Au Canada, des pirates ont pu récupérer les numéros de sécurité sociale de 900 personnes sur le site de l’Agence du revenu du Canada. En Angleterre, ce sont les données de 1,5 million d'usagers du forum Mumsnet qui ont été détournées.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+2 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
La faille Heartbleed, qui affecte le protocole OpenSSL, touche également certains produits de Cisco et de Juniper, ont confirmé les deux fournisseurs. Dans des bulletins de sécurité, les deux entreprises américaines expliquent que la faille affecte aussi des routeurs, des switch et des pare-feu.
Stéphane NEREAU's insight:
L’évaluation des conséquences de ce séisme n’est pas encore achevée. Cisco, par exemple, a confirmé qu’une vingtaine de ses produits étaient concernés, mais publie également une liste d’une soixantaine de solutions suspectes. De même, Juniper poursuit ses analyses d’impact sur d’autres produits. La liste des victimes est donc susceptible de s’allonger. Y compris à d’autres constructeurs. 
Scoop.it!
Imaginez que soudain, avenues, boulevards et autres rues deviennent soudain des champs de mines invisibles susceptibles d'exploser à la moindre pression. Eh bien c'est à peu près ce qui arrive en ce moment à une grande partie du Web.
Stéphane NEREAU's insight:
En clair, il est urgent d'attendre un peu plus de transparence de la part de tous les services que l'on utilise au quotidien afin de savoir s'ils sont affectés ou non par la vulnérabilité, s'ils ont corrigé le problème et enfin déterminer s'il faut ou non changer ses mots de passe. Nos confrères de Mashable se sont par ailleurs déjà fendus d'une liste conseillant aux utilisateurs de Facebook, Tumblr, Google et Yahoo d'en passer par là au plus vite.
Scoop.it!
Un développeur allemand est à l’origine de la faille de sécurité OpenSSL. Mais il assure ne pas l’avoir introduit de manière délibérée, et encore moins pour une agence de renseignement.
Stéphane NEREAU's insight:
Interrogé par le Sydney Morning Herald, il explique avoir participé au développement du protocole OpenSSL il y a deux ans. « J’ai corrigé beaucoup de bogues et introduit de nouvelles fonctionnalités. Malheureusement, dans une de ces fonctionnalités, j’ai oublié de vérifier une variable qui contenait une longueur [d’un message protocolaire, ndlr] », explique-t-il. Or, c’est justement cette non-vérification qui est à l’origine de l’énorme faille « Heartbleed » (une bonne explication technique est disponible sur le blog de Lexsi).
Scoop.it!
Cette faille a été baptisée Heartbleed, le coeur qui saigne, par jeu de mots avec Heartbeat, nom d'une extension au protocole SSL/TSL qui est vulnérable. La faille a été mise en évidence par des chercheurs en sécurité de codenomicon et des experts en sécurité de Google.
Stéphane NEREAU's insight:
Si vous êtes touchés, vous devez mettre à jour votre librairie openssl. Vous devez le faire toutes affaires cessantes, car maintenant que la faille est connue de tous, nul doute que les hackers vont essayer son exploit sur quantités de serveurs, dans l'espoir de profiter de la négligence des administrateurs systèmes. Puis vous devrez au minimum réinitialiser les mots de passe de vos utilisateurs.
Scoop.it!
Des spécialistes informatiques mettent en garde contre une importante faille dans un logiciel d’encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.
Stéphane NEREAU's insight:
C’est la hantise de tous les internautes qui effectuent ponctuellement ou non des transactions sur Internet : voir leur mots de passe, leur coordonnées bancaires et autres données piratée et utilisées à des fins malveillantes. Ce cauchemar de l’internaute serait une réalité sur près de la moitié des sites internet selon les spécialistes informatiques de la société néerlandaise Fox-it.
|
Scoop.it!
Une faille présente dans un dispositif de sécurité utilisé par de nombreux sites permet d'accéder à de nombreuses données sensibles d'internautes, comme les mots de passe.
Stéphane NEREAU's insight:
Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats...) sur Internet pendant quelques temps. C'est ce que recommande par exemple un billet publié sur le site de Tor, un système d'anonymisation sur Internet. Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d'OpenSSL n'est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l'utilisateur, relancer le site ou le service pour que ces nouvelles protections s'appliquent. Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.
Scoop.it!
Alors que les professionnels de la sécurité invitent les administrateurs de sites à patcher leur plate-forme OpenSSL pour combler la faille Heartbleed , certains informations indications que les cybercriminels sont déjà dans les starting-blocks.
Stéphane NEREAU's insight:
De nombreux outils d'analyse sont disponibles gratuitement sur le web pour savoir si des sites reposent sur cette bibliothèque OpenSSL imparfaite, qui est utilisé depuis deux ans environ. OpenSSL est l'implémentation Open Source des Secure Sockets Layer, qui sont utilisés pour chiffrer les communications entre un navigateur et un serveur web. La vulnérabilité récemment mise à jour permet de consulter la mémoire du serveur et de voler les informations touchant à l'identification, les mots de passe et autres données.
Scoop.it!
La vulnérabilité Heartbleed est l’une des plus importantes failles découverte sur Internet depuis 10 ans. Depuis mars 2012, une part considérable des serveurs sur Internet a été vulnérable à des attaques qui ne laissent pas de traces, et peuvent accéder à des informations essentielles (identifiant, mot de passe, informations personnelles, numéro de carte de crédit, clé de cryptage). Cette vulnérabilité a été révélée publiquement le 7 avril, mais il est impossible de connaître l’étendue des dommages qui ont eu lieu avant le 7 avril ou même depuis.
Stéphane NEREAU's insight:
Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.
Scoop.it!
Un bug dans le protocole OpenSSL permet d’accéder aux échanges cryptés d’un grand nombre de services en ligne : messageries, banque en ligne, VPN, chat... Même le réseau d’anonymisation Tor est concerné.
Stéphane NEREAU's insight:
Toutefois, même en mettant à jour tous les systèmes, on ne pourra pas réparer le mal qui a été fait (s’il a été fait). Les cyberfilous qui ont réussi à mettre la main sur des clés de chiffrement SSL puis enregistrer tous les échanges pendant quelques mois (ce que fait la NSA par exemple), ont tout le temps pour déchiffrer tranquillement toutes ces données.
Scoop.it!
Cette semaine, la Toile s'est embrasée suite à la découverte d'une vulnérabilité critique affectant une large portion des sites Web. Lesquels ont été affectés ? Faut-il changer ses mots de passe ?
Stéphane NEREAU's insight:
Baptisé Heartbleed, la vulnérabilité en question provient d'un bug dans l'implémentation d'OpenSSL sur les serveurs des sociétés pour la prise en charge du protocole de chiffrement TLS. Le problème a été repéré cette semaine, toutefois, l'on ne sait si cette faille a été exploitée par des hackers malintentionnés. Dans le doute il est conseillé de changer son mot de passe pour les sites vulnérables ayant potentiellement été affectés. Les sociétés ayant implémenté le protocole TLS au moyen d'OpenSSL peuvent d'ores et déjà ajouter un patch sur leur serveur afin de limiter l'ampleur de l'attaque.
|
En Grande-Bretagne, ce sont les données de 1,5 million d'usagers du forum Mumsnet, qui auraient été détournées. Les administrateurs de ce site dédié aux futurs mamans a demandé à ses 1,5 million d'utilisateurs de changer leur mot de passe mais on ne connaît pas précisément le volume de données aspirées.