==============================================================================================================================================
Cette semaine,
Il y a quelques bonnes lectures. Vous trouverez en vrac.
Tout d'abord un article assez bien construit sur la mauvaise gestion qui est faite dans les entreprises du Système d'Information. Il s'agit ici de retours très vrais. Je vous ai extrait quelques phrases qui me parlent.
- "Si, en matière de développement durable, il peut exister des communications volontaires, aucune entreprise n'envisage de se promouvoir en communiquant autour de la qualité de son système d'information. « Or lorsque l'on envisage d'investir ou de racheter une entreprise, la qualité du système d'information est primordiale pour la solidité de ce que l'on achète et donc la bonne estimation de son prix » observe François Nogaret."
- "« On voit trop souvent l'informatique comme quelque chose qui doit simplement marcher, sans se préoccuper de qui est aux manettes » dénonce Jean-Noël de Galzain, PDG de l'éditeur Wallix (à gauche sur la photo). Or ce sont les utilisateurs qui vont abuser de leurs droits pour commettre des actes préjudiciables à l'entreprise, bien plus souvent qu'il n'y aura un véritable piratage."
- "On est donc loin d'une sécurité minimale. 40% des entreprises ne contrôleraient rien de ce que font les prestataires intervenant sur leur système d'information selon le cabinet Mazars. Ces prestataires sont pourtant bien placés pour récupérer des données ou en corrompre sans être concernés par une survie de l'entreprise. De la même façon, les salariés ne partent pas toujours les mains vides."
Certains pourraient conclure (à juste titre?) que
la sécurité est un échec. Mais même si j'adhère au discours, je me dis quand même qu'on peut essayer de faire évoluer la situation (à pas de fourmis)
L'autre article qui m'a bien plu concerne les Webcams. Après le cache écran pour éviter qu'on ne voit par dessus votre épaule, il va vous falloir acheter un cache Webcam pour éviter qu'on ne vous voit directement. En effet, il y a de plus en plus de malwares qui jouent avec vos Webcams. A noter qu'un Post-It ou un morceau de Scotch (non transparent bien sûr) peuvent faire l'affaire.
Il y a aussi quelques réflexions à prendre avec beaucoup de précautions, mais à lire tout de même sur le lien entre les failles de sécurité et l'externalisation de certaines fonctions au sein de la société. Outsourcing ne signifie pas nécessairement baisse du niveau de sécurité, mais il est également assez rare que toutes les contraintes de sécurité soient prises en comptes lors des phases d'outsourcing.
Un retour aussi sur la nouvelle attaque TLS présentée comme très complexe à mettre en œuvre et qui (cela reste à démontrer) pourrait être finalement réalisable sans nécessiter des moyens exceptionnels.
Je vous conseille toute la série sur les mots de passe :
- leur mort annoncée,
- la réalité des faits sur les (mauvais) choix des utilisateurs (classique mais toujours vrai malheureusement),
- les différents travaux du NIST pour changer les algorithmes de HASH de mots de passe pour un stockage sécurisé (vite un SHA3!!),
- les travaux de la FIDO Alliance pour remplacer les mots de passe par d'autres mécanismes,
- leur longue vie à venir ;-)
Je vous conseille aussi la série sur les banques
- le tweet qui permet de payer (heu je passe mon tour personnellement)
- le sondage qui rappelle que les clients ne souhaitent pas passer au tout à distance quand on parle de banque
- des malwares de plus en plus fourbes et des ATM pas toujours rassurants
Un vrai échec non pas de la sécurité mais de l'éducation avec un père qui incapable d'interdire Facebook à sa fille la paye sa fille pour qu'elle n'aille pas sur le site.
Des pratiques de ventes, comment dire...., discutables sur le tracking IP. Je savais qu'on nous prenait pour des truffes, mais à ce point.
Un bon petit moteur de recherches français (qui subit déjà plein de critiques) mais dont l'interface change un peu et moi j'aime bien.
Un petit clin d'oeil à SAML, un protocole qui commence à se faire connaître et en bien. Pour une fois qu'un protocole sécurité ne se fait pas malmener, profitons-en ;-)
Bonne lecture
Tristan
==============================================================================================================================================
A LIRE SECURITE
---------------
Les systèmes d'information négligés dans la gestion des risques réglementaires
http://www.reseaux-telecoms.net/actualites/lire-les-systemes-d-information-negliges-dans-la-gestion-des-risques-reglementaires-25664.html You Never Know Who Is Watching
http://news.hitb.org/content/you-never-know-who-watching http://www.huffingtonpost.com/hemanshu-nigam/internet-hacking-protection_b_2641370.html Sorry, but a VPN is not the only secure mobile connection
http://news.hitb.org/content/sorry-vpn-not-only-secure-mobile-connection http://www.infoworld.com/t/mobile-security/sorry-vpn-not-the-only-secure-mobile-connection-212570 "It's always simpler to look at our world in black and white, but we truly live in a Technicolor world. We need to use all those colors."
le blog sécurité » Web/Tech » le SAML : le petit protocole qui monte, qui monte
http://blogs.orange-business.com/securite/2013/02/le-saml-le-petit-protocole-qui-monte-qui-monte-securite-web.html Define S.M.A.R.T IT security goals
http://blog.isc2.org/isc2_blog/2013/02/define-smart-it-security-goals.html Is outsourcing bad for your IT security?
http://news.hitb.org/content/outsourcing-bad-your-it-security http://www.techrepublic.com/blog/european-technology/is-outsourcing-bad-for-your-it-security/1520 Riot, le moteur de recherche qui espionne votre vie privée en ligne
http://www.01net.com/editorial/586581/riot-le-moteur-de-recherche-qui-espionne-votre-vie-privee-en-ligne/ Rapport secret : les Etats-Unis sont victimes d’une cyberattaque massive
http://www.01net.com/editorial/586401/rapport-secret-les-etats-unis-sont-victimes-d-une-cyber-attaque-massive/ Theoretical Lucky Thirteen TLS Attacks Could Turn Practical
http://threatpost.com/en_us/blogs/theoretical-lucky-thirteen-tls-attacks-could-turn-practical-021113 Firewall application nightmares for dummies
http://news.hitb.org/content/firewall-application-nightmares-dummies http://www.computerweekly.com/blogs/cwdn/2013/02/firewall-application-nightmares-for-dummies.html Antivirus : quo vadis ?
http://pro.01net.com/editorial/586881/antivirus-quo-vadis/ le blog sécurité » actualités et événements » vulnérabilités sophistiquées, un signe de maturité ?
http://blogs.orange-business.com/securite/2013/02/vulnerabilites-sophistiquees-un-signe-de-maturite.html Une entreprise sur cinq a subi une attaque informatique ciblée
http://pro.01net.com/editorial/586835/une-entreprise-sur-cinq-a-subi-une-attaque-informatique-ciblee/ Passwords
---------
Easy-to-guess passwords still in common use: Trustwave
http://news.hitb.org/content/easy-guess-passwords-still-common-use-trustwave http://www.pcadvisor.co.uk/news/security/3425811/easy-guess-passwords-still-in-common-use-trustwave/ Security startup Nok Nok Labs wants to rid the world of passwords
http://news.hitb.org/content/security-startup-nok-nok-labs-wants-rid-world-passwords http://gigaom.com/2013/02/11/security-startup-nok-nok-labs-wants-to-rid-the-world-of-passwords/ PayPal, Lenovo Launch New Campaign to Kill the Password
http://news.hitb.org/content/paypal-lenovo-launch-new-campaign-kill-password http://www.technologyreview.com/news/511001/paypal-lenovo-launch-new-campaign-to-kill-the-password/ DARPA, FIDO Alliance Join Race to Replace Passwords
http://threatpost.com/en_us/blogs/lenovo-darpa-paypal-join-race-replace-passwords-021213 The Password is Not Dead
http://news.hitb.org/content/password-not-dead http://www.ibtimes.co.uk/articles/435813/20130215/password-dead.htm "Trustwave agrees: "The days of passwords are gone. Even a completely random eight-character password that utilizes all four character types, such as J*1jaw)2, is far easier to crack than a 25-character passphrase with upper and lower case letters, such as HereIsMyPassphraseGuessIt."
Cryptographers Aim to Find New Password Hashing Algorithm
http://threatpost.com/en_us/blogs/cryptographers-aim-find-new-password-hashing-algorithm-021513 https://password-hashing.net/index.html Banques
-------
Banking malware is getting sneakier, security firms warn
http://news.hitb.org/content/banking-malware-getting-sneakier-security-firms-warn http://www.pcworld.com/article/2027625/banking-malware-is-getting-sneaker-security-firms-warn.html How alleged crooks used ATM skimmers to compromise thousands of accounts
http://news.hitb.org/content/how-alleged-crooks-used-atm-skimmers-compromise-thousands-accounts http://arstechnica.com/security/2013/02/how-alleged-crooks-used-atm-skimmers-to-compromise-thousands-of-accounts/ Les internautes français peu tentés par une banque totalement dématérialisée
http://www.01net.com/editorial/586605/les-internautes-francais-peu-tentes-par-une-banque-totalement-dematerialisee/ American Express utilise Twitter comme canal d'achats en ligne
http://www.01net.com/editorial/586537/american-express-utilise-twitter-comme-canal-dachats-en-ligne/ LIVRES
------
Données personnelles : sensibilisation aux risques
http://www.reseaux-telecoms.net/actualites/lire-donnees-personnelles-sensibilisation-aux-risques-25666.html Les cyber-risques expliqués aux entreprises
http://www.reseaux-telecoms.net/actualites/lire-les-cyber-risques-expliques-aux-entreprises-25665.html Practical Network Security Monitoring Book on Schedule [en préparation]
http://taosecurity.blogspot.fr/2013/02/practical-network-security-monitoring.html DOSSIERS
--------
INSOLITE
--------
Un père paye sa fille pour qu'elle n'aille pas sur Facebook
http://www.01net.com/editorial/586657/un-pere-paye-sa-fille-pour-quelle-naille-pas-sur-facebook/ Des agents du FBI téléchargent des fichiers pirates sur BitTorrent
http://www.01net.com/editorial/586533/des-agents-du-fbi-telechargent-des-fichiers-pirates-sur-bittorrent/ Hacker un téléphone Android en le mettant... au freezer
http://www.01net.com/editorial/586907/hacker-un-telephone-android-en-le-mettant-au-freezer/ http://www1.cs.fau.de/filepool/projects/frost/frost.pdf La Cour des comptes juge le Cned inadapté à la formation en ligne
http://www.01net.com/editorial/586563/la-cour-des-comptes-juge-le-cned-inadapte-a-la-formation-en-ligne/ UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK AND SOCIAL NETWORKS
----------------------------
A BOOKMARKER
------------
Qwant : le nouveau moteur de recherche made in France fait de bons débuts
http://www.atlantico.fr/atlantico-light/qwant-nouveau-moteur-recherche-made-france-fait-bons-debuts-641312.html SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Techdays : le casque Iron Man en réalité augmentée inquiète la police
http://www.01net.com/editorial/586833/techdays-le-casque-iron-man-en-realite-augmente-inquiete-la-police/ FIC 2013, vers une prise de conscience politique de l'échec de la sécurité informatique
http://www.secuobs.com/news/14022013-fic_2013.shtml "Enfin, la cybercriminalité classique continue sa croissance et notamment la fraude à la carte bancaire touchant le e-ecommerce représente aujourd'hui 200 millions d'euros, contre 40 millions en 2003 (pour environ 300 milliards d'euros de paiements). Les techniques de type "skimming" continuent également leur perfectionnement en se faisant de plus en plus discrètes. Les forces de l'ordre continuent également leurs efforts de formation (avec par exemple les gendarmes NTech), et aujourd'hui de moins en moins d'affaire ne nécessitent de recourir systématiquement à des experts."
Hacknowledge Event Belgique
http://www.zataz.com/news/22697/Hacknowledge-Event-Belgique-charleroi-avril-2013.html PRODUITS
--------
Z10 : la bonne surprise de BlackBerry (vidéo)
http://www.01net.com/editorial/586599/z10-la-bonne-surprise-de-blackberry-test/ Faire signer un contrat sur une tablette avec un simple doigt
http://pro.01net.com/editorial/586575/faire-signer-un-contrat-sur-une-tablette-avec-un-simple-doigt/ Stop Cloud
http://www.zataz.com/news/22699/stopcloud_-stop-cloud_-securiser-son-site-Internet.html Buffalo updates NAS systems with preloaded Trend Micro antivirus
http://news.hitb.org/content/buffalo-updates-nas-systems-preloaded-trend-micro-antivirus BON A SAVOIR
------------
Opera se rallie à la technologie WebKit
http://www.01net.com/editorial/586683/opera-se-rallie-a-la-technologie-webkit/ La Poste va distribuer 90 000 smartphones à ses facteurs d'ici à 2015
http://www.01net.com/editorial/586499/la-poste-va-distribuer-90-000-smartphones-a-ses-facteurs-dici-a-2015/ Les Etats-Unis bloquent le projet de câble transatlantique à très haute performance
http://pro.01net.com/editorial/586829/les-etats-unis-bloquent-le-projet-de-cable-transatlantique-a-tres-haute-performance/ Les datacenters de plus en plus ciblés par les attaques DDoS
http://www.reseaux-telecoms.net/actualites/lire-les-datacenters-de-plus-en-plus-cibles-par-les-attaques-ddos-25669.html SCIENCES
--------
CONSOMMATION
------------
Tracking IP : les pratiques inavouables des cybermarchands
http://pro.01net.com/editorial/586539/tracking-ip-les-pratiques-inavouables-des-cybermarchands/ " Les sites de commerce électronique, notamment ceux qui vendent des billets de train ou d’avion, sont en effet fortement suspectés de modifier leurs tarifs en fonction de l’adresse IP du client"
"D’une part, certaines offres encore valables ne s’affichent pas et, d’autre part, l’adresse IP de l’internaute est pistée sans son consentement. Or c’est une donnée personnelle"
Symétrie et... symétrie...
http://sid.rstack.org/blog/index.php/581-symetrie-et-symetrie RACHAT / UNION
--------------
VMware renforce ses capacités de stockage en rachetant Virsto
http://pro.01net.com/editorial/586737/vmware-renforce-ses-capacites-de-stockage-en-rachetant-virsto/ Microsoft resserre ses liens avec Parature
http://pro.01net.com/editorial/586515/microsoft-resserre-ses-liens-avec-parature/ DROIT
-----
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Lancement de l’association Fier d’être développeur
http://pro.01net.com/editorial/586627/lancement-de-l-association-fier-d-etre-developpeur/ Défense: Bull remporte un contrat de 50 millions d’euros face à Thales et EADS
http://pro.01net.com/editorial/586601/defense-bull-remporte-un-contrat-de-50-millions-d-euros-face-a-thales-et-eads/ Mobilité : des coûts en hausse, qui échappent à la DSI
http://pro.01net.com/editorial/586535/mobilite-des-couts-en-hausse-qui-echappent-a-la-dsi/ CARRIERE
--------
Faire appel en direct à des experts du web et du mobile
http://pro.01net.com/editorial/586523/faire-appel-en-direct-a-des-experts-du-web-et-du-mobile/ MICROSOFT
---------
GOOGLE
------
Google Street View s’attaque au Grand Canyon
http://www.les-infostrateges.com/actu/13021582/google-street-view-sattaque-au-grand-canyon Google Chrome, navigateur le plus utilisé pour consulter les sites web
http://www.les-infostrateges.com/actu/13021580/google-chrome-navigateur-le-plus-utilise-pour-consulter-les-sites-web Google livre quelques astuces pour diminuer les temps de latence
http://www.reseaux-telecoms.net/actualites/lire-google-livre-quelques-astuces-pour-diminuer-les-temps-de-latence-25652.html APPLE / IPHONE
--------------
Le bug d’iOS 6.1 sème une petite panique sur l’iPhone
http://www.01net.com/editorial/586427/le-bug-d-ios-6-1-seme-une-petite-panique-sur-l-iphone/ PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Hackée, une chaîne de TV américaine annonce une attaque de zombies en direct
http://www.01net.com/editorial/586555/hackee-une-chaine-de-tv-americaine-annonce-une-attaque-de-zombies-en-direct/ Attaque informatique contre Facebook
http://www.zataz.com/news/22698/facebook_-java_-0day.html Des pirates dans certains serveurs Académiques Français
http://www.zataz.com/news/22688/piratage_-jihad_-universites_-academie.html Redirection dangereuse pour Google
http://www.zataz.com/news/22690/redirection_-danger_-google.html FAILLES
-------
Données privées : un bug sur Flickr a ouvert l’accès aux images personnelles
http://www.01net.com/editorial/586529/donnees-privees-un-bug-sur-flickr-a-ouvert-l-acces-aux-images-personnelles/ Découverte d’une faille majeure dans les produits VMWare
http://pro.01net.com/editorial/586613/decouverte-d-une-faille-majeure-dans-les-produits-vmware/ iOS 6.1 : une simple manoeuvre pour contourner le verrouillage
http://www.reseaux-telecoms.net/actualites/lire-ios-61-une-simple-manoeuvre-pour-contourner-le-verrouillage-25683.html Nvidia fixes hole that turns PCs into remote-control toys for hackers
http://news.hitb.org/content/nvidia-fixes-hole-turns-pcs-remote-control-toys-hackers-0 Symantec PGP Desktop Buffer Overflows Let Local Users Gain Elevated Privileges
http://www.securitytracker.com/id/1028145 Linux Kernel Race Condition Lets Local Users Gain Kernel Level Privileges
http://www.securitytracker.com/id/1028147 OUTILS
------
------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml