==============================================================================================================================================
Cette semaine l'actualité est riche.
Il y a beaucoup de travaux universitaires et d'analyses que je trouve vraiment pertinents.
Le premier travail, même s'il provient d'un article dont le titre est trop racoleur détaille comment en jouant sur les retransmissions liés à un timeout TCP, il serait possible de paralyser une bonne partie des routeurs sur Internet (plus particulièrement le protocole BGP). Je n'ai pas encore lu en détails toutes les explications (et ne vous garantis que je comprendrai tout), mais j'apprécie que dans l'article figure une thèse sur les attaques possibles et une autre sur les solutions de protection possibles aussi. On n'est pas dans ce cas sur une attaque théorique uniquement, il y a eu des tests, des simulations. Et puis si les attaques que nous connaissons depuis plusieurs années sur les postes de travail ne sont que rarement destinées à paralyser les machines (contrairement aux premières attaques des années 1990-2000), côté réseau, on a vu quelques actions de ce type tout de même :
- Cyberguerre avec blocage des moyens Internet : cas de l'Estonie VS la Russie,
- Redirection de trafic par la Chine l'année dernière (erreur ou attaque?)
- Blocage complet Internet dans les cas de soulèvements du peuple (Egypte)
- ......
Bref, cela démontre encore une fois le caractère non sécurisé par défaut du monde IP et la nécessité d'appliquer des mécanismes de sécurité, du contrôle et de disposer de personnes qualifiées pour gérer le tout. Il y avait eu une série de problèmes liés au protocole DNS et les très médiatisées interventions de Dan Kaminsky. Le point positif qui en est ressorti a été une adoption plus rapide de DNSSEC, il serait souhaitable que les papiers mentionnés plus haut permettent de mieux sécuriser BGP dans un premier temps, TCP dans un second, mais là, c'est un travail de titan (et pas de Tristan heureusement ;-)) et je suis peut-être un peu trop utopiste.
Le deuxième travail concerne la fameuse IPcalypse. Mais pour une fois, l'angle de réflexion n'est pas côté réseau uniquement. Effectivement, même si les infrastructures systèmes et réseaux professionnelles sont globalement bien adaptées, l'auteur rappelle que c'est rarement le cas côté équipements personnels et surtout côté applications. Et c'est là tout le dilemme, on ne basculera en IPv6 qu'une fois que les applications seront développées pour IPv6. Or, on ne développera des applications pour IPv6 que lorsque toute la chaine sera compatible IPv6. Houston.... on a un problème. Autant il est simple (disons plutôt réalisable) de passer un backbone en IPv6 et de tunneliser de l'IPv4, autant une continuté IPv6 de bout en bout semble plutôt loin de nous au vu de la charge de travail nécessaire.
Le troisième point concerne les nouvelles fonctions de l'algorithme SHA-2 qui permet d'améliorer les performances de chiffrement sur architecture 64 bits. Pour le reste, quelques conjectures et autres affirmations sont je ne suis pas friant sauf l'article sur les disques SSD et leur relatif manque de "sécurité" pour le stockage de données confidentielles.
Je vous conseille vraiment la section A BOOKMARKER pour faire des recherches sur vous ou d'autres personnes. Certes, la plupart des liens sont pertinents uniquement aux Etats-Unis, mais dans le cadre de social engineering, c'est assez utile. Il y a un nombre impressionnant de liens, certains très connus, d'autres moins.
Sinon en vrac, il y a :
- de la tablette à la pelle suite au MWC de Barcelone,
- des scientifiques qui progressent de jour en jour,
- des pirates très polis qui expliquent sous quelles conditions ils pourraient arrêter de pirater (il y a une petite pétition à ce sujet d'ailleurs),
- des Anonymous qui n'arrêtent pas de faire parler d'eux (ils détiendraient les sources de Stuxnet, détaillent comment ils sont rentrés chez HBGary,
- un excellent article sur Assange (un peu barré mais fascinant tout de même le garçon)
- un nouvel album de Radiohead,
- des informations sur la dette américaine qui font froid dans le dos,
- des fausses compagnies d'anti-virus qui gagnent plus que les vraies,
- un article horrible mais si proche de certaines réalités sur "Le bureau, le pire endroit où travailler",
- un bon sketch sur les hotlines, sketch moyennement apprécié par les opérateurs télécoms.
Pour finir, j'ai mis cette semaine une section UN PETIT GESTE CONTRE LA PLANETE. L'article sur Mururoa m'a vraiment mis hors de moi. On y apprend qu'à cause des essais nucléaires, en plus d'avoir contaminé un des plus beau endroit du monde, les conséquences prochaines seront une disparition pure et simple compte tenu des altérations gravissimmes effectuées sur les roches. L'homme est capable du meilleur comme du pire, mais c'est vraiment dans le pire qu'il est le meilleur [
http://www.evene.fr/celebre/biographie/gregoire-lacroix-dit-corbin-5375.php]
Bonne lecture
==============================================================================================================================================
A LIRE SECURITE
---------------
How to crash the Internet
http://www.hackinthebox.org/index.php?name=News&file=article&sid=39980 http://www.zdnet.com/blog/networking/how-to-crash-the-internet/680?
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.138.913&rep=rep1&type=pdf [Description de l'attaque]
http://www.efstathopoulos.net/papers/icitst09.pdf [Solution de protection possible]
The cyberweapon that could take down the internet
http://www.newscientist.com/article/dn20113-the-cyberweapon-that-could-take-down-the-internet.html Bad things will happen when we run out of iPv4 addresses
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40022 http://www.betanews.com/article/Bad-things-will-happen-when-we-run-out-of-iPv4-addresses-and-its-coming-sooner-than-you-think/1297702377 New SHA Functions Boost Crypto On 64-bit Chips
http://news.slashdot.org/story/11/02/18/2217206/New-SHA-Functions-Boost-Crypto-On-64-bit-Chips http://csrc.nist.gov/publications/drafts/fips180-4/Draft-FIPS180-4_Feb2011.pdf Common Security Mistakes Can Lead to Major Compromises
http://threatpost.com/en_us/blogs/common-security-mistakes-can-lead-major-compromises-021411 App security vendor claims to have solutions to XSRF attacks
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40020 Stonesoft Claims To Find More Evasion Techniques in Security Products
http://threatpost.com/en_us/blogs/stonesoft-claims-find-more-evasion-techniques-security-products-021411 Confidential Data Not Safe On Solid State Disks
http://hardware.slashdot.org/story/11/02/17/1911217/Confidential-Data-Not-Safe-On-Solid-State-Disks DOSSIERS
--------
INSOLITE
--------
Kid's Game to Arduino Enigma Machine
http://www.instructables.com/id/Kids-Game-to-Arduino-Enigma-Machine/ Le sketch de l’UFC-Que Choisir qui ne fait pas rire les opérateurs télécom
http://blogs.lexpress.fr/tic-et-net/2011/02/18/la-video-de-lufc-que-choisir-qui-ne-fait-pas-rire-les-operateurs-telecom/ UN PETIT GESTE CONTRE LA PLANETE
--------------------------------
Mururoa pourrait provoquer un tsunami dans le Pacifique
http://www.maxisciences.com/mururoa/mururoa-pourrait-provoquer-un-tsunami-dans-le-pacifique_art12490.html Prêt à jeter, la mort programmée des objets à voir sur Arte
http://www.01net.com/www.01net.com/editorial/528361/pret-a-jeter-la-mort-programmee-des-objets-a-voir-sur-arte UN PETIT GESTE POUR LA PLANETE
------------------------------
Groupama crée un datacenter de secours à faible consommation électrique
http://www.reseaux-telecoms.net/actualites/lire-groupama-cree-un-datacenter-de-secours-a-faible-consommation-electrique-23027.html FACEBOOK
--------
Google enrichit sa « recherche sociale »
http://www.01net.com/www.01net.com/editorial/528503/google-enrichit-sa-recherche-sociale/ A BOOKMARKER
------------
Do an Online Background Check for Free [Beaucoup beaucoup de liens utiles]
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40024 http://www.computerworld.com/s/article/9209518/Do_an_Online_Background_Check_for_Free?source=rss_news SALONS / CONFERENCES / EVENEMENTS
---------------------------------
[MWC 2011] Le Galaxy S II de Samsung présenté en vidéo
http://www.01net.com/www.01net.com/editorial/528367/mwc-2011-le-galaxy-s-ii-de-samsung-presente-en-video/?r=/rss/actus.xml Samsung propose un smartphone Android taillé pour l’entreprise
http://pro.01net.com//pro.01net.com/editorial/528334/samsung-propose-un-smartphone-android-taille-pour-l-entreprise [MWC 2011] Le Pre 3 et la TouchPad de HP en vidéo
http://www.01net.com/www.01net.com/editorial/528394/mwc-2011-le-pre-3-et-la-touchpad-de-hp-en-video/?r=/rss/actus.xml [MWC 2011] Vidéos du HP Palm Pre 3 et HP Veer
http://www.presse-citron.net/mwc-videos-du-hp-palm-pre-3-et-hp-veer HP Touchpad : la tablette sous WebOS
http://www.lesnumeriques.com/hp-touchpad-tablette-webos-news-18107.html [MWC 2011] Vidéo : la tablette Samsung Galaxy Tab de 10 pouces
http://www.01net.com/www.01net.com/editorial/528380/mwc-2011-video-la-tablette-samsung-galaxy-tab-de-10-pouces/?r=/rss/actus.xml [MWC 2011] RIM PlayBook, le compagnon idéal du BlackBerry, en vidéo
http://www.01net.com/www.01net.com/editorial/528463/mwc-2011-rim-playbook-le-compagnon-ideal-du-blackberry-en-video/?r=/rss/actus.xml [MWC 2011] Toshiba présente sa deuxième tablette de 10 pouces
http://www.01net.com/www.01net.com/editorial/528511/mwc-2011-toshiba-presente-sa-deuxieme-tablette-de-10-pouces MWC 2011 : l'iPhone doté d'un chargeur à hydrogène
http://www.reseaux-telecoms.net/actualites/lire-mwc-2011-l-iphone-dote-d-un-chargeur-a-hydrogene-23038.html [MWC 2011] Microsoft dévoile les évolutions de Windows Phone 7
http://www.01net.com/www.01net.com/editorial/528355/mwc-2011-microsoft-devoile-les-evolutions-de-windows-phone-7/ [MWC 2011] Xperia Play : le smartphone-console
http://www.01net.com/www.01net.com/editorial/528353/mwc-2011-xperia-play-le-smartphone-console PRODUITS
--------
Voici Scale. L'interface nouvelle génération. Pour PC et tablettes et en OEM.
http://hypranet.org/nrnet/seline/blog/index.php?2011/02/15/796-voici-scale-l-interface-nouvelle-generation-pour-pc-et-tablettes BON A SAVOIR
------------
RSA: Cryptographers revisit DES
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40028 http://www.v3.co.uk/v3/news/2274804/rsa-cryptography-des-dickie?
Les SSII vu par l’Huma | Je veux une augmentation | Recruter sans CV | Google embauche à tour de bras | Le bureau, le pire endroit où travailler
http://pro.01net.com//pro.01net.com/editorial/528328/les-ssii-vu-par-l-huma-je-veux-une-augmentation-recruter-sans-cv-google-embauche-a-tour-de-bras-le-
bureau-le-pir
Extrait malheureusement vrai parfois....
Zevillage, « la communauté du télétravail », explique pourquoi. Au bureau, « le temps de travail est haché. On est dérangé toutes les quinze minutes par les
autres et à la fin de la journée on constate qu'on a rien fait. » En cause, ce que le blog nomme les M&M’s : les managers et les meetings. « Le travail
central du manager est d’interrompre les gens dans leur travail pour vérifier qu’ils travaillent bien. » Et les réunions constituent un poison. « Vous ne
voyez jamais un meeting spontanément organisé par les salariés. » Du coup, lesdits salariés trouvent dans le train, dans l’avion, à la maison ou tard le soir
au bureau les longues plages de temps sans interruption propices à la concentration.
Le plus gros détenteur de la dette américaine n'est plus la Chine, c'est... [La crise est finie mes amis, heu .....et m.... on va tous mourir]
http://www.latribune.fr/actualites/economie/international/20110209trib000599974/le-plus-gros-detenteur-de-la-dette-americaine-n-est-plus-la-chine-c-est.html Pentagon Requests Half Billion in Funding to DARPA
http://threatpost.com/en_us/blogs/pentagon-requests-half-billion-funding-darpa-021611 Et bim, un nouvel album pour Radiohead
http://www.france-info.com/chroniques-le-journal-de-la-musique-2011-02-14-coeur-de-pirate-signe-l-armistice-515668-81-122.html http://www.thekingoflimbs.com/DIEUR.htm Fake AV Companies Making More Money than Security Vendors
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40034 Your guide to the seven types of malicious hackers
http://www.infoworld.com/d/security-central/your-guide-the-seven-types-malicious-hackers-636?page=0,0&source=IFWNLE_nlt_sec_2011-02-08 Les courriels seraient chronophages en entreprise
http://www.les-infostrateges.com/actu/11021135/les-courriels-seraient-chronophages-en-entreprise 100e anniversaire du premier vol postal
http://sid.rstack.org/blog/index.php/459-100e-anniversaire-du-premier-vol-aeropostal SCIENCES
--------
Watson, la machine d’IBM, l'emporte sur les humains [MAJ]
http://www.01net.com/editorial/528437/watson-la-machine-d-ibm-lemporte-sur-les-humains-maj Huge solar flare jams radio communications
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40045 Quantum computer research reaches ‘significant milestone’
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40051 Researchers Store Data in Flash Memory Under Low Voltage Conditions
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40073 Dans le futur, les robots auront leur propre Internet
http://www.slate.fr/lien/34165/robots-futur-internet-machines New control system will allow satellites to 'think for themselves'
http://www.gizmag.com/sysbrain-allows-satellites-to-act-autonomously/17899/ CONSOMMATION
------------
RACHAT / UNION
--------------
Intel working with Symantec and Vasco for IPT, hardware-based security measures
http://www.engadget.com/2011/02/15/intel-working-with-symantec-and-vasco-for-ipt-hardware-based-se/ DROIT
-----
L'opposition saisit le Conseil constitutionnel sur la Loppsi 2
http://www.01net.com/www.01net.com/editorial/528388/lopposition-saisit-le-conseil-constitutionnel-sur-la-loppsi-2 L'autorité nationale de cyberdéfense pourra commander aux FAI
http://www.01net.com/www.01net.com/editorial/528378/lautorite-nationale-de-cyberdefense-pourra-commander-aux-fai L'indépendance du gendarme des télécoms préservée
http://www.01net.com/www.01net.com/editorial/528439/lindependance-du-gendarme-des-telecoms-preservee La loi sur la neutralité du Net n’est pas près d’être adoptée
http://www.01net.com/www.01net.com/editorial/528465/la-loi-sur-la-neutralite-du-net-n-est-pas-pres-d-etre-adoptee Noms de domaines : transposition du 3ème "paquet télécom" en droit français
http://www.les-infostrateges.com/actu/11021133/noms-de-domaines-transposition-du-3eme-paquet-telecom-en-droit-francais MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
HTML5 en version finale pour 2014
http://pro.01net.com//pro.01net.com/editorial/528356/html5-en-version-finale-pour-2014 Spotcloud, le futur du cloud computing ?
http://pro.01net.com//pro.01net.com/editorial/528400/spotcloud-le-futur-du-cloud-computing L’informatique, locomotive de l’emploi des cadres en 2011
http://pro.01net.com//pro.01net.com/editorial/528374/l-informatique-locomotive-de-l-emploi-des-cadres-en-2011 21 SSII proposent 5 500 offres d'emploi
http://pro.01net.com//pro.01net.com/editorial/528079/21-ssii-proposent-5-500-offres-demploi How IT Pros Cheat on Certification Exams
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40074 L'accord Nokia-Microsoft est un aveu d'impuissance
http://pro.01net.com//pro.01net.com/editorial/528475/laccord-nokia-microsoft-est-un-aveu-dimpuissance Nokia CEO states he is not a Trojan horse
http://www.hackinthebox.org/index.php?name=News&file=article&sid=39979 Vidéo : offensive contre le format WebM de Google
http://www.01net.com/www.01net.com/editorial/528384/video-offensive-contre-le-format-webm-de-google Cisco et Juniper veulent accélérer les flux vidéo sur l’internet mobile
http://pro.01net.com//pro.01net.com/editorial/528418/cisco-et-juniper-veulent-accelerer-les-flux-video-sur-l-internet-mobile Fibre optique : les projections de déploiement d’Orange
http://www.01net.com/www.01net.com/editorial/528451/fibre-optique-les-projections-de-deploiement-d-orange CARRIERE
--------
Salaires, formations, missions, tout savoir sur... le Digital Strategist ou le gestionnaire de l'e-reputation
http://pro.01net.com//pro.01net.com//editorial/527881/salaires-formations-missions-tout-savoir-sur-le-digital-strategist-ou-le-gestionnaire-de-le-reputation Salaires, formations, missions, tout savoir sur... le Community Manager
http://pro.01net.com//pro.01net.com/editorial/527878/salaires-formations-missions-tout-savoir-sur-le-community-manager MICROSOFT
---------
Microsoft has a change of heart on how to keep Internet safe
http://www.itworld.com/security/137159/microsoft-has-a-change-heart-how-keep-internet-safe GOOGLE
------
APPLE / IPHONE
--------------
Clamcase iPad keyboard case review [Ouahhh on dirait qu'Apple a inventé....le Touchbook ;-)]
http://www.engadget.com/2011/02/14/clamcase-ipad-keyboard-case-review/ Une coque de protection pour iPhone proposée par… Fisher-Price !
http://www.journaldumac.com/2011/02/15/une-coque-de-protection-pour-iphone-proposee-par-fisher-price PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
RSA: Hackers targeting individuals not networks
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40044 « Nous promettons de ne plus pirater de films si... »
http://www.01net.com/www.01net.com/editorial/528186/nous-promettons-de-ne-plus-pirater-de-films-si Anonymous Claims Possession Of Insidious Stuxnet Virus
http://www.hackinthebox.org/index.php?name=News&file=article&sid=39974 Most Indian cyber criminals escape jail
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40037 On Retirement, Israeli General Takes Credit for Stuxnet Attacks
http://tech.slashdot.org/story/11/02/16/0250202/On-Retirement-Israeli-General-Takes-Credit-for-Stuxnet-Attacks FAILLES
-------
Une nouvelle faille de sécurité détectée pour Windows
http://www.01net.com/www.01net.com/editorial/528427/une-nouvelle-faille-de-securite-detectee-pour-windows Windows Zero-Day Vulnerability Researched by Microsoft
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40060 DATA LEAKAGE
------------
Still Smarting, Anonymous Releases 20,000 More HBGary Emails
http://threatpost.com/en_us/blogs/still-smarting-anonymous-releases-20000-more-hbgary-emails-021311 Close encounter with the WikiLeaks secretive service [Article assez intéressant sur Assange]
http://www.hackinthebox.org/index.php?name=News&file=article&sid=39971 http://www.theaustralian.com.au/news/features/close-encounter-with-the-wikileaks-secretive-service/story-e6frg6z6-1226004344079 Bank of America and the secret plan to destroy WikiLeaks
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40071 Comment Anonymous a réussi à pirater une entreprise de sécurité
http://www.lemonde.fr/technologies/article/2011/02/16/comment-anonymous-a-reussi-a-pirater-une-entreprise-de-securite_1481135_651865.html Anonymous speaks: the inside story of the HBGary hack
http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars/ OUTILS
------
------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1