==============================================================================================================================================
Cette semaine, on commence par une triste nouvelle. On a eu à déplorer la mort du président du CLUSIF. J'ai une pensée pour sa famille et ses amis.
A côté de cela les autres nouvelles concernant la sécurité ne sont que des futilités.
L'actualité tourne beaucoup autour de RSA. Un premier PDF décrit l'APT ayant touché RSA. Plus globalement, on y voit surtout l'activité des malwares qui permettent d'exfiltrer des informations et qui sont dans la nature depuis un certain temps (et que pensez de Nortel qui a été piraté pendant 10 ans ???).
Il y a également la polémique sur l'entropie qui est utilisée lors de la génération des certificats. En effet, une étude récente sur les certificats démontrent que beaucoup possèdent des clés communes. Donc non, cela ne remet pas en cause la validité de la théorie, mais cela rappelle simplement que ce qui pèche souvent en sécurité, c'est l'application de la théorie. On le voit clairement dans la cryptographie quantique, théoriquement inviolable, mais dont toutes les implémentations ont été percées.
A propos des implémentations foireuses, c'est Mozilla cette semaine qui met un coup de pied dans la fourmilière des autorités de certifications intermédiaires aux pratiques parfois douteuses. Mozilla signifie à ces sociétés que si elles ne se mettent pas en conformité par rapport aux bonnes règles d'usage (pas de faux certificats, pas de certificats wildcard, etc...), elles seront tout simplement supprimées des stores de certificats de Firefox. Cela risque de faire couler pas mal d'encre si la menace est mise à exécution. En parallele, c'est twitter qui passe en HTTPS par défaut.
Sinon, je vous conseille de patcher vos versions de flash, vos produits Mozilla (Firefox et Thunderbird) et tout ce que vous pouvez.
Pour finir, ceux qui s'intéressent à la sécurité de la mobilité, le post d'OBS contient un grand nombre de liens pertinents.
Bonne lecture
Tristan
==============================================================================================================================================
RIP
---
Pascal Lointier (1961-2012) : le Clusif perd un grand président
http://pro.01net.com/editorial/558434/pascal-lointier-1962-2012-le-clusif-perd-un-grand-president/ A LIRE SECURITE
---------------
Polémique autour des certificats SSL des autorités intermédiaires
http://www.reseaux-telecoms.net/actualites/lire-polemique-autour-des-certificats-ssl-des-autorites-intermediaires-23718.html Crypto experts analyze millions of X.509 certificates, call RSA crypto flawed
http://news.hitb.org/content/crypto-experts-analyze-millions-x509-certificates-call-rsa-crypto-flawed http://www.pcadvisor.co.uk/news/security/3337558/crypto-experts-analyze-millions-of-x509-certificates-call-rsa-crypto-flawed/ Weak RSA Keys Plague Embedded Devices, But Experts Caution Against Panic
http://threatpost.com/en_us/blogs/weak-rsa-keys-plague-embedded-devices-experts-caution-against-panic-021512 What You Need to Know About the RSA Key Research
http://threatpost.com/en_us/blogs/what-you-need-know-about-rsa-key-research-021612 Tools, Techniques, Procedures of the RSA Hackers Revealed
http://it.slashdot.org/story/12/02/12/0331208/tools-techniques-procedures-of-the-rsa-hackers-revealed http://www.commandfive.com/papers/C5_APT_C2InTheFifthDomain.pdf [Fr] Orange Business Sécurité » bonnes pratiques » mes documents, nouvelle faille de mon réseau ?
http://blogs.orange-business.com/securite/2012/02/trahis-par-mes-metadonnees.html http://www.informatica64.com/foca.aspx Password encryption versus key file encryption
http://itsecurityguide.co.uk/blog/63-password-encryption-versus-key-file-encryption.html Cybercriminalité : Paris, quatrième ville d'Europe la plus dangereuse
http://www.01net.com/editorial/558354/cybercriminalite-paris-4eme-ville-deurope-la-plus-risquee/ Your Heartbeat Could Be Your Password
http://news.hitb.org/content/your-heartbeat-could-be-your-password Sécurité et fausses impressions
http://pro.01net.com/editorial/557852/securite-et-fausses-impressions/ RSSI et CIL : amis ou ennemis ?
http://www.securityvibes.fr/carriere/rssi-et-cil-amis-ou-ennemis/ What They Know - Mobile
http://blogs.wsj.com/wtk-mobile/ Researchers track mobile phone locations with cheap hardware and open-source software
http://www.gizmag.com/mobile-phone-location-tracking/21500/ [Fr] Orange Business Sécurité » mobilité » slurps sécurité - kick #12 - la sécurité mobile
http://blogs.orange-business.com/securite/2012/02/slurps-securite-kick-la-securite-mobile-byod.html A noter un très bon site de comparaison des solutions de MDM :
http://www.enterpriseios.com/wiki/Comparison_MDM_Providers Et un bon PDF de l'ENISA
http://www.enisa.europa.eu/act/it/risks-and-data-breaches/smartphones-information-security-risks-opportunities-and-recommendations-for-users DOSSIERS
--------
UFC Que Choisir promeut l'unité des sécurités des cartes bancaires
http://www.reseaux-telecoms.net/actualites/lire-ufc-que-choisir-promeut-l-unite-des-securites-des-cartes-bancaires-23723.html Fraude à la carte bancaire en ligne : l'UFC met en cause les banques
http://www.01net.com/editorial/558436/fraude-a-la-carte-bancaire-en-ligne-lufc-met-en-cause-les-banques/ L’appel de l’UFC-Que Choisir pour une protection des paiements en ligne
L’association réclame :
- L’envoi par les banques d’une alerte par SMS, courriel ou via l’espace personnel des clients à chaque achat sur Internet ;
- La mise en place d’une solution 3D Secure harmonisée au niveau européen ;
- L’obligation pour tous les marchands de signaler toute attaque des serveurs ;
- La centralisation des fraudes et la transmission aux services judiciaires par les banques. A ce sujet, l’association rappelle qu’en aucun cas les clients ne sont obligés de porter plainte pour être remboursés quand des achats ont été faits sans saisie du code secret.
INSOLITE
--------
Android Security Threat From 'Reverse Smudge Engineering'
http://news.hitb.org/content/android-security-threat-reverse-smudge-engineering http://news.cnet.com/8301-30685_3-57377224-264/reverse-smudge-engineering-foils-android-unlock-security/ Le relou du viril Comix
http://www.obion.fr/blog/2012/02/le-relou-viril-du-comix/ Rapport Znaty : la "bourde majeure" de la Hadopi, la colère des ayants droit
http://www.pcinpact.com/news/68944-hadopi-rapport-david-znati-bug.htm Le jour où le Net a failli mourir au Texas
http://www.01net.com/editorial/557936/le-jour-ou-le-net-a-failli-mourir-au-texas/ UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK
--------
Twitter Makes HTTPS Default Login Option
http://threatpost.com/en_us/blogs/twitter-makes-https-default-login-option-021512 A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
Hackito Ergo Sum 2012 Final CFP
http://sid.rstack.org/blog/index.php/531-hackito-ergo-sum-2012-final-cfp Formation : Surveiller la réputation numérique de votre organisation
http://www.les-infostrateges.com/actu/12021377/formation-surveiller-la-reputation-numerique-de-votre-organisation PRODUITS
--------
HP lance Proactive Insight : le datacenter qui s'entretient tout seul
http://pro.01net.com/editorial/557984/hp-lance-proactive-insight-le-datacenter-qui-sentretient-tout-seul/ HP Z1 workstation, le All In One à géométrie variable qui en a sous le capot
http://www.blogeee.net/2012/02/hp-z1-workstation-le-all-in-one-a-geometrie-variable-qui-en-a-sous-le-capot/ Cisco se lance dans la mode
http://pro.01net.com/editorial/557974/cisco-se-lance-dans-la-mode/ BON A SAVOIR
------------
Le supercalculateur Curie vient d'entrer en production
http://pro.01net.com/editorial/558450/le-supercalculateur-curie-vient-dentrer-en-production/ Un codec Ultra HD en approche…
http://www.01net.com/editorial/558460/un-codec-ultra-hd-en-approche/ Quels outils de veille pour demain ?
http://www.les-infostrateges.com/actu/12021375/quels-outils-de-veille-pour-demain http://icomtec.univ-poitiers.fr/institut/sites/icomtec.institut/files/elfinder//fichiers/docs/quels-outils-de-veille-pour-demain-icomtec-2012.pdf La portabilité du numéro fixe, c'est possible
http://pro.01net.com/editorial/557976/la-portabilite-du-numero-fixe-cest-possible/ SCIENCES
--------
CONSOMMATION
------------
RACHAT / UNION
--------------
Oracle met la main sur Taleo pour 1,9 milliard de dollars
http://pro.01net.com/editorial/557860/oracle-met-la-main-sur-taleo-pour-1-9-milliard-de-dollars/ Sopra muscle à nouveau son offre bancaire
http://pro.01net.com/editorial/558442/sopra-muscle-a-nouveau-son-offre-bancaire/ L'Américain UPS acquiert Kiala et son réseau de points-relais
http://pro.01net.com/editorial/558454/lamericain-ups-acquiert-kiala-et-son-reseau-de-points-relais/ DROIT
-----
Les enjeux juridiques de la dématérialisation
http://pro.01net.com/editorial/558522/les-enjeux-juridiques-de-la-dematerialisation/ CIL : Gardiens de la vie privée en Europe, en entreprise et dans les collectivités
http://www.les-infostrateges.com/actu/12021379/cil-gardiens-de-la-vie-privee-en-europe-en-entreprise-et-dans-les-collectivites MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
OVH traverse l'Atlantique
http://pro.01net.com/editorial/557958/ovh-traverse-latlantique/ Près d'un quart des grandes entreprises prévoient d’augmenter leurs effectifs au sein de la DSI en 2012
http://pro.01net.com/editorial/558020/pres-dun-quart-des-grandes-entreprises-prevoient-d-augmenter-leurs-effectifs-au-sein-de-la-dsi-en-2012/ Employment for security professionals at all-time high
http://news.hitb.org/content/employment-security-professionals-all-time-high Croissance et concentration sur le marché de la mobilité
http://www.reseaux-telecoms.net/actualites/lire-croissance-et-concentration-sur-le-marche-de-la-mobilite-23719.html De grandes incertitudes planent sur l’emploi cadre
http://pro.01net.com/editorial/558036/de-grandes-incertitudes-planent-sur-l-emploi-cadre/ Du rififi à la DSI de Generali
http://pro.01net.com/editorial/558022/du-rififi-a-la-dsi-de-generali/ CARRIERE
--------
MICROSOFT
---------
GOOGLE
------
Google Password Generator in the Works
http://threatpost.com/en_us/blogs/google-password-generator-works-021712 Google : ne vous souciez plus de vos mots de passe, Chrome s'en chargera
http://www.clubic.com/navigateur-internet/google-chrome/actualite-476512-chrme-proposera-generer-mots-securises.html Android 4.0 : votre tablette ou votre téléphone y aura-t-il droit ?
http://www.01net.com/editorial/558440/android-4-0-votre-tablette-ou-votre-telephone-y-aura-t-il-droit/ Is Google planning to offer IP video to Kansas City?
http://news.hitb.org/content/google-planning-offer-ip-video-kansas-city Une infographie pour mieux comprendre Google Panda
http://www.les-infostrateges.com/actu/12021376/une-infographie-pour-mieux-comprendre-google-panda Le "Wall Street Journal" accuse Google d'avoir espionné des utilisateurs d'Apple
http://www.lemonde.fr/technologies/article/2012/02/17/google-a-espionne-des-utilisateurs-d-apple-a-des-fins-publicitaires_1644714_651865.html#xtor=AL-32280270 APPLE / IPHONE
--------------
Gatekeeper d’Apple : meilleure sécurité ou menace pour nos libertés ?
http://www.01net.com/editorial/558498/gatekeeper-d-apple-meilleure-securite-ou-menace-pour-nos-libertes/ iCade 8-Bitty : contrôleur NES pour iOS
http://www.macplus.net/itrafik/depeche-64391-icade-8-bitty-controleur-nes-pour-ios Unauthorized iPhone And iPad Apps Leak Private Data Less Often Than Approved Ones
http://www.forbes.com/sites/andygreenberg/2012/02/14/unauthorized-iphone-and-ipad-apps-leak-private-data-less-often-than-approved-ones/ PALM / PRE
----------
FREE
----
GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
Mozilla détaille ses plans pour Firefox en 2012
http://www.01net.com/editorial/558336/mozilla-detaille-ses-plans-pour-firefox-en-2012/ ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Did A Decade-Long Hack Trigger Nortel's Demise?
http://threatpost.com/en_us/blogs/decade-long-china-led-hack-may-have-triggered-nortels-demise-021512 Shields told the Wall Street Journal that he recommended steps to Nortel executives that would better secure the network, but that the company opted not to follow through on them. Nortel filed for bankruptcy in 2009, ultimately selling off its various business units and technologies.
Ngroups.net privé de paiement par PayPal
http://www.01net.com/editorial/557946/ngroups-net-prive-de-paiement-par-paypal/ Philips reports security breach
http://news.hitb.org/content/philips-reports-security-breach FAILLES
-------
Adobe ships zero-day vulnerability patch for Flash Player
http://news.hitb.org/content/adobe-ships-zero-day-vulnerability-patch-flash-player Google Wallet : encore deux failles découvertes
http://www.reseaux-telecoms.net/actualites/lire-google-wallet-encore-deux-failles-decouvertes-23714.html OUTILS
------
How to monitor devices with Cacti
http://news.hitb.org/content/how-monitor-devices-cacti http://www.ciscozine.com/2012/02/02/how-to-monitor-devices-with-cacti/ As Iran Cracks Down Online, Tor Tests Undetectable Encrypted Connections
http://www.forbes.com/sites/andygreenberg/2012/02/10/as-iran-cracks-down-online-tor-tests-undetectable-encrypted-connections/ Vidéo : imprimer en Wi-fi sans imprimante AirPrint
http://www.01net.com/editorial/557238/imprimer-sans-airprint/ ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml 
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/image%2F0999431%2F20171231%2Fob_01a7bc_dsys3jsueaawem3.jpg)
/image%2F0999431%2F20170101%2Fob_6af365_c1affncxaaa9biq.jpg)