==============================================================================================================================================
Cette semaine,
Je me suis un peu replongé dans PCI-DSS (très vieux document du CLUSIF sur le sujet) et finalement je trouve cela assez pertinent, surtout dans le cycle de vie du processus. En effet, un cycle de renouvellement (ici de 2 ans) est indispensable pour rester en phase avec le marché, corriger les éventuelles erreurs, améliorer le modèle, etc.... Bref, avoir une système tel un système asservi en automatisme, cela me parait vraiment la solution si l'on veut conserver un maintient en conditions opérationnelles sans dérives ou au moins avec le moins de dérives possibles. A ce titre, si de telles pratiques pouvaient être mise en œuvre au quotidien sur différents sujets (purge des règles FW inutilisées, mise à jour des OS de routeurs, firewalls, etc...), je pense qu'on y gagnerait en efficacité. C'est tout bête à faire, c'est une stratégie d'upgrade de plates-formes.
Vous pouvez noter que la nouvelle mouture de PCI-DSS, la V2, est disponible.
Sinon comme d'habitude, quelques sujets autour d'IPv6. Bien que personnellement je pense que nous n'avons pas encore tous compris le fonctionnement d'IPv4 (je m'inclus dans le tous), il faudra bien y passer un jour. Le petit papier de techrepublic est synthétique et didactique. Les deux autres articles qui valent le détour sont celui sur le NAC qui démontre la difficulté de mise en oeuvre de ces systèmes pourtant très prometteurs et de plus en plus demandés et celui sur les backdoors construites dans le matériel plutôt que dans le logiciel. C'est une autre façon de faire, plus discrète.
La section outils est fournie, le site du RIPE regorge de petits utilitaires en lignes vraiment biens.
Tristan
==============================================================================================================================================
A LIRE SECURITE
---------------
PCI Council Releases ‘Steady as She Goes’ Update of Security Rules
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38431 http://www.digitaltransactions.net/newsstory.cfm?newsid=2680 https://www.pcisecuritystandards.org/security_standards/documents.php?agreements=pcidss&assocation=PCI%20DSS IPv6 security myths
http://www.securityfocus.com/archive/1/514419 http://www.gont.com.ar/talks/lacnog2010/fgont-lacnog2010-ipv6-security.pdf 10 things you should know about IPv6 addressing
http://blogs.techrepublic.com.com/10things/?p=1893&tag=nl.e101 Cracking 14 Character Complex Passwords in 5 Seconds
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38353 http://www.ciozone.com/index.php/Security/Cracking-14-Character-Complex-Passwords-in-5-Seconds.html The role of an external IT security audit professional explained
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38352 http://www.infosecurity-magazine.com/view/13393/the-role-of-an-external-it-security-audit-professional-explained/ Hiding Backdoors In Hardware
http://hardware.slashdot.org/story/10/10/29/1456242/Hiding-Backdoors-In-Hardware?from=rss NAC: What went wrong?
http://www.networkworld.com/reviews/2010/052410-network-access-control-test.html?page=1 "Fabric" To Weave Security Into Code
http://www.drdobbs.com/java/227900404;jsessionid=Y55ICFKTRXCC1QE1GHOSKH4ATMY32JVN Kevin Poulsen: Bank Fraud Is Child's Play
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38454 http://www.theatlantic.com/technology/archive/2010/10/for-americas-favorite-hacker-bank-fraud-is-childs-play/65407/ DOSSIERS
--------
INSOLITE
--------
A 12 ans, il découvre une faille dans Firefox et reçoit 3 000 dollars
http://www.01net.com/www.01net.com/editorial/522804/a-12-ans-il-decouvre-une-faille-dans-firefox-et-recoit-3-000-dollars/?r=/rss/actus.xml Girls in Tech Paris, premier réseau de femmes travaillant dans le high-tech
http://pro.01net.com//pro.01net.com/editorial/522831/girls-in-tech-paris-premier-reseau-de-femmes-travaillant-dans-le-high-tech/ Nepal firm takes high speed Internet to Mount Everest
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38444 Enfin la tablette ultime
http://www.ardoisetactile.com/ UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK
--------
A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Putain... Cinq ans...
http://sid.rstack.org/blog/index.php/441-putain-cinq-ans PRODUITS
--------
Juniper, nouveau venu dans la sécurité des smartphones
http://pro.01net.com//pro.01net.com/editorial/522834/juniper-nouveau-venu-dans-la-securite-des-smartphones/ Première démonstration de la tablette de BlackBerry
http://www.01net.com/www.01net.com/editorial/522833/premiere-demonstration-de-la-tablette-de-blackberry/ Comment les multifonctions Canon empêchent de copier des documents confidentiels
http://pro.01net.com//pro.01net.com/editorial/522981/comment-les-multifonctions-canon-empechent-de-copier-des-documents-confidentiels/ Swift se lance dans les certificats d'authentification
http://securite.reseaux-telecoms.net/actualites/lire-swift-se-lance-dans-les-certificats-d-authentification-22708.html BON A SAVOIR
------------
What Do You Investigate First?
http://taosecurity.blogspot.com/2010/10/what-do-you-investigate-first.html La France passe la barre du pétaflop dans le calcul intensif
http://pro.01net.com//pro.01net.com/editorial/522797/la-france-passe-la-barre-du-petaflop-dans-le-calcul-intensif/ Une tablette sous Android à moins de 200€ chez Toys'r'us
http://www.reseaux-telecoms.net/actualites/lire-une-tablette-sous-android-a-moins-de-200eteuro-chez-toys-r-us-22705.html Le lancement de la carte musique jeune est imminent
http://www.01net.com/editorial/522806/le-lancement-de-la-carte-musique-jeune-est-imminent/?r=/rss/actus.xml Un an pour équiper 800 collaborateurs de PDA durcis chez Clear Channel France
http://www.reseaux-telecoms.net/actualites/lire-un-an-pour-equiper-800-collaborateurs-de-pda-durcis-chez-clear-channel-france-22713.html Test de la tablette iPad pour rénover la relation client chez Natixis
http://www.reseaux-telecoms.net/actualites/lire-test-de-la-tablette-ipad-pour-renover-la-relation-client-chez-natixis-22710.html La tablette Toshiba Folio 100 disponible en France.
http://www.blogeee.net/2010/10/la-tablette-toshiba-folio-100-disponible-en-france/ Top 10 tech tricks we're sick of seeing in movies
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38397 http://news.cnet.com/8301-17938_105-20020527-1.html SCIENCES
--------
CONSOMMATION
------------
ToLuna propose aux internautes de tester 10 000 produits
http://www.01net.com/www.01net.com/editorial/522759/toluna-propose-aux-internautes-de-tester-10-000-produits/ Taxer Internet et les téléviseurs pour financer la fibre optique ?
http://www.01net.com/www.01net.com/editorial/522818/taxer-internet-et-les-televiseurs-pour-financer-la-fibre-optique/?r=/rss/actus.xml Important retard de l'Europe sur l'Asie en matière de très haut débit
http://www.reseaux-telecoms.net/actualites/lire-important-retard-de-l-europe-sur-l-asie-en-matiere-de-tres-haut-debit-22715.html RACHAT / UNION
--------------
DROIT
-----
Copie privée : les NAS de salon et les disques SSD externes taxés
http://www.01net.com/www.01net.com/editorial/522802/copie-privee-les-nas-de-salon-et-les-disques-ssd-externes-taxes/ Le RSSI face aux lois
http://pro.01net.com//pro.01net.com/editorial/522966/le-rssi-face-aux-lois/ Le Sénat adopte une loi sur le prix unique du livre numérique
http://www.01net.com/www.01net.com/editorial/522857/le-senat-adopte-une-loi-sur-le-prix-unique-du-livre-numerique/ Cybersurveillance des salariés : le respect des formes est obligatoire
http://securite.reseaux-telecoms.net/actualites/lire-cybersurveillance-des-salaries-le-respect-des-formes-est-obligatoire-22703.html MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Intel rolls out massive factory in Vietnam
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38458 Contrat SNCF-IBM : les têtes continuent de tomber
http://pro.01net.com//pro.01net.com/editorial/522839/contrat-sncf-ibm-les-tetes-continuent-de-tomber/ CARRIERE
--------
La marque employé®
http://pro.01net.com//pro.01net.com/editorial/522783/la-marque-employe/ 700 postes à pourvoir chez Open en 2011
http://pro.01net.com//pro.01net.com/editorial/522844/700-postes-a-pourvoir-chez-open-en-2011/ PwC uses hacking challenges to identify talent
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38396 http://www.inthenews.co.uk/news/business/pwc-uses-challenges-to-identify-talent-$21384185.htm What Are IT Recruiters Looking Out For?
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38447 http://portal.itproportal.com/portal/news/article/2010/10/28/what-are-it-recruiters-looking-out/ MICROSOFT
---------
Microsoft tisse sa toile de partenaires pour sa plate-forme Azure
http://pro.01net.com//pro.01net.com/editorial/522813/microsoft-tisse-sa-toile-de-partenaires-pour-sa-plate-forme-azure GOOGLE
------
Google a aussi la cote auprès des mobinautes
http://www.01net.com/www.01net.com/editorial/522951/google-a-aussi-la-cote-aupres-des-mobinautes/ Google enrichit la géolocalisation sur son moteur de recherche
http://www.01net.com/www.01net.com/editorial/522855/google-enrichit-la-geolocalisation-sur-son-moteur-de-recherche Inside Google's Anti-Malware Operation
http://threatpost.com/en_us/blogs/inside-googles-anti-malware-operation-102610 Android faces critical security study
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38448 APPLE / IPHONE
--------------
Bientôt des iPhone à carte SIM inamovible ?
http://www.01net.com/www.01net.com/editorial/522967/bientot-des-iphone-a-carte-sim-inamovible/ PALM / PRE
----------
5 ou 6 nouveaux produits sous webOS prévus chez Palm ?
http://www.journaldugeek.com/2010/10/27/5-ou-6-nouveaux-produits-sous-webos-prevus-chez-palm FREE
----
GEEK POWER
----------
The great iPhone serial port hack
http://www.computerworld.com.au/slideshow/365979/great_iphone_serial_port_hack/?fp=4&fpid=5 LIBRE / OPEN SOURCE
-------------------
Open source cloud alternative
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38364 http://www.net-security.org/secworld.php?id=10035 Ubuntu 11.04 va changer d’interface
http://www.01net.com/www.01net.com/editorial/522807/ubuntu-11-04-va-changer-d-interface/?r=/rss/actus.xml Sourcefire to crash next-generation firewall party
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38426 http://www.networkworld.com/news/2010/102710-sourcefire-firewall.html?
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Le virus Koobface s’invite sur Mac OS X et Linux
http://www.01net.com/www.01net.com/editorial/522984/le-virus-koobface-s-invite-sur-mac-os-x-et-linux/ Universal Androot – L’application de root pour les gouverner toutes
http://android-france.fr/2010/10/29/universal-androot-lapplication-de-root-pour-les-gouverner-toutes/ FAILLES
-------
Adobe security update warns of multiple security holes in Flash Player, Reader and Acrobat
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38451 La fonction de verrouillage de l'iPhone 4 victime d'une faille
http://www.01net.com/www.01net.com/editorial/522820/la-fonction-de-verrouillage-de-liphone-4-victime-dune-faille/?r=/rss/actus.xml Quels scénarios pour le contournement du verrouillage sur iOS 4.1 ?
http://cupofsecurity.blogspot.com/2010/10/quels-scenarios-pour-le-contournement.html Secret Button Sequence Bypasses iPhone Security
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38385 Microsoft Windows Still Vulnerable To DLL Hijacking
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38439 OUTILS
------
Plugin, FireSheep, Lays Open Web 2.0 Insecurity
http://threatpost.com/en_us/blogs/plugin-firesheep-lays-open-web-20-insecurity-102510 Firesheep, l'extension Firefox qui pirate des comptes en un clic
http://www.01net.com/www.01net.com/editorial/522840/firesheep-lextension-firefox-qui-pirate-des-comptes-en-un-clic/?r=/rss/actus.xml How to Hijack Facebook Using Firesheep
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38460 http://www.pcworld.com/article/209333/how_to_hijack_facebook_using_firesheep.html?tk=rss Usurpation d'identité : Firesheep, l'extension qui fait mal au protocole
http://www.clubic.com/navigateur-internet/mozilla-firefox/actualite-374986-firesheep-extension-anti-hadopi.html How To Protect Against Firesheep Attacks
http://yro.slashdot.org/story/10/10/27/1617224/How-To-Protect-Against-Firesheep-Attacks?from=rss Top 10 specialty Web browsers you may have missed
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38359 http://www.infoworld.com/d/applications/top-10-specialty-web-browsers-you-may-have-missed-026 Flash Drive 101: Copying Files, Removing Viruses
http://www.hackinthebox.org/index.php?name=News&file=article&sid=38402 http://www.computerworld.com/s/article/9193218/Flash_Drive_101_Copying_Files_Removing_Viruses?taxonomyId=17 Routing Information Service (RIS)
http://www.ripe.net/projects/ris/index.html RIPE Tools and Software
http://www.ripe.net/tools/ ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml