Comme dans du beurre: sécurité logicielle et protection des données starbuck http://commedansdubeurre.ch Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles FutureBlogs/0.8.6 fr <![CDATA[276 - Quand Chrysler connecte ses véhicules et nous met tous en danger]]> ...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201507251943197 http://commedansdubeurre.ch?p=201507251943197 http://commedansdubeurre.ch?p=201507251943197#comments Sat, 25 Jul 2015 17:43:19 GMT cddb chrysler securite voitures route vulnerabilite <![CDATA[275 - Questions d'examen: Protection des données personnelles et données dérivées (semestre d'hiver 2014)]]> ...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201503171320462 http://commedansdubeurre.ch?p=201503171320462 http://commedansdubeurre.ch?p=201503171320462#comments Tue, 17 Mar 2015 11:20:46 GMT cddb securite lpd donnees personnelles <![CDATA[274 - Ma banque est vulnérable. Dois-je paniquer? (Acte 3)]]> EthHACK a publié hier les données de son étude sur la sécurité des connexions web (pour les geeks: configuration TLS) aux services e-banking de plus de 186 banques établies en Suisse.

Comme l'on pouvait s'y attendre, il y a des bons élèves, et des moins bons... (...)]]>
starbuck@nospam.org http://commedansdubeurre.ch?p=201502052010485 http://commedansdubeurre.ch?p=201502052010485 http://commedansdubeurre.ch?p=201502052010485#comments Fri, 06 Feb 2015 11:54:32 GMT securite banques bancaire ssl tls ethack suisse
<![CDATA[273 - Ma banque est vulnérable: dois-je paniquer? (Acte 2)]]>
Décryptage. (...)]]>
starbuck@nospam.org http://commedansdubeurre.ch?p=201501091546351 http://commedansdubeurre.ch?p=201501091546351 http://commedansdubeurre.ch?p=201501091546351#comments Fri, 09 Jan 2015 13:55:21 GMT cddb banque finance securite ebanking sql injection
<![CDATA[272 - Mon ebanking a une faille de sécurité: dois-je paniquer?]]> la presse gratuite. Au vu des réactions proposées à l'Internaute, l'opportunité d'un décryptage s'impose. (...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201412191402490 http://commedansdubeurre.ch?p=201412191402490 http://commedansdubeurre.ch?p=201412191402490#comments Fri, 19 Dec 2014 12:22:44 GMT cddb banque finance securite ebanking hsts poodle <![CDATA[271 - Menaces Internet, en vrac 11/12/2014]]> --Piratage de Sony: qualifié "plus important piratage de tous les temps"
Selon la presse technologique, le piratage de Sony Pictures serait le plus importat piratage d'entreprise à ce jour ("it could be one of the largest corporate hacks in history.")[1]. A ceci s'ajoute le fait que Sony serait particulièrement mauvais dans la gestion de la sécurité de ses systèmes ("By now, it's no secret that Sony sucks at cybersecurity.")[2].

Les raisons qui poussent les journalistes à atteindre de telles conclusions m'echappent encore, dans la mesure où les éléments d'investigation qui ont fuité à ce jour mentionnent une intrusion de longue haleine (plusieurs mois), informée (les pirates avaient des connaissances détaillées de la structure interne du réseau et avaient obtenu des identifiants de collaborateurs, probablement par phishing, au préalable), et spécifique (du code produit spécifiquement pour cette attaque)[3].

L'analyse des éléments diffusés révèle de nombreux documents Office glânés sur les stations de travail des collaborateurs, contenant des données confidentielles et stockés sans chiffrement apparent. Cela est-il réellement une pratique exceptionnelle au sein des entreprises?

La tendance est au lynchage médiatique de Sony Pictures et ses pratiques en matière de cybersécurité. Tech News Today rapportait ce mardi lors d'un interview avec Kevin Roose (expert/reporter infosécurité) les difficultés auxquelles le responsable de la sécurité était confronté en interne, en particulier lorsqu'il s'agissait de convaincre la Direction d'investir dans la sécurité IT[4].

"Une organisation vulnérable aux intrusions informatiques n'est pas une exception, celles qui ne sont pas vulnérables sont l'exception. Aujourd'hui, il y a les organisations ciblées par des attaques et celles qui ne le sont pas encore."


1:http://fusion.net/story/30850/more-from-the-sony-pictures-hack-budgets-layoffs-hr-scripts-and-3800-social-security-numbers/
2:http://gizmodo.com/why-sony-keeps-getting-hacked-1667259233
3:http://www.wired.com/2014/12/sony-hack-what-we-know/
4:http://twit.tv/show/tech-news-today


--Blockchain: une mise à jour a rendu le générateur de clés vulnérable
Le 8 décembre dernier, Blockchain a mis en ligne une mise à jour du code de sa plateforme d'échange de devises Bitcoin. Cette mise à jour contenait une erreur de code, qui a rendu le générateur de paires de clés vulnérable aux prédictions. Quelques minutes après la mise en ligne, la vulnérabilité a été identifiée et immédiatement exploitée. Les commentaires sur le blog du fournisseur témoignent de plus de 100'000$ volés durant les 150 minutes durant lesquelles la vulnérabilité était en ligne[1].

Comme on peut s'y attendre dans ce genre de faille (attaque sur le générateur de clés cryptographiques), les utilisateurs ayant configuré une authentification forte pour accéder à leur compte n'ont pas échappé au vol[2].

1:http://blog.blockchain.com/2014/12/08/blockchain-info-security-disclosure/#comments
2:http://www.reddit.com/r/Bitcoin/comments/1ubv3o/my_blockchaininfo_wallet_hacked_strong_unique/]]>
starbuck@nospam.org http://commedansdubeurre.ch?p=201412110858503 http://commedansdubeurre.ch?p=201412110858503 http://commedansdubeurre.ch?p=201412110858503#comments Thu, 11 Dec 2014 06:59:33 GMT cddb envrac sonypictures sony blockchain bitcoin
<![CDATA[270 - Le compas politique]]>
anonymat garanti, aucune collecte de données, protection ad eternam des réponses

Je suis tombé sur cette pépite après qu'un ami m'ait transmis un lien pointant vers un site web proposant un sondage destiné à aider l'internaute à identifier quel est son parti politique sur la base de ses réponses.

Loin de moi l'idée de vouloir attribuer une quelconque mauvaise attention aux propriétaires du site, cet extrait est assez révélateur de l'écart souvent observé entre le discours du propriétaire d'un service en ligne et ce qu'il se passe dans la réalité.

Avant de commencer, définissons la notion d'anonymat sur Internet. Pour la suite de cet article, je la considèrerai comme suit:
Anonymat: contexte dans lequel les traces
créées par une interaction entre un internaute et
un service en ligne ne peuvent permettre d'établir
une association fiable entre son identité de citoyen
et le contenu de ladite interaction.

Dans la pratique, que se passe-t-il? (...)]]>
starbuck@nospam.org http://commedansdubeurre.ch?p=201409261829426 http://commedansdubeurre.ch?p=201409261829426 http://commedansdubeurre.ch?p=201409261829426#comments Fri, 26 Sep 2014 16:35:50 GMT
<![CDATA[269 - Bulletin cybersécurité et menaces Internet - #012]]> ici. (...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201207061050500 http://commedansdubeurre.ch?p=201207061050500 http://commedansdubeurre.ch?p=201207061050500#comments Fri, 06 Jul 2012 08:50:50 GMT cddb bulletin securite wikileaks syriafiles fraude bancaire linkedin paypal cryptographie facebook vie privee apple macosx mountain cryptotoken paddingoracle ca motsdepasse microsoft skype malware ios dnschanger fbi <![CDATA[268 - Bulletin cybersécurité et menaces Internet - #011]]> ici. (...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201206181226074 http://commedansdubeurre.ch?p=201206181226074 http://commedansdubeurre.ch?p=201206181226074#comments Mon, 18 Jun 2012 10:26:07 GMT cddb bulletin securite linkedin microsoft flame duqu stuxnet ibm dropbox siri <![CDATA[267 - Bulletin cybersécurité et menaces Internet - #010]]> ici. (...)]]> starbuck@nospam.org http://commedansdubeurre.ch?p=201205181412265 http://commedansdubeurre.ch?p=201205181412265 http://commedansdubeurre.ch?p=201205181412265#comments Fri, 18 May 2012 12:13:26 GMT cddb bulletin securite elcomsoft atlassian confluence fortify hp opendns cryptdns icloud verizon dbir flashback rfc6561