==============================================================================================================================================
Cette semaine, il y a du lourd, du très lourd. Je n'ai pas eu le temps de tout lire car il y a beaucoup de pointeurs vers des fichiers PDF longs à lire.
On commence tout d'abord avec un PoC sous Androïd assez intéressant sur un cheval de troie capable d'intercepter les frappes écrans en se servant du gyroscope.
Moi je dis, c'est joli quand même. Certes peu rassurant mais bien pensé. La suite concerne les progrès dans l'authentification biométrique par reconnaissance d'Iris. Enfin des bonnes nouvelles qui font croire un instant que la sécurité peut tout de même s'améliorer. De même dans les bonnes nouvelles, Voyages-SNCF qui met en oeuvre des paiemets via 3D Secure. Il y a aussi l'AFNOR qui crée un groupe de travail autour de la fuite de données.
Bon dans le même temps, on constate des failles assez aberrantes sur des solutions de Cloud Computing. Et puis comme toujours, les disques durs de PC d'occasion sont toujours des mines d'or. Pour finir, même les professionnels de la sécurité peuvent rendre des serveurs indisponibles suite à une mise à jour.... de sécurité (merci McAfee).
De son côté VMware s'est fait volé le code source de certains de ses produits.
La tendance forte est également l’avènement des solutions de stockage en ligne. Google vient d'arriver avec Google Drive, Microsoft est là avec Skydrive. Et puis il y a Dropbox depuis longtemps. Donc, rien n'est gagné d'autant plus que la propriété des données reste un peu floue (cf l'article sur Google Drive qui s'intéresse aussi aux concurrents).....Et surtout, il va y avoir des choses à faire. Un peu de sensibilisation peut-être... Ça tombe bien, il y a aussi un article avec des retours d'expérience sur ce qui fonctionne ..ou pas selon les cas bien évidemment aucune technique n'étant universelle.
Je vous conseille très fortement la lecture de l'incident de sécurité de messagerie. Un bon exemple de ce qui nous entoure en entreprise. L'autre article à lire, c'est celui sur l'affaire EDF/Greenpeace (qui date un peu). On y voit la fidélité de certains employés au mépris de la loi. C'est vraiment très instructif sur ce qu'un être humain peut faire. J'en étais déjà convaincu en ce qui concerne les "disgruntled employees" comme on dit souvent dans les articles en provenance d'Angleterre et des Etats-Unis.
Sinon de manière assez importante, le monde de la téléphonie mobile est en mutation :
- Samsung qui passe devant Nokia,
- RIM qui veut mettre son OS en Open Source,
- Microsoft qui possede des patentes pour un téléphone double face.
- Mozilla qui va sortir son B2G cette année
- Xavier Niel qui veut racheter un opérateur Belge
- Le réseau Serval qui pourrait nous permettre de nous passer des opérateurs via un réseau adhoc global (concept intéressant)
La section OUTILS est très riche aussi. L'article sur les méthodes pour attaquer votre propre réseau Wi-Fi est une mine vers des outils dont certains m'étaient inconnus (bon d'accord, je ne connais pas tout), tout comme Yersinia, plus orienté exploitation réseau mais qui semble assez complet. Microsoft Security Essentials est sorti en version 4.0, un navigateur sécurisé (via Tor) a également pointé le bout de son nez sur Iphone.
Bonne lecture,
Tristan
==============================================================================================================================================
A LIRE SECURITE
---------------
POC Android Trojan uses motion sensor to sniff keystrokes
http://news.hitb.org/content/poc-android-trojan-uses-motion-sensor-sniff-keystrokes http://www.computerworld.com/s/article/9226421/Proof_of_concept_Android_Trojan_uses_motion_sensor_to_determine_tapped_keys http://www.cse.psu.edu/~szhu/papers/taplogger.pdf Android : TapLogger, un POC qui devine ce que vous écrivez
http://www.pcinpact.com/news/70405-android-taplogger-tactile-capteurs-troyen.htm Iris recognition getting easier
http://news.hitb.org/content/iris-recognition-getting-easier http://www.info4security.com/story.asp?sectioncode=9&storycode=4128967&c=1 http://biometrics.nist.gov/cs_links/iris/irexIII/IREXIII_full.zip Voyages-SNCF promeut la sécurisation des paiements par 3D Secure
http://securite.reseaux-telecoms.net/actualites/lire-voyages-sncf-promeut-la-securisation-des-paiements-par-3d-secure-23794.html Comment sensibiliser les salariés à la sécurité informatique
http://pro.01net.com/editorial/564825/comment-sensibiliser-les-salaries-a-la-securite-informatique/ L'Afnor crée un groupe de travail autour de la fuite de données
http://pro.01net.com/editorial/564817/lafnor-cree-un-groupe-de-travail-autour-de-la-fuite-de-donnees/ Secret Alan Turing papers released by GCHQ
http://news.hitb.org/content/secret-alan-turing-papers-released-gchq http://www.pcadvisor.co.uk/news/security/3352846/secret-alan-turing-papers-released-by-gchq/ Investigation reveals serious cloud computing flaws
http://news.hitb.org/content/investigation-reveals-serious-cloud-computing-flaws http://searchsecurity.techtarget.co.uk/news/2240148943/Investigation-reveals-serious-cloud-computing-data-security-flaws Management in the Cloud - It's About Consistency and Automation
http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Patch-Management-in-the-Cloud-It-s-About-Consistency-and/ba-p/5484167 Les dérives illicites de l’intelligence économique [Je ne sais plus si je l'avais déjà mentionné, mais c'est un article passionnant]
http://www.secuobs.com/news/13022012-derives-intelligence-economique.shtml le blog sécurité » actu » slurps sécurité - kick #19 - histoire des codes secrets
http://blogs.orange-business.com/securite/2012/04/slurps-securite---kick-19---histoire-des-codes-secrets.html Buddies have 'awesome' job trying to crack Boeing security
http://seattletimes.nwsource.com/html/businesstechnology/2018035153_bthiredhackers23.html Les RSSI défiés par Google Drive et Microsoft Skydrive
http://securite.reseaux-telecoms.net/actualites/lire-les-rssi-defies-par-google-drive-et-microsoft-skydrive-23816.html ANALYSE D'UN INCIDENT DE SECURITE
---------------------------------
Who's got your mail?
http://news.hitb.org/content/whos-got-your-mail http://www.computerworld.com/s/article/9226412/Who_s_Got_Your_Mail_?taxonomyId=17 DOSSIERS
--------
Unicast flooding due to asymmetric routing
http://news.hitb.org/content/unicast-flooding-due-asymmetric-routing http://www.ciscozine.com/2012/04/15/unicast-flooding-due-to-asymmetric-routing/ INSOLITE
--------
Le FBI susceptible de couper 300 000 accès à Internet dans le monde
http://www.01net.com/editorial/565029/le-fbi-susceptible-de-couper-300-000-acces-a-internet-dans-le-monde/ http://www.dns-ok.fr/ McAfee update glitch kills email servers
http://news.hitb.org/content/mcafee-update-glitch-kills-email-servers UN PETIT GESTE POUR LA PLANETE
------------------------------
Le salon virtuel du recrutement dédié aux personnes handicapées rouvre «ses portes»
http://pro.01net.com/editorial/564841/le-salon-virtuel-du-recrutement-dedie-aux-personnes-handicapees-rouvre-ses-portes/ FACEBOOK
--------
How to download your data from Google and Facebook
http://news.hitb.org/content/how-download-your-data-google-and-facebook http://www.guardian.co.uk/news/datablog/2012/apr/22/download-your-data-google-facebook A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS
---------------------------------
PRODUITS
--------
Dropbox offre le partage par un simple lien
http://www.01net.com/editorial/564877/dropbox-offre-le-partage-via-un-simple-lien/ USB drive uses voice recognition for increased security
http://news.hitb.org/content/usb-drive-uses-voice-recognition-increased-security BON A SAVOIR
------------
le blog sécurité » cloud computing » 7 trucs pour obtenir la certification sécurité cloud computing CCSK
http://blogs.orange-business.com/securite/2012/04/7-trucs-pour-obtenir-la-certification-securite-cloud-computing-ccsk.html L'ECTEI ouvre une nouvelle formation sécurité et mobilité
http://securite.reseaux-telecoms.net/actualites/lire-l-ectei-ouvre-une-nouvelle-formation-securite-et-mobilite-23823.html le blog sécurité » bonnes pratiques » slurps sécurité - kick #20 - installation : vite fait, b... vite fait !
http://blogs.orange-business.com/securite/2012/04/slurps-securite-kick-20-installation-vite-fait-vite-fait.html Les disques durs d’occasion sont (toujours) des mines d'or d’informations
http://pro.01net.com/editorial/565001/les-disques-durs-d-occasion-sont-toujours-des-mines-dor-d-informations/ 7 programming myths -- busted!
http://news.hitb.org/content/7-programming-myths-busted http://www.infoworld.com/d/application-development/7-programming-myths-busted-190890 Franfinance dématérialise les dossiers de souscription de crédit
http://securite.reseaux-telecoms.net/actualites/lire-franfinance-dematerialise-les-dossiers-de-souscription-de-credit-23800.html SCIENCES
--------
Première naissance en France suite à une vitrification des ovocytes
http://news.doctissimo.fr/Grossesse-bebe/Premiere-naissance-en-France-suite-a-une-vitrification-des-ovocytes-27330 CONSOMMATION
------------
RACHAT / UNION
--------------
Cisco investit dans la start-up Insieme pour 100 millions de dollars
http://www.reseaux-telecoms.net/actualites/lire-cisco-investit-dans-la-start-up-insieme-pour-100-millions-de-dollars-23789.html Xavier Niel intéressé par l’opérateur belge Base
http://www.01net.com/editorial/564851/xavier-niel-interesse-par-l-operateur-belge-base/ DROIT
-----
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Huawei un peu à la peine
http://pro.01net.com/editorial/564869/huawei-un-peu-a-la-peine/ Vingt et une sociétés françaises dans le Top 100 Red Herring
http://www.01net.com/editorial/564867/vingt-et-une-societes-francaises-dans-le-top-100-red-herring/ Cisco tente de contrôler l'arrivée des réseaux SDN
http://www.reseaux-telecoms.net/actualites/lire-cisco-tente-de-controler-l-arrivee-des-reseaux-sdn-23804.html Nokia n'est plus numéro un mondial des téléphones mobiles
http://www.01net.com/editorial/565067/nokia-nest-plus-numero-un-mondial-des-telephones-mobiles/ Samsung devient le premier vendeur mondial de téléphones
http://pro.01net.com/editorial/565131/samsung-devient-le-premier-vendeur-mondial-de-telephones/ Alcatel-Lucent commence mal l'année 2012
http://pro.01net.com/editorial/565095/alcatel-lucent-commence-mal-lannee-2012/ CARRIERE
--------
MICROSOFT
---------
Microsoft files patent for two-sided smartphone display
http://news.hitb.org/content/microsoft-files-patent-two-sided-smartphone-display http://www.neowin.net/news/microsoft-files-patent-for-two-sided-smartphone-display Microsoft Security Essentials 4.0 ready for download
http://news.hitb.org/content/microsoft-security-essentials-40-ready-download GOOGLE
------
IT departments should worry about Google Drive
http://news.hitb.org/content/it-departments-should-worry-about-google-drive http://www.infoworld.com/d/cloud-computing/it-departments-should-worry-about-google-drive-191318 A quel point Google Drive est-il propriétaire de vos données ?
http://www.zdnet.fr/actualites/a-quel-point-google-drive-est-il-proprietaire-de-vos-donnees-39771132.htm How to download your data from Google and Facebook
http://news.hitb.org/content/how-download-your-data-google-and-facebook http://www.guardian.co.uk/news/datablog/2012/apr/22/download-your-data-google-facebook Prime de 20 000 $ pour trouver une faille de sécurité chez Google
http://securite.reseaux-telecoms.net/actualites/lire-prime-de-20-000-$-pour-trouver-une-faille-de-securite-chez-google-23810.html APPLE / IPHONE
--------------
PALM / PRE
----------
FREE
----
Xavier Niel intéressé par l’opérateur belge Base
http://www.01net.com/editorial/564851/xavier-niel-interesse-par-l-operateur-belge-base/ GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
Ubuntu 12.04 LTS Precise Pangolin released
http://news.hitb.org/content/ubuntu-1204-lts-precise-pangolin-released RIM may make BlackBerry OS open source
http://news.hitb.org/content/rim-may-make-blackberry-os-open-source Mozilla phone will go on sale this year
http://news.hitb.org/content/mozilla-phone-will-go-sale-year Firefox 12 disponible en version stable
http://www.01net.com/editorial/564871/firefox-12-disponible-en-version-stable/ Choisir un FAI associatif
http://www.01net.com/editorial/563948/choisir-un-fai-associatif/ ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
POC Android Trojan uses motion sensor to sniff keystrokes
http://news.hitb.org/content/poc-android-trojan-uses-motion-sensor-sniff-keystrokes http://www.computerworld.com/s/article/9226421/Proof_of_concept_Android_Trojan_uses_motion_sensor_to_determine_tapped_keys http://www.cse.psu.edu/~szhu/papers/taplogger.pdf SAM : une méthode pour « désimlocker » tous les iPhone
http://www.01net.com/editorial/564853/sam-une-methode-pour-desimlocker-tous-les-iphone/ Analysis: Flashback Spread Via Social Engineering, Then Java Exploits
http://threatpost.com/en_us/blogs/analysis-flashback-spread-social-engineering-then-java-exploits-041912 https://www.securelist.com/en/analysis/204792227/The_anatomy_of_Flashfake_Part_1 New Java Malware Exploits Both Windows And Mac Users
http://threatpost.com/en_us/blogs/new-java-malware-found-exploiting-mac-and-windows-users-042412 Instagram en version malware sur Android
http://www.01net.com/editorial/564823/instagram-en-version-malware-sur-android/ Ning security hole discovered - as many as 100 million accounts compromised
http://news.hitb.org/content/ning-security-hole-discovered-many-100-million-accounts-compromised Weak passwords still subvert IT security
http://news.hitb.org/content/weak-passwords-still-subvert-it-security Iranian oil terminal 'offline' after 'malware attack'
http://news.hitb.org/content/iranian-oil-terminal-offline-after-malware-attack Conficker haunts enterprises years on
http://news.hitb.org/content/conficker-haunts-enterprises-years L'Idate épluche l’économie parallèle du téléchargement illégal
http://www.01net.com/editorial/565003/lidate-epluche-l-economie-parallele-du-telechargement-illegal/ Hadopi et Megaupload, le piratage se réorganise mais ne régresse pas
http://www.01net.com/editorial/564937/hadopi-et-megaupload-le-piratage-se-reorganise-mais-ne-regresse-pas/ FAILLES
-------
Researchers Find Bug in SMS App That Can Lead to iPhone Exploits
http://threatpost.com/en_us/blogs/researchers-find-bug-sms-app-can-lead-iphone-exploits-042312 OpenSSL Releases New Fix for CVE-2012-2110 ASN1 Bug
http://threatpost.com/en_us/blogs/openssl-releases-new-fix-cve-2012-2110-asn1-bug-042412 Critical Bug Reported in Oracle Servers
http://threatpost.com/en_us/blogs/critical-bug-reported-oracle-servers-042612 Backdoor in mission-critical hardware threatens power, traffic-control systems
http://arstechnica.com/business/news/2012/04/backdoor-in-mission-critical-hardware-threatens-power-traffic-control-systems.ars DATA LEAKAGE
------------
VMware source code leak equivalent of the Deepwater Horizon oil spill
http://news.hitb.org/content/vmware-source-code-leak-equivalent-deepwater-horizon-oil-spill OUTILS
------
Serval : et si nous pouvions nous passer des opérateurs mobiles ?
http://www.journaldugeek.com/2012/04/23/serval-et-si-nous-pouvions-nous-passer-des-operateurs-mobiles/ How to hack your own Wi-Fi network
http://www.techworld.com.au/article/422360/how_hack_your_own_wi-fi_network/?fp=16&fpid=1 La bêta d'Opéra 12 est disponible
http://www.01net.com/editorial/565093/la-beta-dopera-12-est-disponible/ Onion Browser: Encrypted Web on the iPhone
http://news.hitb.org/content/onion-browser-encrypted-web-iphone http://www.geek.com/articles/mobile/onion-browser-brings-encrypted-mobile-browsing-to-iphone-20120425/ Microsoft Security Essentials 4.0 ready for download
http://news.hitb.org/content/microsoft-security-essentials-40-ready-download Yersinia is a network tool designed to take advantage of some weakeness in different network protocols. It pretends to be a solid framework for analyzing and testing the deployed networks and systems.
http://www.yersinia.net/ Rootdabitch: Linux root password Bruteforcer tool
http://www.pentestit.com/rootdabitch-linux-root-password-bruteforcer-tool/ ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml 
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/image%2F0999431%2F20171231%2Fob_01a7bc_dsys3jsueaawem3.jpg)
/image%2F0999431%2F20170101%2Fob_6af365_c1affncxaaa9biq.jpg)