background preloader

Cybersécurité

Facebook Twitter

Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte. Avec son outil Stethoscope, Netflix veut vous permettre d'ausculter une flotte de machines.

Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte

L'application analyse certains points critiques afin de vérifier que la sécurité n'est pas compromise. Le cas échéant, elle donne des conseils. Bien trop souvent, les pirates parviennent à récupérer des informations confidentielles des sociétés en passant par les comptes/terminaux de leurs employés afin de mener leurs attaques. Nous pouvons par exemple citer le cas de Dropbox et du Monde. SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque. Deux équipes ont travaillé à la réalisation d’une méthode capable de produire en un temps « raisonnable » des collisions avec l’algorithme SHA-1.

SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque

Un danger qui n’est pas neuf, mais qui s’amplifie, avec dans l’ombre la perspective de pouvoir falsifier des documents et donc faciliter certaines attaques. L’algorithme SHA-1 (Secure Hash Algorithm) permet le hachage des données (voir notre dossier) afin d'en assurer l'intégrité. Pour cela, il produit une empreinte de 160 bits, censément unique. Fraude publicitaire : l'IAB et TAG ouvrent quatre programmes de certification. L'IAB France s'est associée avec TAG (Trustworthy Accountability Group) pour mettre en place quatre programmes de certification contre la fraude dans le domaine de la publicité en ligne.

Fraude publicitaire : l'IAB et TAG ouvrent quatre programmes de certification

Ceux-ci ne se limitent pas à la vérification des audiences et visent aussi à lutter contre le piratage et la malveillance. Fin 2015, l'Interactive Advertising Bureau (IAB) dressait un état des lieux de la fraude dans le cadre de la publicité en ligne. Mot de passe en clair dans un email, SSLv3 : EBP s'explique. Pour assurer la sécurité de vos mots de passe, la CNIL recommande aux services en ligne de ne pas les stocker et de leur préférer une « empreinte » (ou hash).

Mot de passe en clair dans un email, SSLv3 : EBP s'explique

Mais nombreux sont ceux qui n'en font qu'à leur tête comme Free ou encore EBP. Contacté par nos soins, ce dernier s'explique et annonce du changement. Sur Internet, les fuites de données personnelles sont malheureusement monnaie courante et les causes peuvent être multiples. Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs. Des chercheurs ont publié les résultats de leurs travaux : dans une grande partie des cas, il est possible de laisser sur la machine d’un internaute une empreinte exploitable par des navigateurs multiples.

Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs

Un changement de taille puisque chaque navigateur avait jusqu’ici sa propre empreinte. Explications. On appelle empreinte (« fingerprint ») un identifiant a priori unique tenant compte des caractéristiques du navigateur. Résolution, couleurs, liste d'extensions, fuseau horaire, signal Do Not Track, options WebGL, langue utilisée, liste des polices installées, plateforme, User Agent, support du tactile ou encore activation des cookies sont ainsi analysés pour générer cet identifiant.

Facebook supporte désormais les clefs de sécurité (U2F), comment en profiter. C'était une annonce attendue, elle est désormais réalité : Facebook vient d'intégrer le support des clefs de sécurité exploitant le standard U2F.

Facebook supporte désormais les clefs de sécurité (U2F), comment en profiter

Une bonne nouvelle pour ceux qui veulent protéger l'accès à leur compte avec un composant matériel. Facebook annonce enfin la gestion du standard U2F de la FIDO Alliance. Après Google, Dropbox, GitHub ou encore Dashlane, le réseau social est le dernier acteur en date à proposer à ses utilisateurs d'exploiter une clef de sécurité pour renforcer la connexion à leur compte. La double authentification se renforce, la FIDO Alliance et Yubico en profitent.

ZeroDisclo.com, une plateforme de signalement de faille « protégé » Alors que le marché des bug bounties se structure, YesWeHack lance ZeroDisclo.com, une plateforme de remontée de faille non-rémunérée.

ZeroDisclo.com, une plateforme de signalement de faille « protégé »

L'objectif : responsabiliser la communauté en permettant aux hackers de signaler des vulnérabilités « anonymement », pour réduire les risques de poursuite. Les services pour remonter les failles de sécurité sont en vogue.