NSA Can't Replace 90% of Its System Administrators
http://news.hitb.org/content/nsa-cant-replace-90-its-system-administrators http://programming.oreilly.com/2013/08/automation-myths.html La NSA reconnaît avoir récolté « par erreur » des communications entre Américains
http://www.01net.com/editorial/601588/la-nsa-reconnait-avoir-recolte-par-erreur-des-communications-entre-americains/ INSOLITE
--------
Un jeune diplômé échange un iPad contre un emploi sur leboncoin.fr
http://www.01net.com/editorial/601684/un-jeune-diplome-echange-un-ipad-contre-un-emploi-sur-leboncoin-fr/ How One Programmer Is Coding Faster By Voice Than Keyboard
http://news.hitb.org/content/how-one-programmer-coding-faster-voice-keyboard http://www.i-programmer.info/news/99-professional/6263-code-by-voice-faster-than-keyboard.html En Allemagne, le bitcoin devient une monnaie officielle
http://www.01net.com/editorial/601392/en-allemagne-le-bitcoin-devient-une-monnaie-officielle/ Le gouvernement allemand confère à la monnaie des hackers une existence juridique et fiscale. A ce titre, il veut aussi prélever des impôts sur les gains réalisés.
Un bug chez Goldman Sachs perturbe le marché des options
http://www.lesechos.fr/entreprises-secteurs/finance-marches/actu/0202959201594-un-bug-chez-goldman-sachs-perturbe-le-marche-des-options-596993.php UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK AND SOCIAL NETWORKS
----------------------------
Sécurité : il pirate le mur de Zuck pour prouver une faille sur Facebook
http://www.01net.com/editorial/601388/securite-il-pirate-le-mur-de-zuck-pour-prouver-une-faille-sur-facebook/ A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
PRODUITS
--------
VMware, Citrix and Microsoft virtual desktops get encryption security
http://news.hitb.org/content/vmware-citrix-and-microsoft-virtual-desktops-get-encryption-security http://www.computerworld.com/s/article/9241755/VMware_Citrix_and_Microsoft_virtual_desktops_get_encryption_security Keyyo : Une box Internet alternative, dédiée aux professionnels
http://pro.01net.com/editorial/599709/une-box-internet-alternative-dediee-aux-professionnels/ MIT Students Release Program To 3D-Print High Security Keys
http://www.forbes.com/sites/andygreenberg/2013/08/03/mit-students-release-program-to-3d-print-high-security-keys/ BON A SAVOIR
------------
L'État vante l'achat patriotique... mais favorise l'offre étrangère
http://pro.01net.com/editorial/599757/letat-vante-lachat-patriotique-and-8230-mais-favorise-loffre-etrangere/ SCIENCES
--------
CONSOMMATION
------------
Le clavier physique a encore de beaux jours devant lui
http://pro.01net.com/editorial/601468/le-clavier-physique-a-encore-de-beaux-jours-devant-lui/ RACHAT / UNION
--------------
IBM's security acquisition worth $1b [Rachat de Trusteer]
http://news.hitb.org/content/ibms-security-acquisition-worth-1b http://www.stuff.co.nz/technology/digital-living/9059988/Security-acquisition-worth-1b Cession d’Euriware : la piste Capgemini serait privilégiée
http://pro.01net.com/editorial/601492/cession-d-euriware-la-piste-capgemini-serait-privilegiee/ DROIT
-----
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Nouvelle mission pour les SSII : vendre des centres de services
http://pro.01net.com/editorial/601199/nouvelle-mission-pour-les-ssii-vendre-des-centres-de-services/ Secunia Terminates Vulnerability Coordination Reward Program
http://news.hitb.org/content/secunia-terminates-vulnerability-coordination-reward-program http://news.softpedia.com/news/Secunia-Terminates-Vulnerability-Coordination-Reward-Program-376393.shtml Une SSII offshore offre trois mois de prestation à ses clients
http://pro.01net.com/editorial/601446/une-ssii-offshore-offre-trois-mois-de-prestation-a-ses-clients/ Orange veut économiser 100 millions d’euros sur ses centres d’appel
http://pro.01net.com/editorial/601554/orange-veut-economiser-100-millions-d-euros-sur-ses-centres-d-appel/ CARRIERE
--------
IBM mutiplie les cursus universitaires de « data scientists »
http://pro.01net.com/editorial/601396/ibm-mutiplie-les-cursus-universitaires-de-data-scientists/ MICROSOFT
---------
GOOGLE
------
Google : une panne de 11 minutes fait chuter le trafic Web de 40 %
http://www.01net.com/editorial/601382/google-une-panne-de-11-minutes-fait-chuter-le-trafic-web-de-40-pour-cent/ 20 services Google méconnus à découvrir
http://www.les-infostrateges.com/actu/13081671/20-services-google-meconnus-a-decouvrir http://www.blogdumoderateur.com/services-google-meconnus/ Chrome 29 fait de meilleures suggestions pour naviguer le web
http://www.01net.com/editorial/601498/chrome-29-fait-de-meilleures-suggestions-pour-naviguer-le-web/ Google Street View emmène les internautes au zoo
http://www.01net.com/editorial/601646/google-street-view-emmene-les-internautes-au-zoo/ APPLE / IPHONE
--------------
Un brevet Apple pour reconnaître l’empreinte d’un doigt vivant
http://www.01net.com/editorial/601530/un-brevet-apple-pour-reconnaitre-l-empreinte-d-un-doigt-vivant/ PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Jumping Out of IE’s Sandbox With One Click
http://threatpost.com/jumping-out-of-ies-sandbox-with-one-click/102054 Step into the BREACH: HTTPS encrypted web cracked in 30 seconds [Si vous l'avez raté]
http://www.theregister.co.uk/2013/08/02/breach_crypto_attack/ Chinese Hacking Team Caught Taking Over Decoy Water Plant
http://www.technologyreview.com/news/517786/chinese-hacking-team-caught-taking-over-decoy-water-plant/ MAUVAIS ŒIL – Un hacker pénètre la chambre d’une petite fille à travers son baby monitor
http://bigbrowser.blog.lemonde.fr/2013/08/14/maison-hantee-un-hacker-penetre-la-chambre-dune-petite-fille-a-travers-son-baby-monitor/ FAILLES
-------
Microsoft Reissues MS13-066 Windows Server Patch
http://threatpost.com/microsoft-reissues-ms13-066-windows-server-patch/102029 Twitter OAuth Data Leaked From Third-Party App
http://threatpost.com/twitter-oauth-data-leaked-from-third-party-app/102035 Google Chrome 29 Fixes 25 Vulnerabilities
http://threatpost.com/google-chrome-29-fixes-25-vulnerabilities/102038 Backdoors BMC éventuelles via une faille IPMI sur au moins 100 000 serveurs publics
http://www.secuobs.com/news/21082013-backdoor_bmc_ipmi_hp_dell.shtml OUTILS
------
Freepto, a portable privacy-aware live operating system on encrypted USB drive.
http://bailey.st/blog/2013/07/31/freepto-a-portable-privacy-aware-live-operating-system-on-encrypted-usb-drive/ Scanning the Internet in 45 Minutes
http://threatpost.com/scanning-the-internet-in-45-minutes/102025 ZMap scanne l'internet en 44 minutes et trouve 2,56 millions de cibles UPnP
http://www.secuobs.com/news/21082013-zmap_scan_internet_44_minutes.shtml Here's what you find when you scan the entire Internet in an hour
http://news.hitb.org/content/heres-what-you-find-when-you-scan-entire-internet-hour http://www.washingtonpost.com/blogs/the-switch/wp/2013/08/18/heres-what-you-find-when-you-scan-the-entire-internet-in-an-hour/ Five free apps that collect PC information
http://www.techrepublic.com/blog/five-apps/five-free-apps-that-collect-pc-information/?ftag=TRE684d531&s_cid=e101&tag=nl.e101&ttag=e101 Ferme ta session
http://www.zataz.com/news/23033/ferme_-session_-decovite.html http://decovite.fr/ RiskRater: An IT-security test that no one fails
http://www.techrepublic.com/blog/it-security/riskrater-an-it-security-test-that-no-one-fails/?ftag=TRE684d531&s_cid=e101&tag=nl.e101&ttag=e101 https://riskrater.rapid7.com/ Jekyll, une application malicieuse contournant les détections de l'App Store d'Apple
http://www.secuobs.com/news/21082013-app_store_detection_flaw_jekyll.shtml ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml