Your new post is loading...
Your new post is loading...
Selon une étude de Cisco, les salariés ne se sentiraient pas assez concernés par les menaces de cyber-attaques, pêchant par ignorance ou manque d'intérêt.
Selon une étude réalisée par des chercheurs en sécurité qui doit être présentée aujourd'hui à San Diego dans le cadre du Usenix Security Symposium (20-22 août), sur 48 000 extensions pour le navigateur Chrome de Google, un nombre important sont utilisées pour la fraude en affiliation et le vol de données, et la plupart du temps, leurs actions sont indétectables par l'utilisateur. Ce rapport laisse présager un nombre croissant de problèmes de sécurité autour des extensions dans la mesure où les cybercriminels cherchent à tirer profit des données riches contenues dans les navigateurs Web.
Depuis la mi-mai, moins de 10 000 serveurs auraient bénéficié des correctifs adéquats pour les protéger de la vulnérabilité touchant la bibliothèque logicielle OpenSSL.
La précipitation de certains à vouloir se protéger au plus vite contre la faille Heartbleed a conduit à des erreurs. Par exemple, certaines rééditions de certificats SSL ont repris la même clé vulnérable que celle qu'elle était censée remplacer. Parfois, certains sites ont migré leurs serveurs vers une version d'OpenSSL non corrigée.
Un chercheur en sécurité a découvert que certains forums cybercriminels sont concernés par la faille OpenSSL, laissant la porte ouverte pour espionner les activités illégales qu’ils croient protégées du monde extérieur.
Eviter qu'un nouvel Heartbleed ne cause davantage de dégâts. C'est ce qui a conduit Microsoft, IBM, Google, Facebook, VMware et 8 autres grands noms de l'industrie informatique mondiale à vouloir renforcer la sécurité des projets Open Source les plus sensibles. Ils rejoignent l'initiative Core Infrastructure supportée par la fondation Linux.
La faille informatique baptisée Heartbleed est maintenant réparée. Mais les entreprises ont beaucoup à apprendre de ce malheureux épisode. La confidentialité des données de leurs clients a été mise en danger.
Selon les experts de la Deutsche Bank le Japon va installer entre 6000 et 7000 MW de solaire PV durant la seule année 2014. En termes de production électrique, c’est donc au total l’équivalent d’environ deux centrales nucléaire EPR qui a été installé durant les deux années 2013 et 2014 au pays du soleil levant. Soit environ un EPR par an. Et plus de 7 centrales nucléaires EPR en termes de puissance installée. Le chantier solaire japonais est bien plus rapide que celui du réacteur EPR de Flamanville en France.
Le réseau mondial d'anonymisation des échanges The Onion Router (Tor) a bloqué 380 noeuds d'entrée et de sortie au motif qu'ils sont vulnérables à la faille Heartbleed. Et 1000 autres sous surveillance pourraient être également interdits.
Kaspersky Lab met en garde contre les correctifs d'urgence livrés par les fabricants. Selon un chercheur de l'entreprise de sécurité, entre l'application du correctif et le redémarrage, des attaques sont possibles.
Réparer l'importante faille informatique Heartbleed, découverte la semaine dernière, pourrait selon des experts américains en sécurité informatique perturber et ralentir internet le temps que son antidote soit généralisé.
Via Stephane Manhes
Depuis le début de la semaine, le petit monde de la sécurité est affolé par une faille : Heartbleed. Nous vous en avions parlé en détail par ici, ou de manière plus simple par là, mais l'ampleur des dégâts ne semble pas encore être perçue de manière claire. Alors que tout le monde se focalise sur les géants du net grâce à un article de Mashable, vous devez en fait surtout vous méfier de ceux qui ne disent rien et qui constituent le gros des troupes.
Au Royaume-Uni, un forum destiné aux mamans britanniques a été siphonné avant que le correctif n’ait pu être installé. Au Canada, 900 numéros d’assurance sociale ont été dérobés.
|
Timing des attaques, sites vulnérables, rapidité de mises à jour... : quelques mois après la divulgation de Heartbleed, une étude dresse un bilan complet.
D'après le consultant en cyber-sécurité Robert David Graham, plus de 300 000 serveurs informatiques restent vulnérables aux failles d'Heartbleed, le fameux "bug" révélé par un ingénieur de Google en avril dernier.
Un chercheur en sécurité portugais a découvert une méthode d’attaque baptisée « Cupidon » basée sur la faille Heartbleed. Le vecteur ici n’est pas le web, mais le réseau WiFi et les terminaux Android.
Un mois après la découverte de la faille dans la libraire OpenSSL, des chercheurs ont constaté qu’il restait encore près de 320 000 serveurs vulnérables sur le Net.
Développer une variante d’OpenSSL, largement allégée et nettoyée. C’est l’ambition de Theo de Raadt, fondateur d’OpenBSD à l’origine de cette initiative. Soutenue par la fondation OpenBSD, celle-ci doit fournir le code d’une nouvelle librairie de chiffrement appelée LibreSSL. Cette dernière s'appuie sur le code d’OpenSSL dans sa version 1.0.1g, dans laquelle la vulnérabilité Heartbleed a déjà été corrigée. Des bugs ont déjà été identifiés et corrigés dans cette base. Mais, surtout, il s’agit de nettoyer en profondeur le code en supprimant par exemple les éléments nécessaires à la compilation de la librairie pour MacOS, Netware, OS/2, VMS ou encore Windows pour se concentrer sur les environnements Unix. La fonctionnalité Heartbeat dans laquelle la vulnérabilité Heartbleed trouvait son origine a été également supprimée.
Les 1000 premiers sites les plus visités du web sont protégés contre la vulnérabilité Heartbleed. Mais sur le premier million de sites, 2 % d'entre eux n'ont pas encore corrigé le problème.
A l’heure où le Cloud Computing séduit de plus en plus d’entreprises, des risques pèsent sur leurs données. Qu’il s’agisse de coupure de service et donc d’accès aux données, de problèmes de piratage ou de cadre juridiques parfois flous qui entourent la propriété intellectuelle des données stockées en ligne.
La faille Heartbleed, ses implications et les questions qu'elle pose, c'est le sujet de notre dernière émission 14h42. Mais au-delà de ces questions de sécurité informatique, la faille Heartbleed met aussi en lumière le statut du logiciel libre.
Via Pascal Paul
La faille Heartbleed dans la solution de chiffrement open source OpenSSL, largement utilisée sur le Web, fait couler beaucoup d’encre et a remis en cause la qualité du code des produits open source. Pour certains, c’est l’une des pires failles qu’aurait connues le monde de l’IT.
Via Serge FLEITH, Pascal Paul
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Alors que le monde entier découvrait la semaine dernière l’existence d’une importante faille au sein d’OpenSSL, le protocole de cryptage utilisé pour protéger nos données personnelles, la NSA est accusé d’en avoir eu connaissance et de l’avoir exploitée, faisant ainsi courir des risques majeurs aux internautes et entreprises.
Révélée il y a quelques jours, la méga-faille Heartbleed a mis en ébullition toute la Toile, impactant plus d’un demi-million de serveurs web dans le monde. Voici tout ce qu’il faut savoir sur ce bogue, pour le comprendre et se protéger.
|
Selon cette étude, 41% des salariés français interrogés se sentiraient peu ou pas concernés par la politique de sécurité de l'entreprise même s'ils pensent que leur comportement est l'une des trois principales menaces pour la sécurité des données, derrière la cybercriminalité (46%) et l'hacktivisme (57%).