Actualités sécurité informatique

Un fichier de police qui fuite
Nos confrères de l’Express révèlent qu’un fichier appartenant au syndicat de police Alliance a fuité et se retrouverait sur le (sic) « darknet ». Moins de 500 identités se retrouvent « dans la nature », ce qui classe ce sinistre dans la tranche basse des accidents de cette nature, mais les données contenues sont véritablement […] www.cnis-mag.com | 12/14/18 5:26 AM
Equifax, ou la cour du roi Pétaud
Certificats périmés, infrastructure hétéroclite entravant l’application de processus de sécurité cohérents, politique de déploiement de correctifs imparfaite, accumulation d’initiatives personnelle et de « shadow IT », le tout baignant dans une totale désorganisation managériale, telles sont en substance les conclusions de l’enquête conduite par une délégation de la Chambre des Représentants des Etats-Unis. 96 pages […] www.cnis-mag.com | 12/14/18 5:17 AM
Supermicro est « spy-free »
Pas de spyware matériel sur les cartes Supermicro, conclut un audit commandité par la direction de l’entreprise. En octobre dernier, une rumeur avait été répandue par Bloomberg Business Week laissant entendre qu’un sous-traitant Chinois aurait modifié l’électronique des cartes fabriquées pour le compte de Supermicro, afin d’y ajouter des composants capables d’espionnage. Cette hypothèse, qui […] www.cnis-mag.com | 12/14/18 5:06 AM
Orsay fuit… discrètement
Fuite de fichier des serveurs du Ministère de l’Europe et des Affaires Etrangères. La twittosphère (notamment Nicolas Arpagian @cyberguerre) s’interroge sur les méthodes de communication du Quai d’Orsay, lequel a prévenu les intéressés via un courriel. En effet, le service Arianne, qui répertorie les coordonnées des personnes à prévenir en cas de difficulté rencontrée par […] www.cnis-mag.com | 12/14/18 4:50 AM
Rustines « allégées » en décembre
La dernière fournée 2018 des correctifs Microsoft est épurée : à peine 38 CVE, dont seulement 9 qualifiés de « critique » par Microsoft et 10 selon le Sans. Citons, par degré d’urgence de déploiement, CVE-2018-8611 qui pourrait autoriser une élévation de privilèges, CVE-2018-8626, un heap overflow dans le serveur DNS (lequel donne des droits […] www.cnis-mag.com | 12/14/18 4:37 AM
3G, 4G, 5G : pas si privées que ça
Non, il ne s’agit pas d’une attaque capable de déchiffrer et de permettre l’écoute des conversations téléphoniques « mobiles ». Mais un collectif de chercheurs Helvético-Germano-Norvégiens vient de découvrir une faille dans le protocole « Authentication and Key Agreement » (AKA). Lequel, malgré de récentes améliorations et notamment l’abandon d’un chiffrement symétrique, utilise toujours un SQN (SeQuence […] www.cnis-mag.com | 12/14/18 4:16 AM
Les virus NSA ont la vie dure
Faisant écho aux récentes recommandation du BSI concernant la sécurisation des routeurs Soho, voici que Akamai, dans un billet plutôt désabusé, revient sur les statistiques d’Upnproxy, un vecteur d’attaque génétiquement dérivé d’un exploit conçu par les équipes de la NoSuchAgency. Un exploit qui vise une faille dans le mécanisme « universal plug and play » […] www.cnis-mag.com | 12/14/18 2:39 AM
En Bref …
63 personnes sous les verrous, 26 faux centres d’appel Microsoft fermés : les polices Indiennes de Dehli et de Bombay s’attaquent à un réseau d’escrocs par téléphone qui sévit depuis plusieurs années www.cnis-mag.com | 12/13/18 7:20 AM
Jackpotting de distributeurs Français
Trois attaques en « jackpotting » recensées en région parisienne, dont une seule menée avec succès révèlent nos confrères du Parisien. Le butin s’élèverait à 128 000 euros, somme rondelette pour un travail probablement effectué en moins d’un quart d’heure. Le jackpotting consiste à ouvrir le panneau avant du DAB (les clefs s’échangent au marché […] www.cnis-mag.com | 12/13/18 7:15 AM
Courriels Français et Odeur de poisson …
Sami Ruohonen, du laboratoire F-Secure, décortique une campagne de fishing francophone. Une de plus, dira-t-on. Mais ce qui devient captivant, au fil de cette analyse, c’est l’évolution progressive des techniques employées par les pirates pour aiguiller la victime vers une page web qui, à son tour, aboutira au nom de domaine servant de conteneur à […] www.cnis-mag.com | 12/13/18 6:35 AM
BSI : Il faut blinder / CCC : Peut mieux faire
Il y a les bonnes pratiques du routage Soho… et au-delà. Le BSI Allemand a émis il y a peu une note (in English dans le texte) détaillant les règles des « meilleurs efforts » possibles en matière de fabrication et d’usage appliqués aux routeurs d’entrée de gamme. Rien de véritablement transcendant, mais, à l’instar […] www.cnis-mag.com | 12/13/18 6:24 AM
VLC trahi par Microsoft
VLC considéré par Bing (et donc Microsoft) comme vecteur de propagation d’un malware ? la chose est prise très au sérieux explique Videolan. L’équipe sécurité d’Office 365, de son côté, explique les raisons alambiquées de cette mise à l’index. A l’origine de ces soupçons, une attaque visant une faille dans Inpage, un traitement de texte […] www.cnis-mag.com | 12/13/18 6:02 AM
En Bref …
Fuite supposée de noms, adresses courriel, condensats de mot de passe : la base de données client de Dell a reçu la visite de collectionneurs d’identités et, dans le doute, l’équipe sécurité a entamé une procédure de réinitialisation des mots de passe www.cnis-mag.com | 12/13/18 5:40 AM
Une sécurité empreinte d’empreintes
Bruce Schneier relève l’information, TechTarget en tartine une page toute entière, et il y a de quoi. Un groupe d’Universitaires (principalement New-Yorkais) a travaillé sur la manière de générer de fausses empreintes digitales à l’aide d’outils deep learning. La méthode consiste à créer une « méta-empreinte » synthétique présentant sur un seul dessin les caractéristiques […] www.cnis-mag.com | 12/13/18 5:28 AM
Le véritable danger de l’IA/IoT intégrée
« Franchement, j’ai peur » explique en substance Fred Paul de Network World au fil d’un article intitulé « le danger d’utiliser des commandes vocales sur des machines IoT ». Et d’expliquer les drames probables provoqués par les paroles malheureuses des passagers d’une automobile et pris au pied de la lettre par l’interface de commande […] www.cnis-mag.com | 12/13/18 12:12 AM
En Bref
La poste US bat un joli record avec la perte de quelques 60 millions de données d’identités, rapporte Brian Krebs . Ces donnés touchent les personnes enregistrées auprès du service de suivi des expéditions www.cnis-mag.com | 12/12/18 10:31 PM
Pour quelques fuites de plus …
Les hôpitaux US cherchent à se refaire une santé après une série de cyber-intrusions répertoriées par Databreaches.net. Au moins 21 000 enregistrements concernant des citoyens Californiens, potentiellement 190 000 autres victimes résidant sur le territoire US pourraient être victimes d’une faille provoquée par la compromission de comptes de messagerie de HealthEquity, un organisme de gestion […] www.cnis-mag.com | 11/20/18 8:42 AM
IoT : Au quatrième top, il sera exactement Hack heure.
Il est des parents qui souhaitent « pucer » leurs rejetons, et ceux qui leur offrent un bracelet de localisation et suivi par SMS … « Dans la famille IoT, je choisis le fils », enchaîne donc le groupe de chercheurs de PenTestPartners, lesquels, Alan Monie en tête, se sont attachés à dénombrer les failles […] www.cnis-mag.com | 11/20/18 8:37 AM
Stratégie : Sécurité, j’aurais ta peau (suite)
Mais un village résiste encore, et toujours, à l’invasion du flicage semi-volontaire. Daniel Oberhaus, de Motherboard raconte son odyssée au travers des océans déchainés des implants, de leur sécurité très relative, des risques d’oubli de code d’accès, de leur fiabilité discutable : lorsque l’on peut scanner en catimini un RFID de clef d’hôtel ou une […] www.cnis-mag.com | 11/20/18 8:29 AM
Puce RFID : Sécurité, j’t’ai dans la peau (première)
Mais quelle puce a piqué la presse pour que soudainement l’on débatte avec tant de passion du « sans-contact sous-cutané » ? Tout commence avec un article du très Britannique Telegraph, lequel révèle que beaucoup de « grandes entreprises » d’Outre-Manche envisagent sérieusement d’implanter un identifiant RFID sous la peau de leurs collaborateurs. Simple rumeur […] www.cnis-mag.com | 11/20/18 8:23 AM