==============================================================================================================================================
Cette semaine, c'est le retour vers la rentrée....
Il va falloir se remettre à bosser, l'automne va bientôt arriver, puis l'hiver. J'ai donc décidé de ne pas faire de commentaires pour pouvoir garder mon énergie....et parce qu'en fin de vacances, je suis fatigué ;-))
Je vous conseille tout de même :
- Les réflexions du NIST sur la sécurisation du BIOS (on n'y pense pas assez)
- Un petit article sur les attaques XML qui sont encore sous-estimées
- Des détails sur le cassage de MS-CHAPV2 et une très bonne synthèse de la part de SID
- Des statistiques discutables mais intéressantes à lire sur les antivirus
- Un article de PwC ventant les mérites d'une structure d'audit interne forte.
- Les visions divergentes du niveau de sécurité selon les personnes qui font de la sécurité. C'est malheureusement vrai....
Mais aussi...
- Les moto jedi à venir, les catapultes USB pour Angry Bird, Apple et les SMS, La police anglaise VS Assange, et un maximum d'outils, mais quand je dis un
maximum d'outils
Mais encore dans la section SCIENCES, des nouvelles qui font peur sur les capacités de reconnaissance faciale déployées un peu partout, des maladies
nouvelles pas sympas et des expérimentations sur le virus du SIDA pour soigner le cancer.
Sinon un conseil, ne laissez pas trainer vos clés USB si elles ne sont pas chiffrées ;-))
Bonne lecture
Tristan
==============================================================================================================================================
A LIRE SECURITE
---------------
Un nouveau standard afin de mieux sécuriser les sites web
http://www.reseaux-telecoms.net/actualites/lire-un-nouveau-standard-afin-de-mieux-securiser-les-sites-web-24577.html Le NIST propose ainsi que la norme de cryptage inclut le support des certificats étendus ou Extended Validation (EV). Cela signifie que les
entreprises doivent fournir davantage d'éléments d'authentification qui permettent de valider leur identité pour acquérir des certificats EV.
NIST Offers Guidelines for Securing BIOS
http://threatpost.com/en_us/blogs/nist-offers-guidelines-securing-bios-082412 http://csrc.nist.gov/publications/drafts/800-147b/draft-sp800-147b_july2012.pdf MS-CHAPv2 définitivement cassé : conséquences pratiques...
http://sid.rstack.org/blog/index.php/555-ms-chapv2-definitivement-casse-consequences-pratiques Microsoft warns of 'man-in-the-middle' VPN password hack
http://news.hitb.org/content/microsoft-warns-man-middle-vpn-password-hack http://www.computerworld.com/s/article/9230448/Microsoft_warns_of_man_in_the_middle_VPN_password_hack?taxonomyId=17 Pour un détail : Attack against MS-CHAPv2 puts hundreds of crypto apps at risk
http://news.hitb.org/content/attack-against-ms-chapv2-puts-hundreds-crypto-apps-risk http://arstechnica.com/security/2012/07/broken-microsoft-sheme-exposes-traffic/ Which Browser Offers the Most Secure Password Storage?
http://threatpost.com/en_us/blogs/which-browser-offers-most-secure-password-storage-082312 Pour les pressés : Firefox is the most secure option due in large part to a built in master password feature
Les attaques XML se développent
http://www.secuobs.com/news/06082012-hip-12-xml.shtml RSA finds phishing cost $687m in six months
http://news.hitb.org/content/rsa-finds-phishing-cost-687m-six-months Own the Email, Own the Person
http://threatpost.com/en_us/blogs/own-email-own-person-082012 Study: If your antivirus doesn't sniff 'new' malware in 6 days, it never will
http://news.hitb.org/content/study-if-your-antivirus-doesnt-sniff-new-malware-6-days-it-never-will http://www.theregister.co.uk/2012/08/23/anti_virus_detection_study/ Want Security and Privacy? Turn Off Your Mobile Devices' GPS [Et en plus ça économise la batterie]
http://news.hitb.org/content/want-security-and-privacy-turn-your-mobile-devices-gps http://www.pcworld.com/article/261228/want_security_and_privacy_turn_off_your_mobile_devices_gps.html#tk.rss Internal Security Audits Play Critical Role in Preventing Breaches: PwC
http://news.hitb.org/content/internal-security-audits-play-critical-role-preventing-breaches-pwc http://www.eweek.com/c/a/Security/Internal-Security-Audits-Play-Critical-Role-in-Preventing-Breaches-PwC-241301/?kc=rss http://www.pwc.com/en_US/us/risk-assurance-services/publications/internal-audit-assuring-data-security-privacy.jhtml http://www.pwc.com/en_US/us/risk-assurance-services/assets/pwc-internal-audit-assuring-data-security-privacy.pdf Securing passwords with Blowfish
http://news.hitb.org/content/securing-passwords-blowfish http://www.techrepublic.com/blog/australia/securing-passwords-with-blowfish/1274 du sentiment de la sécurité
http://blogs.orange-business.com/securite/2012/08/du-sentiment-de-la-securite.html Download: Mobile Threat Report, Q2 2012
http://www.f-secure.com/weblog/archives/00002405.html http://www.f-secure.com/weblog/archives/MobileThreatReport_Q2_2012.pdf DOSSIERS
--------
INSOLITE
--------
Les plans de l'Elysée volés dans la voiture d'un installateur en fibre optique
http://pro.01net.com/editorial/571411/les-plans-de-lelysee-voles-dans-la-voiture-dun-installateur-en-fibre-optique/ http://www.leparisien.fr/faits-divers/les-plans-de-l-elysee-restent-introuvables-22-08-2012-2133183.php RuggedCom Devices Have Hard-Coded SSL Keys [ça sert à quoi dans ces conditions de durcir le hardware ?]
http://threatpost.com/en_us/blogs/ruggedcom-devices-vulnerable-communication-interception-082212 Police mistake reveals plan for Assange's Embassy capture
http://news.hitb.org/content/police-mistake-reveals-plan-assanges-embassy-capture Une catapulte USB pour Angry Birds
http://www.blogeek.ch/index.php?2012%2F08%2F08%2F11974-une-catapulte-usb-pour-angry-birds UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK AND SOCIAL NETWORKS
----------------------------
Facebook attire massivement hackers et pirates
http://www.reseaux-telecoms.net/actualites/lire-facebook-attire-massivement-hackers-et-pirates-24588.html A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Stripe's Capture The Flag 2.0 - A Hands On Contest For App Developers To Test Their Security Know-How
http://news.hitb.org/content/stripes-capture-flag-20-hands-contest-app-developers-test-their-security-know-how PRODUITS
--------
BON A SAVOIR
------------
Le BYOD provoque des heures supplémentaires non rémunérées
http://www.reseaux-telecoms.net/actualites/lire-le-byod-provoque-des-heures-supplementaires-non-remunerees-24592.html The Rise of Cross-Platform Malware
http://threatpost.com/en_us/blogs/rise-cross-platform-malware-082412 SCIENCES
--------
La moto des Jedi va envahir nos routes
http://www.01net.com/editorial/571519/la-moto-des-jedi-va-envahir-nos-routes/ Des satellites à base d’Android
http://korben.info/des-satellites-a-base-dandroid.html Une nouvelle maladie proche du sida détectée en Asie
http://www.metrofrance.com/info/une-nouvelle-maladie-proche-du-sida-detectee-en-asie/mlhx!1XV3tJbzJ7bKc/ Détourner le virus du sida pour lutter contre le cancer
http://www.lepoint.fr/chroniqueurs-du-point/anne-jeanblanc/detourner-le-virus-du-sida-pour-lutter-contre-le-cancer-24-08-2012-1498720_57.php The new totalitarianism of surveillance technology
http://m.guardian.co.uk/commentisfree/2012/aug/15/new-totalitarianism-surveillance-technology?cat=commentisfree&type=article CONSOMMATION
------------
RACHAT / UNION
--------------
IBM se remet au stockage
http://pro.01net.com/editorial/571371/ibm-se-remet-au-stockage/ DROIT
-----
Apple v. Samsung verdict is in: $1 billion loss for Samsung
http://news.hitb.org/content/apple-v-samsung-verdict-1-billion-loss-samsung MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Orange victime d’une nouvelle panne
http://www.01net.com/editorial/571505/orange-victime-d-une-nouvelle-panne/ Thales et Alstom vont moderniser le réseau ferroviaire danois
http://pro.01net.com/editorial/570061/thales-et-alstom-vont-moderniser-le-reseau-ferroviaire-danois/ Comptabilité : les entreprises ont deux ans pour passer à la norme Sepa
http://pro.01net.com/editorial/570059/comptabilite-les-entreprises-ont-deux-ans-pour-passer-a-la-norme-sepa/ Le projet gouvernemental de fusion de l'Arcep et du CSA se concrétise
http://pro.01net.com/editorial/571441/le-projet-gouvernemental-de-fusion-de-larcep-et-du-csa-se-concretise/ CARRIERE
--------
Un guide pour s’orienter dans la jungle du financement de l’innovation
http://pro.01net.com/editorial/571417/un-guide-pour-s-orienter-dans-la-jungle-du-financement-de-l-innovation/ MICROSOFT
---------
Microsoft adopte un nouveau logo
http://www.01net.com/editorial/571535/microsoft-adopte-un-nouveau-logo/ Un mouchard dans Windows 8 ?
http://korben.info/un-mouchard-dans-windows-8.html GOOGLE
------
Chrome 22 bêta : le navigateur devient une console de jeu
http://www.01net.com/editorial/571545/chrome-22-beta-le-navigateur-devient-une-console-de-jeu/ Des films et des concerts complets sur YouTube
http://www.01net.com/editorial/571387/des-films-et-des-concerts-complets-sur-youtube/ Google announces Pwnium 2 - Offers up $2 million to Chrome hackers at #HITB2012KUL
http://news.hitb.org/content/google-announces-pwnium-2-offers-2-million-chrome-hackers-hitb2012kul Google seeks recruits for privacy 'red team'
http://news.hitb.org/content/google-seeks-recruits-privacy-red-team APPLE / IPHONE
--------------
[iPad] Think : IBM nous apprend sa philosophie, on en ressort enrichi et plein d’idées
http://www.applicationiphone.com/2012/08/application-ipad-test-think-ibm/ PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
Firefox 17 to make add-ons more secure
http://news.hitb.org/content/firefox-17-make-add-ons-more-secure http://www.h-online.com/open/news/item/Firefox-17-to-make-add-ons-more-secure-1672626.html ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Another link found between Gauss and Flame malware
http://news.hitb.org/content/another-link-found-between-gauss-and-flame-malware Kaspersky calls for help to probe Gauss malware
http://news.hitb.org/content/kaspersky-calls-help-probe-gauss-malware SMSZombie Malware Infecting Android Devices, Stealing Money
http://threatpost.com/en_us/blogs/smszombie-malware-infecting-android-devices-stealing-money-082012 Adobe Flash Player Bug Spreading Via Word Documents in Emails
http://news.hitb.org/content/adobe-flash-player-bug-spreading-word-documents-emails FAILLES
-------
Un bug sur iOS permet d'envoyer des sms avec une identité usurpée
http://securite.reseaux-telecoms.net/actualites/lire-un-bug-sur-ios-permet-d-envoyer-des-sms-avec-une-identite-usurpee-24585.html Never trust SMS: iOS text spoofing
http://www.pod2g.org/2012/08/never-trust-sms-ios-text-spoofing.html Plutôt que corriger la faille des SMS sur iPhone, Apple conseille iMessage
http://www.numerama.com/magazine/23445-plutot-que-corriger-la-faille-des-sms-sur-iphone-apple-conseille-imessage.html BULL.FR infiltré par un hacker algérien
http://www.zataz.com/news/22347/fawzi_-hacker_-audit_-alegrien.html Flash Player vulnerable again a week after patching
http://news.hitb.org/content/flash-player-vulnerable-again-week-after-patching OUTILS
------
Santoku GNU/Linux ou l'audit, le Forensic et la rétro-ingénierie appliqués aux mobiles
http://www.secuobs.com/news/18082012-santoku_forensic_audit_mobiles.shtml XMPPloit, un outil exploitant les vulnérabilités XMPP
http://www.secuobs.com/news/16082012-xmppploit_google_talk_exploitation.shtml GCrack, cassage automatique de mots de passe via Google avec les hachages MD5, SHA1 et NTML
http://www.secuobs.com/news/14082012-gcrack_md5_sha1_ntlm_google.shtml Ambush, un HIPS dynamique et open source utilisant des techniques de Hooking
http://www.secuobs.com/news/11082012-ambush_hips_dynamic_hooking.shtml PortSpoof, un outil d'obfuscation complexifiant et ralentissant les scans de ports
http://www.secuobs.com/news/09082012-portspoof_obfuscation_ports_nmap.shtml Interfaces Snort et p0f pour PacketPig, analyser des captures pcap de 3To
http://www.secuobs.com/news/07082012-packetpig,snort_p0f_big_data.shtml Burp Log Reviver pour convertir les fichiers journalisés de la suite Burp en sessions
http://www.secuobs.com/news/23082012-burp_log_reviver_sessions_hacktics.shtml Version Beta disponible pour Imalse, un hybride émulant ou simulant des codes malicieux
http://www.secuobs.com/news/21082012-imalse_emulator_simulator_malware.shtml#contenu Ovizart, un analyseur réseau utilisant l'API de Virustotal sur les données ré-assemblées
http://www.secuobs.com/news/25062012-ovizart-gsoc_2012_network_analyzer.shtml Five free disk cloning apps
http://www.techrepublic.com/photos/five-free-disk-cloning-apps/6379756?tag=nl.e101 Five free apps for secure password management
http://www.techrepublic.com/photos/five-free-apps-for-secure-password-management/6361275?tag=nl.e101 Five free tools to ease network monitoring chores
http://www.techrepublic.com/photos/five-free-tools-to-ease-network-monitoring-chores/6353769?tag=nl.e101 ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml