Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique.
Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique
A la suite d'informations remontées par les utilisateurs de son navigateur web Firefox et d'une enquête interne, Mozilla a finalement désactivé 23 modules complémentaires comportant des failles de sécurité.
https://www.lemondeinformatique.fr/actualites/lire-mozilla-supprime-23-extensions-peu-securisees-de-firefox-72609.html
Source : Le Monde Informatique
Chrome 68 répertorie désormais tous les sites non chiffrés, les mentionnant explicitement aux internautes comme "non sécurisés".
https://www.silicon.fr/chrome-68-haro-sur-les-sites-web-http-215291.html
Source : Silicon
La question revient souvent : quelle est la différence entre un antivirus et un antimalware. Pour certains utilisateurs les antimalwares sont plus efficaces que les antivirus, mais quand est-il ?
https://www.malekal.com/differences-antivirus-antimalwares/
Source : Malekal
70% des exécutables malveillants au 1S18 étaient inconnus des services de réputation comme VirusTotal.
Le premier semestre de 2018 a enregistré une augmentation de 94% des attaques de logiciels malveillants Fileless, selon le dernier rapport sur l’indice des risques de l’entreprise de SentinelOne, société spécialisée dans la sécurité des terminaux.
https://www.developpez.com/actu/221902/70-pourcent-des-executables-malveillants-au-1S18-etaient-inconnus-des-services-de-reputation-comme-VirusTotal-selon-un-rapport/
Source : Développez
L’ancien patron de la sécurité chez Facebook tire la sonnette d’alarme pour les élections de mi-mandat du 6 novembre.
https://www.lemonde.fr/idees/article/2018/08/30/alex-stamos-les-elections-americaines-risquent-de-devenir-une-coupe-du-monde-de-la-propagande_5347803_3232.html
Source : Le Monde
Une ONG est parvenue très simplement à contourner les protections de Google censées limiter la propagande et la manipulation politique.
https://www.lemonde.fr/pixels/article/2018/09/05/une-ong-a-dejoue-les-protections-de-google-contre-la-propagande-et-la-manipulation-politique_5350532_4408996.html
Source : Pixels
La cybersécurité se place aujourd'hui au cœur des priorités des entreprises du monde entier, même si beaucoup d'entre elles n'ont pas encore les ressources nécessaires en interne et que nous assistons à une pénurie globale de talents pour occuper des postes clés.
https://www.journaldunet.com/management/expert/69647/la-cybersecurite-manque--encore--cruellement-de-bras-en-france.shtml
Source : JDN
Avec 453 propositions diffusées par des entreprises françaises au cours des 24 derniers mois, la fonction de hacker éthique est en croissance dans l'Hexagone mais se trouve encore loin derrière le Royaume-Uni avec 3 240 offres comptabilisées sur la même période. L'Allemagne se situe entre les deux avec 723 annonces concernant cette fonction.
https://www.lemondeinformatique.fr/actualites/lire-la-france-publie-7-fois-moins-d-offres-de-hackers-ethiques-que-le-royaume-uni-72605.html
Source : Le Monde Informatique
Ce livre sur la sécurité informatique (et le ethical hacking) s'adresse à tout informaticien sensibilisé au concept de la sécurité informatique mais novice ou débutant dans le domaine de la sécurité des systèmes d'information. Il a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.
https://securite.developpez.com/livres/index/?page=Securite-offensive-Pentesting-Ethical-hacking#L2409009743
Source : Développez
A chaque seconde dans le monde, une entreprise subit une cyberattaque. Ce sont généralement les erreurs de leurs collaborateurs qui en sont à l’origine, qu’il s’agisse d’espionnage industriel, de vol de données ou de sabotage.
https://www.journaldunet.com/solutions/expert/69629/les-12-failles-humaines-de-la-securite-it-en-2018.shtml
Source : JDN
A l’heure actuelle, de nombreuses entreprises utilisent conjointement des dizaines d’outils de sécurité, ajoutant une nouvelle solution chaque fois qu’un problème insoluble apparaît.
https://www.journaldunet.com/solutions/expert/69603/quand-l-accumulation-des-logiciels-de-securite-annule-leur-efficacite.shtml
Source : Le Monde Informatique
Plusieurs sociétés de cybersécurité signalent une recrudescence des piratages de comptes Instagram. De nombreux groupes de pirates exploitent différentes méthodes afin de mettre la main sur certains comptes, dont la revente peut parfois rapporter gros.
https://www.zdnet.fr/actualites/piratage-instagram-la-double-authentification-a-du-plomb-dans-l-aile-39872497.htm#xtor%3D123456
Source : ZDnet
La société Apple est généralement considérée comme étant une marque fiable, proposant une sécurité accrue. Un ancien hacker de la NSA démontre une faille majeure dans macOS. Elle permet le contournement des mécanismes de sécurité.
https://www.datasecuritybreach.fr/un-ancien-hacker-de-la-nsa-demontre-une-faille-majeure-dans-macos/
Source : Data Security Breach
De nos jours, toutes nos actions quotidiennes impliquent des programmeurs, du simple fait de passer un appel sur téléphone au pilotage des avions de ligne.
https://www.developpez.com/actu/222280/Un-bogue-informatique-avait-contraint-le-Boeing-787-a-etre-redemarre-tous-les-248-jours-pour-eviter-une-interruption-totale-du-systeme-electrique/
Source : Développez
La société Schneider Electric annonce que des clés USB livrées avec certains de ses produits infectées par des logiciels malveillants.
https://www.datasecuritybreach.fr/cles-usb-piegees/
Source : Data Security Breach
Que ce soit l'open science ou l'open data, le RGPD n'aime visiblement pas trop les démarches ouvertes et pose des responsabilités sur ceux qui les pratiquent.
https://www.zdnet.fr/blogs/green-si/cachez-moi-ces-donnees-que-je-ne-saurais-voir-39872733.htm#xtor=123456
Source : ZDnet
Google a conclu un partenariat de plusieurs millions de dollars avec Mastercard pour bénéficier de données sur les transactions réalisées dans les commerces par les consommateurs, rapporte Bloomberg.
https://www.zdnet.fr/actualites/le-contrat-secret-de-google-pour-suivre-les-achats-en-magasin-39872993.htm#xtor=123456
Source : ZDnet
Contrairement à ce qu’on pourrait croire, désactiver l’historique de géolocalisation sur les applications Google (comme Google Maps) ne permet pas de se déplacer sans laisser de traces.
https://www.lemonde.fr/videos/video/2018/08/15/tutoriel-comment-empecher-google-d-enregistrer-vos-deplacements_5342697_1669088.html
Source : Le Monde
La Fondation Mozilla a annoncé que son navigateur web Firefox allait bientôt bloquer par défaut les traqueurs publicitaires qui ralentissent le chargement des pages. Des mesures visent également à supprimer toutes les tentatives de pistage d'un site à l'autre.
https://www.lemondeinformatique.fr/actualites/lire-firefox-va-bloquer-les-trackers-publicitaires-72712.html
Source : Le Monde Informatique
Suite au scandale Cambridge Analytica, un quart des utilisateurs américains du réseau social aurait supprimé l'application de leur smartphone.
https://www.zdnet.fr/actualites/facebook-mouvement-massif-de-desaffection-des-jeunes-aux-etats-unis-39873211.htm#xtor=123456
Source : ZDnet
À l’occasion d’une réunion ministérielle organisée par les Five Eyes à la fin du mois d’aout dernier, les gouvernements des États-Unis, du Royaume-Uni, de l’Australie, du Canada et de la Nouvelle-Zélande composant cette organisation ont présenté un certain nombre de propositions.
https://korben.info/la-menace-des-five-eyes-sur-la-silicon-valley.html
Source : Korben
Une nouvelle politique de confidentialité entrera en vigueur le 3 octobre, obligeant les développeurs à détailler la manière dont ils collectent et utilisent les données de leurs apps diffusées via l’App Store d’Apple.
https://www.zdnet.fr/actualites/vie-privee-apple-impose-la-transparence-aux-developpeurs-39873097.htm#xtor=123456
Source : ZDnet
Des chercheurs ont découvert une faiblesse qui affecte toutes les versions d'Android antérieures à la version 9 (qui est la plus récente) et qui permet à un attaquant de collecter des informations sensibles telles que l'adresse MAC, le nom BSSID en plus de localiser un périphérique qui en est affecté.
https://www.developpez.com/actu/221777/Une-faiblesse-dans-un-mecanisme-d-Android-permet-de-geolocaliser-les-smartphones-elle-affecte-toutes-les-versions-anterieures-a-Android-9/
Source : Développez
Les erreurs de configurations sur des repos .git ont laissé près de 400 000 sites vulnérables à des vols de données.
Vladimír Smitka, un chercheur tchèque en sécurité, a souligné que la configuration des sites Web, en particulier si les développeurs se servent d’un git pour le déployer et le gérer, peut représenter un problème important.
https://www.developpez.com/actu/222464/Les-erreurs-de-configurations-sur-des-repos-git-ont-laisse-pres-de-400-000-sites-vulnerables-a-des-vols-de-donnees-selon-un-chercheur/
Source : Développez
Une faille dans les navigateurs Chromium pourrait permettre à un attaquant d'accéder à votre réseau WiFi.
Les chercheurs de SureCloud, consultant en matière de cybersécurité et de tests de pénétration, ont découvert une faiblesse dans la manière dont les navigateurs Google Chrome et Opera traitent les mots de passe enregistrés.
https://www.developpez.com/actu/222480/Une-faille-dans-les-navigateurs-Chromium-pourrait-permettre-a-un-attaquant-d-acceder-a-votre-reseau-WiFi-pour-voler-vos-donnees/
Source : Développez
Un tribunal californien examine une demande du gouvernement américain, qui souhaite pouvoir mettre sur écoute les conversations Messenger.
https://www.lemonde.fr/pixels/article/2018/08/20/chiffrement-des-communications-aux-etats-unis-une-procedure-judiciaire-vise-facebook-messenger_5344167_4408996.html
Source : Pixels
1,400,553,869 c’est le nombre de mots de passe que propose un site web baptisé Projet Fantôme. Rien de nouveau… sauf la mise en danger de vos données personnelles.
https://www.zataz.com/projet-fantome-ghost-project/
Source : Zataz
La plupart des réseaux sociaux vous propose de télécharger un dossier d'archives contenant vos anciennes publications, messages, documents ainsi que des informations dont vous aviez peut-être oublié l'existence. Pourquoi et comment utiliser cette fonctionnalité ?
https://www.cnil.fr/fr/reseaux-sociaux-telechargez-tout-ce-que-vous-avez-publie-en-un-clic
Source : CNIL
La CNIL constate lors de contrôles que beaucoup de manquements à la loi Informatique et Libertés concernent des négligences en matière de sécurité qui pourraient être aisément évitées.
https://www.cnil.fr/fr/securite-des-sites-web-les-5-problemes-les-plus-souvent-constates
Source : CNIL
Un nouveau rapport de sécurité révèle que les objets connectés résidentiels constituent une nouvelle cible pour le cryptojacking.
https://www.datasecuritybreach.fr/cryptojacking-objets-connectes/
Source : Zataz
Un défaut présent dans plusieurs modèles de puces électroniques d’objets connectés permet de récupérer des données secrètes.
https://www.lemonde.fr/pixels/article/2018/07/25/les-tres-indiscretes-puces-des-objets-connectes_5335566_4408996.html
Source : Pixels
ProtonMail vient d'annoncer une nouvelle mise à jour majeure de son outil de chiffrement pensé pour les environnements javascript, notamment les navigateurs.
https://www.nextinpact.com/brief/openpgpjs-passe-en-version-4-0-5184.htm
Source : Next Impact
Selon le chercheur en sécurité Yonathan Klijnsma, de RiskIQ, cité par Bleeping Computer, des serveurs web (Apache ou Nginx) mal configurés écoutent une adresse IP sur l'Internet public, plutôt que leur localhost (127.0.0.1).
https://www.nextinpact.com/brief/des-services-caches-tor-identifiables-via-leur-certificat-tls-5248.htm
Source : Next Impact
Ce script python n’a d’autre but que je générer de fausses données sur le réseau afin de pourrir les éventuelles données récoltées sur vous.
https://korben.info/generer-du-bruit-de-fond-pour-polluer-les-datas-recoltees-par-les-boites-noires.html
Source : Korben
A l’occasion de sa conférence Next ’18, Google avait levé le voile sur deux clés physiques d’authentification à deux facteurs répondant au nom de Titan Security Key.
https://www.silicon.fr/cles-dauthentification-les-titan-security-key-de-google-sont-sur-le-google-play-store-us-217467.html
Source : Silicon
Témoins graphiques des imprimantes : des informaticiens développent un outil d'anonymisation, pour rendre inutilisables les points jaunes de traçage.
La plupart des nouvelles imprimantes impriment des témoins graphiques cryptés sous forme de minuscules points colorés qui sont presque invisibles. Ces témoins indiquent la date et l’endroit exacts d’impression de tout document.
https://www.developpez.com/actu/212808/Temoins-graphiques-des-imprimantes-des-informaticiens-developpent-un-outil-d-anonymisation-pour-rendre-inutilisables-les-points-jaunes-de-tracage/
Source : Développez
Intel veut une distribution Linux pouvant servir de solution de sécurité de référence aux systèmes où l'autonomie et la sécurité sont critiques.
Il semblerait qu’Intel se soit "enfin" rendu compte que préserver la confidentialité et la sécurité des systèmes informatiques représente un enjeu vital au vu du contexte de cybercriminalité actuel.
https://www.developpez.com/actu/221449/Intel-veut-une-distribution-Linux-pouvant-servir-de-solution-de-securite-de-reference-aux-systemes-ou-l-autonomie-et-la-securite-sont-critiques/
Source : Développez
Is your business implementing the most basic cyber security practices? Check out this post to learn more about the security measures all employees should know.
https://dzone.com/articles/top-7-simple-cyber-security-tips-that-every-busine
Source : DZone
Google last week took the wraps off Tink, an open source, multi-language, cross-platform cryptographic library designed to help simplify common encryption operations.
https://www.securityweek.com/google-introduces-open-source-cross-platform-crypto-library?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
Source : Security Week
Malicious actors could take control of thousands of 3D printers that can be accessed directly from the Internet without requiring any authentication.
https://www.securityweek.com/thousands-3d-printers-exposed-remote-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
Source : Security Week
Microsoft this week revealed plans to offer paid Windows 7 Extended Security Updates (ESU) for three years after traditional support for the operating system will officially end.
https://www.securityweek.com/microsoft-charge-windows-7-security-updates?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
Source : Security Week
Look to these clever open source tools to keep secrets out of source code, identify malicious files, block malicious processes, and keep endpoints safe
https://www.networkworld.com/article/3172398/security/5-open-source-security-tools-too-good-to-ignore.html#tk.rss_security
Source : Network World
This year’s mobile-focused Pwn2Own hacking competition organized by Trend Micro’s Zero Day Initiative (ZDI) will include a new category for Internet of Things (IoT) devices.
https://www.securityweek.com/iot-category-added-pwn2own-hacking-contest?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
Source : Security Week
Virtually every desktop browser and adblocker can have its ad-tracking privacy or security bypassed by at least one software technique, a new study has found.
https://nakedsecurity.sophos.com/2018/08/20/adblocking-and-browser-privacy-can-be-bypassed-researchers-find/
Source : Naked Security
Worried about privacy issues in Windows 10? Here's what you can do.
https://www.computerworld.com/article/3025709/microsoft-windows/how-to-protect-your-privacy-in-windows-10.html#tk.rss_all
Source : Computer World
Cédric Goby - Institut National de la Recherche Agronomique
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)
