Un pirate informatique aurait réussi à introduire une extension frauduleuse contenant un backdoor (porte dérobée pour les anglophobes) au sein des modules mis à disposition par la fondation Mozilla, éditeur du navigateur Firefox.

L'attaque a été détectée cinq semaines après la mise en ligne de l'extension sur le portail de téléchargement par un utilisateur. Le comportement de son navigateur lors de l'audit de sécurité d'une application web lui a paru suspect.
lire la suite »

La Federal Trade Commission a publié le 24 juin dernier les conclusions de son investigation menée sur Twitter, le service de diffusion de messages courts suite aux attaques informatiques menées sur le service durant l'année 2009 et qui ont conduit à l'usurpation de l'identité de plusieurs utilisateurs, dont celle du Président des Etats-Unis.

La plainte se conclut par un accord à l'amiable enjoignant Twitter à mettre en oeuvre une série de contrôles et mesures de sécurité dans l'application hébergeant le service.
lire la suite »

Non je n'ai pas oublié mes fidèles lecteurs et non il ne m'est rien arrivé de grave, pas d'inquiétude. Deux mandats exigeant des bons gros rapports combinés à une météo particulièrement procrastinatrice ont simplement eu raison de ma plume blogueuse!

Avant de revenir au traitement de l'actualité, je reviens donc sur cette seconde journée de l'OWASP Appsec Research 2010, qui je le rappelle réunissait des experts et chercheurs venus de tous coins présenter les résultats de leurs recherches dans le domaine de la sécurité logicielle.

L'une des trois thématiques majeures de cette seconde journée s'est focalisée sur un sujet que j'affectionne tout particulièrement: la gouvernance de la sécurité dans le cadre des projets de développement d'applications.
lire la suite »

Mercredi, 8 heures 50 sonnantes et trébuchantes, l'auditorium 1 du centre de conférences Magna à l'Université de Stockholm accueille les premiers participants pour l'édition 2010 de la conférence OWASP Appsec Research Europe, où seront discutés les résultats d'études et travaux de recherche en sécurité des applications web.
lire la suite »

Cette question, ici posée dans le contexte d'une société française employant un peu moins de 2'000 collaborateurs, est certainement sur la bouche de nombreux responsables de la sécurité: comment sécuriser l'iPhone?

Un défi particulièrement intéressant et révélateur des grands défis de la sécurité de l'information de nos jours, à savoir, comment garantir la sécurité du système d'information de l'entreprise lorsque les utilisateurs y forcent l'intégration d'outils allant naturellement à contresens de cette fermeture?

Si l'auteur de la question passe par ici, je ne peux lui recommander qu'une chose si ce n'est déjà fait: déléguer à un tiers la réalisation d'une analyse de risques et la faire lire, comprendre et approuver (oui, la compréhension fait souvent défaut) par la direction. Ensuite seulement, 'tenter' d'amener la sécurité...


Question de curiosité: mes lecteurs utilisent-ils l'iPhone pour se connecter aux services de leur entreprise? (lecture des emails, transfert de fichiers depuis le poste de travail, accès au VPN, etc.)