==============================================================================================================================================
Cette semaine, je continue dans la série des : Security Fails.
Plus je lis d'articles de ce type et plus je suis en phase. Il faut se rendre à l'évidence. On s'est tellement attaché aux "zéro day" (qui existent, pas de doutes là dessus) et aux APT (qui existent également, pas de doutes là dessus) qu'on en oublie toutes les bases. Les exemples sur Diginotar, Comodo et autres sont édifiants. Des serveurs non à jour, sans antivirus ou alors pas à jour non plus, sans surveillance, sans séparation des rôles et des privilèges (un seul compte pour tous les gérer{1}), avec des mots de passe faibles, sans détection de kits d'attaques connus depuis des années. C'est assez consternant de voir que le niveau global de sécurité est si faible {2} sachant qu'aujourd'hui nous sommes de plus en plus dépendants des technologies informatiques. On fait du commerce, des transactions financières, on paie ses impôts {3}. Heureusement, plusieurs personnes prennent conscience de cela et abordent la sécurité de manière plus pragmatique. Oui, nous avons perdu, mais cela ne nous empêche pas de nous battre. Et justement, il faut se battre de manière intelligente. Le déploiement de multiples outils ne sert que si l'on en use {4} (et en abuse mais avec de vraies compétences qui nécessitent du temps et de l'engagement. Dans la série, il y a encore des gens qui pensent que le paiement NFC est sécurisé de part le fait que la distance est faible... Fail again. C'est un des principes de bases, chiffrement des données, authentification mutuelle de la carte et du moyen de paiement.
Bon allez pour rigoler un peu, je vous conseille la lecture du dossier HADOPI qui décortique le téléchargement illégal. Je vais m'y mettre mais je m'attends à un grand moment.
Plus sérieusement, quelques références sur le droit et l'informatique, deux livres qui vulgarisent des notions complexes pour le commun des mortels.
Et pour finir quelques outils utiles.
Bonne lecture
Tristan
{1} C'est sûr, ça fait assez Seigneurs des anneaux : One ring to rule them all. Mais en matière de sécurité, c'est désastreux, pathétique, pitoyable, etc....
{2} A ceux qui souhaiteraient démonter mon blog, je rappelle juste que je fais ça sur mon temps libre et que je n'ai jamais prétendu que ce dernier était sécurisé. Vous ne sortiriez donc pas grandis
{3} Et oui, ça va revenir ça aussi, c'est l'époque.
{4} Contraitrement aux piles Wonder qui ne s'usent que si l'on s'en sert.
==============================================================================================================================================
A LIRE SECURITE
---------------
Lazaro Pejsachowicz élu nouveau Président du Clusif
http://www.reseaux-telecoms.net/actualites/lire-lazaro-pejsachowicz-elu-nouveau-president-du-clusif-23767.html Experts Tell Senate: Government Networks Owned, Resistance Is Futile
http://threatpost.com/en_us/blogs/inadequate-pay-outdated-approaches-and-bureaucracy-all-contribute-foreign-ownership-federal-sy http://www.senate.gov/fplayers/jw57/urlMP4Player.cfm?fn=armed032012p&st=725&dur=4890 I Want to Detect and Respond to Intruders But I Don't Know Where to Start!
http://taosecurity.blogspot.fr/2012/02/i-want-to-detect-and-respond-to.html L'impact de Wikipédia sur la recherche d'informations
http://www.les-infostrateges.com/actu/12041419/l-impact-de-wikipedia-sur-la-recherche-d-informations Hadopi : une analyse qui décortique le téléchargement illégal
http://www.01net.com/editorial/564484/hadopi-une-analyse-qui-decortique-le-telechargement-illegal/ http://www.hadopi.fr/sites/default/files/page/pdf/Rapport_IDATE.pdf [Pas encore lu, mais cela doit être amusant]
DOSSIERS
--------
Security Breach in CA Networks -Comodo, DigiNotar, GlobalSign
http://blog.isc2.org/isc2_blog/2012/04/test.html Secured by SSL Not Enough
http://blog.isc2.org/isc2_blog/2012/02/secured-by-ssl-not-enough.html EU organizations below par on infosec
http://blog.isc2.org/isc2_blog/2012/04/eu-organizations-below-par-on-infosec.html INSOLITE
--------
The Calyx Institute, le FAI chiffré et sécurisé
http://www.zataz.com/news/22078/The-Calyx-Institute_-Top-Secret-America.html UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK
--------
Soldat, de Facebook tu te méfieras
http://pro.01net.com/editorial/564476/soldat-de-facebook-tu-te-mefieras/ http://www.defense.gouv.fr/guide-medias-sociaux/telecharger.pdf sécurité » dossiers » la surveillance des réseaux sociaux [pas lu]
http://blogs.orange-business.com/securite/2012/04/la-surveillance-des-reseaux-sociaux.html A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
PRODUITS
--------
WAB 5 et 15 : la gestion d'accès pour PME selon Wallix
http://www.reseaux-telecoms.net/actualites/lire-wab-5-et-15-la-gestion-d-acces-pour-pme-selon-wallix-23783.html Les fournisseurs de la ville de Boulogne-Billancourt accèdent à son SI en toute sécurité
http://www.reseaux-telecoms.net/actualites/lire-les-fournisseurs-de-la-ville-de-boulogne-billancourt-accedent-a-son-si-en-toute-securite-23773.html Le Groupe Chèque Déjeuner sécurise et virtualise les PC de 14 sites avec centralisation
http://www.reseaux-telecoms.net/actualites/lire-le-groupe-cheque-dejeuner-securise-et-virtualise-les-pc-de-14-sites-avec-centralisation-23766.html BON A SAVOIR
------------
Inside The Bunker: Europe's most secure data centre
http://news.hitb.org/content/inside-bunker-europes-most-secure-data-centre http://www.humansinvent.com/#!/6663/inside-the-bunker-europes-most-secure-data-centre/ « Stuxnet ? C'est moi qui l'ai fait ! »
http://pro.01net.com/editorial/564394/stuxnet-c-est-moi-qui-l-ai-fait/ sécurité » bonnes pratiques » un nouveau générateur de password
http://blogs.orange-business.com/securite/2012/04/securite-mot-de-passe-un-nouveau-generateur-de-password.html SCIENCES
--------
Le futur de la vidéoconférence présenté par NTT
http://www.reseaux-telecoms.net/actualites/lire-le-futur-de-la-videoconference-presente-par-ntt-23781.html Prototype medical device firewall created
http://news.hitb.org/content/prototype-medical-device-firewall-created http://www.upi.com/Science_News/2012/04/12/Firewall-can-stop-medical-device-hacking/UPI-19931334276290/ CONSOMMATION
------------
RACHAT / UNION
--------------
DROIT
-----
Le droit expliqué aux RSSI et DSI
http://www.reseaux-telecoms.net/actualites/lire-le-droit-explique-aux-rssi-et-dsi-23765.html http://www.editions-harmattan.fr/index.asp?navig=catalogue&obj=livre&no=35238 Vademecum juridique pour RSSI et RSI
http://www.reseaux-telecoms.net/actualites/lire-vademecum-juridique-pour-rssi-et-rsi-23762.html http://www.dunod.com/informatique-multimedia/systemes-dinformation-et-reseaux/strategie-et-systemes-dinformation/manageme/aide-memoire-de-dro Nouvelles obligations pour les FAI
http://www.reseaux-telecoms.net/actualites/lire-nouvelles-obligations-pour-les-fai-23785.html http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000025688775&dateTexte=&categorieLien=id European Parliament agrees to send airline passenger data to US
http://news.hitb.org/content/european-parliament-agrees-send-airline-passenger-data-us MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Nokia dégradé par Moody's
http://pro.01net.com/editorial/564494/nokia-degrade-par-moodys/ Situation de plus en plus tendue chez Thales Services
http://pro.01net.com/editorial/564456/situation-de-plus-en-plus-tendue-chez-thales-services/ BT France va superviser Renater
http://www.reseaux-telecoms.net/actualites/lire-bt-france-va-superviser-renater-23778.html Avec 802.11ac, le Wi-Fi de cinquième génération arrive
http://www.reseaux-telecoms.net/actualites/lire-avec-80211ac-le-wi-fi-de-cinquieme-generation-arrive-23782.html CARRIERE
--------
Une veille Twitter efficace sur l'entreprise 2.0
http://pro.01net.com/editorial/564518/une-veille-twitter-efficace-sur-lentreprise-2-0/ MICROSOFT
---------
GOOGLE
------
Google Drive to offer 5GB for free - could be available next week
http://news.hitb.org/content/google-drive-offer-5gb-free-could-be-available-next-week Gmail en panne hier soir pour 35 millions d’utilisateurs
http://www.01net.com/editorial/564504/gmail-en-panne-hier-soir-pour-35-millions-d-utilisateurs/ APPLE / IPHONE
--------------
L'utilitaire AirPort v6.0 d'Apple pas compatible IPv6
http://pro.01net.com/editorial/564390/lutilitaire-airport-v6-0-dapple-pas-compatible-ipv6/ PALM / PRE
----------
FREE
----
Free Mobile n'a pas provoqué de simplification des forfaits de ses concurrents
http://www.reseaux-telecoms.net/actualites/lire-free-mobile-n-a-pas-provoque-de-simplification-des-forfaits-de-ses-concurrents-23784.html GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
Une solution Linux Suse adaptée à la grande distribution
http://pro.01net.com/editorial/564496/une-solution-linux-suse-adaptee-a-la-grande-distribution/ ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Après Flashback, d'autres chevaux de Troie visent MacOS X
http://www.reseaux-telecoms.net/actualites/lire-apres-flashback-d-autres-chevaux-de-troie-visent-macos-x-23777.html New Mac Malware, SabPub, Used In Targeted Attacks
http://threatpost.com/en_us/blogs/new-mac-malware-sabpub-used-targeted-attacks-041612 140K Macs still infected with Flashback despite Apple fix
http://news.hitb.org/content/140k-macs-still-infected-flashback-despite-apple-fix Why malware authors don't need to try
http://news.hitb.org/content/why-malware-authors-dont-need-try http://www.zdnet.com.au/why-malware-authors-dont-need-to-try-339336193.htm Phreakers costing UK companies1.5 billion per year
http://news.hitb.org/content/phreakers-costing-uk-companies15-billion-year FAILLES
-------
Une belle faille dans le système de paiements sans contact
http://www.secuobs.com/news/18042012-hackito-cartes-nfc.shtml OUTILS
------
ZeroBin - Encrypted alternative to Pastebin
http://news.hitb.org/content/zerobin-encrypted-alternative-pastebin Amazon advises Android developers on how to protect code
http://news.hitb.org/content/amazon-advises-android-developers-how-protect-code http://news.techworld.com/security/3351906/amazon-advises-android-developers-on-how-protect-code/ Useful Tool: Brute Force Calculator
http://it.toolbox.com/blogs/securitymonkey/useful-tool-brute-force-calculator-50926?rss=1 http://calc.opensecurityresearch.com/ ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml 
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/image%2F0999431%2F20171231%2Fob_01a7bc_dsys3jsueaawem3.jpg)
/image%2F0999431%2F20170101%2Fob_6af365_c1affncxaaa9biq.jpg)