Overblog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.

Publicité

Veille - Sécurité.... quand ça veut pas....ça veut pas

==============================================================================================================================================

Cette semaine n'est pas une grande semaine pour la sécurité informatique.
Toutefois certains constats ou résultats d'études sont vraiment bon à savoir.

Par exemple, le fait que les Français (nous quoi) soient assez ignorants en matière de sécurité fait un petit peu mal. Mais force est de constater que cela est vrai. En même temps, à force de répéter pendant des années via des campagnes de sensibilisation qu'il fallait absolument se protéger des virus. Et bien tout le monde pense qu'un antivirus assure la sécurité.............et suffit. Gros fail....

Mais qui est responsable :
- le sensibilisateur qui à force de prendre l'utilisateur pour une truffe arrive avec un discours simpliste et des smileys verts et rouges sur ce que l'on peut faire ou non. D'un autre côté, il est compliqué de descendre dans le détail avec tous (problème d'intérêt, de niveau de connaissances informatiques, etc...). Le message qui passe au final n'est pas le bon.
- l'utilisateur qui refuse de comprendre car après tout, l'informatique est un outil (au même titre qu'un marteau ou un tournevis ?) et que donc il se moque de savoir quoi faire pour se protéger.
- les médias qui ne font que surmédiatiser des affaires finalement assez banales et appellent hacker aussi bien un voleur de mot de passe (qui était resté affiché au mur par exemple, non ça n'arrive pas ce genre d'erreur) , un sale gamin ayant lancé une attaque en SQLi via un utilitaire trouvé sur le net ou les concepteurs de Flame. On n'est pas tout à fait au même niveau quand même. Tout est joyeusement mélangé, ce qui nuit forcément.
- certains professionnels de l'informatique qui continuent encore à clamer haut et fort qu'ils n'ont pas besoin d'antivirus étant sous Mac ou Linux.

En fait, nous sommes tous coupables.... Je n'ai pas de solution toute faite. Je sais qu'il est rassurant pour les gens d'avoir un cadre bien défini, des règles, des lois. Mais au final, le monde de l'informatique, quoi qu'on en dise n'est pas binaire (surtout en ce qui concerne les antivirus, mais tout logiciel également). Il faut apporter de la nuance le tout autour de grands principes forts à respecter. Pour se protéger, il faut mettre tout en oeuvre au regard du risque encouru. Par exemple, un antivirus sur une machine déconnectée de tout réseau, sans compilateur, sans possibilité de monter un média externe, en système autonome n'a qu'un intérêt limité. Par contre, se contenter d'un antivirus seul pour une machine connectée sur Internet est dangereux. En fait, il faut éviter le défaut de sécurisation........... comme dirait Hadopi.

Le deuxième point très important concerne le fait que 4 attaques sur 5 partent de sites Web légitimes corrompus. Et oui, n'oubliez jamais que ce n'est pas vous qui allez sur Internet, mais Internet qui vient sur votre machine par petits bouts. Pour faire un parallele avec le vrai monde, ce n'est pas vous qui sortez dans la rue quand vous surfez, c'est la porte que vous ouvrez pour que les gens viennent chez vous. Alors, usez et abusez de solutions de sécurité (diverses et variées) tout en conservant un oeil attentif à tout ce que vous faites, ce que vous partagez, ce que vous publiez et aux moyens que vous mettez en oeuvre pour les protéger. Car au delà des aspects techniques qui peuvent se révéler complexes, il reste le bon sens qui peut vous sauvez la mise (vérification des URLs, suppression des caches, cookies, mise à jour des logiciels, antivirus et firewalls installés et configurés, pas de surf en administrateur, conservation des solutions certes pénibles, mais utiles comme l'UAC sous Windows, vérifications régulière de vos comptes en lignes, changement réguliers de mots de passe et utilisation de mots de passe complexes (et pourquoi pas des passphrases), etc...). En fait, l'idéal serait d'adopter une hygiène de l'informatique ;-)

Comme le résume très bien Nicolas Ruff : « il y a deux sortes d'entreprises : celles qui savent qu'elles sont piratées et celles qui ne le savent pas, le tout étant de garder le niveau de piratage sous contrôle ». J'ajouterai que l'avantages des entreprises est qu'elles possèdent des équipes en charge de la sécurité. Mais pour les particuliers, c'est différent....

Bon après ce discours légèrement anxiogène, je vous conseille aussi la compilation des guides de l'intelligence économique réalisée par NetPublic.fr. Cela peut toujours servir. Les guides sont bien sûr téléchargeables et consultables par la suite.

Bonne lecture
Tristan

==============================================================================================================================================


A LIRE SECURITE
---------------

Intelligence économique : 7 guides pratiques et méthodologiques
http://www.netpublic.fr/2012/12/intelligence-economique-guides/
- Guide : une démarche d’intelligence économique dans mon entreprise
- Guide du routard de l’intelligence économique
- Guide de l’intelligence économique pour la Recherche
- Guide bonnes pratiques en matière d’intelligence économique
- Guide des bonnes pratiques en matière d’intelligence économique
- Guide pratique d’utilisation des outils de veille et d’intelligence économique
- Guide auto-test d’intelligence économique

There’s Testing, Then There’s VirusTotal
http://blog.isc2.org/isc2_blog/2012/12/theres-testing-then-theres-virustotal.html

ISO 27001 is the litmus test for information security
http://news.hitb.org/content/iso-27001-litmus-test-information-security
http://blogs.computerworld.com/saas/21379/iso-27001-–-litmus-test-information-security

Quatre attaques sur cinq partent de sites web légitimes corrompus
http://www.reseaux-telecoms.net/actualites/lire-quatre-attaques-sur-cinq-partent-de-sites-web-legitimes-corrompus-25361.html
http://www.sophos.com/fr-fr/security-news-trends/reports/security-threat-report.aspx

Etude : les Français sont assez ignorants en sécurité informatique
http://www.01net.com/editorial/582411/etude-les-francais-sont-assez-ignorants-en-securite-informatique/

Deploying DLP technology requires hands-on approach, experts say
http://news.hitb.org/content/deploying-dlp-technology-requires-hands-approach-experts-say
http://searchsecurity.techtarget.com/news/2240174315/Deploying-DLP-technology-requires-hands-on-approach-experts-say

DOSSIERS
--------

69 % des entreprises règlementent l'utilisation des réseaux sociaux
http://www.01net.com/editorial/582129/69-pour-cent-des-entreprises-reglementent-lutilisation-des-reseaux-sociaux/

Cloud : assez de la tarte à la crème du Patriot Act !
http://pro.01net.com/editorial/581893/cloud-assez-de-la-tarte-a-la-creme-du-patriot-act/

INSOLITE
--------

Les Angry Birds arriveront sur le grand écran et en 3D
http://www.01net.com/editorial/582441/les-angry-birds-arriveront-sur-le-grand-ecran-et-en-3d/

UN PETIT GESTE POUR LA PLANETE
------------------------------


FACEBOOK AND SOCIAL NETWORKS
----------------------------


A BOOKMARKER
------------


SALONS / CONFERENCES / EVENEMENTS
---------------------------------


PRODUITS
--------



BON A SAVOIR
------------

La carte d'identité électronique sans calendrier ni budget
http://www.01net.com/editorial/582101/la-carte-didentite-electronique-sans-calendrier-ni-budget/

La cybersécurité toujours négligée malgré les enjeux avérés
http://www.reseaux-telecoms.net/actualites/lire-la-cybersecurite-toujours-negligee-malgre-les-enjeux-averes-25343.html

Cybersécurité : la collaboration et la transversalité sont indispensables
http://www.reseaux-telecoms.net/actualites/lire-cybersecurite-la-collaboration-et-la-transversalite-sont-indispensables-25334.html
Or, pour Nicolas Ruff, « il y a deux sortes d'entreprises : celles qui savent qu'elles sont piratées et celles qui ne le savent pas, le tout étant de garder le niveau

de piratage sous contrôle ».

Cloud et BYOD préoccupent Thierry Breton (Atos)
http://www.reseaux-telecoms.net/actualites/lire-cloud-et-byod-preoccupent-thierry-breton-atos-25327.html

BYOD et sécurité des mobiles : les usages au coeur des cyber-risques
http://blogs.orange-business.com/securite/2012/12/byod-et-securite-des-mobiles-les-usages-au-coeur-des-cyber-risques.html

Le cloud séduit aussi subrepticement les PME
http://www.reseaux-telecoms.net/actualites/lire-le-cloud-seduit-aussi-subrepticement-les-pme-25353.html

SCIENCES
--------

IBM prouve la possibilité de fabriquer des puces nanophotoniques avec les outils actuels
http://www.reseaux-telecoms.net/actualites/lire-ibm-prouve-la-possibilite-de-fabriquer-des-puces-nanophotoniques-avec-les-outils-actuels-25339.html

CONSOMMATION
------------



RACHAT / UNION
--------------



DROIT
-----

Feu vert pour la création d’un brevet unique européen
http://www.01net.com/editorial/582133/feu-vert-pour-la-creation-d-un-brevet-unique-europeen/

MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------

DSI de l’année : le palmarès 2012
http://pro.01net.com/editorial/582211/dsi-de-l-annee-le-palmares-2012/

La Poste se prépare à devenir acteur numérique de proximité
http://www.reseaux-telecoms.net/actualites/lire-la-poste-se-prepare-a-devenir-acteur-numerique-de-proximite-25323.html

CARRIERE
--------

Les entreprises qui recrutent
http://pro.01net.com/editorial/582021/les-entreprises-qui-recrutent/

MICROSOFT
---------



GOOGLE
------


APPLE / IPHONE
--------------

PALM / PRE
----------

FREE
----

GEEK POWER
----------

8 biggest myths about managing geeks
http://news.hitb.org/content/8-biggest-myths-about-managing-geeks

LIBRE / OPEN SOURCE
-------------------

6 Linux Distros Born in 2012
http://news.hitb.org/content/6-linux-distros-born-2012
http://www.linux.com/news/hardware/desktops/679646-6-linux-distros-born-in-2012

ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------

'Dexter' Malware Caught Swiping Credit Card Numbers From POS Systems
http://news.hitb.org/content/dexter-malware-caught-swiping-credit-card-numbers-pos-systems
http://www.eweek.com/security/dexter-malware-caught-swiping-credit-card-numbers-from-pos-systems/

DDoS Attacks on Major US Banks Resurface
http://threatpost.com/en_us/blogs/ddos-attacks-major-us-banks-resurface-121412

Carberp Banking Trojan Goes Commercial; Adds Bootkit and $40K Price Tag
http://threatpost.com/en_us/blogs/carberp-banking-trojan-goes-commercial-adds-bootkit-and-40k-price-tag-121412

Des applications pour enfants collectent des données dans le dos des parents
http://www.01net.com/editorial/582073/des-applications-pour-enfants-collectent-des-donnees-dans-le-dos-des-parents/

Piratage de téléphone portable, simple comme un clic
http://www.zataz.com/news/22571/telephone_-espionnage_-securite_-voyage_-dcri.html

FAILLES
-------

Microsoft Patches Critical Remote Flaws in Word, IE and Windows
http://threatpost.com/en_us/blogs/microsoft-patches-critical-remote-flaws-word-ie-and-windows-121112

Clavier virtuel bancaire : Faille pour Internet Explorer
http://www.zataz.com/news/22582/clavier-virtuel_-spider.io.html

Une faille de sécurité découverte dans les téléviseurs Samsung
http://www.macbidouille.com/news/2012/12/13/une-faille-de-securite-decouverte-dans-les-televiseurs-samsung

Researchers reveal crippling GPS flaws
http://news.hitb.org/content/researchers-reveal-crippling-gps-flaws
http://users.ece.cmu.edu/~dbrumley/courses/18487-f12/readings/Nov28_GPS.pdf

Critical Vulnerability Fixed in Chrome 23
http://threatpost.com/en_us/blogs/critical-vulnerability-fixed-chrome-23-121112

L'accès à IBM Notes perturbé par la mise à jour Jelly Bean d'Androïd
http://www.reseaux-telecoms.net/actualites/lire-l-acces-a-ibm-notes-perturbe-par-la-mise-a-jour-jelly-bean-d-android-25337.html

Redirection dangereuse pour la FNAC et Samsung
http://www.zataz.com/news/22578/xss_-cross-site-scripting.html

OUTILS
------

STIX standardise l’échange des informations relatives aux attaques cybernétiques
http://www.secuobs.com/news/10122012-stix_threat_information_expression.shtml

Mayhem, une preuve de concept pour des fraudes financières via Microsoft Dynamics GP
http://www.secuobs.com/news/10122012-project_mayhem_erp_financial_frauds.shtml

------------

01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml

Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article