https://resources.infosecinstitute.com/
Related: Securité et reglementaireOù se renseigner sur les exploits et failles logicielles ? Lutter contre les failles et vulnérabilités des systèmes et des logiciels fait partie du quotidien des responsables informatiques. D’où l’importance de se tenir informé des attaques en vogue et des failles découvertes. En matière de sécurité, savoir c’est déjà faire la moitié du chemin pour bien se protéger. C’est particulièrement vrai en matière de failles. Connaître les vulnérabilités des systèmes et logiciels utilisés dans l’entreprise permet de réfléchir à leurs éventuelles conséquences et de prendre rapidement des décisions pour s’en protéger en ajustant les pare-feux par exemple ou en surveillant la mise à disposition des patchs de sécurité. « Malheureusement, les vulnérabilités sont intrinsèques au développement logiciel.
Shadow Brokers, une vraie menace selon Cisco et Fortinet Les deux constructeurs confirment que les codes mis en ligne par les Shadow Brokers, qui prétendent avoir piraté les hackers pro-NSA d’Equation, renferment bien des failles zero day. S’il est difficile de savoir qui se cache derrière Shadow Brokers, organisation jusqu’alors inconnue qui affirme avoir piraté le groupe de hackers appelé Equation, il apparaît par contre évident que les premiers fichiers destinés à montrer la réalité de cette infiltration renferment bien des vulnérabilités inconnues jusqu’alors (ou zero day). Rappelons qu’Equation, un mystérieux groupe de hackers qui agit dans l’ombre depuis au moins 14 ans, est réputé proche de la NSA américaine.
sans titre Cette solution de cybersécurité analyse le site web, détecte les vulnérabilités telles que XSS ou SQL Injection et propose des solutions. Acunetix est leader sur le marché de la technologie de test automatique de sécurité web, il analyse et audite de manière exhaustive les sites web complexes, authentifiés, HTML5 et JavaScript, entre autres. Utilisé par de nombreux secteurs gouvernementaux, militaires, éducatifs, des télécommunications, bancaires, financiers et du commerce électronique, y compris par de nombreuses entreprises du classement Fortune 500, Acunetix offre une entrée rentable sur le marché de la numérisation web avec une solution simple, évolutive et hautement disponible, sans compromettre la qualité. Acunetix est leader sur le marché de la technologie de test automatique de sécurité web, il analyse et audite de manière exhaustive les sites web complexes, authentifiés, HTML5 et JavaScript, entre aut...
ZATAZ Faille de sécurité chez AliExpress : 100 millions de clients impactés La faille de sécurité (vulnérabilité) découverte permet aux pirates de cibler les utilisateurs d’AliExpress en leur envoyant un mail de phishing avec un lien vers une page AliExpress contenant un code malicieux Javascript. Quand la personne ouvre la page, le code s’exécute dans le moteur de recherche, et contourne les protections contre les attaques du type « cross-site scripting » (XSS), en utilisant une vulnérabilité dite « open redirect ». Une fois sur la page malicieuse, l’utilisateur ne se rend compte de rien et continue de faire son shopping. Le pirate va ensuite déclencher une fenêtre pop-up. Elle peut offrir une réduction. Ou comme je peux vous le montrer très souvent, lancer une fausse page.
Introduction à Burp, l'outil dédié à la sécurité des plateformes web Burp, dans nos métiers de la sécurité, on dit souvent que c’est notre meilleur ami. Burp ne vous dit rien ? Il s’agit d’un logiciel dédié à l’audit de sécurité web, utilisé par une majorité de professionnels de la sécurité de l’information. Dans un premier temps, nous vous présentons l’outil Burp et quatre modules fondamentaux. Pour ceux qui sont déjà familiers avec l’outil, une deuxième partie plus technique présente quelques fonctionnalités et extensions pour gagner en efficacité. Burp Suite, appelé le plus souvent seulement Burp, est un outil dédié à l’audit de sécurité des plateformes web.
Uber a caché le vol de données de 50 millions de clients et 7 millions de chauffeurs Le nouveau CEO d'Uber, Dara Khosrowshahi, continue de remettre de l'ordre dans ses affaires. Il a dévoilé mardi 21 novembre 2017 qu'une fuite massive de données a eu lieu en octobre 2016. 50 millions de clients et 7 millions de chauffeurs Uber sont concernés, répartis dans tous les pays dans lesquels opère Uber. Les données contenaient les noms, adresses email et numéros de téléphone des clients, mais aussi les numéros de permis de conduire des chauffeurs. Facteur aggravant, l'entreprise a dissimulé cette brèche aux autorités et aux personnes concernées (alors qu'elle a l'obligation légale de le faire), notamment en payant la somme de 100 000 dollars aux hackers pour qu'ils gardent le silence.
8 outils de renseignement Open Source populaires pour les tests de pénétration La vue accrocheuse de différents Intelligence Open Source (OSINT) qui sont disponibles sur le marché. Dans notre vie quotidienne, nous recherchons de nombreuses informations sur Internet. Si nous ne trouvons pas les résultats attendus, nous quittons généralement! Mais avez-vous déjà imaginé ce qui se cache dans ces centaines de résultats de pages? "Information"!
1ère édition du Festival du Film Sécurité : le palmarès en vidéos ! Ce festival organisé dans le cadre de la démarche GSI « Initiatives pour une Sécurité Globale » réunissait entreprises, organismes, institutions, collectivités… parmis les intervenants ce jour-là, des experts en intelligence économique également, avec notamment Alain Juillet (ex HRIE, Pdt du CDSE), Thibault Renard (CCI France) et Bartol Zivkovic (Ecole de Guerre Economique). Sociétés de production et réalisateurs ont fait concourir une ou des œuvres audiovisuelles traitant de sûreté ou sécurité, pour informer, former ou sensibiliser les acteurs concernés par ces questions : des salariés aux responsables métiers et décideurs, usagers, clients ou citoyens. Pour la première fois, des films et supports numériques traitant de sécurité sous ses différents aspects ont été mis en compétition durant une journée. Le palmarès a été établi.
sans titre La signature électronique La Signature électronique (ou certificat électronique/signature numérique) repose sur un système de chiffrement à clé publique et à clé privée permettant d’authentifier l’auteur d’un document. C’est la transposition dans le monde numérique de la signature manuscrite. sans titre Qui ne s’est pas déjà senti perdu en cherchant des informations sur les plans de licences autour d’Office 365 ? Avec cet article, je souhaite vous partager un décryptage de ce qui existe avec quelques conseils pour retrouver son chemin, ainsi que rappeler certaines annonces récentes de l’éditeur. A l’heure du modern workplace, il est indispensable pour les équipes sécurité et conformité de connaître les capacités natives des plateformes de collaboration et de communication. Cette maîtrise permettra de définir une stratégie cohérente prenant en compte aussi bien les besoins de protection des données que les réglementations, l’urbanisation du système d’information et l’incontournable sujet de l’expérience utilisateur. Pour les entreprises bénéficiant du plan de licences le plus élevé, Microsoft 365 E5, il n’y a pas de problème : toutes les fonctionnalités sont disponibles. Pour les autres, le sujet est autrement plus complexe.