Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Un chercheur en sécurité portugais a découvert une méthode d’attaque baptisée « Cupidon » basée sur la faille Heartbleed. Le vecteur ici n’est pas le web, mais le réseau WiFi et les terminaux Android.
Stéphane NEREAU's insight:
Cette nouvelle méthode d’attaque montre les besoins en sécurité des projets Open Source. Les grands acteurs de l’IT (Microsoft, Facebook, Google et plus récemment Salesforce ou Adobe) se sont mobilisés pour apporter leur aide technique et financière dans la sécurisation et les tests des projets Open Source critiques. La Core Initiative Infrastructure, présidée par la Fondation Linux, vient de dresser la liste des projets prioritaires. Sans surprise, OpenSSL arrive en tête après l’affaire Heartbleed. On constate également que l’accent va porter sur OpenSSH et le Network Time Protocol (NTP). Ce dernier inquiète particulièrement les spécialistes en sécurité par son usage dans les récentes attaques DDoS par amplification. 
Scoop.it!
Selon les experts de la Deutsche Bank le Japon va installer entre 6000 et 7000 MW de solaire PV durant la seule année 2014. En termes de production électrique, c’est donc au total l’équivalent d’environ deux centrales nucléaire EPR qui a été installé durant les deux années 2013 et 2014 au pays du soleil levant. Soit environ un EPR par an. Et plus de 7 centrales nucléaires EPR en termes de puissance installée. Le chantier solaire japonais est bien plus rapide que celui du réacteur EPR de Flamanville en France.
Stéphane NEREAU's insight:
Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché. En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.
Scoop.it!
Révélée il y a quelques jours, la méga-faille Heartbleed a mis en ébullition toute la Toile, impactant plus d’un demi-million de serveurs web dans le monde. Voici tout ce qu’il faut savoir sur ce bogue, pour le comprendre et se protéger.
Stéphane NEREAU's insight:
Dans une note de blog, le cabinet Lexsi décortique cette faille de manière technique, sur la base du code. Le dessinateur Randall Munroe, de son côté, a réussi à expliquer cette faille de manière simple et illustrative, en six vignettes (voir image).
Scoop.it!
La faille Heartbleed, qui affecte le protocole OpenSSL, touche également certains produits de Cisco et de Juniper, ont confirmé les deux fournisseurs. Dans des bulletins de sécurité, les deux entreprises américaines expliquent que la faille affecte aussi des routeurs, des switch et des pare-feu.
Stéphane NEREAU's insight:
L’évaluation des conséquences de ce séisme n’est pas encore achevée. Cisco, par exemple, a confirmé qu’une vingtaine de ses produits étaient concernés, mais publie également une liste d’une soixantaine de solutions suspectes. De même, Juniper poursuit ses analyses d’impact sur d’autres produits. La liste des victimes est donc susceptible de s’allonger. Y compris à d’autres constructeurs.
Scoop.it!
Cette faille a été baptisée Heartbleed, le coeur qui saigne, par jeu de mots avec Heartbeat, nom d'une extension au protocole SSL/TSL qui est vulnérable. La faille a été mise en évidence par des chercheurs en sécurité de codenomicon et des experts en sécurité de Google.
Stéphane NEREAU's insight:
Si vous êtes touchés, vous devez mettre à jour votre librairie openssl. Vous devez le faire toutes affaires cessantes, car maintenant que la faille est connue de tous, nul doute que les hackers vont essayer son exploit sur quantités de serveurs, dans l'espoir de profiter de la négligence des administrateurs systèmes. Puis vous devrez au minimum réinitialiser les mots de passe de vos utilisateurs.
|
Scoop.it!
Depuis la mi-mai, moins de 10 000 serveurs auraient bénéficié des correctifs adéquats pour les protéger de la vulnérabilité touchant la bibliothèque logicielle OpenSSL.
Stéphane NEREAU's insight:
Selon Robert Graham, le nombre de serveurs exposés à Heartbleed va décroître progressivement grâce au remplacement « naturel » d’anciens systèmes par de nouveaux déjà protégés. Mais il restera encore « des milliers de serveurs vulnérables dans 10 ans ». Ses mesures sont à mettre en parallèle de celles réalisées par Ivan Ristic dans le cadre du projet SSL Pulse : alors que que 30% des 155 000 sites Web les plus visités au monde étaient potentiellement exposés en avril, ils n’étaient plus que 1291 en mai (soit 0,8%), mais sont encore 1044 en juin.
Scoop.it!
Un mois après la découverte de la faille dans la libraire OpenSSL, des chercheurs ont constaté qu’il restait encore près de 320 000 serveurs vulnérables sur le Net.
Stéphane NEREAU's insight:
Malgré cet arsenal et cette médiatisation, le bug Heartbleed continue à faire parler de lui. Selon Robert Graham, chercheur en sécurité pour Errata Security a évalué à plus de 320 000 (318 239 pour être exact) le nombre de serveurs encore vulnérables à la faille Heartbleed. Pour trouver ce chiffre, il a scanné des millions de serveurs sur le port 443 qui est utilisé pour les communications TLS/SSL. A la découverte de la faille, plus de 600 000 serveurs étaient exposés. Robert Graham reste prudent sur ce chiffre de 320 000 en indiquant qu’il existe d’autres tests que le port 443 et qu’il peut donc y avoir plus de serveurs vulnérables.
Scoop.it!
Stéphane NEREAU's insight:
La CNIL propose déjà un guide de base pour ce qui est de choisir vos mots de passe. Mais cela n'est pas tout. N'oubliez pas d'utiliser des mots de passe différents, surtout sur les services sensibles, et si possible de les renouveler de temps en temps, sans attendre qu'une faille énorme touche une majorité de sites web. De plus, sur des sites importants comme ceux de votre banque, les réseaux sociaux, l'accès à vos emails, il existe en général des procédures de sécurité complémentaires comme l'authentification en deux étapes (2FA), le fait d'indiquer si vous êtes sur un ordinateur de confiance ou non : utilisez-les !
Scoop.it!
Au Canada, des pirates ont pu récupérer les numéros de sécurité sociale de 900 personnes sur le site de l’Agence du revenu du Canada. En Angleterre, ce sont les données de 1,5 million d'usagers du forum Mumsnet qui ont été détournées.
Stéphane NEREAU's insight:
En Grande-Bretagne, ce sont les données de 1,5 million d'usagers du forum Mumsnet, qui auraient été détournées. Les administrateurs de ce site dédié aux futurs mamans a demandé à ses 1,5 million d'utilisateurs de changer leur mot de passe mais on ne connaît pas précisément le volume de données aspirées.
Scoop.it!
Un bug dans le protocole OpenSSL permet d’accéder aux échanges cryptés d’un grand nombre de services en ligne : messageries, banque en ligne, VPN, chat... Même le réseau d’anonymisation Tor est concerné.
Stéphane NEREAU's insight:
Toutefois, même en mettant à jour tous les systèmes, on ne pourra pas réparer le mal qui a été fait (s’il a été fait). Les cyberfilous qui ont réussi à mettre la main sur des clés de chiffrement SSL puis enregistrer tous les échanges pendant quelques mois (ce que fait la NSA par exemple), ont tout le temps pour déchiffrer tranquillement toutes ces données.
Scoop.it!
Cette semaine, la Toile s'est embrasée suite à la découverte d'une vulnérabilité critique affectant une large portion des sites Web. Lesquels ont été affectés ? Faut-il changer ses mots de passe ?
Stéphane NEREAU's insight:
Baptisé Heartbleed, la vulnérabilité en question provient d'un bug dans l'implémentation d'OpenSSL sur les serveurs des sociétés pour la prise en charge du protocole de chiffrement TLS. Le problème a été repéré cette semaine, toutefois, l'on ne sait si cette faille a été exploitée par des hackers malintentionnés. Dans le doute il est conseillé de changer son mot de passe pour les sites vulnérables ayant potentiellement été affectés. Les sociétés ayant implémenté le protocole TLS au moyen d'OpenSSL peuvent d'ores et déjà ajouter un patch sur leur serveur afin de limiter l'ampleur de l'attaque.
|
Si la réponse de la communauté Web est plutôt satisfaisante en matière de patching, elle l’est beaucoup moins en matière de certificats. Rappelons que l’exploitation de la faille permet, en théorie, de récupérer en mémoire des informations sensibles, comme des clefs cryptographiques. En avril dernier, Arnaud Soullie, auditeur chez Solucom, expliquait dans nos colonnes : « Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n’étaient pas concernés par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée ». Dans les faits, moins d’un quart des sites faisant partie du premier million du classement Alexa ont remplacé leurs certificats dans la semaine suivant la divulgation. Si les sites les plus populaires ont réagi très vite, seul 10 % de ceux qui étaient encore vulnérables 48 heures après la divulgation ont changé leurs certificats dans le mois qui a suivi. Et, parmi ces « bons élèves », 14 % ont ‘oublié’ de renouveler leur clef privée… annulant par là même le bénéfice provenant du remplacement des certificats.