SSL 3.0 a plus de 15 ans et n’est presque plus utilisé. Malgré tout, une vulnérabilité critique du protocole peut être exploitée via une attaque Man-In-The-Middle en provoquant une erreur sur le TLS et en contraignant le basculement sur SSL 3.0.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
En examinant à la loupe 48 000 extensions pour le navigateur Chrome de Google, des chercheurs en sécurité ont découvert qu'un grand nombre d'entre elles étaient utilisées pour la fraude aux programmes d'affiliation en ligne et le vol de données. Ils interviennent cette semaine sur le symposium Usenix Security à San Diego.
Stéphane NEREAU's insight:
Selon une étude réalisée par des chercheurs en sécurité qui doit être présentée aujourd'hui à San Diego dans le cadre du Usenix Security Symposium (20-22 août), sur 48 000 extensions pour le navigateur Chrome de Google, un nombre important sont utilisées pour la fraude en affiliation et le vol de données, et la plupart du temps, leurs actions sont indétectables par l'utilisateur. Ce rapport laisse présager un nombre croissant de problèmes de sécurité autour des extensions dans la mesure où les cybercriminels cherchent à tirer profit des données riches contenues dans les navigateurs Web. 
Scoop.it!
Stéphane NEREAU's insight:
La problématique n’est pas nouvelle. Les flux HTTPS représentent déjà une part significative du trafic Internet. Mais l’annonce faite récemment par Google, l’acteur leader du référencement surtout en Europe, de sa volonté de privilégier sur son moteur de recherche les sites proposant des connexions HTTPS (combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS) risque de donner un sérieux coup d’accélérateur au phénomène. Avec des conséquences pour les webmasters, mais surtout pour les responsables sécurité (RSSI) des entreprises, comme l’explique Dominique Loiselet, directeur général del’éditeur américain Blue Coat pour la France.
Scoop.it!
Stéphane NEREAU's insight:
« Une boîte de Pandore qu’il sera difficile de refermer »… C’est ainsi que Reporters Sans Frontières (RSF) a qualifié l’arrêt européen du 13 mai 2014 sur le traitement des données personnelles par les moteurs de recherche. Rappelons que cet arrêt impose le droit à l’oubli à Google comme aux autres moteurs de recherche.
Scoop.it!
Chrome est un navigateur Web gratuit édité par Google dont la première version stable sous Windows date de fin 2008. Il est aujourd’hui devenu l’un des navigateurs les plus utilisés par les internautes. Son système de « bac à sable » , ses fonctionnalités de déploiement et de configuration centralisées, et son système de mises à jour automatiques réactif présentent un certain intérêt. Doté de fonctionnalités de déploiement et de configuration centralisées, ainsi que d’un système de mises à jour automatiques réactif, l’usage de ce navigateur en entreprise est tout à fait envisageable. page d'origine : ici
Stéphane NEREAU's insight:
Cette note technique vise à sensibiliser le lecteur aux enjeux de sécurité d’un navigateur Web et doit le guider dans la mise en oeuvre de stratégies de sécurité spécifiques à Google Chrome dans le cadre d’un télé-déploiement en environnement Active Directory.
Scoop.it!
La start-up Divide passe dans le giron de Google. De quoi renforcer l’aspect professionnel d’Android, avec des outils de MDM adaptés au BYOD.
Stéphane NEREAU's insight:
Cette société s’est spécialisé dans les outils permettant de gérer les terminaux mobiles personnels des salariés, lorsqu’ils sont utilisés dans un environnement professionnel. L’idée est de répondre aux défis du BYOD (Bring You Own Device) en séparant usages personnels et professionnels… d’où le nom de Divide.
|
Scoop.it!
Stéphane NEREAU's insight:
Il apparaît que les éléments les plus récents de ce fichier datent au mieux de 2009. Si le mot de passe de votre compte Gmail a été changé après 2009, vous ne risquez donc à priori rien (sauf s’il vous arrive de réutiliser d’anciens mots de passe). Dans le cas contraire, plusieurs méthodes sont à votre disposition pour vérifier si vous êtes concerné. La version expurgée de l’archive ‘google_5000000.7z’ (28,7 Mo) référence tous les e-mails touchés. Elle se trouve aisément sur la Toile. Un site a également été mis en place. En y saisissant votre adresse e-mail, vous pourrez vérifier qu’elle ne se trouve pas dans la liste diffusée aujourd’hui.
Scoop.it!
Suite à notre article « Espionnage de la NSA : les 8 leçons d’Edward Snowden », dans lequel la présence de backdoor dans des VPN et Firewall Barracuda est mentionnée, cette société nous écrit, estimant que cet article prête à « confusion ». Basé sur le rapport de la société Lexsi, notre article mentionnait la présence de backdoor ou vulnérabilités dans de nombreux produits de marques diverses (Juniper, Cisco, Dell, Huawei…). Dont Barracuda. Sans toutefois affirmer que la NSA aurait eu un rôle quelconque dans l’implantation de ces backdoor. « Nous n’avançons pas le fait que la NSA ait demandé l’implantation de ces portes dérobées », confirme Vincent Hinderer, un des deux auteurs de l’étude de Lexsi joint ce jour au téléphone.
Stéphane NEREAU's insight:
48 000 extensions ont été passées au crible. 130 sont clairement malveillantes, dont une utilisée par 5,5 millions d’internautes, qui transmet la liste de tous les sites que vous visitez à un serveur tiers. 4 712 autres extensions sont suspectées d’opérer certaines actions douteuses, rapporte PCWorld : fraude aux systèmes d’affiliation, vol de données de connexion ou du surf, fraude à la publicité, détournement des réseaux sociaux, etc.
Scoop.it!
Stéphane NEREAU's insight:
Le service Safe Browsing proposé par Google permet de se prémunir contre le téléchargement de virus, vers, chevaux de Troie et autres logiciels indésirables.
Scoop.it!
Stéphane NEREAU's insight:
Google souhaite à présent s’attaquer aux vulnérabilités critiques, ou Zero-Day, menaçant les utilisateurs du Web au travers d’une nouvelle initiative baptisée Project Zero. Des programmes consacrés à ces failles existent déjà, comme le ZDI d’HP. Mais selon l’ingénieur sécurité de Google, Chris Evans, il y a ici une vraie différence.
's comment July 16, 2014 11:23 AM
Avec cela et ses bases de données, google se transforme en pirate potentiel.
Scoop.it!
Pour se conformer à la législation européenne relative à la protection des données, Google propose aux internautes un formulaire de demande de suppression de résultat de recherche.
Stéphane NEREAU's insight:
Il revient à Google de déterminer si les liens contestés sont à supprimer ou pas. Il est important de noter également que la firme peut être amenée à transférer les demandes vers l’autorité de protection des données compétente – la CNIL en France. Google ne communique pas de délai d’attente pour les réponses aux demandes de suppression de liens.
Scoop.it!
Vous avez reçu un mail Google, proposant un lien sécurisé (HTTPS) renvoyant vers une page du domaine google.com ? Et bien il peut tout de même s’agir d’un mail frauduleux ! Comment ne pas se faire piéger par cette tentative d’hameçonnage dernier cri ?
Stéphane NEREAU's insight:
Quelques astuces pour éviter le pire Si vous recevez un tel courriel, voici quelques remarques qui devraient vous aider à ne pas tomber dans le piège :
Depuis la découverte de cette tentative d’hameçonnage par Symantec, Google a supprimé les pages incriminées. Mais cela ne signifie pas que la méthode de phishing ne peut pas être reproduite !
Stephane Manhes's curator insight,
March 31, 2014 11:53 AM
Depuis la découverte de cette tentative d’hameçonnage par Symantec, Google a supprimé les pages incriminées. Mais cela ne signifie pas que la méthode de phishing ne peut pas être reproduite ! |
La faille dans le protocole autorise ainsi un attaquant disposant d’un accès réseau à lire des communications pourtant chiffrées. Baptisée POODLE (Padding Oracle On Downgraded Legacy Encryption) affecte à la fois sites Internet et navigateurs Web supportant SSL 3.0.