Overblog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.

Publicité

Veille - La sécurité est un échec....je commence à être convaincu....et la prise de conscience est rude

 

==============================================================================================================================================

Cette semaine,

Il y a quelques bonnes lectures. Vous trouverez en vrac.
Tout d'abord un article assez bien construit sur la mauvaise gestion qui est faite dans les entreprises du Système d'Information. Il s'agit ici de retours très vrais. Je vous ai extrait quelques phrases qui me parlent.
  • "Si, en matière de développement durable, il peut exister des communications volontaires, aucune entreprise n'envisage de se promouvoir en communiquant autour de la qualité de son système d'information. « Or lorsque l'on envisage d'investir ou de racheter une entreprise, la qualité du système d'information est primordiale pour la solidité de ce que l'on achète et donc la bonne estimation de son prix » observe François Nogaret."
  • "« On voit trop souvent l'informatique comme quelque chose qui doit simplement marcher, sans se préoccuper de qui est aux manettes » dénonce Jean-Noël de Galzain, PDG de l'éditeur Wallix (à gauche sur la photo). Or ce sont les utilisateurs qui vont abuser de leurs droits pour commettre des actes préjudiciables à l'entreprise, bien plus souvent qu'il n'y aura un véritable piratage."
  • "On est donc loin d'une sécurité minimale. 40% des entreprises ne contrôleraient rien de ce que font les prestataires intervenant sur leur système d'information selon le cabinet Mazars. Ces prestataires sont pourtant bien placés pour récupérer des données ou en corrompre sans être concernés par une survie de l'entreprise. De la même façon, les salariés ne partent pas toujours les mains vides."
Certains pourraient conclure (à juste titre?) que la sécurité est un échec. Mais même si j'adhère au discours, je me dis quand même qu'on peut essayer de faire évoluer la situation (à pas de fourmis)

L'autre article qui m'a bien plu concerne les Webcams. Après le cache écran pour éviter qu'on ne voit par dessus votre épaule, il va vous falloir acheter un cache Webcam pour éviter qu'on ne vous voit directement. En effet, il y a de plus en plus de malwares qui jouent avec vos Webcams. A noter qu'un Post-It ou un morceau de Scotch (non transparent bien sûr) peuvent faire l'affaire.

Il y a aussi quelques réflexions à prendre avec beaucoup de précautions, mais à lire tout de même sur le lien entre les failles de sécurité et l'externalisation de certaines fonctions au sein de la société. Outsourcing ne signifie pas nécessairement baisse du niveau de sécurité, mais il est également assez rare que toutes les contraintes de sécurité soient prises en comptes lors des phases d'outsourcing.

Un retour aussi sur la nouvelle attaque TLS présentée comme très complexe à mettre en œuvre et qui (cela reste à démontrer) pourrait être finalement réalisable sans nécessiter des moyens exceptionnels.

Je vous conseille toute la série sur les mots de passe :
- leur mort annoncée,
- la réalité des faits sur les (mauvais) choix des utilisateurs (classique mais toujours vrai malheureusement),
- les différents travaux du NIST pour changer les algorithmes de HASH de mots de passe pour un stockage sécurisé (vite un SHA3!!),
- les travaux de la FIDO Alliance pour remplacer les mots de passe par d'autres mécanismes,
- leur longue vie à venir ;-)

Je vous conseille aussi la série sur les banques
- le tweet qui permet de payer (heu je passe mon tour personnellement)
- le sondage qui rappelle que les clients ne souhaitent pas passer au tout à distance quand on parle de banque
- des malwares de plus en plus fourbes et des ATM pas toujours rassurants

Un vrai échec non pas de la sécurité mais de l'éducation avec un père qui incapable d'interdire Facebook à sa fille la paye sa fille pour qu'elle n'aille pas sur le site.

Des pratiques de ventes, comment dire...., discutables sur le tracking IP. Je savais qu'on nous prenait pour des truffes, mais à ce point.

Un bon petit moteur de recherches français (qui subit déjà plein de critiques) mais dont l'interface change un peu et moi j'aime bien.

Un petit clin d'oeil à SAML, un protocole qui commence à se faire connaître et en bien. Pour une fois qu'un protocole sécurité ne se fait pas malmener, profitons-en ;-)

Bonne lecture
Tristan

==============================================================================================================================================


A LIRE SECURITE
---------------

Les systèmes d'information négligés dans la gestion des risques réglementaires
http://www.reseaux-telecoms.net/actualites/lire-les-systemes-d-information-negliges-dans-la-gestion-des-risques-reglementaires-25664.html



You Never Know Who Is Watching
http://news.hitb.org/content/you-never-know-who-watching
http://www.huffingtonpost.com/hemanshu-nigam/internet-hacking-protection_b_2641370.html

Sorry, but a VPN is not the only secure mobile connection
http://news.hitb.org/content/sorry-vpn-not-only-secure-mobile-connection
http://www.infoworld.com/t/mobile-security/sorry-vpn-not-the-only-secure-mobile-connection-212570
"It's always simpler to look at our world in black and white, but we truly live in a Technicolor world. We need to use all those colors."

le blog sécurité » Web/Tech » le SAML : le petit protocole qui monte, qui monte
http://blogs.orange-business.com/securite/2013/02/le-saml-le-petit-protocole-qui-monte-qui-monte-securite-web.html

Define S.M.A.R.T IT security goals
http://blog.isc2.org/isc2_blog/2013/02/define-smart-it-security-goals.html

Is outsourcing bad for your IT security?
http://news.hitb.org/content/outsourcing-bad-your-it-security
http://www.techrepublic.com/blog/european-technology/is-outsourcing-bad-for-your-it-security/1520

Riot, le moteur de recherche qui espionne votre vie privée en ligne
http://www.01net.com/editorial/586581/riot-le-moteur-de-recherche-qui-espionne-votre-vie-privee-en-ligne/

Rapport secret : les Etats-Unis sont victimes d’une cyberattaque massive
http://www.01net.com/editorial/586401/rapport-secret-les-etats-unis-sont-victimes-d-une-cyber-attaque-massive/

Theoretical Lucky Thirteen TLS Attacks Could Turn Practical
http://threatpost.com/en_us/blogs/theoretical-lucky-thirteen-tls-attacks-could-turn-practical-021113

Firewall application nightmares for dummies
http://news.hitb.org/content/firewall-application-nightmares-dummies
http://www.computerweekly.com/blogs/cwdn/2013/02/firewall-application-nightmares-for-dummies.html

Antivirus : quo vadis ?
http://pro.01net.com/editorial/586881/antivirus-quo-vadis/

le blog sécurité » actualités et événements » vulnérabilités sophistiquées, un signe de maturité ?
http://blogs.orange-business.com/securite/2013/02/vulnerabilites-sophistiquees-un-signe-de-maturite.html

Une entreprise sur cinq a subi une attaque informatique ciblée
http://pro.01net.com/editorial/586835/une-entreprise-sur-cinq-a-subi-une-attaque-informatique-ciblee/

Passwords
---------

Easy-to-guess passwords still in common use: Trustwave
http://news.hitb.org/content/easy-guess-passwords-still-common-use-trustwave
http://www.pcadvisor.co.uk/news/security/3425811/easy-guess-passwords-still-in-common-use-trustwave/

Security startup Nok Nok Labs wants to rid the world of passwords
http://news.hitb.org/content/security-startup-nok-nok-labs-wants-rid-world-passwords
http://gigaom.com/2013/02/11/security-startup-nok-nok-labs-wants-to-rid-the-world-of-passwords/

    PayPal, Lenovo Launch New Campaign to Kill the Password
    http://news.hitb.org/content/paypal-lenovo-launch-new-campaign-kill-password
    http://www.technologyreview.com/news/511001/paypal-lenovo-launch-new-campaign-to-kill-the-password/

    DARPA, FIDO Alliance Join Race to Replace Passwords
    http://threatpost.com/en_us/blogs/lenovo-darpa-paypal-join-race-replace-passwords-021213

The Password is Not Dead
http://news.hitb.org/content/password-not-dead
http://www.ibtimes.co.uk/articles/435813/20130215/password-dead.htm

"Trustwave agrees: "The days of passwords are gone. Even a completely random eight-character password that utilizes all four character types, such as J*1jaw)2, is far easier to crack than a 25-character passphrase with upper and lower case letters, such as HereIsMyPassphraseGuessIt."

Cryptographers Aim to Find New Password Hashing Algorithm
http://threatpost.com/en_us/blogs/cryptographers-aim-find-new-password-hashing-algorithm-021513
https://password-hashing.net/index.html

Banques
-------

Banking malware is getting sneakier, security firms warn
http://news.hitb.org/content/banking-malware-getting-sneakier-security-firms-warn
http://www.pcworld.com/article/2027625/banking-malware-is-getting-sneaker-security-firms-warn.html

How alleged crooks used ATM skimmers to compromise thousands of accounts
http://news.hitb.org/content/how-alleged-crooks-used-atm-skimmers-compromise-thousands-accounts
http://arstechnica.com/security/2013/02/how-alleged-crooks-used-atm-skimmers-to-compromise-thousands-of-accounts/

Les internautes français peu tentés par une banque totalement dématérialisée
http://www.01net.com/editorial/586605/les-internautes-francais-peu-tentes-par-une-banque-totalement-dematerialisee/

American Express utilise Twitter comme canal d'achats en ligne
http://www.01net.com/editorial/586537/american-express-utilise-twitter-comme-canal-dachats-en-ligne/

LIVRES
------

Données personnelles : sensibilisation aux risques
http://www.reseaux-telecoms.net/actualites/lire-donnees-personnelles-sensibilisation-aux-risques-25666.html

Les cyber-risques expliqués aux entreprises
http://www.reseaux-telecoms.net/actualites/lire-les-cyber-risques-expliques-aux-entreprises-25665.html

Practical Network Security Monitoring Book on Schedule [en préparation]
http://taosecurity.blogspot.fr/2013/02/practical-network-security-monitoring.html

DOSSIERS
--------

INSOLITE
--------

Un père paye sa fille pour qu'elle n'aille pas sur Facebook
http://www.01net.com/editorial/586657/un-pere-paye-sa-fille-pour-quelle-naille-pas-sur-facebook/

Des agents du FBI téléchargent des fichiers pirates sur BitTorrent
http://www.01net.com/editorial/586533/des-agents-du-fbi-telechargent-des-fichiers-pirates-sur-bittorrent/

Hacker un téléphone Android en le mettant... au freezer
http://www.01net.com/editorial/586907/hacker-un-telephone-android-en-le-mettant-au-freezer/
http://www1.cs.fau.de/filepool/projects/frost/frost.pdf

La Cour des comptes juge le Cned inadapté à la formation en ligne
http://www.01net.com/editorial/586563/la-cour-des-comptes-juge-le-cned-inadapte-a-la-formation-en-ligne/

UN PETIT GESTE POUR LA PLANETE
------------------------------


FACEBOOK AND SOCIAL NETWORKS
----------------------------


A BOOKMARKER
------------

Qwant : le nouveau moteur de recherche made in France fait de bons débuts
http://www.atlantico.fr/atlantico-light/qwant-nouveau-moteur-recherche-made-france-fait-bons-debuts-641312.html

SALONS / CONFERENCES / EVENEMENTS
---------------------------------

Techdays : le casque Iron Man en réalité augmentée inquiète la police
http://www.01net.com/editorial/586833/techdays-le-casque-iron-man-en-realite-augmente-inquiete-la-police/

FIC 2013, vers une prise de conscience politique de l'échec de la sécurité informatique
http://www.secuobs.com/news/14022013-fic_2013.shtml
"Enfin, la cybercriminalité classique continue sa croissance et notamment la fraude à la carte bancaire touchant le e-ecommerce représente aujourd'hui 200 millions d'euros, contre 40 millions en 2003 (pour environ 300 milliards d'euros de paiements). Les techniques de type "skimming" continuent également leur perfectionnement en se faisant de plus en plus discrètes. Les forces de l'ordre continuent également leurs efforts de formation (avec par exemple les gendarmes NTech), et aujourd'hui de moins en moins d'affaire ne nécessitent de recourir systématiquement à des experts."

Hacknowledge Event Belgique
http://www.zataz.com/news/22697/Hacknowledge-Event-Belgique-charleroi-avril-2013.html

PRODUITS
--------

Z10 : la bonne surprise de BlackBerry (vidéo)
http://www.01net.com/editorial/586599/z10-la-bonne-surprise-de-blackberry-test/

Faire signer un contrat sur une tablette avec un simple doigt
http://pro.01net.com/editorial/586575/faire-signer-un-contrat-sur-une-tablette-avec-un-simple-doigt/

Stop Cloud
http://www.zataz.com/news/22699/stopcloud_-stop-cloud_-securiser-son-site-Internet.html

Buffalo updates NAS systems with preloaded Trend Micro antivirus
http://news.hitb.org/content/buffalo-updates-nas-systems-preloaded-trend-micro-antivirus

BON A SAVOIR
------------

Opera se rallie à la technologie WebKit
http://www.01net.com/editorial/586683/opera-se-rallie-a-la-technologie-webkit/

La Poste va distribuer 90 000 smartphones à ses facteurs d'ici à 2015
http://www.01net.com/editorial/586499/la-poste-va-distribuer-90-000-smartphones-a-ses-facteurs-dici-a-2015/

Les Etats-Unis bloquent le projet de câble transatlantique à très haute performance
http://pro.01net.com/editorial/586829/les-etats-unis-bloquent-le-projet-de-cable-transatlantique-a-tres-haute-performance/

Les datacenters de plus en plus ciblés par les attaques DDoS
http://www.reseaux-telecoms.net/actualites/lire-les-datacenters-de-plus-en-plus-cibles-par-les-attaques-ddos-25669.html

SCIENCES
--------

CONSOMMATION
------------

Tracking IP : les pratiques inavouables des cybermarchands
http://pro.01net.com/editorial/586539/tracking-ip-les-pratiques-inavouables-des-cybermarchands/

" Les sites de commerce électronique, notamment ceux qui vendent des billets de train ou d’avion, sont en effet fortement suspectés de modifier leurs tarifs en fonction de l’adresse IP du client"
"D’une part, certaines offres encore valables ne s’affichent pas et, d’autre part, l’adresse IP de l’internaute est pistée sans son consentement. Or c’est une donnée personnelle"

Symétrie et... symétrie...
http://sid.rstack.org/blog/index.php/581-symetrie-et-symetrie

RACHAT / UNION
--------------

VMware renforce ses capacités de stockage en rachetant Virsto
http://pro.01net.com/editorial/586737/vmware-renforce-ses-capacites-de-stockage-en-rachetant-virsto/

Microsoft resserre ses liens avec Parature
http://pro.01net.com/editorial/586515/microsoft-resserre-ses-liens-avec-parature/

DROIT
-----


MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------

Lancement de l’association Fier d’être développeur
http://pro.01net.com/editorial/586627/lancement-de-l-association-fier-d-etre-developpeur/

Défense: Bull remporte un contrat de 50 millions d’euros face à Thales et EADS
http://pro.01net.com/editorial/586601/defense-bull-remporte-un-contrat-de-50-millions-d-euros-face-a-thales-et-eads/

Mobilité : des coûts en hausse, qui échappent à la DSI
http://pro.01net.com/editorial/586535/mobilite-des-couts-en-hausse-qui-echappent-a-la-dsi/

CARRIERE
--------

Faire appel en direct à des experts du web et du mobile
http://pro.01net.com/editorial/586523/faire-appel-en-direct-a-des-experts-du-web-et-du-mobile/

MICROSOFT
---------

GOOGLE
------

Google Street View s’attaque au Grand Canyon
http://www.les-infostrateges.com/actu/13021582/google-street-view-sattaque-au-grand-canyon

Google Chrome, navigateur le plus utilisé pour consulter les sites web
http://www.les-infostrateges.com/actu/13021580/google-chrome-navigateur-le-plus-utilise-pour-consulter-les-sites-web

Google livre quelques astuces pour diminuer les temps de latence
http://www.reseaux-telecoms.net/actualites/lire-google-livre-quelques-astuces-pour-diminuer-les-temps-de-latence-25652.html

APPLE / IPHONE
--------------

Le bug d’iOS 6.1 sème une petite panique sur l’iPhone
http://www.01net.com/editorial/586427/le-bug-d-ios-6-1-seme-une-petite-panique-sur-l-iphone/

PALM / PRE
----------

FREE
----

GEEK POWER
----------

LIBRE / OPEN SOURCE
-------------------


ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------

Hackée, une chaîne de TV américaine annonce une attaque de zombies en direct
http://www.01net.com/editorial/586555/hackee-une-chaine-de-tv-americaine-annonce-une-attaque-de-zombies-en-direct/    

Attaque informatique contre Facebook
http://www.zataz.com/news/22698/facebook_-java_-0day.html

Des pirates dans certains serveurs Académiques Français
http://www.zataz.com/news/22688/piratage_-jihad_-universites_-academie.html

Redirection dangereuse pour Google
http://www.zataz.com/news/22690/redirection_-danger_-google.html

FAILLES
-------

Données privées : un bug sur Flickr a ouvert l’accès aux images personnelles
http://www.01net.com/editorial/586529/donnees-privees-un-bug-sur-flickr-a-ouvert-l-acces-aux-images-personnelles/

Découverte d’une faille majeure dans les produits VMWare
http://pro.01net.com/editorial/586613/decouverte-d-une-faille-majeure-dans-les-produits-vmware/

iOS 6.1 : une simple manoeuvre pour contourner le verrouillage
http://www.reseaux-telecoms.net/actualites/lire-ios-61-une-simple-manoeuvre-pour-contourner-le-verrouillage-25683.html

Nvidia fixes hole that turns PCs into remote-control toys for hackers
http://news.hitb.org/content/nvidia-fixes-hole-turns-pcs-remote-control-toys-hackers-0

Symantec PGP Desktop Buffer Overflows Let Local Users Gain Elevated Privileges
http://www.securitytracker.com/id/1028145

Linux Kernel Race Condition Lets Local Users Gain Kernel Level Privileges
http://www.securitytracker.com/id/1028147

OUTILS
------



------------

01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml


Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article