Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Une faille de sécurité révélée par des chercheurs de l'université de Birmingham montre que plus de 100 millions de véhicules du groupe Volkswagen vendus depuis une vingtaine d'années peuvent facilement êtres déverrouillés à distance en piratant la télécommande de leur clé. 
Scoop.it!
L’utilisation de % dans un script permettra à un utilisateur non privilégié de lancer des commandes en mode administrateur sous Windows.
Stéphane NEREAU's insight:
The Security Factory met aujourd’hui en lumière une faille permettant à un utilisateur Windows de lancer une commande en mode administrateur. Une vulnérabilité assez proche de la faille Shellshock découverte sur les systèmes Unix utilisant Bash, et aisée à exploiter.
's comment October 13, 2014 4:34 AM
sauf que ce n'est pas exploitable via le web...
Scoop.it!
Aujourd'hui, la technologie sans contact NFC / RFID est omniprésente. Or, concernant les cartes bancaires, il a été démontré qu'il existe une faille de sécurité, permettant d'accéder à distance à vos données personnelles [1].
Dans les transports en commun, les endroits publics, gares, aéroports, nous sommes souvent nombreux dans un volume restreint. Par conséquent, un pirate informatique muni d'un lecteur ou mobile adéquat peut facilement faire sa moisson de données. Il n’y a aucun moyen de savoir si vous avez été piraté ou non. Il est donc nécessaire de se protéger.
Partant de ce constat, un Alsacien a créé début 2013 le site internet http://www.stop-rfid.fr aidé par deux partenaires: - Bong fabricant suédois de la protection Scansafe® Tyvek® [2], - Maison Petzold-Kaps graveur réputé depuis 1872 [3], dans le but de proposer quelques solutions simples pour protéger les cartes à risque. Les protections stop-rfid.fr sont efficaces et utiles sur le plan physique : produit indéchirable, résistant à l'eau, antibactérien, empêchant le passage des ondes [4].
L'étui carte bancaire protège autant vos cartes que vos badges d’alarme et d’accès à l’entreprise. Il est disponible également en modèle passeport biométrique.
La protection billet stop-rfid.fr se glisse à l'arrière du portefeuille [5], sans avoir besoin de le changer ! Les portes cartes et portefeuilles en cuir viennent compléter la gamme StopRFiD.
Finalement pour les entreprises qui recherchent un vecteur de promotion, original et utile, c’est un support publicitaire idéal...
Références: [1] http://fr.wikipedia.org/wiki/Paiement_sans_contact#Risques_.C3.A9ventuels [2] Scansafe® Tyvek® est composé d’un textile non-tissé de fibres de polyéthylène, une feuille métallique et une couche en papier. http://www.bong.fr [3] http://www.maison-petzold-kaps.fr à Strasbourg, France [4] fréquence 13.56Mhz, protection certifiée TÜV [5] http://www.stop-rfid.fr/kit-portefeuille-stop-rfid.html
Scoop.it!
Une équipe de chercheurs annonce une méthode pour dérober des données personnelles d'applications comme Gmail. Une démonstration sur smartphone Android mais la faille exploitant la mémoire partagée des terminaux existerait aussi pour iOS et Windows Phone. Via Intelligence Economique, Investigations Numériques et Veille Informationnelle
Stéphane NEREAU's insight:
Scoop.it!
Un chercheur en sécurité est parvenu (sans grande difficulté) à hacker les capteurs sans fil qui contrôlent la circulation dans certaines grandes villes américaines, chinoises, australiennes et européennes (y compris en France). Comment est-ce possible ? Quels sont les risques ?
Stéphane NEREAU's insight:
En théorie, il suffit de posséder un PC portable sous Windows, un logiciel fourni gratuitement sur le site de Sensys Networks, et un point d’accès sans fil classique pour intercepter les données des capteurs. Toutefois, il faut ensuite analyser les données collectées, et comprendre le protocole qui les régit. Pour éviter cette étape fastidieuse, Cesar Cerrudo a préféré investir 4 000$ dans un point d’accès Sensys (dont l’achat est normalement réservé aux municipalités)...
Scoop.it!
Une nouvelle vulnérabilité de grande envergure vient d'être découverte. Celle-ci touche les modules de connexion basés sur les protocoles OAuth et OpenID
Stéphane NEREAU's insight:
La faille en question permet à un hacker malintentionné d'envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d'informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu'il s'agisse d'une adresse email, d'une liste de contacts... En fonction des droits d'accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.
Scoop.it!
Près de 200 millions d’enregistrements ont été volés entre janvier et mars (soit environ 93 000 par heure), ce qui représente une augmentation de 233 % par rapport à la même période sur l’année précédente. Sur les 254 failles de données enregistrées au cours du trimestre, seulement 1 % sont des « failles sécurisées », c’est-à-dire des failles où les données sont protégées par des solutions de chiffrement, de gestion des clés ou d’authentification fortes qui empêchent de les exploiter. Telles sont les principales conclusions de l'enquête réalisée par SafeNet, l'un des spécialistes mondiaux de la protection des données, et baptisée SafeNet Breach Level Index (BLI).
Stéphane NEREAU's insight:
D’autres calculs trimestriels supplémentaires sont disponibles dans le résumé de l’étude (BLI Executive Summary).
Scoop.it!
la Maison Blanche, par le biais de la NSA, admet exploiter des failles de sécurité afin de recueillir des informations, avant d'en divulguer l'existence.
Stéphane NEREAU's insight:
Si la NSA reste sur ses positions en niant avoir eu connaissance de la faille Heartbleed de OpenSSL, elle admet cependant avoir parfois connaissance de certaines failles avant leur découverte officielle par des experts en sécurité. Lorsque ces failles permettent de récolter des données visant à garantir la sécurité du pays, l’agence avoue les exploiter avant de les divulguer.
Scoop.it!
La mise à jour de Flash Player déployée en urgence par Adobe intègre un correctif qui élimine une faille de sécurité critique sur Windows, OS X et Linux.
Stéphane NEREAU's insight:
La faille en question est de type 0-day : elle est activement exploitée de façon malveillante. « Au moins deux exploits » en ont tiré parti, selon les experts en sécurité de Kaspersky Lab, qui se sont procuré plusieurs échantillon à la mi-avril. Déclenchée par l’ouverture, côté utilisateur, d’une page Web malicieuse, la vulnérabilité peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.
Scoop.it!
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Stéphane NEREAU's insight:
Heartbleed et après ?
Scoop.it!
Imaginez que soudain, avenues, boulevards et autres rues deviennent soudain des champs de mines invisibles susceptibles d'exploser à la moindre pression. Eh bien c'est à peu près ce qui arrive en ce moment à une grande partie du Web.
Stéphane NEREAU's insight:
En clair, il est urgent d'attendre un peu plus de transparence de la part de tous les services que l'on utilise au quotidien afin de savoir s'ils sont affectés ou non par la vulnérabilité, s'ils ont corrigé le problème et enfin déterminer s'il faut ou non changer ses mots de passe. Nos confrères de Mashable se sont par ailleurs déjà fendus d'une liste conseillant aux utilisateurs de Facebook, Tumblr, Google et Yahoo d'en passer par là au plus vite.
|
Scoop.it!
Les antivirus ont ces temps-ci mauvaise presse. Certains estiment qu’ils sont un poison pour l’écosystème logiciel, d’autres ont trouvé des failles de sécurité dans différentes solutions. Sur ce dernier point, des chercheurs en sécurité de Cybellum, viennent de présenter une technique de piratage, baptisée DoubleAgent.
Stéphane NEREAU's insight:
Cette méthode, qualifiée de Zero Day par la firme israélienne, donne le pouvoir à un attaquant de détourner les anti-virus et les forcer à injecter du code malveillant. Elle est redoutable selon Cybellum, car elle touche toutes les versions de Windows (de XP à la version 10), l’ensemble des architectures (32 bits ou 64 bits) et l’ensemble des utilisateurs (administrateur système et autres).
Scoop.it!
Une équipe de chercheurs a découvert une faille de sécurité dans les systèmes permettant d'ouvrir et de fermer à distance les portes et le coffre de voiture, rapporte la presse allemande.
Stéphane NEREAU's insight:
Des chercheurs en Allemagne et en Grande-Bretagne ont mis au jour une faille de sécurité dans le système d'ouverture et de fermeture à distance d'environ 100 millions de véhicules dans le monde, rapporte jeudi la presse allemande.
Scoop.it!
Exploitant une faille de Windows XP mais également de Seven et Vista, un groupe de cybercriminels russe a réussi à activer le botnet Qbot fort 500 000 PC zombies, essentiellement localisés aux Etats-Unis. Son objectif : Aspirer les identifiants bancaires des utilisateurs de ces PC corrompus.
Stéphane NEREAU's insight:
Des pirates russes à l'origine du botnet Qbot ont construit une impressionnante armée de 500 000 PC zombies en exploitant des failles non corrigées dans des ordinateurs tournant sous Windows XP mais également Windows 7 et Vista. Des PC localisés principalement aux Etats-Unis, a fait savoir la société Proofpoint. Ces derniers temps, les hackers russes ont fait monter la pression avec des incursions sérieuses telle que l'attaque qui a visé la banque américaine JPMorgan Chase. Avec ce botnet, baptisé Qbot, les chercheurs de Proofpoint ont fait ressortir que le groupe qui est à l'origine de sa création l'a élaboré de façon méticuleuse à travers le temps, sans faire de vague, au point de rester sous les radars des sociétés de sécurité et donc de ne pas avoir attiré leur attention.
Scoop.it!
Stéphane NEREAU's insight:
Le pirate n’aurait jamais réussi à hacker tous ces comptes iCloud si les victimes, aussi vedettes soient-elles, n’avaient pas pris la sécurité de leur compte Apple à la légère. Elles auraient par exemple pu :
Scoop.it!
Une faille dans le système d'authentification à deux niveaux de PayPal est révélée et expliquée par un utilisateur qui en avait informé l'opérateur de service de paiement sur Internet, il y a deux mois, sans que le problème soit corrigé. Via Frederic GOUTH
Scoop.it!
La société de sécurité informatique BlueBox a annoncé ce mardi 29 juillet qu'elle avait découvert une faille dans Android. Cette faille remonte à 2010 et la version 2.1 d'Android, mais elle n'avait jamais été remarquée jusque-là.
Stéphane NEREAU's insight:
La faille a été surnommé « Fake ID » (fausse pièce d'identité en français), parce que, comme l'explique le site spécialisé Ars Technica : « Elle permet un accès spécial aux ressources Android qui sont normalement hors-limites à des applications malveillantes. Un peu comme un permis de conduire frauduleux qu'un adolescent pourrait utiliser pour rentrer dans un endroit interdit aux mineurs. »
Scoop.it!
La communauté Linux vient de corriger une faille qui touche le noyau de l’OS open source. Cette vulnérabilité de corruption de mémoire existe dans le kernel depuis 2009.
Stéphane NEREAU's insight:
Ce bug montre la problématique de maintenir à jour et donc de corriger certains éléments du code dans les projets Open Source. La faille Heartbleed a montré les limites des tests et de la maintenance du code sur la librairie de chiffrement SSL. La vulnérabilité existait depuis au moins deux ans. Les grands acteurs du web se sont mobilisés financièrement et techniquement pour apporter leur soutien et leur aide aux projets Open Source clés.
Scoop.it!
Microsoft a distribué cette semaine un correctif de sécurité exceptionnel visant à combler une faille de sécurité affectant les principales versions de son navigateur Internet Explorer. Bien qu'il ne soit normalement plus couvert par le support, Windows XP est aussi concerné.
Stéphane NEREAU's insight:
La découverte a fait grand bruit : en début de semaine, Microsoft a signalé l'existence d'une faille de sécurité critique au sein des différentes versions de son navigateur, Internet Explorer. Exploitable par l'intermédiaire du lecteur Flash, celle-ci a même poussé le centre d'alerte aux attaques informatiques du département de la sécurité intérieure des Etats-Unis (US-CERT) à conseiller aux utilisateurs concernés de migrer vers un autre navigateur, le temps que la vulnérabilité soit comblée.
Scoop.it!
Voici la marche à suivre pour déjouer, en entreprise, une attaque utilisant la première faille zero day du navigateur de Microsoft depuis la fin du support de Windows XP.
Stéphane NEREAU's insight:
Au final, l’action la plus importante à faire sera de mettre à jour l’ensemble des postes utilisateurs lorsque Microsoft fournira un patch pour cette faille. Mais l’éditeur pourrait très bien attendre la prochaine livraison de ses patches Tuesday prévue le 13 mai. Et « il faut avoir conscience que la faille est valide pour les versions 6 à 11 d’Internet Explorer. Des postes ont donc pu être corrompus depuis longtemps », conclut Jimmy Casse.
Scoop.it!
Microsoft a découvert, dans toutes les versions de son navigateur Internet Explorer, une nouvelle faille de sécurité activement exploitée. L’éditeur travaille sur un correctif d’urgence.
Stéphane NEREAU's insight:
La faille en question est déclenchée par l’ouverture d’une page Web malicieuse ou d’un e-mail piégé. Son exploitation peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.
Scoop.it!
Les 1000 premiers sites les plus visités du web sont protégés contre la vulnérabilité Heartbleed. Mais sur le premier million de sites, 2 % d'entre eux n'ont pas encore corrigé le problème.
Stéphane NEREAU's insight:
Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.
Scoop.it!
Une faille présente dans un dispositif de sécurité utilisé par de nombreux sites permet d'accéder à de nombreuses données sensibles d'internautes, comme les mots de passe.
Stéphane NEREAU's insight:
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet. Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent. Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.
|
L'entreprise spécialisée en cybersécurité, F-Secure, a repéré une faille de sécurité présente dans les serrures électroniques de chambres d'hôtels. Ce sont les modèles « vision », commercialisés par l'entreprise Assa Abloy, qui sont pointés du doigt. Des millions de chambres à travers le monde en sont équipées, notamment au sein des plus grandes chaînes hôtelières. Cette faille permet à des hackers expérimentés d'ouvrir n'importe quelle chambre, sans être repérés. Contacté par « Les Echos Executives », Christophe Sut, vice-président exécutif du groupe Assa Abloy, explique qu'aujourd'hui, « 3 à 6 % des chambres d'hôtels du monde entier seraient toujours équipées de ces serrures ». Explications.