Hack In Paris 2015. Juste avant la Nuit du Hack, il y a un autre évènement dont j'aimerai vous parler qui s'appelle Hack In Paris, organisé par la société Sysdream et dont je suis partenaire. Hack in Paris se déroulera du 15 au 19 juin et proposera durant 5 jours, une approche technique et pratique de la sécurité informatique pour les professionnels. Les 3 premiers jours seront consacrés à la pratique avec de nombreux experts techniques qui formeront les participants sur des thématiques aussi diverses que l'exploitation Android/iOS, le pentesting des systèmes de contrôle industriel, les attaques via navigateurs, l'utilisation de Python dans le cadre de la sécurité, le hacking hardware ou l'utilisation de la suite de pentesting Burp...etc. Les 2 jours suivants seront consacrés à des conférences toutes plus passionnantes que les autres. Je vous mets la liste ici : Keynote: Analogue Network Security par Winn Schwartau This keynote is about applying analogue thinking to Network Security.
L'ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique. La sécurité informatique est parfois trop prise à la légère par certains, avec toutes les conséquences désastreuses que cela peut avoir. Afin de limiter les dégâts et de prodiguer quelques conseils, l'ANSSI et la CGPME ont publié un guide des bonnes pratiques de la sécurité informatique. Une première approche intéressante, mais est-ce suffisant ? Selon un rapport de l'éditeur GFI, l'année 2014 a été relativement épouvantable pour la sécurité informatique avec plus de 7 000 failles identifiées, contre un peu moins de 4 800 l'année précédente.
Pour début 2015, la situation ne s'améliore pas vraiment avec, par exemple, Adobe, plusieurs banques (Carbanak), l'affaire Gemalto, Labio.fr, Lenovo et Microsoft qui ont été victimes de pirates informatiques aux cours des dernières semaines. Selon les cas, cela se traduit parfois par des vols de données, une demande de rançon et la publication d'informations confidentielles, telles que des bilans d'analyses médicales. Une faille dans le plug-in d'analyse de WordPress. Les utilisateurs de Wordpress utilisant WP-Slimstat doivent mettre le plug-in à jour. Une vulnérabilité dans le plug-in WP-Slimstat de WordPress a été corrigée dans la version 3.9.6 de l'outil. Les gestionnaires de sites WordPress utilisant le plug-in d’analyse de statistiques WP-Slimstat doivent passer sans attendre à la dernière version de l’outil, 3.9.6.
La précédente version comporte une faille critique, viennent d’avertir des experts en sécurité de la société Sucuri, dans un billet. Très utilisé, WP-Slimstat a été téléchargé plus 1,3 million de fois. Il permet aux propriétaires de sites web de suivre leurs visiteurs, de surveiller les événéments JavaScript, de détecter les intrusions, d’analyser les campagnes de mails, etc. Microsoft comble une faille critique vieille de 15 ans. 01net le 11/02/15 à 20h20 Chez Microsoft, on aime parfois prendre son temps pour bien faire les choses. Hier, à l'occasion de son traditionnel Patch Tuesday, l’éditeur a publié un énorme paquet de rustines Windows : neuf mises à jour pour combler pas moins de 56 failles de sécurité !
Parmi elles figure une faille critique baptisée « Jasbug » qui existe dans le système d’exploitation depuis... 15 ans. Elle a été découverte il y a un an par la société de sécurité « JAS Global Advisors » (d’où le nom de la faille) et elle est particulièrement méchante. Elle permet à des pirates de réaliser des attaques de type « man in the middle » sur des PC portables connectés sur un réseau d’entreprise par le service d’authentification Active Directory, avec à la clé l’exécution de code arbitraire. Mais corriger cette faille n’était pas si facile, car le problème résidait dans le design même d’une partie de Windows, créée il y a quinze ans. Sources : Orange épinglé par la CNIL pour les défaillances de sa sécurité informatique. Les 10 technologies que les responsables de sécurité IT doivent connaître.
La sécurité informatique de nouvelle génération passe par le Big Data, l’internet des objets, la virtualisation, le confinement, les passerelles Cloud, … Au total dix technologies qui ont de quoi donner des maux de tête à tout responsable de la sécurité IT. Mais ils n’auront pas le choix selon le cabinet Gartner. La sécurité informatique a toujours été complexe et c’est une nouvelle étape qui est en train d’être franchie avec le Cloud, les réseaux sociaux, les mobiles et l’internet des objets. Dix technologies à maîtriser Le cabinet Gartner liste les dix technologies que les responsables sécurité vont devoir maîtriser cette année.
Elles font appel à du Big Data, de la simulation, du confinement, une connaissance pointue des flux de données et des outils capables de les analyser. Les responsables sécurité vont maîtriser ces dernières technologies, s’ils veulent assurer un niveau de sécurité satisfaisant préconise Gartner. Prendre en compte le contexte d’un accès Le Big Data appelé au secours. Cybersécurité: une majorité craint pour sa vie privée, selon un sondage. Les Français et les Allemands sont beaucoup moins enclins que les Indiens ou les Japonais à livrer certaines informations personnelles pour pouvoir surfer plus facilement sur l'internet. En tout, 15 000 consommateurs ont été interrogés dans quinze pays. C'est en Allemagne que les sondés sont les moins prêts (71%) à «échanger une part de vie privée pour plus de facilité et de commodité» lorsqu'ils utilisent l'internet, par exemple parce que les annonceurs ont accès à leurs goûts et préférences et peuvent donc fournir des réponses plus appropriées à leurs recherches.
La France arrive en deuxième position, avec 63% de sondés qui ne sont pas prêts à sacrifier ou partager certaines données personnelles, tandis que cette catégorie d'internautes représente 56% aux États-Unis, 52% aux Pays-Bas et baisse jusqu'à 40% en Inde, 39% au Mexique et 35% au Japon. eBay victime d’une cyberattaque, recommande à ses utilisateurs de changer leur password. Faille Heartbleed: les piratages dévoilés sur la toile. Tous les acteurs d’Internet, experts en sécurité, développeurs, blogueurs, consommateurs et internautes sont inquiets.
Une faille de sécurité critique a été découverte sur Internet dans la nuit du 7 au 8 avril 2014. Son nom: Heartbleed. Publié le 9 avril 2014 - 13:49 par François Giraud Heartbleed est le nom d’une faille de sécurité critique qui serait présente dans la quasi-totalité des connexions web chiffrées. 66% des serveurs Web pourraient être touchés Des experts en sécurité informatique ont dévoilé cette faille présente dans OpenSSL, utilisé par 66% des serveurs Web. Une faille qui daterait de 2012 Cette faille serait présente depuis plus de deux ans. Ailleurs sur le web. Les technologies « finger printing » permettent de tourner la page du cookie ? Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs.
Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées.
Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment. Projet Mylar : sécuriser les données d’un site web. Les profils Linkedin siphonnés par une armée de robots. Crédit Photo: D.R Le réseau social professionnel a attaqué en justice une société qui utilise des robots pour collecter les profils des utilisateurs de Linkedin et ensuite les revendre. De même, une autre entreprise propose une extension pour navigateur qui dévoile les adresses mails des abonnés.
En janvier, Linkedin a déposé une plainte contre X pour la création de faux profils pour pouvoir se connecter à des utilisateurs et siphonner leurs profils professionnels. Après enquête, la société derrière ce procédé a été identifiée. Le réseau social a déposé plainte la semaine dernière à San Francisco, selon le site GigaOM, contre une start-up baptisée HiringSolved fondée par Shon Burton. L'identification de ce dernier a été rendu possible en collectant les adresses IP associées aux robots liés aux faux profils. Linkedin a ensuite retracé les adresses IP vers une plateforme connue de cloud computing dont les factures étaient adressées à Shon Burton. Une extension très indiscrète. Fuite de données pour Coca Cola. La sécurité informatique ? Les dirigeants français s’en moquent. L’intendance suivra, disait le Général de Gaulle.
C’est en somme la perception des dirigeants d’entreprise en matière de sécurité informatique. Selon une étude Vanson Bourne, sponsorisée par NTT Com Security, la branche spécialisée de l’opérateur japonais, les cadres dirigeants français (hors DSI) ne sont que 38 % à considérer que la sécurité des données est « vitale » pour leur organisation. En Grande-Bretagne ou en Allemagne, cette proportion dépasse les 50 %. Dans le détail, moins d’un dirigeant français sur trois affirme que son entreprise possède un plan de réponse à incident en cas de faille.
Cette proportion atteint respectivement 67 et 55 % chez nos voisins anglais et allemands. Même si ce coup de sonde repose sur les seules déclarations des personnes interrogées, il permet de mettre en évidence un certain dédain des dirigeants français pour ces questions. 24 % des dirigeants hexagonaux affirment qu’une faille n’aurait aucun impact sur le chiffre d’affaires. CNIL : un pouvoir d'investigation renforcée grâce à la loi Hamon. 800.000 clients d' Orange victimes d'une attaque informatique. Numérique / Cookies : réglementation et bonnes pratiques. La récente condamnation de Google à l’amende maximale de 150 000 euros que peut prononcer la Cnil (Commission nationale Informatique et Libertés) concerne sa politique de confidentialité des données, jugée non conforme à la loi Informatique et Libertés. Concrètement, Google n’informe pas suffisamment les utilisateurs de ses services sur la finalité des cookies qu’elle installe dans leurs terminaux et les dépose sans leur accord préalable.
En décembre dernier, la Cnil a publié ses recommandations en la matière(1). Un document, destiné aux éditeurs de site et émetteurs de cookies (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d’audience…) pour les aider à se mettre en conformité. Cookies soumis à accord préalable des internautes Pour la Cnil, compte tenu des risques qu’ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables des utilisateurs sont notamment : - ceux liés aux opérations relatives à la publicité ciblée ;
La NSA cherche à casser tous les cryptages avec un ordinateur quantique. En fournissant près de 80 millions de dollars à l’Université du Maryland pour développer un ordinateur quantique capable de casser tous les codes de chiffrement, la NSA veut devenir un super Big Brother. Crédit D.R. L'agence d'espionnage américaine finance un projet d'ordinateur quantique capable de casser tous les systèmes de chiffrement, selon le Washington Post. L'Agence de sécurité nationale US tente de construire une nouvelle génération de super-ordinateurs qui pourrait théoriquement ne faire qu'une bouchée des systèmes de chiffrement actuellement utilisés pour sécuriser les communications numériques. Le projet de construire « un ordinateur quantique utilisable en cryptographie » fait partie d'un projet de recherche d'un montant de 80 millions de dollars baptisé « Penetrating Hard Targets » et localisé sur le campus de l'Université du Maryland, selon le Washington Post.
L'informatique quantique fascine. Piratage de la CB du boss de Paypal. Fuite de données en Allemagne avec 18 millions de comptes mails. Un espace du journal 20 minutes piraté. Un espace du journal 20 minutes piraté Publié le 09-04-2014 à 13:26:05 dans le thème Réseau - Sécurité Pays : France - Auteur : Damien Bancal Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet Mots de passe, identifiants de connexion, ... un pirate passe dans le serveur de l'espace Cuisine du journal 20 minutes. "Bon vu que je ne suis pas le dernier des encxxxx, je vais vous expliquer". C'est par ces quelques mots qu'un internaute baptisé sur la toile The Dream Team a expliqué comment il venait de pirater un espace Internet appartenant au quotidien 20 minutes. L'espace en question, baptisé Les 900 recettes de la Cuisine d'Annie souffrirait de plusieurs failles qui ont donné l'occasion au pirate informatique de mettre la main sur des données privées et sensibles du serveur.
Une méthode que nous réfutons. Nous vous conseillons de passer par le protocole d'alerte de zataz afin de permettre une correction efficace et une mise en relation , quand cela est possible. Tweet. L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir.
Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. A) La responsabilité pénale i. Accès frauduleux Quid, pourtant, si le système n’est pas protégé ? Le maintien frauduleux ii. Iii. B. Failles de sécurité et fautes informatiques — Droit des technologies avancées.
L’actualité en 2011 a fait l’objet de très nombreuses illustrations de failles de sécurité et de piratages informatique. Les derniers en date concernent le vol des données personnelles de plus d'un million de comptes clients du groupe de jeux Sega et du géant de l'électronique Sony en exploitant des failles de sécurité pour s'introduire dans les serveurs de leur site internet. Les attaques visent non seulement les systèmes d’information des entreprises mais également ceux de l’État. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information des plus hautes instances comme l'Elysée, le Quai d'Orsay ou le ministère de l’Économie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions. Les attaques se multiplient partout dans le monde jusqu’à viser des établissements stratégiques ; le FMI, la Banque mondiale ou encore la bourse électronique américaine Nasdaq se sont ajoutés à la liste des institutions victimes de cyberattaques.
La problématique. Faille de sécurité et responsabilité de l'entreprise. Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre. Les services britanniques ont collaboré avec la NSA pour espionner leurs citoyens.