background preloader

Cybersécurité

Facebook Twitter

Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte. Avec son outil Stethoscope, Netflix veut vous permettre d'ausculter une flotte de machines.

Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte

L'application analyse certains points critiques afin de vérifier que la sécurité n'est pas compromise. Le cas échéant, elle donne des conseils. Bien trop souvent, les pirates parviennent à récupérer des informations confidentielles des sociétés en passant par les comptes/terminaux de leurs employés afin de mener leurs attaques. SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque. Deux équipes ont travaillé à la réalisation d’une méthode capable de produire en un temps « raisonnable » des collisions avec l’algorithme SHA-1.

SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque

Un danger qui n’est pas neuf, mais qui s’amplifie, avec dans l’ombre la perspective de pouvoir falsifier des documents et donc faciliter certaines attaques. L’algorithme SHA-1 (Secure Hash Algorithm) permet le hachage des données (voir notre dossier) afin d'en assurer l'intégrité. Pour cela, il produit une empreinte de 160 bits, censément unique. On retrouve souvent le SHA-1 par exemple sur différents sites de téléchargement, quand l’utilisateur est invité à contrôler qu’il a bien le bon fichier mais aussi dans de nombreux services et outil de chiffrement.

Mais SHA-1 n’est plus tout à fait considéré comme sûr depuis des années, et les principaux navigateurs comptent l’abandonner dans les mois qui viennent. Repérer et exploiter les collisions La collision est la bête noire de ce type d’algorithme. Un défaut connu depuis 12 ans Vincent Hermann. Fraude publicitaire : l'IAB et TAG ouvrent quatre programmes de certification. L'IAB France s'est associée avec TAG (Trustworthy Accountability Group) pour mettre en place quatre programmes de certification contre la fraude dans le domaine de la publicité en ligne.

Fraude publicitaire : l'IAB et TAG ouvrent quatre programmes de certification

Ceux-ci ne se limitent pas à la vérification des audiences et visent aussi à lutter contre le piratage et la malveillance. Fin 2015, l'Interactive Advertising Bureau (IAB) dressait un état des lieux de la fraude dans le cadre de la publicité en ligne. On y apprenait qu'aux États-Unis, ces publicités ont représenté un marché de 15 milliards de dollars rien qu'au quatrième trimestre et que ce chiffre connaissait une croissance soutenue, de l'ordre de 23 % par an. Si selon l'institut le blocage des annonces représente un énorme manque à gagner, de l'ordre de 9 milliards de dollars par an, la fraude aussi coûte cher aux annonceurs.

La fraude, une plaie aux multiples visages Montrer patte blanche aux annonceurs et aux internautes Kevin Hottot. Mot de passe en clair dans un email, SSLv3 : EBP s'explique. Pour assurer la sécurité de vos mots de passe, la CNIL recommande aux services en ligne de ne pas les stocker et de leur préférer une « empreinte » (ou hash).

Mot de passe en clair dans un email, SSLv3 : EBP s'explique

Mais nombreux sont ceux qui n'en font qu'à leur tête comme Free ou encore EBP. Contacté par nos soins, ce dernier s'explique et annonce du changement. Sur Internet, les fuites de données personnelles sont malheureusement monnaie courante et les causes peuvent être multiples. S'il n'est pas possible de garantir une sécurité absolue, les sites et services doivent respecter certaines règles afin de limiter les dégâts en cas de problème.

La CNIL recommande de stocker une empreinte, EBP et Free ne le font pas. Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs. Des chercheurs ont publié les résultats de leurs travaux : dans une grande partie des cas, il est possible de laisser sur la machine d’un internaute une empreinte exploitable par des navigateurs multiples.

Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs

Un changement de taille puisque chaque navigateur avait jusqu’ici sa propre empreinte. Explications. On appelle empreinte (« fingerprint ») un identifiant a priori unique tenant compte des caractéristiques du navigateur. Résolution, couleurs, liste d'extensions, fuseau horaire, signal Do Not Track, options WebGL, langue utilisée, liste des polices installées, plateforme, User Agent, support du tactile ou encore activation des cookies sont ainsi analysés pour générer cet identifiant. Bien sûr, l’unicité est relative dans la mesure où l’on peut rencontrer une configuration similaire.

De l'empreinte spécifique à un navigateur... Cet identifiant est utilisé pour de nombreuses raisons, certaines bonnes, d’autres moins. ... à celle liée à une machine spécifique. Facebook supporte désormais les clefs de sécurité (U2F), comment en profiter. C'était une annonce attendue, elle est désormais réalité : Facebook vient d'intégrer le support des clefs de sécurité exploitant le standard U2F.

Facebook supporte désormais les clefs de sécurité (U2F), comment en profiter

Une bonne nouvelle pour ceux qui veulent protéger l'accès à leur compte avec un composant matériel. Facebook annonce enfin la gestion du standard U2F de la FIDO Alliance. Après Google, Dropbox, GitHub ou encore Dashlane, le réseau social est le dernier acteur en date à proposer à ses utilisateurs d'exploiter une clef de sécurité pour renforcer la connexion à leur compte. La double authentification se renforce, la FIDO Alliance et Yubico en profitent Pour rappel, il s'agit d'une méthode d'authentification à deux facteurs (2FA) qui permet d'utiliser une clef physique pour générer le code aléatoire qui vient compléter votre adresse email et votre mot de passe lors de votre connexion.

ZeroDisclo.com, une plateforme de signalement de faille « protégé »