Selon une étude de Cisco, les salariés ne se sentiraient pas assez concernés par les menaces de cyber-attaques, pêchant par ignorance ou manque d'intérêt.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Selon une étude réalisée par des chercheurs en sécurité qui doit être présentée aujourd'hui à San Diego dans le cadre du Usenix Security Symposium (20-22 août), sur 48 000 extensions pour le navigateur Chrome de Google, un nombre important sont utilisées pour la fraude en affiliation et le vol de données, et la plupart du temps, leurs actions sont indétectables par l'utilisateur. Ce rapport laisse présager un nombre croissant de problèmes de sécurité autour des extensions dans la mesure où les cybercriminels cherchent à tirer profit des données riches contenues dans les navigateurs Web.
Stéphane NEREAU's insight:
Pour contrer ces attaques, le chercheur et certains de ses collègues de Princeton ont reconstruit l'architecture de cache de façon à ce que les traces laissées par la victime soient effectivement effacées, ce qui rend les attaques side channel plus difficiles. Cette nouvelle architecture de cache, appelée Newcache, pourrait remplacer le cache et la mémoire des systèmes vulnérables actuels. « Le Département de la sécurité intérieure américain aimerait que l'industrie adopte certaines de ces techniques », a déclaré le chercheur. Le Newcache est structuré comme un cache standard, mais il est doté d'une cartographie dynamique et aléatoire de sorte que les attaquants auront plus de difficultés à associer l'usage mémoire avec les bits de la clé. Ils auront plus de mal à localiser les données en cache et à les extraire. « La cible devient mobile de sorte que l'attaquant ne peut pas accéder aux données ou revenir dans un système qui conserve toujours la même configuration », a déclaré Ruby Lee. 
Scoop.it!
Depuis la mi-mai, moins de 10 000 serveurs auraient bénéficié des correctifs adéquats pour les protéger de la vulnérabilité touchant la bibliothèque logicielle OpenSSL.
Stéphane NEREAU's insight:
Selon Robert Graham, le nombre de serveurs exposés à Heartbleed va décroître progressivement grâce au remplacement « naturel » d’anciens systèmes par de nouveaux déjà protégés. Mais il restera encore « des milliers de serveurs vulnérables dans 10 ans ». Ses mesures sont à mettre en parallèle de celles réalisées par Ivan Ristic dans le cadre du projet SSL Pulse : alors que que 30% des 155 000 sites Web les plus visités au monde étaient potentiellement exposés en avril, ils n’étaient plus que 1291 en mai (soit 0,8%), mais sont encore 1044 en juin.
Scoop.it!
La précipitation de certains à vouloir se protéger au plus vite contre la faille Heartbleed a conduit à des erreurs. Par exemple, certaines rééditions de certificats SSL ont repris la même clé vulnérable que celle qu'elle était censée remplacer. Parfois, certains sites ont migré leurs serveurs vers une version d'OpenSSL non corrigée.
Stéphane NEREAU's insight:
Par contre, ce n'est pas le cas des quelque 20 % de serveurs rendus vulnérables et qui ne l'étaient pas quand l'attaque a été révélée : selon une étude réalisée par le développeur de logiciels Yngve Nysæter Pettersen, il semble que certains opérateurs ont remplacé des versions sûres d'OpenSSL par des versions non corrigées. « Il est possible que le battage médiatique autour d'OpenSSL a conduit certains administrateurs à croire que leur système n'était pas sécurisé ». Plus la pression administrative et la nécessité « de ne pas rester sans rien faire », les aurait pousser « à déclencher la mise à niveau d'un serveur non affecté avec une nouvelle version non corrigée du système, probablement parce que la variante n'avait pas encore été officiellement patchée », a-t-il suggéré. Nysæter Pettersen a démarré son scan le 11 avril : au cours des deux semaines qui ont suivi, près de la moitié des serveurs vulnérables avaient été corrigés. Globalement, le nombre de serveurs tournant avec une version vulnérable d'OpenSSL a baissé de 5,36 % à 2,77 %. Cependant, l'application de correctif sur les serveurs vulnérables a presque complètement cessé. « Mercredi dernier, 2,33 % des serveurs n'avaient toujours pas été corrigés », a-t-il encore ajouté.
Scoop.it!
Un chercheur en sécurité a découvert que certains forums cybercriminels sont concernés par la faille OpenSSL, laissant la porte ouverte pour espionner les activités illégales qu’ils croient protégées du monde extérieur.
Stéphane NEREAU's insight:
Si cette découverte a le mérite d’exposer les activités de cybercriminels – une sorte de juste retour des choses – elle prouve également à quel point Heartbleed est dangereux. Ses conséquences et son utilisation ne sont pas prêtes de disparaître.
Scoop.it!
Eviter qu'un nouvel Heartbleed ne cause davantage de dégâts. C'est ce qui a conduit Microsoft, IBM, Google, Facebook, VMware et 8 autres grands noms de l'industrie informatique mondiale à vouloir renforcer la sécurité des projets Open Source les plus sensibles. Ils rejoignent l'initiative Core Infrastructure supportée par la fondation Linux.
Stéphane NEREAU's insight:
Comme on pouvait s'y attendre, OpenSSL est le projet qui figure en haut de ses priorités. La faille découverte au début du mois dans la bibliothèque de chiffrement, utilisée par des millions de sites web pour chiffrer leurs communications via SSL (Secure Sockets Layer) et TLS (Transport Layer Security), a plongé l'ensemble de l'industrie informatique dans l'urgence. Tous les fournisseurs ont l'un après l'autre publié des correctifs et continuent à travailler d'arrache-pied pour corriger ceux de leurs produits qui prêtent encore le flanc à la vulnérabilité. Si elle est exploitée, la faille permet à un attaquant de voler des données sensibles sur les systèmes affectés, tels que les identifiants des comptes et les mots de passe. En début de semaine, les 1 000 premiers sites web au niveau mondial avaient été patchés mais un certain nombre d'autres sites devaient encore appliquer des correctifs.
Scoop.it!
La faille informatique baptisée Heartbleed est maintenant réparée. Mais les entreprises ont beaucoup à apprendre de ce malheureux épisode. La confidentialité des données de leurs clients a été mise en danger.
Stéphane NEREAU's insight:
Prises en défaut, les entreprises victimes de Heartbleed se sont faites plutôt discrètes. La presse spécialisée, notamment NextInpact, s’en est fait l’écho. Victimes de vols de données récemment, le distributeur américain Target et, dans une autre affaire, Orange avaient adopté la même attitude. « OpenSSL, ce n’est pas quelque chose qui parle au public mais il faut communiquer », considère Thierry Karsenti. Certes, dans le cas précis d’Heartbleed, il était compliqué d’identifier les personnes qui ont pu être victimes. Mais ne rien dire est tout aussi difficile pour les entreprises. Leurs clients peuvent douter de la sécurité de leur site. L’Agence Nationale de Sécurité des Systèmes d’information préconise de changer de mots de passe sur les plate-forme touchées par Heartbleed.
Scoop.it!
Selon les experts de la Deutsche Bank le Japon va installer entre 6000 et 7000 MW de solaire PV durant la seule année 2014. En termes de production électrique, c’est donc au total l’équivalent d’environ deux centrales nucléaire EPR qui a été installé durant les deux années 2013 et 2014 au pays du soleil levant. Soit environ un EPR par an. Et plus de 7 centrales nucléaires EPR en termes de puissance installée. Le chantier solaire japonais est bien plus rapide que celui du réacteur EPR de Flamanville en France.
Stéphane NEREAU's insight:
Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché. En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.
Scoop.it!
Le réseau mondial d'anonymisation des échanges The Onion Router (Tor) a bloqué 380 noeuds d'entrée et de sortie au motif qu'ils sont vulnérables à la faille Heartbleed. Et 1000 autres sous surveillance pourraient être également interdits.
Stéphane NEREAU's insight:
Tor Project a identifié 380 relais vulnérables à la faille critique Heartbleed et a bloqué leur accès au réseau d'anonymisation, réduisant ses capacités d'entrée et de sortie. Roger Dingledine, chef de file du projet Tor, a modifié l'autorité d'annuaire de Tor, un serveur qui gère la liste des noeuds dont il a la responsabilité. D'autres opérateurs de l'autorité d'annuaire devraient faire de même.
Scoop.it!
Kaspersky Lab met en garde contre les correctifs d'urgence livrés par les fabricants. Selon un chercheur de l'entreprise de sécurité, entre l'application du correctif et le redémarrage, des attaques sont possibles.
Stéphane NEREAU's insight:
Ce dernier conseille aux administrateurs des services informatiques qui ont commencé à faire les réparations nécessaires de faire attention à certains détails. Par exemple, ils doivent se préoccuper de l'endroit où ils stockent leurs certificats. « C'est le genre de situation où des groupes de hackers peuvent voler des actifs dans l'entreprise sans se faire remarquer », a déclaré Kurt Baumgartner. « S'ils trouvent les certificats, les attaquants pourront les utiliser plus tard pour s'infiltrer dans les systèmes informatiques de l'entreprise. Et cela risque probablement d'arriver dans certains cas », a-t-il ajouté. « Je suis sûr que l'on entendra parler de ces vols dans six mois à un an », a affirmé le chercheur.
Scoop.it!
Réparer l'importante faille informatique Heartbleed, découverte la semaine dernière, pourrait selon des experts américains en sécurité informatique perturber et ralentir internet le temps que son antidote soit généralisé. Via Stephane Manhes
Stéphane NEREAU's insight:
La bonne nouvelle est que la plupart des grands sites vulnérables ont mis à jour leurs systèmes. Mais la mauvaise nouvelle est que les navigateurs (Chrome, Firefox, Internet Explorer. ..) risquent d'être surchargés par le renouvellement nécessaire des certificats de sécurité, ce qui pourrait conduire à des messages d'erreur et ralentir l'accès à certains sites, explique à l'AFP Johannes Ullrich, du SANS Internet Storm Center.
Stephane Manhes's curator insight,
April 16, 2014 3:21 AM
Les navigateurs peuvent habituellement mettre à jour quelques dizaines de clés par jour, mais à cause d'Heartbleed, la liste pourrait se monter à plusieurs dizaines de milliers. Et si la vérification dure trop longtemps, les navigateurs pourraient simplement déclarer le site invalide ou retourner un message d'erreur.
Scoop.it!
Stéphane NEREAU's insight:
La CNIL propose déjà un guide de base pour ce qui est de choisir vos mots de passe. Mais cela n'est pas tout. N'oubliez pas d'utiliser des mots de passe différents, surtout sur les services sensibles, et si possible de les renouveler de temps en temps, sans attendre qu'une faille énorme touche une majorité de sites web. De plus, sur des sites importants comme ceux de votre banque, les réseaux sociaux, l'accès à vos emails, il existe en général des procédures de sécurité complémentaires comme l'authentification en deux étapes (2FA), le fait d'indiquer si vous êtes sur un ordinateur de confiance ou non : utilisez-les !
Scoop.it!
Au Royaume-Uni, un forum destiné aux mamans britanniques a été siphonné avant que le correctif n’ait pu être installé. Au Canada, 900 numéros d’assurance sociale ont été dérobés.
Stéphane NEREAU's insight:
Il est probable, malheureusement, que ces deux piratages ne resteront pas isolés. D’autres vols de données seront certainement découverts dans les jours ou semaines qui viennent.
|
Scoop.it!
Stéphane NEREAU's insight:
Si la réponse de la communauté Web est plutôt satisfaisante en matière de patching, elle l’est beaucoup moins en matière de certificats. Rappelons que l’exploitation de la faille permet, en théorie, de récupérer en mémoire des informations sensibles, comme des clefs cryptographiques. En avril dernier, Arnaud Soullie, auditeur chez Solucom, expliquait dans nos colonnes : « Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n’étaient pas concernés par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée ». Dans les faits, moins d’un quart des sites faisant partie du premier million du classement Alexa ont remplacé leurs certificats dans la semaine suivant la divulgation. Si les sites les plus populaires ont réagi très vite, seul 10 % de ceux qui étaient encore vulnérables 48 heures après la divulgation ont changé leurs certificats dans le mois qui a suivi. Et, parmi ces « bons élèves », 14 % ont ‘oublié’ de renouveler leur clef privée… annulant par là même le bénéfice provenant du remplacement des certificats.
Scoop.it!
D'après le consultant en cyber-sécurité Robert David Graham, plus de 300 000 serveurs informatiques restent vulnérables aux failles d'Heartbleed, le fameux "bug" révélé par un ingénieur de Google en avril dernier.
Scoop.it!
Un chercheur en sécurité portugais a découvert une méthode d’attaque baptisée « Cupidon » basée sur la faille Heartbleed. Le vecteur ici n’est pas le web, mais le réseau WiFi et les terminaux Android.
Stéphane NEREAU's insight:
Cette nouvelle méthode d’attaque montre les besoins en sécurité des projets Open Source. Les grands acteurs de l’IT (Microsoft, Facebook, Google et plus récemment Salesforce ou Adobe) se sont mobilisés pour apporter leur aide technique et financière dans la sécurisation et les tests des projets Open Source critiques. La Core Initiative Infrastructure, présidée par la Fondation Linux, vient de dresser la liste des projets prioritaires. Sans surprise, OpenSSL arrive en tête après l’affaire Heartbleed. On constate également que l’accent va porter sur OpenSSH et le Network Time Protocol (NTP). Ce dernier inquiète particulièrement les spécialistes en sécurité par son usage dans les récentes attaques DDoS par amplification.
Scoop.it!
Un mois après la découverte de la faille dans la libraire OpenSSL, des chercheurs ont constaté qu’il restait encore près de 320 000 serveurs vulnérables sur le Net.
Stéphane NEREAU's insight:
Malgré cet arsenal et cette médiatisation, le bug Heartbleed continue à faire parler de lui. Selon Robert Graham, chercheur en sécurité pour Errata Security a évalué à plus de 320 000 (318 239 pour être exact) le nombre de serveurs encore vulnérables à la faille Heartbleed. Pour trouver ce chiffre, il a scanné des millions de serveurs sur le port 443 qui est utilisé pour les communications TLS/SSL. A la découverte de la faille, plus de 600 000 serveurs étaient exposés. Robert Graham reste prudent sur ce chiffre de 320 000 en indiquant qu’il existe d’autres tests que le port 443 et qu’il peut donc y avoir plus de serveurs vulnérables.
Scoop.it!
Développer une variante d’OpenSSL, largement allégée et nettoyée. C’est l’ambition de Theo de Raadt, fondateur d’OpenBSD à l’origine de cette initiative. Soutenue par la fondation OpenBSD, celle-ci doit fournir le code d’une nouvelle librairie de chiffrement appelée LibreSSL. Cette dernière s'appuie sur le code d’OpenSSL dans sa version 1.0.1g, dans laquelle la vulnérabilité Heartbleed a déjà été corrigée. Des bugs ont déjà été identifiés et corrigés dans cette base. Mais, surtout, il s’agit de nettoyer en profondeur le code en supprimant par exemple les éléments nécessaires à la compilation de la librairie pour MacOS, Netware, OS/2, VMS ou encore Windows pour se concentrer sur les environnements Unix. La fonctionnalité Heartbeat dans laquelle la vulnérabilité Heartbleed trouvait son origine a été également supprimée.
Stéphane NEREAU's insight:
En attendant, la vulnérabilité Heartbleed continue d’être exploitée par les pirates. Mandiant relève ainsi qu’elle a été mise à profit contre une appliance VPN pour détourner des sessions d’utilisateurs actives et, ainsi, contourner les mécanismes d’authentification à facteurs multiples.
Scoop.it!
Les 1000 premiers sites les plus visités du web sont protégés contre la vulnérabilité Heartbleed. Mais sur le premier million de sites, 2 % d'entre eux n'ont pas encore corrigé le problème.
Stéphane NEREAU's insight:
Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.
Scoop.it!
A l’heure où le Cloud Computing séduit de plus en plus d’entreprises, des risques pèsent sur leurs données. Qu’il s’agisse de coupure de service et donc d’accès aux données, de problèmes de piratage ou de cadre juridiques parfois flous qui entourent la propriété intellectuelle des données stockées en ligne.
Stéphane NEREAU's insight:
Au final, si les entreprises européennes doivent prendre conscience que la protection des données est essentielle à leur succès mais, qu’au-delà de l’aspect technique, elles doivent également prendre en compte les éléments juridiques et organisationnels essentiels à la protection des données.
Scoop.it!
La faille Heartbleed, ses implications et les questions qu'elle pose, c'est le sujet de notre dernière émission 14h42. Mais au-delà de ces questions de sécurité informatique, la faille Heartbleed met aussi en lumière le statut du logiciel libre. Via Pascal Paul
Stéphane NEREAU's insight:
Surtout, elle démontre que de nombreuses entreprises utilisent des logiciels libres sans jamais contribuer à leur financement. Cela contrevenant à l'esprit même du libre : le principe du don contre don. Libération rappelait cette semaine que la page sponsors du logiciel libre OpenSSL ne compte que...quatre donateurs.
Scoop.it!
La faille Heartbleed dans la solution de chiffrement open source OpenSSL, largement utilisée sur le Web, fait couler beaucoup d’encre et a remis en cause la qualité du code des produits open source. Pour certains, c’est l’une des pires failles qu’aurait connues le monde de l’IT. Via Serge FLEITH, Pascal Paul
Stéphane NEREAU's insight:
Une nouvelle fois, le code Linux est étiqueté comme code de référence pour l’open source. Sur plus de 8,5 millions de lignes de code Linux analysées par Coverity en 2013, une densité de défauts de 0,61 a été trouvée dans le noyau. Depuis 2008, la densité du code Linux a toujours été en dessous de 1.
Scoop.it!
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Stéphane NEREAU's insight:
Heartbleed et après ?
Scoop.it!
Alors que le monde entier découvrait la semaine dernière l’existence d’une importante faille au sein d’OpenSSL, le protocole de cryptage utilisé pour protéger nos données personnelles, la NSA est accusé d’en avoir eu connaissance et de l’avoir exploitée, faisant ainsi courir des risques majeurs aux internautes et entreprises.
Stéphane NEREAU's insight:
Un porte-parole du Conseil de sécurité nationale a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille. « Le gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l’OpenSSL. »
Scoop.it!
Révélée il y a quelques jours, la méga-faille Heartbleed a mis en ébullition toute la Toile, impactant plus d’un demi-million de serveurs web dans le monde. Voici tout ce qu’il faut savoir sur ce bogue, pour le comprendre et se protéger.
Stéphane NEREAU's insight:
Dans une note de blog, le cabinet Lexsi décortique cette faille de manière technique, sur la base du code. Le dessinateur Randall Munroe, de son côté, a réussi à expliquer cette faille de manière simple et illustrative, en six vignettes (voir image).
|
Selon cette étude, 41% des salariés français interrogés se sentiraient peu ou pas concernés par la politique de sécurité de l'entreprise même s'ils pensent que leur comportement est l'une des trois principales menaces pour la sécurité des données, derrière la cybercriminalité (46%) et l'hacktivisme (57%).