starbuck - 11.12.2014 | 1 réactions | #link | rss
--Piratage de Sony: qualifié "plus important piratage de tous les temps"
Selon la presse technologique, le piratage de Sony Pictures serait le plus importat piratage d'entreprise à ce jour ("it could be one of the largest corporate hacks in history.")[1]. A ceci s'ajoute le fait que Sony serait particulièrement mauvais dans la gestion de la sécurité de ses systèmes ("By now, it's no secret that Sony sucks at cybersecurity.")[2].

Les raisons qui poussent les journalistes à atteindre de telles conclusions m'echappent encore, dans la mesure où les éléments d'investigation qui ont fuité à ce jour mentionnent une intrusion de longue haleine (plusieurs mois), informée (les pirates avaient des connaissances détaillées de la structure interne du réseau et avaient obtenu des identifiants de collaborateurs, probablement par phishing, au préalable), et spécifique (du code produit spécifiquement pour cette attaque)[3].

L'analyse des éléments diffusés révèle de nombreux documents Office glânés sur les stations de travail des collaborateurs, contenant des données confidentielles et stockés sans chiffrement apparent. Cela est-il réellement une pratique exceptionnelle au sein des entreprises?

La tendance est au lynchage médiatique de Sony Pictures et ses pratiques en matière de cybersécurité. Tech News Today rapportait ce mardi lors d'un interview avec Kevin Roose (expert/reporter infosécurité) les difficultés auxquelles le responsable de la sécurité était confronté en interne, en particulier lorsqu'il s'agissait de convaincre la Direction d'investir dans la sécurité IT[4].

"Une organisation vulnérable aux intrusions informatiques n'est pas une exception, celles qui ne sont pas vulnérables sont l'exception. Aujourd'hui, il y a les organisations ciblées par des attaques et celles qui ne le sont pas encore."


1:http://fusion.net/story/30850/more-from-the-sony-pictures-hack-budgets-layoffs-hr-scripts-and-3800-social-security-numbers/
2:http://gizmodo.com/why-sony-keeps-getting-hacked-1667259233
3:http://www.wired.com/2014/12/sony-hack-what-we-know/
4:http://twit.tv/show/tech-news-today


--Blockchain: une mise à jour a rendu le générateur de clés vulnérable
Le 8 décembre dernier, Blockchain a mis en ligne une mise à jour du code de sa plateforme d'échange de devises Bitcoin. Cette mise à jour contenait une erreur de code, qui a rendu le générateur de paires de clés vulnérable aux prédictions. Quelques minutes après la mise en ligne, la vulnérabilité a été identifiée et immédiatement exploitée. Les commentaires sur le blog du fournisseur témoignent de plus de 100'000$ volés durant les 150 minutes durant lesquelles la vulnérabilité était en ligne[1].

Comme on peut s'y attendre dans ce genre de faille (attaque sur le générateur de clés cryptographiques), les utilisateurs ayant configuré une authentification forte pour accéder à leur compte n'ont pas échappé au vol[2].

1:http://blog.blockchain.com/2014/12/08/blockchain-info-security-disclosure/#comments
2:http://www.reddit.com/r/Bitcoin/comments/1ubv3o/my_blockchaininfo_wallet_hacked_strong_unique/
starbuck - 26.09.2014 | 2 réactions | #link | rss

anonymat garanti, aucune collecte de données, protection ad eternam des réponses

Je suis tombé sur cette pépite après qu'un ami m'ait transmis un lien pointant vers un site web proposant un sondage destiné à aider l'internaute à identifier quel est son parti politique sur la base de ses réponses.

Loin de moi l'idée de vouloir attribuer une quelconque mauvaise attention aux propriétaires du site, cet extrait est assez révélateur de l'écart souvent observé entre le discours du propriétaire d'un service en ligne et ce qu'il se passe dans la réalité.

Avant de commencer, définissons la notion d'anonymat sur Internet. Pour la suite de cet article, je la considèrerai comme suit:
Anonymat: contexte dans lequel les traces
créées par une interaction entre un internaute et
un service en ligne ne peuvent permettre d'établir
une association fiable entre son identité de citoyen
et le contenu de ladite interaction.

Dans la pratique, que se passe-t-il?
lire la suite »
starbuck - 18.06.2012 | 7 réactions | #link | rss
Le numéro #011 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.
lire la suite »
starbuck - 18.05.2012 | 15 réactions | #link | rss
Le numéro #010 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.
lire la suite »
starbuck - 11.05.2012 | 10 réactions | #link | rss
Le numéro #009 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.
lire la suite »
starbuck - 11.05.2012 | 6 réactions | #link | rss
Le numéro #008 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.

Au sommaire
1. En bref:
- Texas: plainte déposée contre les propriétaires d'applications mobiles trop gourmandes
- Authentification par téléphone portable: l'opérateur est-il le nouveau maillon faible?
- Marché noir d'exploits informatiques: jusqu'à 100'000 dollars par exploit
- Récompenses pour failles de sécurité: Google augmente sa prime à 20'000 dollars
- Chevaux de Troie persistants...ou pas?
- Canada: 120'000 zombies pour un déni de service de la plateforme de vote électronique
- Quelques statistiques sur les attaques de déni de service

2. Apple conserverait une copie des clés de chiffrement de vos données sur iCloud

3. Flashback: un réseau de 600'000 zombies Mac OS infectés "grâce" à Java


Ce bulletin a été envoyé par courrier électronique aux abonnés le 25 avril 2012. Si vous souhaitez le recevoir dès sa publication, envoyez un email à "cddb-mailing@nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.


(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 16.04.2012 | 21 réactions | #link | rss
J'ai eu la bonne idée ce weekend de réinstaller totalement mon téléphone portable. De temps en temps, je trouve bien de "repartir à zéro", surtout lorsqu'il s'agit d'un petit bout de technologie que l'on peut perdre ou oublier dans un lieu public et qu'il contient une immense quantité de données et d'accès à des services authentifiés.

L'on devinera bien entendu qu'il a fallu que je réinstalle toutes les applications qui me réchauffent quotidiennement le coeur lorsque je prends les transports publics ou que j'attends patiemment le long d'une file indienne. Cet article s'intéresse ainsi à l'émotion ressentie par l'une d'entre elles, Viber. Pour ceux qui ne la connaissent pas, c'est une alternative intéressante à Skype: envoi d'appels et messages par le canal data, cela fonctionne très bien et la qualité de voix est inégalée lorsque la connexion est établie via un réseau wifi. Je n'ai aucune dent particulière contre cette application (je la trouve d'ailleurs très utile et bien faite) mais, c'est la troisième à m'avoir un peu agacé par les interactions proposées.

Cela m'a convaincu de perdre 43 minutes de ma vie pour rédiger un billet sur ce sujet...
lire la suite »
starbuck - 23.03.2012 | 17 réactions | #link | rss
Le numéro #007 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.

Au sommaire
1. Alerte ms12-020: exécution de code arbitraire sur les systèmes Windows

2. En bref:
- La distribution Linux "Anonymous-OS" rendue disponible au téléchargement
- Le collectif Anonymous dément tout lien avec la distribution Anonymous-OS
- L'administration française a testé sa résistance contre des cyberattaques
- L'administration fédérale (suisse) va tester sa résistance contre des cyberattaques
- Une carte bancaire sur dix-huit serait protégée par un code PIN faible
- Citigroup: les détails de 360'000 cartes bancaires auraient été volés en mai 2011
- Logiciels espions sur téléphones mobiles: le mot d'ordre est la sophistication

3. Sa grossesse est un secret bien gardé, mais pas pour ses annonceurs...


Ce bulletin a été envoyé aux abonnés 17 mars 2012 et publié sur ce blog le 23 mars 2012. Si vous souhaitez le recevoir par courrier électronique dès sa publication, envoyez un email à "cddb-mailing@nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.


(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 28.02.2012 | 5 réactions | #link | rss
Le numéro #006 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.

Au sommaire
1. En vrac:
- Iran - On rassure: les systèmes sont protégés contre les attaques informatiques
- Malaisie - Déni de service sur le site web de la bourse Malaisienne
- Genève: vandalisme organisé sur les distributeurs de tickets des transports publics
- Faillite de Nortel: probablement due à dix années de vols de données
- Google est désormais le plus important fournisseur de services DNS au monde
- Facebook: photos d'adolescentes détournées et publiées sur des sites pour adultes
- La NSA met en oeuvre une approche bon marché pour se prémunir contre les malware

2. Twitter, et ces autres applications mobiles qui s'emparent de nos listes de contacts

3. Interception dynamique des flux SSL dans les organisations: le cas Trustwave


Si vous souhaitez recevoir ce bulletin par courrier électronique dès sa publication, envoyez un email à "cddb-mailing(AT)nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.


(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 24.02.2012 | 10 réactions | #link | rss
Le numéro #005 du bulletin "Cybersécurité et menaces Internet" est désormais disponible au téléchargement ici.

Au sommaire:
1. En vrac:
- Téléchargement peer-to-peer: fermetures en série envisagées
- Ils piratent les ordinateurs de leurs profs pour obtenir l'accès aux examens et notes
- Piratage de Verisign: un scénario à la RSA?
- Android: Google active la vérification automatique des applications soumises au Market
- Le site du journal L'Express victime d'un déni de service
- Surveillance des messages Twitter aux E.U.: touristes britanniques arrêtés et renvoyés
- Perte de données personnelles: l'UE veut sanctionner
- Piratage de Zappos: 24 millions de mots de passes volés
- Dénis de service sur les systèmes d'aiguillage des trains: possible?
- Norton Antivirus et PC Anywhere: codes sources volés et diffusés sur Internet
- Vague de dénis de service et d'extorsions sur les données des PME australiennes
- ThinkData.ch: un portail en ligne sur la protection des données personnelles en Suisse
- Piratage de Foxconn: mots de passes stockés en clair

2. Exploitation d'erreurs d'arrondi dans les plateformes bancaires en ligne
3. E.U.: le mot de passe d'une donnée chiffrée n'est plus protégé par le 5ème amendement
4. Megaupload: quelle problématique soulevée pour l'entreprise?
5. Edito: rétrospective 2011 et menaces 2012


Si vous souhaitez recevoir ce bulletin par courrier électronique dès sa publication, envoyez un email à "cddb-mailing(AT)nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.


(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 13.02.2012 | 4 réactions | #link | rss
Les statistiques de ce blog mentionnent la présence de plusieurs lecteurs résidant au Canada. J'en profite donc pour faire un peu de pub pour une formation que nous proposons avec deux collègues tout prochainement à Ottawa et à Montréal sur l'intégration de la sécurité dans le développement d'applications web.

Lieux: Montréal, Ottawa
Dates: 27 et 28 février 2012
Instructeurs:
- Philippe Gamache (Canada)
- Sébastien Gioria (France)
- Moi-même (Suisse) (youhouu!)

La formation se déroule en une journée de composée de trois modules:
- sécurité lors de l'analyse et conception d'une application
- techniques de codage sécurisé et sécurisation de l'environnement du développeur
- évaluation de la sécurité de l'application

Le contenu s'adresse avant tout à des développeurs et des architectes au bénéfice d'une expérience terrain dans la réalisation de projets web. Seuls des outils et des méthodes libres d'accès seront utilisés lors du cours, en particulier le matériel proposé par la fondation OWASP.

Vous trouverez de plus amples informations et un programme détaillé sur les pages respectives des sections OWASP de Montréal et Ottawa.

Nous proposerons également cette formation prochainement en Europe alors n'hésitez pas à me contacter si vous désirez plus d'informations!
starbuck - 16.12.2011 | 6 réactions | #link | rss
Le bulletin #004 "Cybersécurité et menaces Internet" est disponible au téléchargement.

Au sommaire:
1. Second drone perdu: l'hypothèse d'une cyberattaque mise en doute
2. Imprimantes d'entreprise vulnérables: action en recours collectif contre HP
3. Cloud Computing: les centres de données européens seraient soumis au Patriot Act
4. Analyse - Phonedog contre N. Kravitz: "Ce compte Twitter m'appartient!"
5. En Bref:
- Autorités de certification: une de plus.
- Autorités de certification: la PKI de GlobalSign sort indemne de l'attaque de septembre
- Chevaux de Troie pour mobiles: l'arnaque "SMS Premium"
- Revente d'informations personnelles: 200$ par profil
- Adobe Flash: un exploit 0-day disponible à la vente
- Adobe PDF Reader: exploit 0-day utilisé contre une société de Défense
- Patch Tuesday: Microsoft corrige 17 failles de sécurité, et en laisse une de côté
- L'Indonésie souhaiterait interdire les services dédiés aux téléphones BlackBerry


Si vous souhaitez vous abonner à ce bulletin et le recevoir une semaine avant sa diffusion publique, envoyez un email à "cddb-mailing(AT)nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.

(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 07.12.2011 | 4 réactions | #link | rss
Le bulletin #003 est disponible au téléchargement.

Au sommaire:
1. Incident SCADA: une pompe à eau détruite suite à une cyberattaque
2. Incident SCADA (suite): un pirate confirme la faible protection des infrastructures
3. Incident SCADA (suite et fin): finalement, il n'y a pas eu de cyberattaque!
4. Surveillance des téléco: iTunes aurait facilité l'installation de mouchards durant 3 ans
5. Analyse: Carrier IQ, un logiciel "espion" dans 142 millions de téléphones portables
6. En Bref:
- Facebook : un cheval de Troie bancaire en propagation à travers les murs des "amis"
- Téléphones Android : le dispositif de permissions peut être contourné
- Réponse urgente en cas d'incident : mise à jour de la carte européenne des CERTs
- Facebook: une faille permettant de consulter les photos privées dévoilée au public
- Suisse: le téléchargement d'oeuvres protégées n'a pas besoin d'encadrement supplémentaire
- Plus de 4'000 sites web infectés au moyen d'une injection SQL


Si vous souhaitez personnellement recevoir ce bulletin une semaine avant sa diffusion publique, envoyez un email à "cddb-mailing(AT)nxtg.net" avec sujet "inscription texte" (bulletin en texte brut) ou "inscription pdf" (bulletin en pdf). L'inscription est gratuite, confidentielle et sans engagement.

(n'hésitez pas à utiliser le système de commentaires ci-dessous pour indiquer la présence d'erreurs aux autres lecteurs ou compléter l'information)
starbuck - 21.11.2011 | 7 réactions | #link | rss
J'ai appris ce matin en lisant un journal, non sans une certaine joie, que le service de diffusion de musique en ligne Spotify a finalement été rendu disponible aux internautes suisses. Ni une ni trois, j'ai ouvert un onglet "www.spotify.ch" et j'ai cherché le lien d'inscription. Quelle joie de pouvoir enfin utiliser ce service en toute légalité! (comprenne qui pourra)

Enfin, quoique...
lire la suite »
Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles


articles
réactions
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch