Accéder au contenu principal

Articles

Affichage des articles du juin, 2014

Avec BoringSSL, Google part sur un fork de OpenSSL

BoringSSL est un nom provisoire pour désigner le fork de la bibliothèque de chiffrement OpenSSL que Google développe, sans intention toutefois de remplacer celle-ci.

Google se concentre désormais sur sa propre version d'OpenSSL, qu'il baptise pour le moment BoringSSL, en attendant mieux. Pendant des années, la société de Mountain View a appliqué ses propres correctifs sur la bibliothèque de chiffrement Open Source, exploitée par des millions de sites web dans le monde et dont la vulnérabilité révélée par la faille Heartbleed a provoqué un véritable branle-bas de combat en avril dernier. Plusieurs modifications effectuées par Google ont été acceptées dans le référentiel principal du projet OpenSSL. D'autres, en revanche, étaient expérimentales ou ne cadraient pas avec les garanties de stabilité des API et ABI d'OpenSSL, ainsi que l'indique Adam Langley, ingénieur logiciel chez Google, dans un billet publié sur son blog personnel.

Or, au fur et à mesure qu'Andr…

La sécurité, une affaire de bon sens

La semaine dernière j’ai participé à un atelier sur l’Espionnage électronique organisé par la préfecture de région et la DIRECCTE (Directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l’emploi - ) dans l’enceinte du CNSO (Centre National de Soutien Opérationnel – Ex 43e bataillon de transmissions) .

Toutes les entreprises sont concernées par la sécurité. Je le répète régulièrement : “A propos de la sécurité, il ne faut ni être laxiste ni être paranoïaque et c’est avant toute considération technique d’abord une approche de bon sens.”

On entend très régulièrement parlé de la sécurité informatique et des (bonnes) pratiques à respecter. Les ateliers de cet événement (Espionnage électronique) étaient surtout orientés sur la problématique électronique qu’il ne faut pas négliger et vous allez comprendre pourquoi en lisant ce post.

Mais avant tout, je voulais également (re)retordre le cou à une idée préconçue et trop récurrente : “on est une petite so…

Une nouvelle faille dans le kernel Linux corrigée grâce à un jeune prodige

Sécurité : Un nouveau patch vient d'être mis en ligne corrigeant une faille critique dans le kernel Linux. Derrière cette nouvelle découverte, un jeune hacker de génie - Pinkie Pie - qui fait beaucoup parler de lui dans le milieu de la cybersécurité.
Une nouvelle faille de sécurité a été signalée et un patch correctif déjà distribué pour les utilisateurs de Debian. Cette faille permettait à un utilisateur d’exploiter la fonction Linux Futex pour obtenir l’accès ring 0 de la machine, soit son plus haut niveau de sécurité, et éventuellement de faire crasher le système.
Les développeurs de Debian ont signalé à leurs utilisateurs le bug et proposent un patch à appliquer pour se prémunir contre ce type d’attaque.
La faille a été découverte par un jeune hacker prodige, connu sous le pseudo de Pinkie Pie (tiré du nom d’un personnage du dessin animé My Little Pony) et dont le parcours ces dernières années attire de plus en plus l’attention dans le monde de la cybersecurité.
L’histoire co…

Webex 25 juin Top 10 des vulnérabilités par ITRUST

Exclusif ! Retour d’expérience des 7 dernières années d’audit intrusif : les 10 failles qui correspondent à 99% des failles de sécurité dans les entreprises.


Comment sécuriser vos données informatiques par l’application de bonnes pratiques, simples.

Ce n’est pas une surprise, ce début d’année 2014 a encore été riche en actualité concernant la cybercriminalité. Cette criminalité est d’ailleurs devenue un enjeu stratégique pour toutes les entreprises PME ou grands comptes. Les budgets ne pouvant pas suivre cette augmentation de risque, il nous a semblé pertinent d’expliquer comment une entreprise peut se sécuriser simplement par la mise en place de bonnes pratiques essentielles.

Cette conférence dresse le panorama des 10 vulnérabilités les plus rencontrées, lors de nos audits, accompagné d’études de cas.

Corriger ces 10 vulnérabilités essentielles permettrait d’élever grandement le niveau de sécurité d’une organisation

Julien Lavesque, directeur technique d’ITrust, vous expliquera lesqu…

Sécurité: l'armée française s'inquièterait pour ses serveurs IBM/Lenovo

Les militaires français regretteraient-il d'avoir signé avec IBM pour des serveurs destinés à leurs datacenters ? Selon Le Canard Enchaîné, certains d'entre eux s'inquiéteraient que les matériels concernés par un récent contrat, fassent partie de l'activité bientôt cédée au Chinois Lenovo par le géant américain. L'armée française aurait passé, le 19 mai 2014, un marché auprès d'IBM et de l'intégrateur Computacenter, pour la fourniture de serveurs X86 avec système de stockage et sauvegarde. Ce contrat aurait été conclu pour des raisons financières par le ministère de la Défense, soumis à des contraintes budgétaires grandissantes. « Un serveur sert à stocker des données et à envoyer des fichiers d'un ordinateur à l'autre. C'est une porte d'entrée idéale pour siphonner les données » explique un expert, cité par l'hebdomadaire satirique. Les craintes françaises d'un cyberspionnage  d'origine chinoise sont-elles pour autant fondées ?…

L'étrange disparition du logiciel de chiffrement TrueCrypt

Ce logiciel, recommandé par des ONG et utilisé par Edward Snowden et des journalistes ou militants anti-censure, a subitement été retiré du Web par ses créateurs. Sans explications.
Mercredi 28 mai, un message énigmatique apparaît en lettres rouges sur le site de chargement du logiciel de cryptage TrueCrypt : « Attention : l’usage de TrueCrypt n’est pas sécurisé, car il contient peut-être des failles de sécurité non résolues. » Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion. Depuis une décennie, TrueCrypt est présenté par les experts et les médias comme le meilleur logiciel de chiffrement à la disposition du grand public, gratuit, et relativement facile à utiliser.
TrueCrypt crée sur le disque dur de l’utilisateur un « conteneur » – un dossier virtuel capable de chiffrer à la volée les fichiers qu’il reçoit. Le chiffrement et le déchiffrement se font grâce à une double-clé générée de façon aléatoire, et à un mot de passe. On peut…

Quand les algorithmes remplaceront les cadres...

DRH, médecins, avocats, assureurs, enseignants, analystes financiers... Même les cols blancs sont menacés. La révolution du "big data" s'étend déjà à tous les métiers et à tous les secteurs.

Watson, le superordinateur d'IBM, analyse les symptômes de malades atteints de cancer et propose des pistes de traitement.

Knack, retenez bien ce nom: cela pourrait bien être celui de votre futur DRH. Guy Halfteck, le patron de cette startup californienne, ambitionne de "révolutionner les ressources humaines" - grâce à des jeux vidéo. Preuve qu'il est crédible, il a déjà parmi ses clients plusieurs multinationales, dont Shell ou AIG, un géant de l'assurance. Dans Wasabi Waiter, le joueur sert des sushis dans un bar à l'heure de pointe: en moins d'une demi-heure de jeu, plusieurs mégabits de données concernant son profil psychologique sont enregistrés et disséqués par des algorithmes.  
Grâce à eux, le recruteur potentiel sait si le candidat s'adaptera à…

Exigences légales en matière de protection des données personnelles...

En prélude aux élections locales (départementales et communales) prévues le 29 juin 2014, la Commission de protection des données personnelles (CDP) rappelle à toutes les personnes concernees leur devoir de respect de la vie privée des Sénégalais, notamment dans l’utilisation des données à caractère personnel les concernant.

Les candidats, partis ou coalitions de partis, tout comme les membres de leur équipe de campagne, doivent se conformer aux dispositions de la loi n°2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel lorsqu’ils constituent des fichiers de données nominatives ou lorsqu’ils ont recours à de tels fichiers.
Aussi, la CDP tient-elle à rappeler que dans le cadre de l’utilisation des données à caractère personnel à des fins de communication ou de marketing politique, 

il convient de retenir que seuls les fichiers internes constitués par les partis politiques ou les candidats eux-mêmes dans leurs circonscriptions avec le consentement exprès des per…

La discrète CIA lance un compte sur Twitter

"Nous ne pouvons confirmer ni démentir que c'est notre premier tweet": c'est sur le ton de l'ironie que la puissante mais fort discrète agence américaine de renseignement CIA a lancé aujourd'hui son compte sur le réseau social Twitter, ainsi que sur Facebook.
Déjà présente sur Flickr et YouTube, l'agence investit ces médias sociaux "pour dialoguer plus directement avec l'opinion et fournir des informations sur la mission de la CIA, son histoire", explique son directeur John Brennan dans un communiqué.

Pas question pour autant de livrer sur la toile les secrets d'espionnage: ne seront mis en ligne que les -rares- communiqués de l'agence de renseignement, des informations sur les carrières au sein de l'agence, ou encore des données sur des affaires d'espionnage historiques et aujourd'hui déclassifiées. Elle mettra également en ligne des images d'objets exposés au sein du musée de la CIA, "le meilleur musée que la …

Une campagne de phishing évoque la faille Heartbleed pour installer un malware

L'éditeur en sécurité McAfee pointe du doigt une nouvelle campagne de phishing qui exploite les inquiétudes autour de la faille Heartbleed pour pousser les internautes à installer un malware.

La faille Heartbleed a suscité des inquiétudes il y a peu, concernant la sécurité de navigation sur Internet. Mais il faut mettre les choses au clair : de nombreux correctifs visant à régler ce problème, qui touche, pour rappel, la boîte à outils de chiffrement OpenSSL, ont déjà été déployés. De plus, Heartbleed concerne les services et entreprises et touche les serveurs : il ne s'agit pas d'un problème qui peut directement infecter l'ordinateur d'un particulier.
Lorsqu'on a connaissance de la situation, la campagne de phishing mise en lumière par McAfee sonne de façon absurde. En effet, cette dernière cherche à convaincre les internautes qu'Heartbleed peut être désinstallé de leur ordinateur, par le biais d'un logiciel à installer. Comme toujours dans ce genre de …

Pourquoi la NSA aspire chaque jour des millions de photos de visages sur le web

On sait, notamment grâce aux révélations d'Edward Snowden, que les agences de renseignement américaines se servent largement d'Internet et des réseaux sociaux pour leurs activités de surveillance. De nouveaux documents de la NSA (National Security Agency), fournis par Snowden et analysé par le New York Times dans un article paru le 1er juin, se concentrent sur un aspect précis de l'utilisation par les services secrets américains des données numériques disponibles en ligne : les photos publiées chaque jour par les individus, ou échangées grâce aux outils de communication.
Le quotidien américain publie des extraits d'une présentation PowerPoint, utilisée par la NSA en 2011 pour un usage interne et présentée comme top secrète, qui l'assure : « l'image fait tout ».
Selon le New York Times, ces documents indiquent qu'en 2011, la NSA était capable d'intercepter en une journée « des millions d'images » dont environ « 55 000 dont la qualité suffit pour une…

L'éditeur Avast victime d'un vol de données

L'éditeur en sécurité Avast a annoncé lundi soir avoir été victime d'un piratage de ses bases de données. Certaines informations liées à une partie de ses utilisateurs ont été volées par les pirates, mais seul le forum de support de l'entreprise a été victime de l'intrusion.
Les cordonniers sont parfois les plus mal chaussés : preuve en est de l'intrusion sur les serveurs d'Avast, l'éditeur en sécurité à l'origine de l'antivirus du même nom. Dans un billet de blog, le PDG de l'entreprise Vince Steckler a déclaré la fermeture temporaire des forums de support d'Avast pour « une brève période ».
« Les pseudos, noms d'utilisateur, adresses e-mail et mots de passe hachés (et donc chiffrés) ont été compromis » explique le communiqué, qui ajoute que « Moins de 0,2% de ses 200 millions d'utilisateurs ont été touchés » soit environ 400 000 personnes.
Steckler se veut rassurant en ajoutant qu'« aucun système de paiement, de licences ou d&…