Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
Depuis quelques jours, le web regorge d’articles sur une vulnérabilité dans la fonction WiFi des appareils Android : cette faille permettrait de dévoiler nos données personnelles et de nous suivre à la trace. Sans être faux, c’est tout de même un peu exagéré ! Dans tous les cas, voici comment ne pas être victime de cette faille. 
No comment yet.
Sign up to comment
Scoop.it!
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Stéphane NEREAU's insight:
Heartbleed et après ?
Scoop.it!
Stéphane NEREAU's insight:
La CNIL propose déjà un guide de base pour ce qui est de choisir vos mots de passe. Mais cela n'est pas tout. N'oubliez pas d'utiliser des mots de passe différents, surtout sur les services sensibles, et si possible de les renouveler de temps en temps, sans attendre qu'une faille énorme touche une majorité de sites web. De plus, sur des sites importants comme ceux de votre banque, les réseaux sociaux, l'accès à vos emails, il existe en général des procédures de sécurité complémentaires comme l'authentification en deux étapes (2FA), le fait d'indiquer si vous êtes sur un ordinateur de confiance ou non : utilisez-les !
Scoop.it!
Express.be 8 habitudes simples pour mieux vous protéger en ligne Express.be Pour éviter ce genre de vulnérabilité, Electronic Frontier Foundation estime qu'en ce moment, tout site HTTPS devrait être configuré selon la confidentialité persistante... Via Pascal Paul
Scoop.it!
Cette faille a été baptisée Heartbleed, le coeur qui saigne, par jeu de mots avec Heartbeat, nom d'une extension au protocole SSL/TSL qui est vulnérable. La faille a été mise en évidence par des chercheurs en sécurité de codenomicon et des experts en sécurité de Google.
Stéphane NEREAU's insight:
Si vous êtes touchés, vous devez mettre à jour votre librairie openssl. Vous devez le faire toutes affaires cessantes, car maintenant que la faille est connue de tous, nul doute que les hackers vont essayer son exploit sur quantités de serveurs, dans l'espoir de profiter de la négligence des administrateurs systèmes. Puis vous devrez au minimum réinitialiser les mots de passe de vos utilisateurs.
Scoop.it!
Stéphane NEREAU's insight:
La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière. Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.
Scoop.it!
Le FBI indique que plusieurs organisations du gouvernement américain ont été victimes d’attaques menées par des hackers liés au collectif Anonymous.
Stéphane NEREAU's insight:
Remarquons que ColdFusion fait partie des logiciels dont le code source a été dérobé par des hackers sur les propres serveurs d’Adobe. L’éditeur avait reconnu le 3 octobre avoir découvert des accès illégaux aux codes sources de certaines de ses applications, dont l’éditeur de site Web. Adobe n’avait toutefois pas précisé à quand remontaient ces intrusions et combien de temps elles avaient duré.
|
Scoop.it!
Selon les experts de la Deutsche Bank le Japon va installer entre 6000 et 7000 MW de solaire PV durant la seule année 2014. En termes de production électrique, c’est donc au total l’équivalent d’environ deux centrales nucléaire EPR qui a été installé durant les deux années 2013 et 2014 au pays du soleil levant. Soit environ un EPR par an. Et plus de 7 centrales nucléaires EPR en termes de puissance installée. Le chantier solaire japonais est bien plus rapide que celui du réacteur EPR de Flamanville en France.
Stéphane NEREAU's insight:
Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché. En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.
Scoop.it!
1. Eliminez vos cookies et votre historique de navigation à chaque fin de session sur Internet 2. Utilisez un navigateur qui respecte la vie privée de l’utilisateur. 3. Oubliez Google et utilisez un moteur de recherche alternatif. 4. Utilisez un service de chiffrement du courrier électronique. 5. Chiffrez votre navigation 6. Changez vos mots de passe régulièrement et sécurisez vos différents comptes 7. Bloquez la publicité et évitez de vous faire tracer 8. Chiffrez vos dossiers
Stéphane NEREAU's insight:
quelques conseils à suivre suivant ses besoins.
Stephane Manhes's curator insight,
April 16, 2014 10:50 AM
Tous ne sont peut-être pas nécessaires selon vos besoin. Peut-être pourrait on ajouter Tor et parler de protection du poste également : antivirus et sauvegarde.
Scoop.it!
Révélée il y a quelques jours, la méga-faille Heartbleed a mis en ébullition toute la Toile, impactant plus d’un demi-million de serveurs web dans le monde. Voici tout ce qu’il faut savoir sur ce bogue, pour le comprendre et se protéger.
Stéphane NEREAU's insight:
Dans une note de blog, le cabinet Lexsi décortique cette faille de manière technique, sur la base du code. Le dessinateur Randall Munroe, de son côté, a réussi à expliquer cette faille de manière simple et illustrative, en six vignettes (voir image).
Scoop.it!
Un bug dans Chrome permet d’utiliser une fonction HTML 5 pour écouter les utilisateurs à leur insu. C’est la deuxième fois cette année que le navigateur de Google nous prête un peu trop l’oreille.
Stéphane NEREAU's insight:
Il suffirait à un développeur d’ajouter une simple ligne de code sur un site Web pour utiliser le bug et accéder à ce que capte le micro de l’ordinateur sur lequel est ouvert la page HTML. Le bug en question permet de forcer une API HTML5, nommée x-webkit-speech, à fonctionner en tâche de fond, et à masquer tous les éléments qui indiquent normalement qu’elle est en cours d’utilisation.
Scoop.it!
Des chercheurs en sécurité ont identifié une faille dans les versions les plus récentes d'iOS permettant à une application d'enregistrer toutes les actions faites sur l'écran tactile.
Stéphane NEREAU's insight:
Par ailleurs, les chercheurs de FireEye affirment avoir trouvé un moyen pour contourner le processus d'examen d'Apple pour valider une « application espionne ». « Nous avons créé une application expérimentale de monitoring pour les versions iOS 7.0.x non jailbreakées », expliquent dans un blog Min Zheng, Hui Xue et Tao Wei. Ils ajoutent que « cette application de monitoring peut enregistrer en arrière-plan toutes les actions sur l'écran tactile comme augmenter le volume, appuyer sur le TouchID ou sur le bouton de retour à la page d'accueil. Ensuite l'application peut envoyer les évènements à un serveur distant ».
Scoop.it!
Stéphane NEREAU's insight:
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n’est pas certain que cela arrive un jour.
|
La faille de sécurité liée au fonctionnement du WiFi des équipements Android (smartphones, tablettes) a été découverte par l’EFF (Electronic Frontier Foundation). Elle est directement liée à la fonction Preferred Network Offload (PNO), et sa composante Open Source wpa_supplicant. A l’origine, cette fonction permet au smartphone de mémoriser le nom (SSID) des 15 derniers réseaux WiFi auquel l’appareil a été connecté. Mais lorsqu’il est déconnecté et en veille, le smartphone émet régulièrement et en clair (c’est à dire sans aucun chiffrement) le nom de ces réseaux mémorisés, afin de s’y reconnecter automatiquement s’ils sont à portée. Il est donc théoriquement possible de récupérer illégitimement ces informations envoyées dans les airs par le smartphone.